클라우드 보안 클라우드 보안이란?
클라우드 보안은 가상화 IP, 데이터, 애플리케이션, 서비스, 클라우드 인프라를 포함하여 클라우드에 배치된 모든 자산을 보호하는 다각적인 접근 방식이 포함된 사이버 보안의 하위 집합입니다.
- 클라우드 보안이 중요한 이유
- 하이브리드 클라우드 보안의 영향
- 클라우드 보안의 유형
- 클라우드 보안 작동 방식
- 클라우드 보안의 이점
- 클라우드 보안이 극복해야 하는 문제
- 클라우드 보안의 위험 요소
- 클라우드 보안 성공 사례
- 클라우드 보안에서 제로 트러스트란
- HPE가 클라우드 보안을 통해 고객을 지원하는 방식
클라우드 보안이 중요한 이유
최근 조사에 따르면 전 세계 97%의 조직이 어떤 형태로든 클라우드 서비스를 사용하고 있다고 밝혔습니다. 이 중 25%는 데이터를 도난당한 경험이 있으며 20%는 클라우드 인프라를 공격당한 경험이 있다고 합니다.
클라우드 플랫폼의 도입은 엔터프라이즈가 사이버 보안 프로그램 내에서 우선시해야 하는 새로운 위험을 초래합니다. 강력한 클라우드 보안 프로그램은 위협으로부터 엔터프라이즈를 보호하는 데 사용되는 정책, 기술, 애플리케이션 및 제어를 확립합니다.
하이브리드 클라우드의 보안 영향
보안은 최종 목적지가 아닌 지속적인 프로세스입니다. 하이브리드 클라우드를 통해 온프레미스 데이터를 위한 보안과 클라우드 기반 데이터를 위한 클라우드 공급자의 전문성을 유연하게 활용할 수 있습니다. 이를 통해 IT는 비즈니스 요구에 집중할 수 있습니다. 또한 하이브리드 클라우드를 통해 컴플라이언스, 데이터 전송 보안(VPN), 이중화를 지원하고 다양한 위험 요소를 줄일 수 있지만 몇 가지 관리 가능한 오버헤드가 발생합니다.
클라우드 보안 유형
현대의 기업은 확장성, 유연성, 경제성을 위해 클라우드 컴퓨팅을 사용합니다. 기업이 클라우드로 이동하면 데이터 및 인프라의 보안이 매우 중요해집니다. 클라우드 보안은 몇 가지 레벨로 구성되며 각각 특정 문제를 처리합니다. 네트워크, 데이터, 애플리케이션, ID, 액세스 관리 보안 사항은 다음과 같습니다.
- 네트워크 보안:
- 관련성: 클라우드 컴퓨팅의 첫 번째 방어선은 네트워크 보안입니다. 이를 통해 무단 액세스, 데이터 침해, 사이버 공격으로부터 클라우드 인프라의 통신 채널을 보호합니다.
- 접근 방식: 방화벽, IDS/IPS(침입 탐지 및 방지 시스템), VPN, SSL 암호화는 전송 중인 데이터를 보호합니다. 가능한 보안 문제의 식별 및 완화는 정기적인 네트워크 트래픽 감사 및 모니터링으로 강화됩니다.
- 데이터 보안:
- 관련성: 데이터는 조직의 생명선이므로 데이터의 보호는 매우 중요합니다. 클라우드의 데이터 보안을 통해 민감 데이터를 무단 액세스, 손실, 손상으로부터 보호합니다.
- 접근 방식: 저장 중 및 전송 중인 데이터의 암호화로 보안을 강화합니다. 강력한 클라우드 데이터 보안 계획에 액세스 제한, DLP 기술, 잦은 백업이 포함됩니다. 업계 표준 및 법률 준수로 데이터의 무결성과 기밀성이 향상됩니다.
- 애플리케이션 보안:
- 관련성: 클라우드 서비스는 애플리케이션에 대한 의존도가 높습니다. 공격자들이 취약성을 악용하는 것을 방지하기 위해서는 보안이 필수입니다.
- 접근 방식: 취약성 문제를 해결하려면 애플리케이션을 정기적으로 업데이트하고 패치를 적용해야 합니다. WAF, 코드 검토, 침투 테스트로 보안 취약성을 찾아 해결합니다. 컨테이너화 및 마이크로 서비스로 격리된 구성요소를 설계하여 애플리케이션 보안을 개선합니다.
- ID 이용 및 관리:
- 관련성: 사용자 ID 관리 및 리소스 액세스 제한은 클라우드 보안의 핵심입니다. 무단 액세스는 인프라를 위험에 빠뜨리고 데이터 침해로 이어질 수 있습니다.
- 접근 방식: MFA(다중 인증)는 클라우드 리소스 액세스를 인증된 사용자로 제한합니다. RBAC는 업무 책임에 따라 권한을 할당하여 무단 액세스를 줄입니다. 사용자의 권한을 정기적으로 평가 및 변경하여 보안을 개선합니다.
완벽한 클라우드 보안 계획은 네트워크, 데이터, 애플리케이션, ID 및 액세스 관리를 다룹니다. 조직은 끊임없이 변화하는 클라우드 환경에서 디지털 자산을 보호하기 위해 기술, 규정, 지속적인 모니터링 등을 사용해야 합니다. 강력하고 안전한 클라우드 인프라를 유지하기 위해서는 교육을 지속하고 기술의 발전에 따라 보안 조치를 수정해야 합니다.
클라우드 보안 작동 방식
클라우드 보안 프로그램은 클라우드 내 모든 활동을 모니터링하고 위반 시 신속하게 대응할 수 있는 계획을 수립합니다. 일반적으로 클라우드 보안에는 보호, 감지, 방지 및 복구의 4가지 주요 목표가 있습니다.
이러한 4가지 목표를 달성하기 위해 엔터프라이즈는 정책, 툴 및 제어 기능을 혼합하여 늘 적용합니다.
- 정책: 엔터프라이즈는 모든 제품 또는 서비스의 개발 프로세스에 보안을 구축해야 합니다. 즉, 별도의 보안 검증 팀에 의존하기보다는 DevOps 및 DevSecOps를 새로운 제품을 만드는 사업부에 포함하는 정책을 적용해야 합니다. 부서와 인력이 자산 식별, 분류 및 책임 프로세스에 참여하도록 만드는 정책은 인식과 보호를 구축하는 데도 도움이 됩니다.
- 적절한 구성: IT 부서는 데이터를 운영과 분리하고 작업을 수행하는 데 필요한 사람과 시스템만 자동으로 식별하여 액세스를 허용하도록 클라우드 자산을 구성해야 합니다.
- 중앙 집중식 관리: 많은 조직이 자체 관리 툴을 제공하는 여러 공급자와 함께 서로 다른 클라우드 솔루션을 구현합니다. 클라우드 보안을 모든 서비스와 공급자에 걸쳐 통합하면 IT 부서는 모든 액세스 포인트를 한 곳에서 파악할 수 있어 위협을 더 쉽게 모니터링하고 탐지할 수 있습니다.
- 지속적인 모니터링: IT 부서는 바로 사용할 수 있는 툴을 통해 사용자가 액세스 중인 클라우드 컴퓨팅 플랫폼과 서비스는 물론 조직을 위험에 빠뜨릴 수 있는 활동을 파악할 수 있습니다. 또한 이러한 툴을 사용하여 모든 보안 및 컴플라이언스 요건을 연중무휴로 충족할 수 있습니다. 사용 중인 애플리케이션과 장치를 정기적인 감사하고 잠재적인 위험을 평가하는 툴 또한 상시 사용할 수 있어야 합니다.
- 데이터 보호: 기업은 데이터 손실 및/또는 유출을 방지하기 위해 다양한 전략을 구사합니다. 이를 위해 VPN, 암호화, 마스킹(식별 정보 암호화) 그리고 메시지 도청 및 변조 방지를 위한 TLS(전송 계층 보안) 등이 사용됩니다.
- 유지관리: 다른 곳에 저장된 중복 및 전체 데이터 백업을 유지하는 것은 필수 사항이며 많은 서비스 공급자들이 이를 구독에 번들로 제공합니다. 또한 업데이트 및 보안 패치 소프트웨어는 일반적으로 서비스 공급자가 처리하지만 내부 IT 부서는 자체 서비스를 책임지고 패치 작업을 수행해야 합니다.
클라우드 보안의 이점
위협을 완화할 수 있는 역량은 클라우드 서비스 사용에 수반되는 위험에도 불구하고 운영을 최대한으로 유지하여 기업에 이익을 줍니다. 클라우드 보안의 주요 장점은 무단 사용자와 악의적인 활동을 방지할 수 있다는 것입니다. 다음은 클라우드 보안 프로그램 구현 시 얻을 수 있는 이점입니다.
- DDoS 공격 방지: 클라우드 보안 프로그램은 지속적인 모니터링과 분석 및 완화 툴을 통해 점점 더 증가하는 정교한 공격의 위협을 근절할 수 있습니다.
- 데이터 보호: 사용자와 애플리케이션에서 데이터를 분리하여 기밀 데이터는 액세스가 자동으로 제어되는 안전한 장소로 풀링됩니다.
- 가시성 향상: IT 부서는 단일 통합 클라우드 보안 프로그램을 통해 여러 클라우드를 감시하지 않고도 모든 활동을 모니터링할 수 있습니다.
- 고가용성: 클라우드 보안에 내장된 이중화를 통해 리소스와 애플리케이션이 항상 가동되어 언제나 액세스할 수 있습니다.
- 규정 컴플라이언스: 조직은 전송 중에 데이터를 자동으로 암호화하고 저장 시 데이터에 대한 액세스를 제어하여 DOD 및 연방 규정을 준수합니다.
- 비즈니스 연속성: 클라우드 보안에 내장된 이중화는 악의적인 행위자로부터 데이터와 리소스를 보호할 뿐만 아니라 날씨나 전력 중단에도 비즈니스를 지속적으로 운영할 수 있도록 합니다.
클라우드 보안이 극복해야 하는 문제
클라우드 배치의 양과 속도가 증가함에 따라 클라우드에 배치된 전체 리소스에 대한 위험도 증가하고 있습니다. 기업들은 여러 클라우드를 동시에 사용하는 경우가 많은데, 서로 다른 기능을 사용하기 위해 서로 다른 클라우드를 사용하기 때문에 이러한 리스크가 더욱 커집니다. 다음은 클라우드 기반 보안의 몇 가지 문제입니다.
- 인식: 오프프레미스 및 클라우드에 너무 많은 리소스와 활동이 배치되면 IT 부서가 모든 액세스 포인트를 제대로 파악할 수 없게 됩니다. 이러한 방법은 모든 것이 온프레미스에 있을 때 훨씬 더 쉽게 제어할 수 있습니다.
- DDoS 공격: 기록적인 수의 DDOS(Distributed Denial of Service) 공격으로 인해 공급자와 구독자를 포함하여 클라우드에 관련된 모든 이에게 공격 속도를 따라잡아야 한다는 중압감을 줍니다. 필요한 속도와 민첩성은 계속 증가하고 있으며, 이러한 부담은 조직과 공급자가 함께 짊어져야 합니다.
- 통합: 클라우드 서비스로 오가는 민감한 정보의 흐름에 대한 위험을 줄이려면 현장 데이터 손실 방지 기능과 클라우드 공급자를 통합하는 것이 반드시 필요합니다. IT는 데이터를 클라우드에 업로드하기 전에라도 수동 또는 자동으로 데이터를 분류하고 사내에서 사용자 권한 부여를 제어해야 합니다.
- 내부자: 때때로 위협은 의도적이든 우발적이든 간에 내부 사용자로부터 발생합니다. IT 부서는 이러한 위험을 완화하기 위해 다음과 같은 세 가지 접근 방식을 실행해야 합니다.
- 관리되는 장치에서만 민감 데이터 사용
- 동작 분석을 사용하여 활동 모니터링
- 사용자 교육을 자주 실시
클라우드 보안 위험
클라우드 컴퓨팅은 많은 이점이 있지만 기업은 디지털 자산을 보호하기 위해 보안 위협 문제를 해결해야 합니다. 주요 클라우드 보안 위험은 다음과 같습니다.
- 데이터 침해:
- 위험: 클라우드 컴퓨팅 위험으로는 민감 데이터 노출, 무단 액세스, 도난, 침해로 인한 공개 등이 있습니다. 공격자들은 클라우드 서비스의 취약성이나 부실하게 설계된 스토리지를 악용할 수 있습니다.
- 데이터 침해 유형: 데이터 침해는 잘못 구성된 설정이나 불충분한 액세스 제한 등으로 인한 내부 요인과 해커가 클라우드 인프라를 손상시키는 외부 공격으로 발생할 수 있습니다.
- 무단 액세스:
- 위험: 무단 액세스는 필수 권한이 없는 사람이나 조직이 클라우드의 리소스에 액세스하는 경우에 발생합니다. 이는 데이터의 변경, 도난 또는 서비스 중단으로 이어질 수 있습니다.
- 무단 액세스의 유형: 무단 액세스와 관련된 일반적인 기술로는 자격 증명 도난, 약한 인증 절차, 클라우드 플랫폼의 보안 취약점 이용 등이 있습니다. 불충분한 액세스 제한 및 사용자 권한 처리 오류로 인해 이러한 위험이 더욱 커질 수 있습니다.
- 내부자 위협:
- 위험: 내부자 위협은 클라우드 환경에 대한 합법적인 액세스 권한이 있는 사람이 행하는 유해한 행동을 의미합니다. 여기에는 권한을 악용하거나 피해를 주는 직원, 계약자 또는 파트너가 포함됩니다.
- 내부자 위협 유형: 피싱 링크 클릭과 같이 의도치 않은 행위뿐 아니라 악의적인 내부자도 기밀 정보를 고의로 유출할 수 있습니다. 내부자는 재정적 이득, 복수 또는 스파이 행위를 위해 자신의 권한을 사용하므로 이를 식별하고 방지하기가 어려울 수 있습니다.
이러한 위협을 줄이려면 강력한 인증, 암호화, 액세스 제어, 지속적인 모니터링이 필요합니다. 변화하는 클라우드 보안 문제를 해결하기 위해서는 조직이 감시를 유지하면서 보안을 업그레이드하고 사용자를 교육해야 합니다.
클라우드 보안 성공 사례
기업은 핵심 데이터와 프로세스를 보호하기 위해 강력한 클라우드 컴퓨팅 보안 조치를 구현해야 합니다. 클라우드 보안 성공 사례는 다음과 같습니다.
- 강력한 암호 사용:
중요: 강력한 암호는 무단 액세스에 대한 첫 번째 보안 방어선으로, 클라우드 플랫폼의 사용자 계정을 불법 액세스로부터 보호할 수 있습니다.
강력한 암호를 만드는 팁은 다음과 같습니다.
- 대문자 및 소문자, 숫자, 기호를 사용하여 강력한 암호를 만듭니다.
- 생일이나 일반적인 문구와 같이 바로 추측할 수 있는 정보는 피합니다.
- 계정마다 고유한 암호를 지정합니다.
- 암호를 자주 업데이트하고 추측 가능한 순서는 피합니다.
- MFA(다중 인증) 구현:
중요: 다중 인증은 사용자가 여러 형태의 인증을 제공해야 하기 때문에 온라인 보안이 강화됩니다. 따라서 자격 증명이 손상된 경우에도 무단 액세스를 효과적으로 방지할 수 있습니다.
MFA 유형:
- 이메일 코드 또는 텍스트 메시지: 이메일 주소 또는 등록된 휴대전화 번호로 일회성 코드가 제공됩니다.
- 생체 인증: 스캔 가능한 지문, 얼굴 또는 망막을 사용합니다.
- 하드웨어 토큰: 물리적 장치에서 생성하는 시간 한정 코드입니다.
- 애플리케이션 기반 인증: Authy 또는 Google Authenticator와 같은 모바일 애플리케이션을 사용합니다.
- 정기적으로 데이터 백업:
중요: 사이버 공격, 장치 문제 또는 우발적인 삭제 등으로 인해 데이터 손실이 발생할 수 있습니다. 정기적인 백업을 통해 기업은 데이터가 손상될 경우 빠르게 운영을 복구 및 복원할 수 있습니다.
백업 방법:
- 자동으로 자주 백업: 데이터 손실을 줄이기 위해 백업을 자주 예약합니다.
- 오프사이트 백업: 백업을 다른 위치 또는 클라우드에 저장하여 단일 지점 장애를 방지합니다.
- 버전 관리: 파일을 여러 번 저장하여 손상을 방지합니다.
이러한 성공 사례에 따라 클라우드 컴퓨팅 보안을 강화합니다. 조직은 사용자 인증, 데이터 보안, 복구를 우선으로 적용하여 변화하는 디지털 환경에 적합한 강력한 클라우드 아키텍처를 설계해야 합니다. 안전한 클라우드 시스템을 위해서는 지속적으로 모니터링하고 새로운 보안 위협에 적응해야 합니다.
HPE가 클라우드 보안을 통해 고객을 지원하는 방식
제로 트러스트는 공격이 조직의 네트워크 안팎에서 발생할 수 있다고 가정하여 경계 기반 전략에 의문을 제기합니다. 이는 데이터와 서비스가 여러 환경에 분산된 클라우드 보안에서 특히 중요합니다.
제로 트러스트 방식은 위치나 네트워크 연결과 상관없이 리소스에 액세스하려는 모든 사용자에게 인증을 요구합니다. 클라우드 컴퓨팅은 동적입니다. 따라서 강력한 인증, 액세스 제한, 지속적인 모니터링이 필요합니다.
클라우드 보안에서 제로 트러스트를 구현하는 데 몇 가지 주요 원칙이 적용됩니다.
- 사용자 ID와 강력한 인증을 중심으로 액세스를 제공합니다.
- 손상된 자격 증명의 영향을 줄이기 위해 작업 완료에 필요한 최소한의 액세스 권한만 사용자에게 부여합니다.
- 사용자의 활동과 네트워크 트래픽을 실시간으로 모니터링하면 이상 징후와 보안 문제를 파악할 수 있습니다.
- 침해를 방지하고 인프라 내부의 측면 이동을 제한하기 위해 네트워크를 더 작은 단위의 격리된 섹션으로 세분화합니다.
제로 트러스트 클라우드 보안은 어떠한 경우에도 신뢰한다고 가정하지 않으며 디지털 에코시스템의 발전하는 위협 시나리오에 맞춰 보안 조치를 지속적으로 구현, 업데이트, 검증해야 한다는 인식을 기반으로 합니다. 이러한 사전 대응 방식으로 클라우드 인프라를 외부 및 내부의 위협으로부터 더욱 강력하게 보호하고 끊임없이 변화하는 사이버 보안 위험 문제를 해결할 수 있습니다.
클라우드 보안에 제로 트러스트 적용
Hewlett Packard Enterprise(HPE)는 고객이 클라우드 보안 태세를 강화하는 데 도움이 되는 다양한 솔루션과 서비스를 제공합니다. 다음은 HPE가 다양한 서비스를 통해 클라우드 보안 문제를 해결하는 방법을 간략하게 설명한 것입니다.
- HPE GreenLake의 클라우드 및 서비스형 솔루션 제품군은 엣지, 데이터 센터, 코로케이션, 퍼블릭 클라우드 등 애플리케이션과 데이터의 위치와 상관없이 클라우드 경험을 제공합니다. 엣지부터 클라우드까지 제로 트러스트 지원 아키텍처는 HPE GreenLake로 괴리를 해소하고 보안 침해를 간소화하는 데 도움이 됩니다. 이를 통한 위험 기반 및 규제 준수 중심의 사이버 복원력 및 데이터 보호 전략을 기반으로 디지털 공급 사슬을 보호하고 보안과 규제 준수를 보장할 수 있습니다.
- HPE Managed Security는 비용 절감 및 인력 확보 효과가 있는 포괄적인 툴로 기업의 프로세스를 보호하는 가시성과 제어 권한을 제공하여 기업이 보안 표준을 달성할 수 있도록 지원합니다. HPE Managed Security는 보안 지원 인프라에 관한 관리, 가시성, 제어 툴을 제공하여 기업이 보안을 포괄적으로 적용할 수 있도록 지원합니다. 기업은 통합된 보안 아키텍처와 지속적인 모니터링을 활용하여 제로 트러스트 프레임워크를 구현하고 보안 취약점을 감지 및 해결할 수 있습니다.
- 컴플라이언스 모니터링, 사전 대응식 문제 해결을 위한 권장 사항, 신뢰할 수 있는 컴플라이언스 전문가에 대한 액세스를 제공하는 HPE Managed IT Compliance는 고객이 보안 결함을 찾아 해결하고 데이터와 애플리케이션을 보호하는 데 도움이 되는 관리형 서비스입니다. HPE Managed IT Compliance는 표준 기반 절차와 업계 최고 수준의 기술을 사용하여 고객이 증가하는 컴플라이언스 관련 의무에 대비하고 감사 준비 시간, 비용, 복잡성을 최소화할 수 있도록 지원합니다. 고객의 GDPR 및 CCPA 준수도 HPE Managed IT Compliance가 처리합니다.
- HPE Data Protection은 스냅샷 대신 상시 복제를 지원하는 지속적인 데이터 보호를 통해 고객의 데이터를 랜섬웨어 공격 및 기타 위협으로부터 보호합니다. HPE Data Protection의 내장된 암호화 기능은 위치와 상관없이 백업 데이터 보안을 보장합니다.
- HPE Zero Trust Security는 고객이 엣지 투 클라우드 환경에서 제로 트러스트 프레임워크를 구현하는 데 도움이 되도록 설계된 솔루션입니다. HPE 제로 트러스트 보안은 데이터, 장치, 사람, 애플리케이션을 공격으로부터 보호하기 위한 세밀한 가시성과 제어를 제공합니다. 또한 고객은 이 솔루션을 사용하여 공격 표면 감소, 위협 식별 및 위협에 대응, 보안 운영 자동화의 이점을 얻을 수 있습니다.
- HPE Aruba Networking ClearPass Policy Manager는 모든 멀티 벤더 유무선 및 VPN 인프라에서 직원, 계약자, 게스트를 대상으로 역할 및 장치에 따라 네트워크 액세스를 제어합니다. ClearPass는 최종 사용자의 편의를 위해 안전한 셀프서비스 기능을 지원합니다. 사용자는 엔터프라이즈 사용이나 인터넷 액세스를 위해 장치를 자체적으로 안전하게 구성할 수 있습니다.