인프라 보안이 플랫폼 보안과 어플리케이션 보안으로 변화 - 클라우드와 보안 (2/3)

Artigo
02/01/2012

안녕하세요. 코난 김대우입니다.
이번에 다룰 포스팅 내용은 클라우드와 보안 두 번째, 인프라 보안이 플랫폼 보안과 어플리케이션 보안으로 변화라는 내용으로 진행 예정입니다. 아마도, 이 글에 관심있는 분들은 충분히 개발이나 IT인프라는 물론 클라우드에 대한 높은 이해와 관심을 가지는 분으로 예상되기 때문에, 설명이나 이해를 목표로 포스팅을 진행하기 보다는 짧은 노트 형태로 남겨 보려고 합니다. 이하, 경어 생략.

클라우드 보안 무엇이 이슈인가? - 클라우드와 보안 (1/3)

Azure가 제공하는 클라우드 서비스 보안 인프라 - 클라우드와 보안 (3/3)

클라우드 서비스 도입 전, 클라우드의 보안은 다음 사항에 대한 총체적 보안 이슈 검증이 필요

클라우드_보안_요소.jpg

- 사람

- 데이터

- 어플리케이션

- 호스트

- 네트워킹

- 서버 하드웨어 보안

Ownership에서 Control로 보안 모델 변화

특히, 기존의 전통적인 인프라 단계의 보안이 플랫폼과 애플리케이션의 단계로 이동하며 방화벽과 Network Access Control List는 가상 방화벽과 호스트 패킷 필터로 대체됨. 다수의 privileged 고객들은 시스템 통제 하의 고객 에이젼트로 전환 되고 플랫폼과 네트워크 레벨의 암호화는 제 기능을 하지만 개별 애플리케이션에 대한 암호화는 개발자의 관리 및 책임이 높아짐.

클라우드 서비스의 위협요인 분석

앞서 논의한 것처럼, 클라우드 도입 = 보안 위협 완화 or 해소를 의미하지는 않음. 위협 자체가 해소 되지 않으며, 일부 완화 또는 새로운 보안 위협이 생성됨.

1) 기존재 위협 요인

- XSS

- SQL Code Injection

- DDoS

- Network Flooding

2) 증가하는 위협 요인

- 개인정보 데이터에 대한 보호

- 권한있는 관리자의 접근으로부터 보호(Privileged Access)

3) 새롭게 발생하는 위협요인

New Privilege Escalation Attacks (VM to host or VM to VM)

Jailbreaking the VM boundary

Hyperjacking (rootkitting the host or VM)

4) 완화되는 위협요인

Patching is automated and instances are moved to secure systems

Cloud resiliency improves failover across a service

위협의 종류와 위협의 단계는 IaaS나 PaaS일 경우에 따라 달라지며, 당연한 서비스 스택 구조상 IaaS의 경우가 더 많은 보안 관련 위협이 존재.

이미 on-premise에서 서비스 중인 환경에도 위협요인은 항상 존재. 공격 요인은 산재하고 있으나, 대응 방식에 대한 근원적 변화 필요. 클라우드 서비스가 제어 가능한 위협도 있으나, 어플리케이션에 대한 위협은 여전히 개발자와 사용자에게 존재함을 주의할 필요 있음. 특히, 하이브리드 서비스형으로 On-premise와 클라우드 서비스를 하나의 네트워크로 결합하는 서비스의 경우 복합적인 공격의 경우는 클라우드 보안과 사내 인프라에 대한 다각적 보안 검토 역시 필요.

클라우드 서비스의 보안 레이어

클라우드_서비스_보안_레이어.jpg

크게 5개의 레이어로 나뉘며 각 영역에 대한 보안 구성을 일반적으로 정의. IaaS나 PaaS일 경우에 따라 세분화 하는 경우도 있음.

- 물리적 레이어

- 네트워크

- 호스트

- 어플리케이션

- 데이터

레이어에 맞는 다양한 보안 인증이나 보안 서비스 내역을 이해하고 도입 전 충분히 사전 검토할 필요 있음.

다음으로는, 기대하셨던 마지막 포스팅!

Windows Azure는 어떻게 안전한 클라우드 서비스를 제공하고 있는지 알아보도록 하겠습니다.

감사합니다.