서비스형 인프라(IaaS)는 인터넷을 통해 액세스할 수 있는 가상화된 컴퓨팅 리소스, 가상 네트워킹, 가상 스토리지 및 가상 머신을 제공합니다. 인기 있는 인프라 서비스로는 Amazon의 Elastic Compute(EC2), Google Compute Engine, Microsoft Azure 등이 있습니다.
초기 비용이 저렴하기 때문에 IaaS 사용이 증가하고 있습니다. 인프라 서비스를 사용하는 조직은 하드웨어를 구매하거나 유지 관리할 필요가 없습니다. 따라서 IaaS는 모든 규모의 조직에게 매력적입니다.
또한 IaaS는 하드웨어보다 확장성과 유연성이 뛰어납니다. 클라우드 인프라는 필요에 따라 확장하고 더 이상 필요하지 않으면 다시 축소할 수 있습니다. 온프레미스 하드웨어에서는 이러한 수준의 확장성이 불가능합니다.
그러나 IaaS는 서비스 거부 공격을 시작하거나 봇넷을 실행하거나 암호화폐를 채굴하기 위해 IaaS 리소스를 탈취하려는 사이버 공격의 표적이 될 수 있습니다. 스토리지 리소스와 데이터베이스는 많은 데이터 침해 사고에서 데이터 유출의 빈번한 표적이 되고 있습니다. 또한 조직의 인프라 서비스에 성공적으로 침투한 공격자는 해당 계정을 활용하여 엔터프라이즈 아키텍처의 다른 부분에 액세스할 수 있습니다.
![]()
IaaS를 보호하는 방법
IaaS 고객은 데이터, 사용자 액세스, 애플리케이션, 운영 체제 및 가상 네트워크 트래픽을 보호할 책임이 있습니다. 조직은 IaaS를 사용할 때 다음과 같은 실수를 자주 저지릅니다:
암호화되지 않은 데이터: 하이브리드 및 멀티 클라우드 환경에서는 데이터가 온프레미스와 클라우드 기반 리소스 사이, 그리고 서로 다른 클라우드 애플리케이션 간에 이동합니다. 암호화는 도난이나 무단 액세스로부터 데이터를 보호하는 데 필수적입니다. 조직은 데이터를 온프레미스, 클라우드로 이동하기 전 또는 클라우드에서 암호화할 수 있습니다. 자체 암호화 키를 사용하거나 IaaS 제공업체의 암호화를 사용할 수 있습니다. IT 부서에서는 전송 중인 데이터를 암호화할 수도 있습니다. 많은 정부 및 업계 규정에서는 민감한 데이터를 저장 중이거나 이동 중일 때 모두 항상 암호화하도록 요구합니다.
구성 실수: 클라우드 보안 사고의 일반적인 원인은 클라우드 리소스의 잘못된 구성입니다. 클라우드 제공업체는 리소스 보안을 위한 도구를 제공할 수 있지만, 도구를 올바르게 사용할 책임은 IT 전문가에게 있습니다. 일반적인 오류의 예는 다음과 같습니다:
- 부적절하게 구성된 인바운드 또는 아웃바운드 포트
- 다단계 인증이 활성화되지 않음
- 데이터 암호화 꺼짐
- 인터넷에 개방된 스토리지 액세스
섀도 서비스: 섀도 또는 불량 클라우드 계정은 서비스형 소프트웨어(SaaS) 솔루션에서 가장 일반적이지만 IaaS에서도 발생할 수 있습니다. 직원이 애플리케이션이나 리소스를 프로비저닝해야 할 때 IT 부서에 알리지 않고 클라우드 제공업체를 사용할 수 있습니다. 이러한 서비스의 데이터를 보호하려면 먼저 감사를 통해 서비스 및 사용자를 식별해야 합니다. 이를 위해 IT 부서는 cloud access security broker (CASB)를 사용할 수 있습니다.
섀도 서비스: 섀도 또는 불량 클라우드 계정은 서비스형 소프트웨어(SaaS) 솔루션에서 가장 일반적이지만 IaaS에서도 발생할 수 있습니다. 직원이 애플리케이션이나 리소스를 프로비저닝해야 할 때 IT 부서에 알리지 않고 클라우드 제공업체를 사용할 수 있습니다. 이러한 서비스의 데이터를 보호하려면 먼저 감사를 통해 서비스 및 사용자를 식별해야 합니다. 이를 위해 IT 부서는 cloud access security broker (CASB)를 사용할 수 있습니다.
![]()
IaaS 보안을 위한 솔루션
많은 조직이 여러 공급업체의 IaaS, PaaS, SaaS 서비스를 사용하는 멀티 클라우드 환경을 사용합니다. 멀티 클라우드 환경은 점점 더 보편화되고 있지만 보안 문제를 야기할 수도 있습니다. 기존의 엔터프라이즈 보안 솔루션은 조직의 방화벽 외부에 있는 클라우드 서비스를 위해 구축되지 않았습니다. 가상 인프라 서비스(가상 머신, 가상 스토리지, 가상 네트워크 등)에는 클라우드 환경을 위해 특별히 설계된 보안 솔루션이 필요합니다.
클라우드 액세스 보안 브로커, 클라우드 워크로드 보호 플랫폼, 가상 네트워크 보안 플랫폼, 클라우드 보안 태세 관리 등 네 가지 중요한 솔루션이 IaaS 보안을 위한 솔루션입니다.
- Cloud access security broker (CASB), 일명 클라우드 보안 게이트웨이(CSG): CASB는 사용자 활동 모니터링, IaaS 모니터링, 클라우드 멀웨어 탐지, data loss prevention, 암호화 등 클라우드 리소스에 대한 가시성 및 제어 기능을 제공합니다. 방화벽 및 클라우드 플랫폼 API와 통합할 수 있을 뿐만 아니라 클라우드 스토리지의 잘못된 구성 및 보호되지 않은 데이터에 대해 IaaS를 모니터링할 수 있습니다. CASB는 보안 설정 및 구성, 파일 액세스 권한, 손상된 계정에 대한 감사 및 모니터링을 제공합니다. CASB에는 워크로드 모니터링 및 보안도 포함될 수 있습니다.
- 클라우드 워크로드 보호 플랫폼(CWPP): CWPP는 워크로드와 컨테이너를 검색하고, 멀웨어 보호를 적용하며, 관리하지 않으면 사이버 범죄자에게 IaaS 환경으로 진입하는 경로를 제공할 수 있는 워크로드 인스턴스와 컨테이너를 관리합니다.
- 가상 네트워크 보안 플랫폼(VNSP): VNSP 솔루션은 IaaS 환경 내의 가상 인스턴스 간에 남북 및 동서 방향으로 이동하는 네트워크 트래픽을 검사합니다. 여기에는 가상 리소스를 보호하기 위한 네트워크 침입 탐지 및 예방이 포함됩니다.
- 클라우드 보안 태세 관리(CSPM): 클라우드 보안 태세 관리자는 IaaS 클라우드 환경에서 보안 및 규정 준수 문제를 감사하고 수동 또는 자동화된 해결 방법을 제공합니다. 점점 더 많은 CASB가 CSPM 기능을 추가하고 있습니다.
![]()
IaaS 제공업체 고려 사항
IaaS 제공업체는 기본 서버와 데이터를 보호하는 제어에 대한 책임이 있습니다. IT 관리자는 다음과 같은 특성을 기준으로 IaaS 공급업체를 평가할 수 있습니다:
- 물리적 액세스 권한: IaaS 제공업체는 물리적 시설, IT 시스템 및 클라우드 서비스에 대한 보안 액세스 제어를 구현할 책임이 있습니다.
- 규정 준수 감사: IT 관리자는 의료 정보 보안법 또는 소비자 금융 데이터에 대한 개인정보 보호 요구 사항과 같은 관련 규정 준수 증명(감사 및 인증)을 요청할 수 있습니다.
- 모니터링 및 로깅 도구: IaaS 제공업체는 클라우드 리소스를 모니터링, 로깅 및 관리하기 위한 도구를 제공할 수 있습니다.
- 하드웨어 사양 및 유지 관리: 클라우드 인프라 서비스를 뒷받침하는 하드웨어는 해당 서비스의 성능에 영향을 미칩니다. IT 조직은 공급업체의 하드웨어 사양, 특히 방화벽, 침입 탐지 및 콘텐츠 필터링과 같은 보안 장치를 요청할 수 있습니다.
데이터 센터가 클라우드로 이동함에 따라 IT 관리자는 IaaS 보안 전략을 수립하고 클라우드 보안 기술을 구현하여 필수 인프라를 보호해야 합니다. Skyhigh Security 의 클라우드 보안을 통해 조직은 클라우드에 있는 데이터에 대한 완벽한 가시성과 제어를 제공함으로써 비즈니스를 가속화할 수 있습니다. Skyhigh Security 클라우드 보안 기술에 대해 자세히 알아보세요.