클라우드 컴퓨팅은 여러 가지 고유한 보안 문제와 과제를 안고 있습니다. 클라우드에서는 데이터가 타사 제공업체에 저장되고 인터넷을 통해 액세스됩니다. 이는 데이터에 대한 가시성과 제어가 제한된다는 것을 의미합니다. 또한 데이터를 적절히 보호할 수 있는 방법에 대한 의문이 제기됩니다. 모든 사람이 각자의 역할과 클라우드 컴퓨팅에 내재된 보안 문제를 이해하는 것이 중요합니다.
클라우드 서비스 제공업체는 클라우드 보안 문제와 위험을 공동의 책임으로 취급합니다. 이 모델에서는 클라우드 서비스 제공업체는 클라우드 자체의 보안을 담당하고 고객은 클라우드에 저장된 데이터의 보안을 담당합니다. Microsoft 365와 같은 SaaS(서비스형 소프트웨어)부터 AWS(아마존 웹 서비스)와 같은 IaaS(서비스형 인프라)에 이르기까지 모든 클라우드 서비스에서 클라우드 컴퓨팅 고객은 항상 보안 위협으로부터 데이터를 보호하고 데이터에 대한 액세스를 제어할 책임이 있습니다.
대부분의 클라우드 컴퓨팅 보안 위험은 클라우드 데이터 보안과 관련이 있습니다. 데이터에 대한 가시성 부족, 데이터 제어 불능, 클라우드 내 데이터 도난 등 대부분의 문제는 고객이 클라우드에 저장한 데이터와 관련이 있습니다. 아래에서 전 세계 엔터프라이즈 조직에서 경험하는 빈도 순서에 따라 SaaS, IaaS, 프라이빗 클라우드의 주요 클라우드 보안 문제를 분석해 보세요.
상위 10가지 SaaS 클라우드 보안 문제
- 클라우드 애플리케이션 내에 어떤 데이터가 있는지에 대한 가시성 부족
- 악의적인 공격자에 의한 클라우드 애플리케이션의 데이터 도난
- 민감한 데이터에 액세스할 수 있는 사용자에 대한 불완전한 제어
- 클라우드 애플리케이션으로 전송되는 데이터를 모니터링할 수 없음
- IT 가시성 외부에서 프로비저닝되는 클라우드 애플리케이션(예: 섀도 IT)
- 클라우드 애플리케이션의 보안을 관리할 수 있는 기술을 갖춘 직원 부족
- 악의적인 내부자의 데이터 도용 또는 오용을 방지할 수 없음
- 클라우드 애플리케이션 제공업체에 대한 지능형 위협 및 공격
- 클라우드 애플리케이션 제공업체의 운영 보안을 평가할 수 없음
- 규정 준수를 유지할 수 없음
대부분의 공유 보안 책임 모델은 이 두 가지를 SaaS 고객의 전적인 책임으로 남겨두기 때문에 SaaS 클라우드 보안 문제는 자연스럽게 데이터와 액세스에 집중되어 있습니다. 클라우드에 어떤 데이터를 저장하고, 누가 액세스할 수 있는지, 클라우드 제공업체가 어떤 수준의 보호를 적용했는지 파악하는 것은 모든 조직의 책임입니다.
또한 조직의 데이터 및 프로세스에 대한 잠재적 액세스 지점으로서 SaaS 제공업체의 역할을 고려하는 것도 중요합니다. XcodeGhost 및 GoldenEye 랜섬웨어의 등장은 공격자들이 소프트웨어 및 클라우드 제공업체의 가치를 더 큰 자산을 공격하는 벡터로 인식하고 있다는 점을 강조합니다. 따라서 공격자들은 이러한 잠재적 취약성에 더욱 집중하고 있습니다. 조직과 데이터를 보호하려면 클라우드 제공업체의 보안 프로그램을 면밀히 검토해야 합니다. 공유 보고서를 통해 예측 가능한 제3자 감사를 받을 수 있도록 기대치를 설정하고 기술 솔루션을 보완할 수 있는 침해 보고 조건을 요구하세요.
상위 10가지 IaaS 클라우드 보안 문제
- IT 가시성 외부에서 생성되는 클라우드 워크로드 및 계정(예: 섀도 IT)
- 민감한 데이터에 액세스할 수 있는 사용자에 대한 불완전한 제어
- 악의적인 공격자에 의한 클라우드 인프라에 호스팅된 데이터 도난
- 클라우드 인프라를 보호할 수 있는 기술을 갖춘 직원 부족
- 클라우드에 어떤 데이터가 있는지에 대한 가시성 부족
- 악의적인 내부자의 데이터 도용 또는 오용을 방지할 수 없음
- 멀티 클라우드 및 온프레미스 환경에 대한 일관된 보안 제어 부족
- 클라우드 인프라에 대한 지능형 위협 및 공격
- 클라우드 워크로드 시스템 및 애플리케이션의 취약성을 모니터링할 수 없음
- 한 클라우드 워크로드에서 다른 클라우드 워크로드로 공격의 측면 확산
IaaS에서 데이터 보호는 매우 중요합니다. 고객의 책임이 애플리케이션, 네트워크 트래픽, 운영 체제로 확장됨에 따라 추가적인 위협이 발생하고 있습니다. 기업은 최근 데이터를 넘어선 공격의 진화를 IaaS 리스크의 핵심으로 고려해야 합니다. 악의적인 공격자들은 암호화폐 채굴을 위해 컴퓨팅 리소스를 적대적으로 탈취하고 있으며, 기업 인프라의 다른 요소와 제3자에 대한 공격 벡터로 이러한 리소스를 재사용하고 있습니다.
클라우드에 인프라를 구축할 때는 도난을 방지하고 액세스를 제어할 수 있는 능력을 평가하는 것이 중요합니다. 클라우드에 데이터를 입력할 수 있는 사람을 결정하고, 리소스 수정을 추적하여 비정상적인 동작을 식별하고, 오케스트레이션 도구를 보호 및 강화하고, 잠재적인 침해 신호로 남북 및 동서 트래픽에 대한 네트워크 분석을 추가하는 것은 모두 대규모 클라우드 인프라 배포를 보호하는 표준 조치로 빠르게 자리 잡고 있습니다.
프라이빗 클라우드 보안 문제 5가지
- 기존 서버 및 가상화된 프라이빗 클라우드 인프라에 걸친 일관된 보안 제어 부족
- 인프라의 복잡성 증가로 인해 구현 및 유지 관리에 더 많은 시간/노력 필요
- 소프트웨어 정의 데이터 센터(예: 가상 컴퓨팅, 네트워크, 스토리지)의 보안을 관리할 수 있는 기술을 갖춘 직원 부족
- 소프트웨어 정의 데이터 센터(예: 가상 컴퓨팅, 네트워크, 스토리지)의 보안에 대한 가시성이 불완전합니다.
- 지능형 위협 및 공격
퍼블릭 클라우드와 프라이빗 클라우드에 리소스를 할당하는 의사 결정 과정에서 중요한 요소는 프라이빗 클라우드 환경에서 제공되는 미세 조정된 제어 기능입니다. 프라이빗 클라우드에서는 추가적인 제어 수준과 추가적인 보호 기능을 통해 프라이빗 클라우드 배포의 다른 한계를 보완할 수 있으며 모놀리식 서버 기반 데이터 센터로부터의 실질적인 전환에 기여할 수 있습니다.
동시에 조직은 미세 조정된 제어를 유지하면 적어도 퍼블릭 클라우드가 발전한 것 이상의 복잡성이 발생한다는 점을 고려해야 합니다. 현재 클라우드 제공업체는 인프라를 유지 관리하는 데 많은 노력을 기울이고 있습니다. 클라우드 사용자는 제어의 추상화를 통해 보안 관리를 간소화하고 복잡성을 줄일 수 있습니다. 이를 통해 퍼블릭 및 프라이빗 클라우드 플랫폼이 물리적, 가상 및 하이브리드 환경 위와 아래에서 통합됩니다.
일반적인 클라우드 컴퓨팅 보안 문제를 완화하는 방법
클라우드 서비스가 정보 기술(IT)의 주요 전략이 아니더라도 조직에서 클라우드 서비스를 사용하고 있습니다. 클라우드 컴퓨팅 보안 위험을 완화하기 위해 모든 조직이 노력해야 할 세 가지 모범 사례가 있습니다:
- 데브옵스 프로세스 - 데브옵스와 데브섹옵스는 코드 품질을 개선하고 익스플로잇과 취약성을 줄이며 애플리케이션 개발 및 기능 배포 속도를 향상시키는 것으로 반복해서 입증되었습니다. 독립적인 보안 검증 팀에 의존하는 대신 비즈니스 부서 또는 애플리케이션 팀 내에서 개발, QA 및 보안 프로세스를 통합하는 것은 오늘날의 비즈니스 환경이 요구하는 속도로 운영하기 위해 매우 중요합니다.
- 자동화된 애플리케이션 배포 및 관리 도구 - 보안 기술의 부족과 보안 위협의 양과 속도의 증가는 아무리 숙련된 보안 전문가라도 이를 따라잡기 어렵다는 것을 의미합니다. 일상적인 작업을 제거하고 기계의 장점으로 인간의 장점을 보강하는 자동화는 최신 IT 운영의 기본 요소입니다.
- 모든 서비스 및 제공업체에 대한 중앙 집중식 관리를 통한 통합 보안 - 하나의 제품이나 공급업체가 모든 것을 제공할 수는 없지만 여러 관리 도구를 사용하면 무언가 놓치기 쉽습니다. 개방형 통합 패브릭을 갖춘 통합 관리 시스템은 각 부분을 하나로 통합하고 워크플로를 간소화하여 복잡성을 줄여줍니다.
마지막으로, 트레이드오프 결정을 내려야 할 때는 더 큰 제어가 아니라 더 나은 가시성을 최우선 순위로 삼아야 합니다. 클라우드의 불완전한 부분을 제어하려고 시도하는 것보다 클라우드의 모든 것을 볼 수 있는 것이 더 낫습니다.