Skip to Content

클라우드 보안, 영향 및 정책

학습 목차

  1. 책임 공유
  2. 컴플라이언스
  3. 위협과 위험 3.1. 제한된 가시성과 제어 3.2. 단순화된 무단 사용 3.3. 관리 API 3.4. 테넌트 간 분리 3.5. 불완전한 데이터 삭제 3.6. 도난당한 자격 증명 3.7. 벤더 종속(Vendor lock-in) 3.8. 증가된 복잡성
  4. 보안
  5. 결론

클라우드 보안은 클라우드를 보호하고 클라우드에 대한 접근을 보호하는 것에 관한 것입니다. 이 강의에서는 클라우드 컴퓨팅의 보안, 영향 및 정책을 살펴보겠습니다.

1. 책임 공유

다양한 클라우드 서비스 모델(IaaS, PaaS, SaaS)이 있습니다. 이러한 다양한 서비스 모델에는 책임 공유가 있습니다.

책임 공유 모델
  • IaaS 서비스 모델에서는 클라우드 공급자가 하위 계층의 보안을 책임집니다. 고객은 운영 체제와 그 위에서 실행되는 모든 것의 보안을 책임집니다.
  • PaaS에서는 클라우드 공급자가 데이터와 애플리케이션을 제외한 모든 것에 대해 책임을 집니다.
  • SaaS 솔루션에서는 클라우드 공급자가 모든 것에 책임을 집니다.

서비스 모델에 대한 클라우드 공급자의 제어가 높을수록, 클라우드 공급자는 더 많은 보안 책임을 지게 됩니다.

책임 매트릭스

Cloud Security Alliance(CSA) 는 클라우드 보안 모범 사례를 홍보하는 조직입니다. 클라우드 컴퓨팅의 모든 도메인에 대한 모범 사례와 권장 사항을 다루는 보안 지침 문서를 제공합니다.

CSA는 책임 공유 모델에 대해 두 가지 권장 사항을 가지고 있습니다.

  • 클라우드 공급자는 클라우드 사용자가 정보에 입각한 결정을 내릴 수 있도록 내부 보안 제어와 고객 보안 기능을 명확히 문서화해야 합니다. 공급자는 또한 이러한 제어를 적절히 설계하고 구현해야 합니다.
  • 클라우드 사용자는 모든 클라우드 프로젝트에 대해 누가 어떤 제어를 어떻게 구현하고 있는지를 문서화하기 위한 책임 매트릭스를 구축해야 합니다. 이것은 또한 필요한 모든 컴플라이언스 표준과 일치해야 합니다.

CSA는 이러한 요구 사항을 충족하는 데 도움이 되는 두 가지 도구를 제공합니다.

  • Consensus Assessments Initiative Questionnaire (CAIQ): 클라우드 공급자가 보안과 컴플라이언스 제어를 문서화하기 위한 템플릿입니다.
  • Cloud Controls Matrix (CCM): 클라우드 보안 제어를 나열하고 여러 보안 및 컴플라이언스 표준에 매핑합니다. CCM을 사용해 보안 책임을 문서화할 수도 있습니다.

2. 컴플라이언스

규제 컴플라이언스는 조직이 비즈니스 프로세스와 관련된 사양, 정책, 표준 또는 법률을 준수해야 함을 의미합니다. 규제 컴플라이언스를 위반하면 종종 벌금을 포함한 법적 처벌이 발생합니다.

다음은 규제 컴플라이언스 법과 규정의 예입니다.

  • Payment Card Industry Data Security Standard (PCI DSS): 신용 카드를 처리하는 조직을 위한 정보 보안 표준입니다.
  • Health Insurance Portability and Accountability Act (HIPAA): 의료 정보를 보호하기 위한 데이터 보안 및 개인 정보 보호를 제공하는 미국 법률입니다.
  • General Data Protection Regulation (GDPR): 유럽 연합 내 개인의 데이터 개인 정보 보호 및 보호에 관한 EU 법률입니다.

클라우드 특정 표준도 있습니다. 다음은 두 가지 ISO 표준입니다.

  • ISO 27017: 클라우드 컴퓨팅의 보안 측면에 대한 지침을 제공하는 ISO 표준입니다.
  • ISO 27018: 클라우드 컴퓨팅에서 개인 식별 정보(PII)를 보호하는 데 대한 지침을 제공하는 ISO 표준입니다.

3. 위협과 위험

클라우드 환경은 전통적인(온프레미스) IT 인프라가 직면한 것과 동일한 위협에 직면합니다. 클라우드는 소프트웨어에서 실행됩니다. 소프트웨어에는 취약점이 있습니다. 공격자는 이러한 취약점을 악용하려고 합니다.

전통적인 IT 인프라와 클라우드 컴퓨팅의 주요 차이점은 클라우드 공급자와 고객이 이러한 위협을 완화하는 책임을 공유한다는 것입니다. 고객은 누가 무엇에 대해 책임이 있는지 이해하고 클라우드 공급자가 그들의 책임을 충족한다고 신뢰해야 합니다.

클라우드 컴퓨팅에 고유한 몇 가지 위협을 논의해 봅시다.

3.1. 제한된 가시성과 제어

고객과 클라우드 공급자의 책임은 클라우드 서비스 모델에 따라 달라집니다. PaaS와 SaaS 서비스 모델에서는 클라우드 공급자가 대부분의 계층을 책임집니다. 이는 또한 고객이 백그라운드에서 무슨 일이 일어나고 있는지에 대한 가시성이 많지 않다는 것을 의미합니다.

클라우드 가시성

클라우드 공급자가 네트워크 계층을 관리할 때, 고객은 자신의 통제 밖에 있는 애플리케이션을 모니터링하고 분석하고 싶을 수 있습니다.

3.2. 단순화된 무단 사용

Shadow IT는 사용자가 조직의 명시적 승인 없이 사용하는 리소스입니다. 이는 전통적인 IT 환경에서도 위험입니다. 예를 들어, Google Drive, OneDrive, USB 스틱 같은 물리적 장치를 사용하는 사용자입니다.

클라우드 공급자는 새 온디맨드 리소스를 쉽게 프로비저닝할 수 있게 합니다. IT 부서의 동의 없이 직원이 새 클라우드 리소스(특히 PaaS와 SaaS)를 프로비저닝하기 쉽습니다. IT 부서는 자신이 모르는 것을 보호할 수 없습니다. Shadow IT는 가시성과 제어를 줄입니다.

본 강의는 NetworkLessons.com의 미리보기 버전입니다. 전체 내용은 멤버십 가입 후 확인 가능합니다.

커뮤니티 포럼을 방문해 질문하거나 토론에 참여하세요.

출처: networklessons.com - Cloud Security, Implications, and Policy

태그: Cloud

VLAN 소개 및 설정