클라우드 전문정보

제목 멀티 클라우드 서비스 제공자를 위한 클라우드 컴퓨팅 보안
등록일 2022-11-15 조회수 473

상명대학교 / 서광규 교수

 

클라우드 컴퓨팅은 기존의 온프레미스 컴퓨팅에 비해 여러 가지 이점을 제공하므로 점점 더 대중화되었다. 그러나 더 많은 조직이 클라우드로 이동함에 따라 강력한 보안 제어에 대한 요구도 증가하게 되었다. 클라우드 컴퓨팅 보안은 클라우드에 저장된 전자 정보를 보호하기 위해 설계된 일련의 제어 기반 기술 및 정책을 의미한다. 컴퓨터 보안, 네트워크 보안 및 정보 보안의 하위 분야이며 주요 목표는 무단 액세스 또는 도난으로부터 클라우드 내의 데이터 및 정보를 보호하는 것이다. 이를 달성하기 위해 운영에 클라우드를 사용하는 조직은 클라우드 인프라 내부와 외부의 위협을 해결해야 한다. 보안은 끊임없이 등장하는 공격 벡터와 함께 빠르게 진화해야 한다. 이러한 맥락에서 조직은 최신 보안 조치를 유지해야 한다. 클라우드 컴퓨팅에 배포된 가장 일반적인 보안 조치에는 데이터 암호화, 액세스 제어, ID 및 액세스가 포함된다. 데이터 암호화는 클라우드에 저장된 데이터를 의미하는 미사용 데이터를 보호하고 액세스 제어는 클라우드 내에서 데이터 및 정보에 액세스할 수 있는 사람을 제한하는데 사용된다. IAM( Identity and Access Management)은 승인된 사용자만 클라우드에 액세스할 수 있도록 한다. 조직은 또한 방화벽 및 웹 애플리케이션 보안과 같은 애플리케이션 수준에서 보안 조치를 구현해야 한다. 클라우드 컴퓨팅 보안은 특히 오늘날의 사이버 범죄자들이 점점 더 발전된 전술, 기술 및 절차를 배포한다는 점을 감안할 때 복잡하고 끊임없이 진화하는 분야이다. 적절한 보안 조치를 구현함으로써 조직은 데이터와 정보를 안전하게 유지할 수 있다.

본 원고는 멀티 클라우드 서비스 제공자를 위한 클라우드 컴퓨팅 보안을 기술하는 데 특히 현대 위협 환경의 보안 제어 및 기술인 IAM, 데이터 암호화 및 트래픽 제어에 중점을 두어 기술하기로 한다.

 


 

1. 신원/접근

멀티 클라우드 서비스 제공업체는 시스템과 데이터가 무단 액세스로부터 안전하고 고객 데이터가 보호되는지 확인해야 한다. 또한 시스템을 지속적으로 사용할 수 있고 고객 데이터가 손실되거나 손상되지 않도록 해야 한다. 따라서 멀티 클라우드 서비스 제공자는 시스템과 데이터를 보호하기 위해 강력한 보안 정책과 절차를 구현하고 유지해야 한다. 또한 클라우드의 시스템과 데이터가 고객에게 새로운 위험이나 미확인 위험을 제공하지 않도록 위험 평가 계획을 세워야 한다.

클라우드 보안은 물리적 인프라에서 시작하여 클라우드에서 실행되는 애플리케이션 및 데이터로 확장되는 다계층 접근 방식이다. 멀티 클라우드 서비스 제공자에게 이는 데이터 센터에서 애플리케이션 계층에 이르기까지 클라우드의 모든 측면을 포괄하는 보안 계획을 엄격하게 작성하고 준수하는 것을 의미한다. 데이터 센터, 네트워크 인프라, 클라우드를 구성하는 컴퓨터 및 스토리지를 구성하는 물리적 인프라는 클라우드 보안의 초기 계층이다. 이는 또한 멀티 클라우드 서비스 제공업체를 위한 데이터 센터 인프라의 보안을 보장한다. 다음으로, 애플리케이션 계층은 웹 애플리케이션, 모바일 애플리케이션, API 보안 등 클라우드에서 실행되는 애플리케이션을 보호한다. 멀티 클라우드 서비스 제공업체의 경우 품질 보증 및 보안 규정 준수를 포함하여 애플리케이션 개발 프로세스의 보안도 제공한다. 클라우드 보안의 마지막 계층은 클라우드에 저장된 데이터를 보호하는 데이터 계층이다. 이 계층은 데이터 암호화, 데이터 백업 및 데이터 복구 방법을 제공한다.

멀티 클라우드 서비스 제공자는 데이터 센터, 네트워크 인프라, 서버 및 스토리지, 애플리케이션 개발 프로세스, 클라우드에 저장된 데이터의 보안을 보장하는 포괄적인 보안 프로그램을 배포해야 한다. 또한 멀티 클라우드 서비스 제공업체는 클라우드의 모든 영역을 다루는 광범위한 클라우드 보안 계획을 구현해야 한다. IAM은 멀티 클라우드를 위한 클라우드 보안의 중요한 부분이다. IAM에는 사용자 계정, 인증 및 권한 부여 관리가 포함된다. 다중 클라우드 서비스 제공자의 경우 IAM은 클라우드의 데이터 및 리소스에 대한 ACL(액세스 제어 목록)의 방향도 제공한다. 승인된 사용자만 클라우드의 데이터와 리소스에 액세스할 수 있도록 한다. IAM은 또한 무단 액세스를 방지하는 데 도움이 된다. 따라서 다중 클라우드 서비스 공급자는 클라우드 데이터를 안전하게 유지하고 중단 없는 비즈니스 운영을 보장하기 위해 강력한 IAM 솔루션이 필요하다. IAM 솔루션에는 클라우드의 데이터 및 리소스에 대한 사용자 계정, 인증, 권한 부여 및 ACL 관리가 포함되어야 한다.

 


[그림1. 신원/접근]

 

DLP(데이터 손실 방지)는 중요하거나 기밀인 데이터가 손실, 도난 또는 실수로 누출되지 않도록 하는 전략이다. 데이터에 대한 액세스를 제어하고, 무단 액세스를 모니터링하고, 저장 중이거나 전송 중인 데이터를 암호화할 수 있다. DLP는 이러한 보안 제어를 구현하는 데 사용되는 소프트웨어 및 하드웨어를 나타낼 수도 있다. IAM은 조직에서 누가 어떤 데이터와 리소스에 액세스할 수 있는지 관리하는 프로세스이다. 이러한 보안 제어에는 사용자가 데이터 및 리소스에 액세스하도록 인증하고 권한을 부여하여 DLP 전략을 강화하기 위한 정책 및 절차가 포함된다. 따라서 DLP와 IAM은 상호 연결되어 있으며 민감한 데이터를 보호하기 위한 중요한 도구이다. DLP는 데이터를 암호화하고 액세스를 제어하여 손실을 방지할 수 있다. IAM은 사용자를 인증하고 권한을 부여하여 무단 데이터 액세스를 방지할 수 있다.

 


 

2. 휴지/전송/암호화 시 데이터

클라우드에서 데이터를 보호할 때 고려해야 할 세 가지 측면, 즉 저장 데이터, 전송 중인 데이터 및 데이터 암호화가 있다. 데이터가 저장되지 않으면 서버나 하드 드라이브에 저장된다. 조직은 BitLocker 또는 FileVault와 같은 도구를 사용하여 데이터를 암호화하여 저장 데이터를 보호할 수 있다.

데이터 암호화를 사용하면 권한이 없는 사용자가 서버나 하드 드라이브에 물리적으로 액세스할 수 있는 경우에도 데이터에 액세스하기 어렵다. 데이터가 전송 중일 때 한 위치에서 다른 위치로 전송된다. 조직은 VPN 또는 TLS/SSL을 사용하여 데이터를 암호화하여 전송 중에 데이터를 보호할 수 있다. 마찬가지로 데이터 암호화는 권한이 없는 사용자가 전송되는 데이터를 가로채고 읽기 어렵게 만든다.

데이터 암호화는 키를 사용하여 데이터를 인코딩하는 프로세스이다. 이 보안 조치는 저장 데이터와 전송 중인 데이터를 보호하는 데 도움이 된다. 조직은 클라우드 서비스 제공업체를 선택할 때 데이터 보안의 세 가지 측면을 모두 고려해야 한다. 멀티 클라우드 서비스 제공업체는 데이터 암호화, VPN 또는 TLS/SSL을 포함한 데이터 보안 기능을 제공해야 한다.

인적 요소는 사이버 보안 체인에서 가장 취약하다. 조직은 서비스에 등록하기 전에 고려 중인 멀티클라우드 서비스 제공업체의 보안 정책을 검토해야 한다. 또한 오프라인 데이터 백업은 암호화 및 제한된 액세스를 사용하여 보호해야 한다. 오늘날 사이버 보안 및 클라우드 보안에서 증가하는 우려는 랜섬웨어이다. 오프라인 백업은 악의적인 행위자가 비즈니스 데이터 또는 시스템에 액세스하고 암호화하는 경우 데이터가 손실되지 않도록 보장하여 이러한 공격으로부터 보호한다. 모든 보안 정책은 다음 고려 사항을 고려해야 한다.

 

✔ 어떤 데이터 보안 기능이 있는가?

✔ 데이터 보안 침해는 어떻게 처리되는가?

✔ 직원에게 제공되는 데이터 보안 교육은 무엇인가?

✔ 어떤 제3자 보안 감사가 수행되었는가?

✔ 데이터 보안 침해 사고 대응 계획은 무엇인가?

 

조직은 또한 공급자가 위험 성향, 규모 및 비즈니스 운영에 맞는 데이터 보안 기능을 제공하도록 데이터 보안 요구 사항을 고려해야 한다. 조직은 또한 데이터 보안 정책과 절차를 확고하게 마련해야 한다. 마찬가지로, 멀티 클라우드 서비스 공급자를 선택할 때 데이터 보안 요구 사항을 고려해야 하며 공급자가 필요한 데이터 보안 기능을 제공하는지 확인해야 한다. 조직은 또한 데이터 보안 정책과 절차를 마련해야 한다. 미사용 데이터는 하드 드라이브 또는 SSD와 같은 물리적 저장 장치에 저장되며 일반적으로 무단 액세스로부터 데이터를 보호하기 위해 암호화된다. 멀티 클라우드 서비스 공급자는 암호화를 사용하여 서버에 있는 미사용 데이터를 보호할 수 있다. 전송 중인 데이터는 일반적으로 도청으로부터 보호하기 위해 암호화된다. 이 경우 멀티 클라우드 서비스 제공업체는 암호화 키를 사용하여 서버와 고객 장치 간에 전송되는 데이터를 보호할 수 있다. 암호화는 무단 액세스로부터 데이터를 보호하기 위해 수행된다. 예를 들어, 멀티 클라우드 서비스 공급자는 암호화 키를 사용하여 데이터를 암호화하거나 데이터에 디지털 서명하여 권한이 없는 개인이 고객 데이터에 액세스하지 못하도록 보호할 수 있다.

동형 암호화는 암호화된 상태에 있는 데이터에 대해 수학 연산을 수행할 수 있는 암호화 유형이다. 즉, 시간과 리소스가 많이 소요될 수 있는 암호 해독 없이 데이터를 분석하고 처리할 수 있다. 클라우드에는 암호화 키의 안전한 저장 및 관리를 제공하는 다양한 키 관리 서비스가 있다. 이러한 서비스는 저장 및 전송 중인 데이터를 암호화하고 키를 정기적으로 관리 및 교체하는 데 사용할 수 있다. 가장 인기 있는 키 관리 서비스로는 AWS Key Management Service(AWS KMS), Azure Key Vault 및 GCP KMS(Google Cloud Key Management Service)가 있다.

 


[그림2. 저장/전송/암호화 데이터]

 


 

3. 이그레스(Egress)/인그레스(Ingress) 트래픽 제어

이그레스(Egress) 트래픽은 클라우드 환경에서 나가는 데이터를 말하며 인그레스(Ingress) 트래픽은 클라우드로 들어오는 데이터를 말한다. 이그레스 트래픽의 가장 심각한 위험 중 하나는 데이터 유출이다. 데이터가 제대로 암호화되지 않았거나 보안 장벽에 공백이 있는 경우 발생할 수 있다. 데이터 유출을 방지하기 위해 멀티 클라우드 제공자는 모든 정보가 전송 중이거나 저장되지 않은 상태에서 모두 암호화되도록 해야 한다. 또한 여러 계층의 보안으로 강력한 보안 경계를 설정해야 한다. 인그레스 트래픽도 보안 문제가 될 수 있어 악의적인 행위자가 클라우드 환경에 액세스할 수 있다. 이를 방지하기 위해 다중 클라우드 제공업체는 강력한 방화벽과 침입 탐지 및 방지 시스템을 갖추고 있어야 한다. 또한 환경에 들어오는 모든 데이터에서 맬웨어와 바이러스가 있는지 검사해야 한다.

 


[그림3. 이그레스/인그레스 트래픽 제어]

 

IP 화이트리스트 메커니즘, 클라우드 ACL 및 방화벽 구성은 제로 데이 공격과 같은 의심스러운 활동을 사전에 감지할 수 있도록 매우 안전해야 한다. 송신 트래픽을 제어하는 ​​데 사용할 수 있는 다양한 유형의 액세스 정책은 다음과 같다.
  • 방화벽
  • 침입 탐지 및 방지 시스템
  • 맬웨어 및 바이러스 검사
  • 데이터 암호화
 

수신 트래픽을 제어하는 ​​데 사용할 수 있는 다양한 보안 정책은 다음과 같다.
  • 방화벽
  • 침입 탐지 및 방지 시스템
  • 데이터 암호화
  • 사용자 인증
  • 액세스 제어 목록
  • 활동 로깅
  • 데이터 손실 방지
 


 

4. 클라우드 보안에서 고려해야 할 요소

클라우드 컴퓨팅 보안 전략을 개발할 때 몇 가지 주요 요소를 고려해야 한다. 여기에는 다음이 포함된다.

보호해야 하는 데이터 및 리소스, 필요한 보안 수준 및 사용 가능한 예산. 다루어야 하는 데이터와 리소스의 종류는 비즈니스와 산업에 따라 다르다. 예를 들어 의료 조직은 소매 조직과 다른 보안 요구 사항을 준수해야 한다. 마찬가지로 필요한 보안 수준도 비즈니스 및 산업에 따라 다르다.

경우에 따라 규정 준수를 위해 특정 수준의 보안이 필요할 수 있다. 다른 경우에는 기업이 특정 수준의 보호를 선호할 수 있다. 사용 가능한 예산은 클라우드 컴퓨팅 보안 전략에서도 역할을 한다. 어떤 경우에는 보안 조치의 비용이 엄청나게 소요될 수도 있다. 다른 경우에는 가격이 데이터와 리소스를 보호하기 위한 투자 가치가 있을 수 있다. 중소기업은 많은 경우에 고가의 클라우드 네이티브 서비스에 비용을 지불하는 대신 이미 개발된 많은 내부 도구를 채택할 수 있다. 소스 제어에서 비밀 토큰, 암호 또는 개인 키의 우발적인 커밋을 방지하기 위해 detect-secret 모듈과 같은 오픈 소스 솔루션을 채택하는 것도 가능하다. 또한 보안 평가, 감사, 사고 대응, 지속적인 모니터링, 포렌식 준비 및 다양한 규정 준수 프레임워크를 다루는 많은 보안 제어를 가능하게 하는 오픈 소스 보안 도구를 적용할 수도 있다.

클라우드 컴퓨팅 보안 전략은 정기적으로 검토되고 업데이트되어야 한다. 이 정기적인 품질 보증 검토를 통해 계획이 지배적인 사이버 범죄 전술, 기술 및 절차에 따라 무단 액세스, 공개 또는 파괴로부터 데이터와 리소스를 보호하는 데 효과적인지 확인하여야 한다.

훌륭한 클라우드 컴퓨팅 보안 전략은 다양한 위협으로부터 데이터와 리소스를 보호하는 데 도움이 될 수 있다. 그러나 완벽한 보안 조치는 없으며 항상 데이터나 리소스가 손상될 위험이 있음을 기억하는 것이 중요한다. 이러한 위험으로부터 보호하는 가장 좋은 방법은 다양한 위협을 모두 고려하고 이를 방지하는 최선의 방법을 고려하는 포괄적인 클라우드 컴퓨팅 보안 전략을 갖는 것이다.

 


 

5. 결언

클라우드 컴퓨팅의 사용이 계속 증가함에 따라 특히 여러 클라우드 서비스를 사용하는 조직에 대한 클라우드 보안의 필요성도 커지고 있다. 클라우드 컴퓨팅의 보안은 고객과 클라우드 제공업체 간의 공동 책임이다. 사용자는 데이터와 애플리케이션을 보호할 책임이 있는 반면 클라우드 공급자는 인프라를 보호할 책임이 있다. 사용자와 클라우드 제공자는 협력하여 클라우드의 보안을 보장할 수 있다. 클라우드 컴퓨팅을 사용하면 많은 이점이 있지만 보안이 우려되는 경우가 많다. 그러나 공유 책임 모델을 이해하고 모범 사례를 따르면 클라우드는 기업이 데이터를 저장하고 처리할 수 있는 안전한 장소가 될 수 있다.

멀티 클라우드 서비스 공급자를 위한 클라우드 보안은 복잡하고 끊임없이 진화하는 문제이다. 이점에도 불구하고 서비스 공급자는 이러한 유형의 분산 환경에서 발생하는 고유한 보안 문제를 인식해야 한다. 데이터와 애플리케이션을 안전하게 유지하기 위해 서비스 제공업체는 멀티 클라우드 여정의 각 단계에서 보안 조치를 신중하게 계획하고 구현해야 한다. 적절한 보안 조치를 취하면 멀티클라우드 서비스 제공업체는 데이터와 애플리케이션을 안전하게 유지하면서 이 설정의 이점을 누릴 수 있다. 멀티 클라우드 서비스 제공업체는 보안을 심각하게 생각하고 강력한 보안 제어를 구현하여 보안 서비스를 제공할 때 경계를 유지하고 고객에게 안전의 중요성을 교육해야 한다. 멀티 클라우드 서비스 제공자는 고객에게 보안 서비스를 제공하고 보안의 중요성을 교육할 책임이 있다.

 


 

참 고 문 헌
  1. https://architectelevator.com/cloud/hybrid-multi-cloud/
  2. https://cloud-barista.github.io/
  3. Sandesh Achar, Cloud Computing Security for Multi-Cloud Service Providers: Controls and Techniques in our Modern Threat Landscape, International Journal of Computer and Systems Engineering, Vol. 16(9), pp. 379-384, 2022.
  4. Ehtesham Zahoor, Asim Ikram, Sabina Akhtar & Olivier Perrin , A Formal Approach for the Identification of Authorization Policy Conflicts within Multi-Cloud Environments, Journal of Grid Computing, Vol. 20: 18, 2022.
  5. B. S. Rajeshwari, M. Dakshayini & H. S. Guruprasad, Workload Balancing in a Multi-Cloud Environment: Challenges and Research Directions, Operationalizing Multi-Cloud Environments, pp. 129–144, 2021.
  6. Zahoor, Ehtesham, et al. A Formal Approach for the Identification of Authorization Policy Conflicts within Multi-Cloud Environments, Journal of Grid Computing, Vol. 20(2), pp. 1-22, 2022.
 


저작권 정책

K-ICT 클라우드혁신센터의 저작물인 『멀티 클라우드 서비스 제공자를 위한 클라우드 컴퓨팅 보안』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.
« 멀티 클라우드 환경의 필요성 및 관련 이슈
[1부] 하이브리드 클라우드 환경과 재해 복구 전략 »
목록보기
Powered by KBoard