클라우드의 시작과 끝, 클라우드 보안

 보안 - 클라우드 전환 주저의 주요 원인. 

데이터 유출 등 보안 문제만 없다면 얼마든지 클라우드 전환을 가속할 수도 있다. 

 

클라우드 보안의 단계적 접근

 

클라우드 전환 초창기 : 기업의 업무 시스템 중 규모가 작고 중요도가 낮은 시스템 위주로 시범적으로 전환되는 시기

- 일부 인프라만 클라우드로 전환된 상태.

- 대부분 보안 위협이 Legacy와 동일함. -> 기존 보안 솔루션과 수작업에 의한 보안 진단을 통해 대응 가능.

 

가장 큰 보안 위협 = 보안 정책과 진단 부재에 의한 혼란

클라우드 시범 적용 : Best Practice를 만들어 이후 다른 업무 시스템 전환에 적용하기 위함.

보안 누락된 상태로 만들어지 BP는 초창기는 물론, 이후 클라우드 전환의 모든 과정을 위태롭게 만들 수 있음.

 

클라우드 특성 반영된 보안 정책 선제적 수립 및 배포. 

보안 정책은 클라우드 인프라 생성과 폐기가 기존 Legacy와는 달리 상시 생성/폐기가 가능함을 고려해야 함.

 

클라우드는 인프라의 구매/설치 과정이 필요했던 Legacy와는 달리 법인카드, 세금계산서만으로도 즉시 사용 가능하기 때문에 기업 내부의 누구나 언제든 새로운 인프라를 클라우드상에 구축할 수 있음.

 

관리 대상에서 누락되는 Shadow IT가 발생하지 않도록 심사/승인 절차를 마련하고 보안부서를 포함한 모든 유관부서에 통보될 수 있도록 해야함.

 

외부 침해 대응 및 취약점 진단 가이드 마련 시에도 클라우드의 특성을 고려해야함. 

외부 공격에 의한 침해 대응 외 내부자의 실수 또는 고의에 의해 발생하는 보안 사고 가능성을 인정하고 이를 탐지, 대응하는 절차를 마련해야함. 

 

Legacy - 관리자가 물리적 인프라가 구축된 내부에서만 접속하도록 제한할 수 있음.

 

클라우드 - 인터넷이 되는 곳이라면 어디서든 관리자가 접속 가능. 

CSP 콘솔을 통해 인프라 생성/삭제와 보안 기능의 설정/해제까지 가능하므로 각 CSP 콘솔의 기능을 클릭하는 순서까지 정확히 기재된 보안 진단과 조치 가이드가 제공되어야 함. 

 

클라우드 전환 과도기 : 기업의 주요 업무 시스템의 일부 또는 전체가 클라우드로 전환되는 시기

개발자 주도의 빠른 개발 및 배포를 위해 DevSecOps와 컨테이너가 적극 활용되는 시기.

- 워크로드의 일부 또는 전체를 클라우드 특성에 맞게 재개발

- 개발 방법론 DevSecOps와 CI/CD 체계로 전환됨. 

-> Legacy 환경처럼 수작업에 의한 보안 관리로는 취약점의 발견과 조치가 어려워짐.

 

컨테이너가 VM(수개월~수년) 또는 물리 서버(5년)와 다른 가장 큰 차이점: 배포의 용이성에 의한 짧은 LifeCycle.

-> 몇 분, 몇 시간, 며칠 정도

클라우드의 변화

 

이미 누군가 만들어둔 컨테이너 이미지를 활용하는 경우가 많음. -> 인터넷 상에 유통되는 컨테이너 이미지에는 다수의 취약점도 발견됨.

 

클라우드의 장점인 탄력성 -> 보안 관점에서는 기준 정보가 유동적이라는 어려움으로 작용함. 

 

자동화된 클라우드 보안 솔루션 : CSPM(Cloud Security Posture Management), CWPP(Cloud Workload Protection Platform)

 

CSPM

클라우드의 Misconfiguration을 탐지하기 위한 솔루션.

클라우드의 모든 인프라와 보안 설정은 콘솔을 통해 이루어지는데 이를 취약하게 설정하거나 Default 상태로 방치하는 것을 Misconfiguration이라고 함. -> 클라우드 보안 사고의 가장 큰 원인

 

- 미리 등록해둔 보안 정책을 기준으로 상시 자동 진단 -> Misconfiguration 최소화.

보안 담당자 외에도 개발자, 운영자들이 상시 진단 내용을 확인할 수 있도록 진단 결과를 제공하여 보안 담당자가 인지하고 통지하는 방식보다 빠르게 취약점 조치가 가능함.

 

CWPP

컨테이너 환경에 특화된 보안 솔루션.

Registry에 등록되었거나 신규로 등록되는 컨테이너 이미지의 알려진 취약점을 진단하고, 체크리스트 기반으로 컨테이너가 구동되는 Docker, K8s, VM Instance 등을 Run-time 진단함.

 

기업은 CWPP에 의해 진단 및 조치되지 않은 이미지를 배포하지 못하도록 강제하는 프로세스를 수립하고, 내부 개발자가 만든 컨테이너 이미지와 외부에서 반입한 컨테이너 이미지를 나누어 관리함으로써 클라우드 보안을 강화할 수 있음.

 

 

클라우드 전환 정착기 : 모든 워크로드가 처음부터 클라우드 상에서 개발되는 단계.

- CSP Native 보안 기능 활용 or 3rd Party 클라우드 보안 솔루션 활용. 

 

CSP Native vs 3rd Party 보안 솔루션 비교

CSP Native 보안 기능은 최근 클라우드 보안에서 각광을 받는 주제로서 비용 효율성, 가용성, 탄력성, 도입 및 전환 속도 면에서 3rd Party 대비 우위에 있음. 

 

장점

- Pay-per-use 방식 : 호출 횟수당, 또는 사용할 때만 지불 -> 비용 효율적. 

- 별도의 계약과 구매 프로세스 없이 CSP 콘솔에서 클릭 몇 번만으로 즉시 사용할 수도 있음. 

- Full-Managed로 제공되기 때문에 장애에 대한 우려도 현격히 적음.

 

단점

- 타 CSP를 위한 보안 기능을 제공하지 않기 때문에 멀티 클라우드 환경에서는 CSP마다 Native 보안 기능을 사용하기 위한 요금 + 인적학습비용 지불해야함. 

- On-Premise까지 포괄하지 못하기 떄문에 Hybrid  클라우드 환경에서는 CSP Native와 On-Premise 보안 솔루션 양쪽을 모두 사용해야함. 

- 난이도 높음 : 써드파티는 제조사, 총판으로 이어지는 체계를 통해 기술지원을 받을 수 있지만 CSP Native 보안 기능은 사용자가 직접 모든 문제를 해결해야 함.

Compute, Storage, Network, Management에 해당하는 배경 지식과 활용 역량이 요구됨.

보안에 필수 불가결한 기능들인 네트워크 격리 기능이나 전용선 연결, 보안 형상관리 기능 등에 대한 활용도 필요.

-> 클라우드 보안의 역량이 클라우드 자체의 역량으로 귀결됨. 

 

해결책 

- 클라우드 및 클라우드 보안과 관련된 내부 운영 인력들의 역량 강화가 중요함.

- 자체 인력의 역량 강화가 어려울 경우 -> MSP 또는 MSSP 등을 통해 전문적인 도움을 받는 것이 좋음. 

 

클라우드의 시작과 끝은 클라우드 보안

클라우드 전환은 단순 인프라 전환이 아닌 보안 정책을 포함한 모든 보안 시스템의 전환을 필요로 함.

기존 Legacy 보안과 클라우드 보안은 고려해야 할 사항이 크게 다름.

-> 기존 보안 방식으로 접근 x. 사용자의 자원 통제 권한 범위가 넓기 때문에 보안 사고 발생 피해 범위도 더 클 수 밖에 없음.

 

 

 

https://www.samsungsds.com/kr/insights/cloud_security.html

클라우드의 시작과 끝, 클라우드 보안