클라우드 보안이란?

클라우드 보안은 프라이빗 또는 퍼블릭 클라우드 환경을 내부 및 외부 보안 위협으로부터 보호하기 위해 취하는 일련의 단계입니다.

클라우드 컴퓨팅은 인터넷을 통해 데이터, 인프라, 애플리케이션을 저장하는 방식입니다. 클라우드 보안은 클라우드를 외부 및 내부 공격으로부터 보호하는 수단입니다. 일반적으로, 함께 작동하여 클라우드 내 모든 자산을 보호하는 일련의 통제, 절차, 정책을 통해 관리됩니다. 이러한 프로토콜이 시행되면 규정 준수에 도움이 되고 관리 오버헤드가 절감됩니다.

클라우드 보안은 기본적으로 IT 보안이지만 중앙 집중화된 위치에 자리합니다. 조치와 보호는 동일하지만, 클라우드 보안은 소프트웨어에서 호스팅됩니다. 클라우드 컴퓨팅 소프트웨어는 확장이 쉽고 이동 가능하며 동적이지만 환경에 응답하고 관련된 워크플로우가 동반됩니다. 또한 데이터 손실 또는 손상의 위험이 크게 줄어듭니다.

제로 트러스트를 도입해야 하는 이유

기본적으로, 보안 전문가는 네트워크 내부 또는 외부의 어떤 것도 신뢰하지 않습니다. 제로 트러스트 정책은 사용자가 자신의 역할을 수행하는 데 필요한 최소한의 액세스 권한과 리소스만이 제공되는 최소한의 권한에 대한 정책을 시행합니다. 작업 부하를 서로 구분하는 안전한 영역을 만들어 클라우드 보안을 세분화하는 마이크로세그멘테이션(microsegmentation)도 사용됩니다.

  • 내부 프라이빗 클라우드: 가상 환경을 운영하는 내부 직원이 사용합니다.
  • 퍼블릭 클라우드 공급업체 프라이빗 클라우드: 외부 공급업체가 컴퓨팅 환경에 고객에게 서비스를 제공하는 환경을 제공합니다.
  • 퍼블릭 클라우드: SaaS(Software-as-a-service), IaaS(infrastructure-as-a-service), PaaS(platform-as-a-service)
  • 하이브리드 클라우드: 퍼블릭 및 프라이빗 공급업체가 프라이빗 및 퍼블릭 클라우드 시스템을 공유하며 비용, 오버헤드, 작업 부하에 따라 나눕니다.

중앙 집중식 보안

클라우드 보안은 보안 조치를 클라우드 컴퓨팅이 데이터를 중앙 집중화하는 것과 같은 방식으로 중앙 집중화합니다. 트래픽 분석, 네트워크 이벤트 모니터링, 웹 필터링을 중앙 집중식으로 관리할 수 있으며 필요한 정책 및 소프트웨어 업데이트가 적어 IT 프로세스가 간소화되며 여러 시스템을 모니터링할 필요가 없어 더욱 기술적인 업무에 사용할 시간이 확보됩니다.

비용 투자

클라우드 보안을 구현하면 전용 하드웨어의 필요성이 줄어 관리 오버헤드를 포함한 비용이 크게 절감될 수 있습니다. 또한 예전에는 IT 팀이 보안 위협에 사후 대응하는 방식으로 대처하여 사람의 개입이 거의 없이 지속적인 모니터링을 제공하는 클라우드 보안의 사전 예방적인 보안 조치보다 훨씬 긴 시간이 소모되었습니다.

관리의 간소화

클라우드 보안을 사용하면 사람이 개입할 필요성이 줄어듭니다. 시간과 다른 가치 있는 자원이 낭비될 수 있는 수동 보안 구성 및 업데이트가 없습니다. 모든 보안 관리는 중앙에서 자동으로 처리됩니다.

신뢰성

적합한 클라우드 컴퓨팅 조치를 통해 사용자가 문제 없이 여러 위치에서 자산에 안전하게 액세스할 수 있습니다.

취약성이 나타나는 방식, 위치, 이유는 다음과 같습니다.

공격 표면 증가

점점 더 많은 클라우드 환경이, 보안이 제대로 갖춰지지 않아 데이터에 액세스하고 프로세스를 방해할 수 있는 취약성을 악용하려는 해커 공격의 대상이 되고 있습니다. 일반적인 공격으로는 맬웨어, 제로데이 공격, 계정 탈취가 있습니다.

가시성 및 통제의 결여

클라우드 공급업체가 전체적인 통제권을 가지고 있으며 고객에게 인프라를 노출하지 않는 경우 클라우드 고객이 자산을 수량화하거나 환경을 시각화하기 어렵습니다.

끊임없이 변화하는 작업 부하

기존의 보안 도구는 일반적으로 동적인 클라우드 환경에서 정책을 시행할 수 없기 때문에 어려움이 있을 수 있습니다. 클라우드 자산은 빠르고 역동적으로 변화하기 때문에 이 문제가 더 커질 수 있습니다.

DevOps, DevSecOps, 자동화

기업들은 점차 DevOps와 DevSecOps를 문화의 일부로 도입하고 있습니다. 두 시스템 모두 자동화되고 있으며 개발 프로세스의 각 단계를 따라 보안 통제 및 프로토콜을 내재화하려는 노력을 하고 있으므로, 제품 개발 이후에 보안이 변경되면 수명주기에 악영향을 주고 시장 출시 기간이 길어질 수 있습니다.

DevOps란?

권한 및 키 관리 세분화

키 구성이 잘못되면 세션이 보안 위험에 노출될 수 있습니다. 클라우드 프로그램 또한 기본적으로 계정에 너무 많은 권한을 제공하여 최소 권한의 원칙을 위반할 수 있습니다.

복잡한 환경

기업들은 하이브리드 및 멀티 클라우드 환경을 선호하는 경향이 있습니다. 이러한 방식에는 퍼블릭 및 프라이빗을 포함한 모든 유형의 클라우드 모델에 걸쳐 작동할 수 있는 도구가 필요하며, 이러한 도구가 항상 배포 또는 구성하기 쉬운 것은 아닙니다.

클라우드 규정 준수 및 거버넌스

기업들은 프로세스가 HIPAA, FDPR, PCI 3.2, NIST 800-53과 같은 인증 프로그램을 준수하도록 해야 할 책임이 있습니다. 클라우드 환경에 대한 가시성이 언제나 뛰어난 것은 아니기 때문에 이러한 프로그램에 따르는 것이 어려울 수 있습니다. 감사와 지속적인 규정 준수를 위해서는 보통 전문화된 도구가 필요합니다.

퍼블릭 클라우드는 일반적으로 안전하지만 프라이빗 클라우드와 동일한 분리 요소가 없습니다. 퍼블릭 클라우드는 멀티 테넌시이기 때문에 하나의 기업이 각자의 서버 공간을 가진 여러 테넌트를 수용하는 시스템에서 서버 공간을 대여할 수 있습니다. 호스팅 회사는 일반적으로 보안 조치를 감독하고 각 기업에 적합한 프라이버시를 제공합니다.

하지만 멀티 테넌시 요소는 위협이 될 수 있습니다. 다른 테넌트가 위험한 무언가를 들여오거나 부주의하게 행동하면 DDoS(분산 서비스 거부) 공격이 확산될 수 있습니다.

암호화 및 보안은 다양한 수요에 따라 다양한 수준으로 다양한 작업 부하에 적용됩니다. 하이브리드 클라우드를 통해 더욱 효과적으로 위험을 완화할 수 있습니다. 두 클라우드 환경의 조합을 통해 다양화가 가능하고 다양한 요구 사항에 따라 원하는 특정 위치에 작업 부하를 배치할 수 있습니다. 예를 들어 중요한 작업 부하와 데이터는 프라이빗 클라우드에, 일반적인 작업 부하는 퍼블릭 클라우드에 배치할 수 있습니다. 넓은 공격 표면과 데이터 마이그레이션과 같은 어려움도 있지만, 하이브리드 클라우드를 통해 다양화하면 보안 위험을 효과적으로 완화할 수 있습니다.

복잡한 여러 인프라에 걸쳐 세분화된 정책 기반 IAM 및 인증 통제
개별적인 ID 및 액세스 관리 수준에서 작업하는 것보다는 여러 그룹 및 역할 내에서 작업하는 것이 바람직합니다. 그룹과 역할을 통해 비즈니스 요구 사항과 규칙을 손쉽게 업데이트할 수 있어 최소 권한의 원칙이 각 그룹 또는 역할에 이상적으로 적용됩니다. 상태가 양호한 ID 및 액세스 관리에는 강력한 비밀번호 정책과 권한 타임아웃이 포함됩니다.

제로 트러스트 클라우드 네트워크 보안 통제
클라우드 네트워크 내에서 논리적으로 리소스를 분리하고 서브넷을 사용하여 서브넷 수준에서 보안 정책을 설정하여 리소스를 마이크로세분화합니다. 정적인 사용자 정의 구성과 전용 WAN을 사용하여 사용자의 액세스 권한을 사용자 지정합니다.

변경 관리 및 소프트웨어 업데이트와 같은 가상 서버 보호 정책 및 프로세스 시행
클라우드 벤더는 가상 서버 설정 시 지속적으로 준수 규칙을 적용합니다.

차세대 웹 애플리케이션 방화벽으로 모든 애플리케이션(특히 클라우드 네이티브 분산형 앱) 보호
서버의 세부적인 점검 및 트래픽 통제, WAF 규칙의 자동 업데이트, 작업 부하를 실행하는 마이크로 서비스

데이터 보호 개선
모든 전송 계층에서 암호화, 지속적인 위험 관리, 안전한 커뮤니케이션, 데이터 저장소 상태 유지

알려진 위협과 알려지지 않은 위협을 실시간으로 탐지하고 문제를 해결하는 위협 인텔리전스
내부 데이터 및 외부 데이터를 통한 클라우드 벤더 상호 참조 집계 로그 데이터로 네이티브 로그의 다양한 흐름에 컨텍스트를 추가합니다. 포렌식 분석을 위해 위협을 포착하여 위협의 수준을 파악할 수 있는 AI 예외 탐지 시스템도 있습니다. 실시간 경보를 통해 위협 현황을 시각화하여 대응 시간을 단축할 수 있습니다.

  • SaaS: 고객이 자체 데이터와 사용자 액세스 권한을 보호합니다.
  • PaaS: 고객이 자체 데이터, 사용자 액세스 권한, 애플리케이션을 보호합니다.
  • IaaS: 고객이 자체 데이터, 사용자 액세스, 운영 시스템, 가상 네트워크 트래픽, 애플리케이션을 보호합니다.

신뢰할 수 있는 소프트웨어 사용

출처를 신뢰할 수 있는 소프트웨어만을 사용합니다. 클라우드에 무엇이 배포되는지, 출처가 어디인지, 악성 코드에 대한 가능성이 있는지 파악하는 것이 중요합니다.

규정 준수의 이해

개인 정보와 재무 정보를 포함한 데이터의 사용 방식을 규정하는 엄격한 규정 준수 법률이 있습니다. 필요한 규정을 확인하고 클라우드 환경을 통해 규정 준수 상태를 유지할 수 있는지 파악해야 합니다.

수명주기 관리

수명주기 관리를 통해 방치된 인스턴스를 예방할 수 있습니다. 오래된 인스턴스에는 보안 패치가 배포되지 않아 보안 위험이 발생할 수 있습니다.

이동성 고려

작업 부하를 다른 클라우드로 마이그레이션할 계획이 없더라도 언제나 이러한 기능이 있어야 합니다.

지속적인 모니터링 활용

작업 공간을 지속적으로 모니터링함으로써 보안 위반을 방지할 수 있습니다.

적합한 직원 선정

직원은 신뢰성과 우수한 자격을 갖추어야 합니다. 전 직원이 클라우드 보안의 복잡성을 이해해야 합니다. 외부 공급업체로 이전하려는 경우 해당 공급업체가 필요한 도구와 지식을 충분히 갖추었는지 확인합니다.

SecOps 시작하기

위협을 빠르게 식별, 우선순위 지정, 대응합니다.