Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

세상의 모든 IT 리서치 자료 - 넘버스 Numbers

2022년 1분기 기준 클라우드 시장의 AWS 점유율
33
%
넘버스
자료 제목 :
2022년 1분기 전 세계 클라우드 서비스 시장 분석
Global cloud services spend hits US$55.9 billion in Q1 2022
자료 출처 :
Canalys
원본자료 다운로드
발행 날짜 :
2022년 04월 28일
보안 / 클라우드

"AWS vs. GCP vs. 애저" 클라우드 보안 기능 승자는?

Neal Weinberg | CSO 2022.08.11
최고 정보 보호 책임자(CISO)가 클라우드 서비스 업체(CSP)의 보안을 평가할 때 결국 2가지 질문으로 압축된다. 첫째는 '업체의 자체 인프라를 가장 잘 보호하는 업체는 어디인가'이고 둘째는 '서비스 사용 기업의 데이터와 애플리케이션을 가장 잘 보호하는 업체는 어디인가'다.
 
ⓒ Getty Images Bank

퍼블릭 클라우드의 보안은 ‘공동 책임 모델(shared responsibility model)’을 기반으로 한다. 클라우드 서비스 공급자의 역할(플랫폼 보안)과 사용자의 역할(클라우드 내 자산 보호)을 구분할 수 있는 개념이다. 이론적으로는 그럴듯해 보이지만, 실제로 CISO가 단일 클라우드 서비스만 사용할 때는 까다롭고, 멀티 클라우드 환경으로 가면 기하급수적으로 난해해진다.

베테랑 보안 전문가 앤디 엘리스는 “명확하고 단순해 보인다. 하지만 모든 명확하고 간단한 비유가 그렇듯 이 역시 구체적으로 확인할 수는 없다. 실제로 기업이 클라우드 플랫폼과 그 위에서 실행되는 응용 프로그램 간의 상호 연결을 구체적으로 파악하기 어렵다. 그래서 결국 실제로 애플리케이션 보안에 있어 가장 중요한 것은 사용자인 기업이 클라우드 서비스를 어떻게 구성하느냐다. 이 구성 방법에 따라 기업은 수많은 문제에 직면할 수 있다"라고 말했다.

그런데 클라우드 서비스 공급자의 책임과 사용자의 역할을 구분하는 이 견고한 벽이 무너지기 시작했다. 엔터프라이즈 스트래티지 그룹(Enterprise Strategy Group) ESG의 수석 애널리스트인 멜린다 막스는 "클라우드 서비스 업체는 공동 책임 모델의 단점을 인식하고 있다. 경쟁사와 차별화하기 위해 고객과의 파트너십 관계를 더 발전시키려 노력하고 있다"라고 말했다.

그렇다면 아마존 AWS, 마이크로소프트 애저(Azure), 구글 클라우드(Cloud) 등 빅3 클라우드 서비스 업체는 이런 문제를 어떻게 해결하고 있을까? 여기서는 CISO가 안전하고 탄력적인 클라우드 플랫폼을 선택할 수 있도록 주요 업체의 보안 기능을 비교해 본다. 일단 세큐로시스(Securosis)의 분석가이자 CEO인 리처드 모걸의 3가지 지적에서 출발하자.
 
  1. 빅3는 내부 프로세스와 절차를 최대한 외부에 공개하지 않는 경향이 있다. 그러나 이들 업체는 모두 데이터센터의 물리적 보안을 위해 최선을 다하고 있다. 내부자 공격을 방어하고 애플리케이션과 개발 플랫폼이 실행되는 가상화 계층을 보호하는 데도 탁월하다.
  2. 클라우드는 본질적으로 새로운 종류의 데이터센터이며 각 CSP는 기술 수준에서 근본적으로 다르다. 손쉬운 해결책은 없으며, 세부적인 실제 보안 구현은 업체마다 치아기 있다. 기업이 할 수 있는 최선의 방법은 직원을 교육해 이들 업체가 제공하는 클라우드 환경에서 운영하는 전문 지식을 갖추도록 하는 것이다.
  3. 모걸에 따르면, 시장 점유율은 결국 광범위한 서드파티 툴 세트, 풍부한 지식 기반, 방대한 커뮤니티 등에 따라 결정된다. 애널리스트 기업인 카날리스(Canalys)가 2022년 1분기 클라우드 서비스 매출을 분석한 결과 AWS의 시장 점유율은 33%로 1위, 애저(Azure)는 21%로 2위, 구글은 8%로 3위였다.
 

구글 클라우드 : 공유 운명에 대한 공동 책임 교환

구글은 공동 책임 모델을 재정의할 때 큰 주목을 받았다. ‘공유 운명(shared fate)’이라는 새로운 용어를 만들기도 했다. 구글의 CISO인 필 베너블스에 따르면, 공동 책임 모델은 위협 탐지, 구성 모범 사례 및 보안 위반 및 변칙 활동에 대한 경고 등의 측면을 누가 처리하는지에 대한 ‘불확실성’을 만들었다. 반면 '공유 운명'은 클라우드 서비스 제공 업체와 사용자 간의 긴밀한 파트너십을 구축해 모든 사람이 디지털 혁신의 약속을 이행하면서, 현재의 심각해지는 보안 문제에 더 잘 대처할 수 있도록 하는 다음 단계의 진화를 의미한다.

공유 운명은 여러 기능으로 구성된다. 보안 기본 사항을 보장하도록 설계된 기본 구성, 고객이 제품 및 서비스를 더 쉽게 구성할 수 있도록 지원하는 청사진, 정책 의도가 전체 인프라에 자동으로 적용되는 보안 정책 계층 등이다. 또한 구글은 클라우드 사용자와 구글 클라우드 워크로드에 대한 전문 보험을 판매하는 보험사를 연결해 고유한 위험 관리 구성 요소도 제공한다.

빅3를 비교했을 때 구글은 흥미로운 위치에 있다. 모걸은 "구글 클라우드는 구글의 장기적인 엔지니어링과 글로벌 운영을 기반으로 하며, 이는 굉장히 인상적이다”라고 평가했다. 그러나 구글의 시장 점유율은 8%에 불과하다. 이에 대해 모걸은, 구글 클라우드에 능숙한 보안 전문가가 적은 것이 한 요인이며, 덜 강력한 커뮤니티와 다양하지 않은 도구 등도 한계라고 지적했다. 전반적으로 구글 클라우드는 AWS만큼 성숙하지 않고 AWS 수준의 보안 기능을 지원하지 않는다는 것이 그의 결론이다.

구글은 최근 ‘보이지 않는 보안(invisible security)’ 정책을 발표했다. 구글이 클라우드 네이티브 보안 서비스를 계속 확장해 기업이 서드파티 툴에 대한 의존을 줄일 수 있도록 지원한다는 것이 골자다. 예를 들어 기업이 단 몇 번의 클릭만으로 악성코드, 스파이웨어, 명령 및 제어 공격 및 기타 네트워크 기반 위협으로부터 보호할 수 있는 관리형 침입 탐지 시스템인 클라우드 IDS(Cloud IDS)가 있다.
 

마이크로소프트 애저 : 멀티 클라우드 보안 문제 해결

마이크로소프트가 클라우드 보안을 강화하는 출발점은 ‘마이크로소프트 디펜더 포 클라우드(Microsoft Defender for Cloud)’의 출시였다. 애저(Azure), AWS 및 구글 클라우드에서 클라우드 보안 상태 관리(CSPM) 및 클라우드 워크로드 보호(CWP)를 제공한다.

이 서비스의 목표는 클라우드 구성 전반에 걸쳐 약점을 찾아내고, 전반적인 보안 태세를 강화하며, 멀티 클라우드 및 하이브리드 환경의 보안 위협으로부터 기업 워크로드를 보호하는 것이다. 클라우드용 마이크로소프트 디펜더(Microsoft Defender)는 가상 시스템, 컨테이너, 데이터베이스, 저장소 및 애플리케이션 서비스를 대상으로 작동한다. 반면 공동 책임 모델은 그대로 유지된다. 기업은 데이터와 ID, 온프레미스 리소스, 엔드포인트, 계정 및 액세스 관리의 보안을 보호할 책임이 가진다.

모걸에 따르면, 애저는 성숙도 측면에서 AWS보다 덜 다듬어져 거칠다. 특히 일관성, 문서화 및 많은 서비스가 기본적으로 덜 안전한 구성으로 돼 있다고 지적했다. 반면 몇 가지 장점이 있다. ‘애저 액티브 디렉터리(Azure Active Directory)’를 엔터프라이즈 액티브 디렉터리(Active Directory)에 연결해 권한 부여 및 권한 관리를 위한 단일 소스를 제공한다. 즉, 단일 디렉터리에서 모든 것을 관리할 수 있다. 애저의 ID 및 액세스 관리는 기본적으로 매우 계층적이며 AWS보다 관리하기 쉽다.

모걸은 "시장 모멘텀 측면에서 마이크로소프트가 강세를 보이는 것은 기업 고객과의 기존 관계를 활용하는 방법을 알고 있기 때문이다. 다만, 애저를 사용하려는 기업은 순수 보안 업체처럼 보안이 마이크로소프트의 DNA에 내장된 것은 아니라는 점을 고려해야 한다"라고 지적했다.
 

AWS : 광범위한 보안 도구 세트 제공

가장 오래된 업체이자 시장 지배적 업체인 AWS는 지식과 툴 측면에서 경쟁우위를 갖고 있다. 모걸은 “AWS 관련 문제는 답을 얻거나, 도움을 찾고, 지원되는 도구를 찾는 것이 더 쉽다. 플랫폼의 전반적인 성숙도와 지원 범위 측면에서 가장 앞서 있다"라고 말했다.

AWS는 서드파티 업체의 방대한 시장을 보유하고 있으며 자문, 컨설팅, 교육 및 인증 서비스뿐만 아니라 다양한 애드온 제품을 보유하고 있다. 막스는 "AWS는 자사의 기능을 사려 깊게 개발했다. 아마존 EC2 인스턴스와 컨테이너 이미지를 지속해서 검사해 소프트웨어 취약성과 의도하지 않은 네트워크 노출을 검색하는 서비스인 '인스펙터(Inspector)'가 대표적이다"라고 말했다.

이밖에 ‘아마존 가드듀티(Amazon GuardDuty)’ 위협 탐지 서비스는 악의적인 활동에 대한 AWS 계정 및 워크로드를 지속해서 모니터링하고 가시성 및 수정을 위한 상세한 보안 결과를 제공한다. 이러한 애드온 서비스와 추가 기능은 AWS 서비스 및 서드파티 파트너로부터 보안 데이터를 수집하고 사용자의 보안 상태에 대한 통합 보기를 제공하는 ‘AWS 시큐리티 허브 (AWS Security Hub)’로 통합된다. 모걸은 “AWS 보안 기능 중 가장 눈에 띄는 2가지는 보안 그룹(방화벽)과 세분화된 IAM의 탁월한 구현이다”라고 말했다.

반면 AWS 보안은 액세스가 명시적으로 활성화되지 않는 한 서비스를 서로 격리하는 것을 기반으로 한다. 이것은 보안 관점에서 좋은 선택이지만, 기업 규모의 관리를 더 어렵게 만들고 IAM을 대규모로 관리하는 것이 번거로운 단점이 있다. 모걸은 “일부 약점에도 불구하고 AWS는 일반적으로 기업이 보안 문제가 가장 적은 곳에서 시작할 수 있는 클라우드 서비스다"라고 말했다.
editor@itworld.co.kr
 Tags 클라우드 보안 AWS GCP 애저

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.