보안

리뷰 | 125가지 클라우드 서비스를 통합 관리, "디비 클라우드"

John Breeden II | CSO 2020.01.08
오늘날 대부분 기업이 퍼블릭, 프라이빗, 하이브리드 등 여러 가지 클라우드 환경을 사용한다. 각 사업부나 지사는 물론 프로젝트 수준에서도 복수의 클라우드 업체를 이용한다. 또한 많은 기업이 컨테이너를 비롯해 고급 클라우드 기술을 도입하고 있다. 이런 흐름으로 인해 클라우드 환경은 전통적인 하드웨어 구축 못지않게 혼란스러워졌다.

디비 클라우드(Divvy Cloud)는 클라우드의 형태, 기술 또는 업체와 관계없이 모든 클라우드 환경을 보호하고 관리하는 서비스를 제공한다. 클라우드 자산이 처음 가동될 때 정책 규칙을 적용하고 이후 지속해서 모니터링해 수명 주기 전체에 걸쳐 일정한 규정에서 벗어나지 않도록 감독한다.
 
디비 클라우드 플랫폼은 모든 종류와 클라우드 기술을 지원한다. 이 모든 것을 같은 인터페이스로 관리, 보호할 수 있다.

디비 클라우드의 주 플랫폼은 온프레미스, 로컬 클라우드는 물론 아마존 웹 서비스(AWS)와 같은 업체에서 구매한 인프라 일부로도 구축할 수 있다. 어느 곳에 구축되든 관계없이 절대적으로 플랫폼 중립적이며 거의 모든 클라우드 업체, 기술과 호환된다. 디비 클라우드는 컨테이너화된 클라우드 환경과 일반 클라우드 환경에서 모두 사용할 수 있다. 현재 플랫폼은 125가지 클라우드 서비스를 관리하고 보호할 수 있다. 가격은 플랫폼이 모니터링하는 인스턴스의 수에 따라 연간 요금으로 청구된다.

디비 클라우드 플랫폼이 설치되면 조직의 모든 클라우드 인스턴스를 주 디비 클라우드 대시보드에 표시할 수 있다. 기존 인프라에 정책을 적용할 수 있지만 이 플랫폼의 진정한 가치는 클라우드 자산이 처음부터 안전하게 구성되도록 보장한다는 점이다.
 
디비 클라우드의 메인 대시보드에서는 보호 중인 모든 클라우드 인스턴스와 클라우드 종류, 사용 중인 리소스, 적용 중인 정책과 룰 등을 모두 확인할 수 있다.

디비 클라우드는 이처럼 일련의 규칙을 클라우드 환경을 위한 하나의 집합으로 모으는 과정을 ‘인사이트를 만든다’라고 표현한다. 몇 가지 미리 만들어진 인사이트를 제공하는데, 모두 보편적이고, 효과적인 보안 프레임워크를 기반으로 한다.

예를 들어 PCI DSS, GDPR, 미국 정부의 FedRAMP, 쿠버네티스나 구글 클라우드 등을 위한 기업별, 기술별 패키지와 그 외 여러 가지가 있다. 기업 클라우드 인프라에 인사이트를 추가하는 과정은 간단하며, 각 인사이트를 필요에 따라 수정, 편집할 수 있다. 처음부터 인사이트를 새로 만들기도 그다지 어렵지는 않지만, 기본적으로 제공되는 많은 인사이트 중 하나를 사용해서 개별 환경과 요구사항에 맞게 변경하는 것이 시간 절약 측면에서 더 유리하다.
 
이 플랫폼은 이미 적용하고 있는 다양한 컴플라이언스 정책과 호환된다. 예를 들어 미국 정부의 NIST 사이버 시큐리티 프레임워크를 적용하려면 간단하게 해당 옵션을 클릭하고 디비 클라우드 측에 적용할 영역을 알려주기만 하면 된다.

선택적으로 인사이트를 구축할 수도 있다. AWS 규칙을 다른 업체가 호스팅하는 클라우드에 적용하거나 컨테이너 보안을 컨테이너화되지 않은 환경에 적용하는 것은 원하는 기업은 없을 것이다. 그러나 다른 요소를 기반으로 인사이트를 설치할 수는 있다.

예를 들어 클라우드 자산 그룹이 중요한 인프라 혹은 외부에 공개되는 자산의 일부이거나 개발 또는 프로덕션 환경 내부에 있는 경우가 있다. 이 경우 모든 새 클라우드 인스턴스는 디비 클라우드 인사이트 규칙을 준수해야 한다. 이처럼 규칙을 적용해 사이버 보안을 개선하는 것은 물론 리소스 낭비를 줄이는 등의 다른 성과도 기대할 수 있다. 개발자가 이 규칙을 준수하지 않는 클라우드를 만들려고 할 경우 디비 클라우드가 배포를 허용하지 않는다. 개발자에게 맞춤 메시지를 보내 클라우드가 시작되지 않는 이유를 알릴 수 있다.
 
컴플라이언스 스코어카드는 기업 내 모든 클라우드의 상태를 보여준다. 여기서 데모 환경은 일부러 지저분하게 운영했지만, 디비 클라우드를 사용하는 기업은 대부분 그린 보드를 보게 된다.

또한 디비 클라우드는 클라우드 또는 컨테이너 생성 시에만 규칙을 적용하는 많은 플랫폼과 달리 그 이후에도 전체 클라우드 네트워크를 계속 모니터링한다. 이번 테스트에서는 인스턴스에 허용되는 최대치인 4개의 코어가 있는 클라우드 인스턴스를 만들고 몇 분 후에 배포된 클라우드의 매개변수를 변경해서 코어를 8개로 늘렸는데, 디비 클라우드는 테스트 네트워크에서 15분마다 실행되도록 설정된 주기적인 스캔을 통해 이 변경을 감지했다.
 
클라우드 인스턴스가 컴플라이언스를 위반할 때마다 디비 클라우드 인터페이스에서 보고서를 생성한다. 사용자는 완전한 포렌식 데이터는 물론 문제를 고칠 수 있는 옵션과 정보를 얻을 수 있다.

그리고 클라우드 인스턴스가 규정 준수 범위를 벗어났음을 알리면서 플랫폼은 설정을 원래대로 돌려놓을 시간을 2시간 정해, 이 시간 내에 준수 상태로 되돌아가지 않으면 인스턴스에서 클라우드 인스턴스를 삭제할 것이라고 경고했다. 프로그램한 대로 정확히 작동한 것이다. 단, 이러한 삭제 경고는 신속한 행동을 유도하는 데 효과적이지만 기업에 따라 덜 엄격한 규칙을 적용할 수도 있다. 변경한 부분을 원래대로 돌려놓자 디비 클라우드도 삭제 경고를 철회했다. 그러나 감사를 위해 전체 이벤트를 기록했다. 만일 경고에 따라 조처를 하지 않으면 디비 클라우드는 가차 없이 규정을 안 지킨 클라우드를 삭제한다.
 
디비 클라우드는 경고를 보내는 것 외에도 위협과 다른 문제에 대해 완전히 자동화된 대응 절차를 수행할 수 있다. 이런 절차는 문제를 바로잡는 것부터 장애 티켓을 만드는 것까지 다양하다.

디비 클라우드는 규정을 준수하지 않는 클라우드 또는 위험한 상태에 있는 클라우드를 사람이 직접 수정하도록 안내하는 기능 외에 높은 수준의 자동화 기능도 제공한다. 문제를 수정하기 위한 조처를 하고 발견한 잠재적 취약점이나 규칙 위반을 알리거나 문제 티켓 발행과 같은 작업이다. 또한 환경에 맞는 자동화 수준을 구성할 수도 있다. 디비 클라우드를 설정해 문제가 발생하거나 중요한 자산에 잘못된 부분이 감지되면 스스로 조처를 하고 같은 문제가 개발 환경에서도 발견되는 경우 담당자에게 알리도록 할 수 있다. 두 경우 모두 이후의 감사 또는 조사를 위해 완전한 포렌식 로그가 생성된다.

디비 클라우드는 현존하는 거의 모든 종류의 클라우드 기술을 보호할 수 있다는 점에서 독보적이다. 사이버 보안을 개선할 뿐만 아니라 모호한 클라우드 환경 내 리소스의 무질서함과 낭비를 줄여주는 역할도 한다. 대부분 기업에서 간과하는 경향이 있지만 이러한 리소스의 무질서함은 사용되지 않거나 불필요한 클라우드 용량을 지원하는 데 따르는 비용 낭비뿐만 아니라 방치된 자산에 해커가 침투할 경우 보안 위험 요소가 될 수도 있다.

디비 클라우드가 제공하는 이런 유용한 기능은 사용하기 쉬운 인터페이스로 간단히 실행할 수 있으므로 복잡하고 지속해서 변화하는 클라우드 인프라를 감시하고 보호해야 하는 모든 기업에 탁월한 선택이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.