상명대학교 / 서광규 교수


 

 



 

4. 송신/수신(Egress/Ingress) 트래픽 통제

송신 트래픽은 클라우드 환경을 떠나는 데이터를 의미하고, 수신 트래픽은 클라우드로 들어오는 데이터를 의미한다. 송신 트래픽의 가장 심각한 위험 중 하나는 데이터 유출이다. 이는 데이터가 제대로 암호화되지 않거나 보안 장벽에 허점이 있는 경우 발생할 수 있다. 데이터 유출을 방지하기 위해 멀티 클라우드 공급자는 전송 중 및 저장 중 모든 정보가 암호화되도록 해야 한다. 또한 여러 계층의 보안을 갖춘 강력한 보안 경계를 구축해야 한다. 수신 트래픽은 악의적인 행위자가 클라우드 환경에 액세스할 수 있도록 허용하여 보안 문제가 될 수도 있다. 이를 방지하려면 멀티 클라우드 제공업체는 강력한 방화벽과 침입 탐지 및 방지 시스템을 갖추고 있어야 한다. 또한 환경에 유입되는 모든 데이터에 맬웨어 및 바이러스가 있는지 검사해야 한다. IP 화이트리스트 메커니즘, 클라우드 ACL 및 방화벽 구성은 제로 데이 공격과 같은 의심스러운 활동을 사전에 감지할 수 있도록 매우 안전해야 한다.

송신 트래픽을 제어하는 데 사용할 수 있는 다양한 유형의 액세스 정책은 다음과 같다.

  • 방화벽
  • 침입 탐지 및 예방 시스템
  • 멀웨어 및 바이러스 검사
  • 데이터 암호화

 

수신 트래픽을 제어하는 데 사용할 수 있는 다양한 보안 정책은 다음과 같다.

  • 방화벽
  • 침입 탐지 및 예방 시스템
  • 데이터 암호화
  • 사용자 인증
  • 액세스 제어 목록
  • 활동 로깅
  • 데이터 손실 방지

 

다양한 클라우드 서비스 제공자 간의 트래픽 제어는 송신/수신 트래픽 관리를 통해 수행될 수 있다. 보호 조치는 불법적인 접근을 막거나 특정 데이터에 대한 접근을 제한할 수 있다. 예를 들어 기업이 여러 클라우드 서비스 제공업체를 고용하는 경우 특정 데이터나 시스템에 대한 액세스를 소수의 제공업체로 제한할 수 있다. 특정 공급자의 트래픽만 허용하도록 송신/수신 트래픽 관리를 구현함으로써 기업은 이 절차를 실행할 수 있다.

또 다른 예는 회사가 승인되지 않은 사람이 중요한 데이터에 액세스하는 것을 방지하려는 경우이다. 이 보호는 승인된 특정 IP 주소의 트래픽만 허용하도록 송신/수신 트래픽 제어를 구성하여 달성할 수 있다. 송신/수신 트래픽 제어를 구성하는 것은 멀티 클라우드 환경에서 데이터를 보호하는 매우 효과적인 방법이 될 수 있다.

 


[그림3. 송신/수신(Egress/Ingress) 트래픽 제어]


 

 

4-1. 취약점/위협 제어(Vulnerability/Threat Control)

클라우드 보안의 중요한 측면 중 하나는 취약성 및 위협 제어이다. 취약점을 이해함으로써 다양한 클라우드 서비스 내의 위협에 대해 조직은 관련 위험을 완화하고 줄이기 위한 조치를 취할 수 있다. 이러한 위협은 내부 및 외부 사용자, 악성 소프트웨어, 하드웨어 오류 등 다양한 소스에서 발생할 수 있다.

클라우드 컴퓨팅 보안의 가장 큰 과제 중 하나는 데이터와 리소스가 여러 서버와 위치에 분산되는 경우가 많다는 것이다. 이 아키텍처로 인해 이러한 리소스에 대한 액세스를 제어하고 적절하게 보호되는지 확인하기가 어렵다. 또 다른 과제는 새로운 사용자와 애플리케이션이 자주 추가되면서 클라우드 컴퓨팅 환경이 끊임없이 변화한다는 것이다. 적절한 권한이 있는 사람만 데이터와 리소스에 액세스할 수 있도록 하는 데 있어 이 구조는 다양한 엔터티와 권한을 모두 추적하기 어렵게 만든다. 클라우드에서 데이터를 효율적으로 보호하고 지원을 제공하려면 위험과 이에 대한 최선의 방어 방법을 이해하는 것이 중요한다. 클라우드의 데이터와 리소스는 다양한 기술과 방법을 통해 보호될 수 있다. 신뢰할 수 있는 인증 및 권한 부여 시스템은 가장 중요한 보안 도구 중 하나이다.

모든 멀티 클라우드 인프라에서 자동화되고 지속적인 취약점 관리 기능을 활성화해야 한다. 모든 종류의 취약점과 의도하지 않은 문제에 대해 모든 클라우드 워크로드를 즉시 검사, 발견 및 교정한다. 노출. 위험 완화를 식별하고 우선순위를 지정하려면 최고의 위협 모델링 사례를 조직의 소프트웨어 개발 수명 주기에 통합하는 것이 필수적이다.

스푸핑, 변조, 거부 등 다양한 공격 벡터에 대한 강력한 위협 모델링 보안 방법론으로

정보 공개, 서비스 거부, 악성 코드 및 랜섬웨어는 멀티 클라우드 인프라에서 구현되어야 한다. 멀티 클라우드 시스템과 소프트웨어의 보안 취약성을 식별, 평가, 처리 및 보고하는 프로세스를 설계하면 조직은 가능한 위협의 우선순위를 지정하고 공격 표면을 최소화할 수 있다.

 


[그림4. 위협 통제]


 

 

4-2. 감사(Auditing)

클라우드 컴퓨팅 보안 감사는 클라우드 기반 시스템의 안전성을 모니터링하고 평가하는 프로세스이며 서비스이다. 이는 조직이 데이터와 애플리케이션이 안전하고 보안 정책 및 업계 규정을 준수하는지 확인하는 데 도움이 된다. 감사는 수동으로 수행하거나 자동화된 도구 및 제3자 감사자를 통해 수행할 수 있다.

조직은 정기적으로 규정 준수 팀에 참여하여 클라우드에 대한 시스템 및 제어(SOC) 감사를 수행해야 한다. 인증된 네트워크 및 호스트 취약성 스캔이 정기적으로 수행되도록 보장하는 인프라이다. 시스템 보안 정책과의 불일치를 포함하여 감사 중에 식별된 문제는 교정을 위해 평가된다. 또한 감사는 클라우드 기반 시스템 및 서비스가 보안 정책 및 업계 규정을 준수하는지 확인하는 데 도움이 될 수 있다.

클라우드 기반 시스템 및 서비스에 대해 여러 유형의 감사를 수행할 수 있다. 여기에는 보안 감사, 규정 준수 감사, 성과 감사가 포함된다. 보안 감사는 시스템 또는 서비스의 보안을 평가하고 잠재적인 취약점을 식별한다. 규정 준수 감사는 시스템 또는 서비스가 보안 정책 및 업계 규정을 준수하는지 여부를 평가한다. 마지막으로 성능 감사는 시스템 또는 서비스의 성능을 평가하고 개선이 가능한 영역을 식별한다.

조직은 클라우드 서비스 제공업체와 상의하여 감사 수행을 위한 최선의 접근 방식을 결정해야 한다.그들의 시스템과 서비스의. 제공업체는 일반적으로 시스템 감사 수행 경험이 있으며 최선의 방법을 안내할 수 있다.

클라우드 보안의 감사 측면은 다른 클라우드 서비스 제공업체에 적용되는 것과 동일한 방식으로 멀티 클라우드 서비스 제공업체에도 적용된다. 가장 큰 차이점은 멀티 클라우드 서비스 제공업체가 여러 클라우드를 관리하고 모니터링해야 한다는 점이다. 어려울 수 있는 환경. 멀티 클라우드 서비스 제공업체는 각 클라우드 환경의 보안 제어를 명확하게 이해하고 이러한 제어를 조직의 특정 요구 사항 및 목표에 매핑해야 한다. 또한 모든 클라우드 환경에서 활동을 모니터링하고 보안 사고를 신속하게 식별하고 대응하여야 한다. 효과적인 보안 식별 및 대응을 보장하려면 멀티 클라우드 서비스 제공업체가 강력하고 쉽게 대응할 수 있어야 한다.

보안 정책 및 절차를 이해하고 모든 직원이 이러한 정책 및 절차에 대한 교육을 받았는지 확인한다. 모든 클라우드 환경에 대한 가시성을 제공하려면 강력한 보안 모니터링 시스템도 필요하다. 감사는 클라우드 보안에 필수적이며, 멀티 클라우드 서비스 제공업체는 감사를 자주, 잘 수행하도록 보장해야 한다. 시간을 내어 각 클라우드 환경의 보안 제어를 이해하고, 모든 설정 전반의 활동을 모니터링하고, 견고한 정책과 절차를 마련함으로써 조직을 보호하는 데 도움을 줄 수 있다.

 


[그림5. 감사(Auditing)]


 

 



 

5. 클라우드 보안에서 고려해야 할 요소

클라우드 컴퓨팅 보안 전략을 개발할 때는 몇 가지 주요 요소를 고려해야 한다. 여기에는 보호해야 하는 데이터 및 리소스, 필요한 보안 수준, 사용 가능한 예산이 포함된다. 다루어야 하는 데이터 및 리소스의 종류는 비즈니스 및 산업에 따라 다르다.ㅍ예를 들어 의료 조직은 소매 조직과 다른 보안 요구 사항을 준수해야 한다. 마찬가지로 필요한 보안 수준도 비즈니스 및 산업에 따라 다르다.

어떤 경우에는 규정을 준수하기 위해 특정 수준의 보안이 필요할 수 있다. 다른 경우에는 기업이 특정 수준의 보호를 선호할 수도 있다. 사용 가능한 예산은 클라우드 컴퓨팅 보안 전략에서도 중요한 역할을 한다. 어떤 경우에는 보안 조치 비용이 엄청날 수 있다. 다른 경우에는 데이터와 리소스를 보호하기 위해 가격이 투자 가치가 있을 수 있다.

많은 경우 중소기업 조직은 값비싼 클라우드 네이티브 서비스 비용을 지불하는 대신 이미 개발된 내부 도구를 대부분 채택할 수 있다. 소스 제어에서 비밀 토큰, 비밀번호 또는 개인 키가 실수로 커밋되는 것을 방지하기 위한 비밀 감지 모듈과 같은 오픈 소스 솔루션을 채택하는 것도 가능한다. Prowler는 보안 평가, 감사, 사고 대응, 지속적인 모니터링, 포렌식 준비 및 다양한 규정 준수 프레임워크를 포괄하는 다양한 보안 제어를 지원하는 또 다른 오픈 소스 보안 도구이다.

클라우드 컴퓨팅 보안 전략을 정기적으로 검토하고 업데이트해야 한다. 이 정기적인 품질 보증 검토를 통해 지배적인 사이버 범죄 전술, 기술 및 절차에 따라 데이터와 리소스를 무단 액세스, 공개 또는 파괴로부터 보호하는 데 있어 계획이 여전히 효과적인지 확인한다.

좋은 클라우드 컴퓨팅 보안 전략은 다양한 위협으로부터 데이터와 리소스를 보호하는 데 도움이 될 수 있다. 그러나 완벽한 보안 조치는 없으며 항상 데이터나 리소스가 손상될 위험이 있다는 점을 기억하는 것이 중요한다. 이러한 위험으로부터 보호하는 가장 좋은 방법은 다양한 위협과 이를 방지하는 최선의 방법을 고려하는 포괄적인 클라우드 컴퓨팅 보안 전략을 마련하는 것이다.

 



 

6. 결언

클라우드 컴퓨팅의 사용이 계속 증가함에 따라 특히 여러 클라우드 서비스를 사용하는 조직의 경우 클라우드 보안에 대한 필요성도 커지고 있다. 클라우드 컴퓨팅의 보안은 고객과 클라우드 제공업체 간의 공동 책임이다. 사용자는 데이터와 애플리케이션을 보호할 책임이 있는 반면, 클라우드 공급자는 인프라를 보호할 책임이 있다. 사용자와 클라우드 제공자는 협력함으로써 클라우드의 보안을 보장할 수 있다. 클라우드 컴퓨팅을 사용하면 많은 이점이 있지만 보안이 문제가 되는 경우가 많다. 그러나 공유된 내용을 이해함으로써 책임 모델과 모범 사례를 따르면 클라우드는 기업이 데이터를 저장하고 처리하는 안전한 장소가 될 수 있다.

멀티 클라우드 서비스 제공업체의 클라우드 보안은 복잡하고 끊임없이 진화하는 문제이다. 이러한 이점에도 불구하고 서비스 제공업체는 이러한 유형의 분산 환경에 수반되는 고유한 보안 문제를 인식하고 있어야 한다. 데이터와 애플리케이션을 안전하게 유지하기 위해 서비스 제공업체는 멀티 클라우드 여정의 각 단계에서 보안 조치를 신중하게 계획하고 구현해야 한다. 적절한 보안 조치를 취하면 여러 클라우드 서비스 제공업체가 데이터와 애플리케이션을 안전하게 유지하면서 이 설정의 이점을 누릴 수 있다. 멀티 클라우드 인프라는 시스템 키 순환을 자주 시행해야 한다.

멀티 클라우드 서비스 제공업체는 보안을 중요하게 생각하고 강력한 보안 제어를 구현하여 보안 서비스 제공에 있어 경계심을 유지하고 고객에게 안전의 중요성을 교육해야 한다. 멀티 클라우드 서비스 제공업체는 고객에게 보안 서비스를 제공하고 보안의 중요성을 교육할 책임이 있다.

마지막으로, 퍼블릭 클라우드 제공업체는 보안에 대해 기업 자체만큼 엄격하지 않을 수 있으며, 이로 인해 회사에서 제공하는 보호에 허점이 생길 수 있다. 반대로, 기업은 프라이빗 클라우드 환경에서 보안에 대해 더 많은 통제권을 가질 수 있지만 클라우드 비용은 증가할 것이다. 이상적인 절충안처럼 보일 수 있지만 절반은 공개, 일부는 원격인 하이브리드 접근 방식에는 상황 전반에 걸친 규제 시행을 포함하여 고유한 문제가 있다.

 

 


참 고 문 헌




  2. Sandesh Achar, Cloud Computing Security for Multi-Cloud Service Providers: Controls and Techniques in our Modern Threat Landscape, International Journal of Computer and Systems Engineering, 2022
  3. Multicloud, https://en.wikipedia.org/wiki/Multicloud
  4. ITU-T X.16019(2014) Cloud computing security ? Overview of cloud computing security: Security framework for cloud computing, 2014.
  5. Verma, Cloud computing security issues: a stakeholder’s perspective., SN Computer Science, 1(6), 1-8, 2020.
  6. Alsmadi, Sharing and storage behavior via cloud computing: Security and privacy in research and practice., Computers in Human Behavior, 85, 218-226, 2018.



저작권 정책


K-ICT 클라우드혁신센터의 저작물인 『멀티 클라우드 서비스 제공업체를 위한 클라우드 컴퓨팅 보안 이슈』은 K-ICT 클라우드혁신센터에서 상명대학교 서광규 교수에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.