[산대특] Cloud 끝! 클라우드 종류 및 보안

1115

 

기존 산업과 결합하면서 급 부상한 클라우드, 4차 산업에서 살아 남기 위해서는 

ICBMA(IoT, Cloud, BlockChain, Mobile, AI)가 필수가 됨. 

 

배치 모델에 따른 Cloud의 종류

로컬 클라우드(On-Premise) 환경 (<-Private Cloud)

기존의 기업이 직접 데이터 센터(서버실)에 서버,  네트워크 스토리지 등 인프라를 구축해서 운영하는 형태 <=G-Cloud 로컬 == On-Premise == Private Cloud

상용 클라우드(On-Demand) 환경 (<-Public Cloud)

직접적으로 데이터 센터를 보유하지 않고도 자원을 활용할 수 있는 환경을 구축해서 서버, 스토리지, 네트워크와 같은 하드웨어 인프라와 데이터베이스, 웹 어플 등 소프트웨어 영역까지 구매하거나 소유하지 않고도 이용할 수 있는 형태 <=AWS, Azure, GCP, ... 등 On-Demand - 요청이 있으면 요청에 응해주는.. 수요에 의해

하이브리드(Hybrid) 클라우드 환경

퍼블릭과 프라이빗을 결합해서 표준화된 인터페이스로 서비스를 제공하는데 핵심은 프라이빗으로 두고, 비 핵심은 퍼블릭으로 두는 형태 멀티(Multi) 클라우드 다수의 퍼블릭 클라우드를 기반으로 각 서비스의 특징을 이용해서 구축하는 형태 Hybrid 핵심은 Private 으로 두고, 비 핵심은 퍼블릭 (이 친구가 가장 주종)

 

서비스 모델에 따른 Cloud 의 종류

IaaS =>(Infrastructure) 플랫폼, 인프라 사용

PaaS =>(Platform) 하드웨어 사용

SaaS =>(Software) 구성된 소프트웨어 사용

 

Cloud 의 장점, 단점

장점 :  비용절감, 완성형 서비스 활용으로 인한 시간절약, 생산성 향상, 자원의 유연성 확보 등

단점 :  보안상 취약, 가상화 인프라의 취약, 자원 공유로 인한 취약, 자원 집중화로 인한 취약,  장애발생에 대한 BlackBox 문제 등

 

Cloud 의 보안은 On-Premise 환경에서의 보안 위협과 취약영역이 같다. 

관리적 보안영역	완전히 그대로 적용하기에는 무리가 있다.
기술적 보안영역	정보유출과 해킹 공격의 위험이 있을 수 있다. 별도의 투자가 필요할 수 있다.(모니터링, 통제권)
물리적 보안영역	SLA(Service Level Agreement) 서비스 제공자가 제공하는 데이터센터의 물리적인 보안과 서비스의 가용성을 보장받는다.

 

Cloud 의 보안적 특징

클라우드에서의 자원

여러 사람이 함께 사용해서 가상화 기술에 대한 취약점, 물리적인 인프라 설정, 다른 사용자와의 논리적인 분리에서 취약점이 있을 때 보안 위협이 생긴다. 최근에는 보안 인증 제도를 취득한 CSP(Cloud Service Provider)만 서비스를 제공하도록 제도적으로 허용하고 있다.

클라우드 보안 사고

클라우드 서비스 제공자의 관리 실수, 시스템 자체 오류, 천재지변으로 사고가 발생할 수 있다. => 항공길 마비, 공항 마비

클라우드에서의 해킹

API에서 해킹이 발생될 수 있다. 각각을 가상영역으로 분리해주는 가상화 기술이 핵심이다.

 

나라별 Cloud 보안 관리 기준

∎ 미국 보안성 인증단계로 NIST 800-53 보안 통제 기본 항목을 기반 FISMA(,Federal Information Security Management Act)에 따라 표준 요구사항에 적합 여부를 심사 제품 인증/서비스 도입 단계에서는 보안성을 검토해서 FedRAMP 인증이 있는 경우만 인증심사를 받게 한다.
	∎ 일본은 ASPIC
∎ 중국에서는 작업중
∎ 국내 클라우드 컴퓨팅법이 2015년에 발표 2016년에는 한국 인터넷 진흥원(KISA) 주도로 클라우드 보안 인증제도를 만들었다.
∎ 유럽 ENISA(European Network and Information Security Agency) 조직에서 클라우드 컴퓨팅의 위협요소 4가지를 35개 항목으로 만들어서 평가.

 

Cloud 보안 특성

▸식별 :  접속을 요청하는 주체(사용자나 서버)가 지신을 증명하기 위해 누구인지 식별 가능한 입력활동

▸인증 :  식별 외에 본인을 증명할 수 있는 정보를 입력해 허가된 사용자인지를 확인하는 활동

▸인가 :  인증된 사용자에게 필요한 행위를 수행할 수 있도록 권한을 부여하는 활동

▸로깅 :  다양한 로그 등 기록을 전자문서로 기록하는 행위

▸모니터링 : 시스템에서 수행한 행위에 대해 이상 징후 분석을 수행, 실시간으로 수집된 정보 등을 대시보드로 관리하는 활동

▸감사 :  로그파일이나 활동 정보를 검토해 보안 기준에 따라 계정과 권한 관리 여부를 확인, 위험요소를 관리하는 활동

▸책임 추적성 :  클라우드 서비스 제공자와 사용자가 각자의 보안 책임을 명확하게 추적하고 관리할 수 있도록 하는 특성

그래서 Cloud 에서는 

자원을 사용하기 전엔 식별, 인증, 인가가 필요하고

자원을 사용하는 중엔 로깅, 모니터링이 필요하고

자원을 사용하고 난 후엔, 활동 이력에 대한 검사/감사가 있어야 책임 추적성을 만족시킬 수 있다. 

 

배치 모델별 보안 설정시 주의할 점

On-Premises Security

3요소 기밀성, 무결성, 가용성 지키기. 

 

Cloud Security

3요소로는 부족, + 책임 추적성

 

책임 추적성이 있어야 하는 이유:

Cloud 사고가 인프라 제공자에서 발생한 것인지, 사용자에게서 발생한 것인지 확인해야하기 때문. 

 

서비스 모델별 책임 공유 원칙

IaaS는 데이터와 어플, OS 영역

PaaS는 데이터, 어플 영역

SaaS에서는 Data 영역

을 담당

 

그래서 사용자는 

식별, 인가, 인증, 로깅, 모니터링, 감사 를 필수로 설계해야한다. 

 

 

On-Premise 보안모델

외부에서의 침입을 막기 위한 방화벽,  네트워크 망을 분리해서 통신을 통제하는 모델로 진행.  보안이 여러 계층의 단계에 보안이 적용되는 수직적 개념.

Cloud 보안모델

사용자 인증을 강화하고 클라우드에서 전송하는 데이터들에 대해서 책임 추적성을 위한 보안 강화 기능을 고려하는 모델, 클라우드 환경의 접점에서는 인바운드와 아웃 바운드 양방향 검사를 수행하고 로킹과 모니터링으로 책임 추적성을 확보하는 식으로 진행. 클라우드에서의 보안은 입구와 출구에서만 외부 위협과 정보 유출을 통제하고 내부에서는 자유롭게 사용되게 하는 수평적 개념.

제로 트러스트 보안모델

최근에는 클라우드에 이 기법이 적용 신규 서비스를 클라우드로 런칭하거나, 기존 시스템을 클라우드로 이전할 때 적용되는 모델 기존의 보안 설정을 신뢰하지 않고 내부와 외부에 모든 보안을 새롭게 인식하고 적용하는 모델. 항상 불신을 전제

 

On-Premise => Cloud 전환하려면

‘사업 전략 =>계획 =>도입 =>운영 =>성과’ 등의 과정으로 진행

 

On-Premise 와 Cloud 보안 설계에서의 가장 큰 차이는 : 보안관제

 

CSA 에서 선정한 보안관제는

계정관리, 자료 유출 방지, 웹보안, 이메일 보안, 보안 평가, 침입관리, 보안정보와 이벤트 관리,

암호화, 비즈니스 연속성과 재해복구, 네트워크 보안

 

Cloud 에서는 Policy role(정책 역할)을 통해 제어. 유사 Windows Server.

다중요소 인증 으로 보안 수준을 높인다. 

로깅과 모니터링으로 보안 위협 분석. 

골드환경 사용 - 사전에 보안설정 기타 등을 정의한 것으로 만든 Cloud 환경

마켓 플레이스 활용 - 외부 제작사의 것을 SaaS 형태로 사용. 

 

Cloud 에서의 Network Security Service, VPC, VPN, Subnet & Subnet 재배치, ACL, Firewall, TLS:pki, IDS/IPS 침입 탐지 및 예방, DDoS 방지 서비스, Cloud 에서의 Inner Gateway, Application Security Service, Web Application Firewall, API 보호 서비스, Security Inspect, Contents Security Service, Key Management Service.. 등 엄청 많은데, 이하는 혼자 공부할거다!