클라우드 보안이란 무엇입니까?

클라우드 컴퓨팅은 인터넷을 통해 소프트웨어, 하드웨어, 스토리지와 같은 호스티드 서비스를 제공하는 것입니다. 빠른 배포, 유연성, 낮은 초기 비용 및 확장성의 이점으로 인해 클라우드 컴퓨팅은 모든 규모의 조직에서 사실상 보편화되었으며, 종종 하이브리드/멀티 클라우드 인프라 아키텍처의 일부로 활용됩니다.

클라우드 보안은 클라우드 데이터, 애플리케이션 및 인프라를 위협으로부터 보호하는 기술, 정책, 제어 및 서비스를 의미합니다.

데모 요청하기 클라우드 보안 보고서

클라우드 보안이란 무엇입니까?

클라우드 보안은 공동의 책임입니다

클라우드 보안은 클라우드 제공업체와 고객 모두가 공동으로 책임져야 할 사항입니다. 공유 책임 모델에는 기본적으로 다음과 같은 세 가지 범주의 책임이 있습니다. 항상 공급자의, 다음과 같은 책임 항상 고객의 책임과 서비스 모델에 따라 다릅니다.: 서비스형 인프라(IaaS), 서비스형 플랫폼(PaaS) 또는 서비스형 소프트웨어(SaaS)서비스형 소프트웨어(SaaS)), 예를 들면 클라우드 이메일.

다음과 같은 보안 책임이 있습니다. 항상 공급업체는 인프라 자체의 보호뿐만 아니라 컴퓨팅 인스턴스가 실행되고 스토리지 및 기타 리소스가 상주하는 물리적 호스트 및 물리적 네트워크에 대한 액세스, 패치 및 구성과 관련이 있습니다.

다음과 같은 보안 책임이 있습니다. 항상 고객이 수행할 수 있는 작업에는 사용자 및 접근 권한 관리(신원 및 접근 관리), 무단 접근으로부터 클라우드 계정 보호, 클라우드 기반 데이터 자산의 암호화 및 보호, 그리고 보안 상태 관리(컴플라이언스)가 포함됩니다.

7대 고급 클라우드 보안 과제

퍼블릭 클라우드는 명확한 경계가 없기 때문에 근본적으로 다른 보안 환경을 제공합니다. 자동화된 지속적 통합 및 지속적 배포(CI/CD) 방식, 분산 컴퓨팅과 같은 최신 클라우드 접근 방식을 도입할 경우 이러한 어려움은 더욱 커집니다. serverless 아키텍처와 서비스로서의 기능(Functions as a Service)과 같은 일시적 자산 컨테이너.

일부 고급 클라우드 네이티브 보안 오늘날 클라우드 기반 조직이 직면한 과제와 다층적인 위험은 다음과 같습니다.

  1. 공격 노출면 증가

    퍼블릭 클라우드 환경은 보안이 취약한 클라우드 진입 포트를 악용하여 클라우드 내 워크로드와 데이터에 접근하고 이를 방해하려는 해커들에게 매우 매력적인 공격 대상이 되었습니다. 멀웨어, 제로데이 공격, 계정 탈취 등 수많은 악성 위협이 일상적인 현실이 되었습니다.

  2. 가시성과 추적력 부족

    서비스형 인프라(IaaS) 모델에서는 클라우드 제공업체가 인프라 계층을 완전히 통제하며 고객에게 노출하지 않습니다. 가시성과 통제의 부재는 PaaS와 서비스형 소프트웨어(SaaS) 클라우드 모델에서 더욱 심각해집니다. 클라우드 고객은 종종 클라우드 자산을 효과적으로 식별하고 정량화하거나 클라우드 환경을 시각화하지 못합니다.

  3. 끊임없이 변화하는 워크로드

    클라우드 자산은 대규모로 신속하게 동적으로 프로비저닝 및 해제됩니다. 기존의 보안 도구로는 끊임없이 변화하고 일시적인 워크로드를 가진 유연하고 동적인 환경에서 보호 정책을 적용할 수 없어요.

  4. DevOps, DevSecOps 그리고 자동화

    고도로 자동화된 DevOps CI/CD 문화를 도입한 조직은 개발 주기 초기에 적절한 보안 제어를 식별하고 코드 및 템플릿에 포함시켜야 합니다. 보안 관련 변경 사항이 적용되었습니다. 이후 프로덕션 환경에 워크로드가 배포되면 조직의 보안 태세를 약화시킬 수 있을 뿐만 아니라 출시 시간을 연장할 수 있습니다.

  5. 세분화된 권한 및 키 관리

    클라우드 사용자 역할은 의도하거나 필요한 범위를 넘어서는 광범위한 권한을 부여하는 등 매우 허술하게 구성되는 경우가 많습니다. 일반적인 예로, 훈련받지 않은 사용자나 비즈니스 필요가 없는 사용자에게 데이터베이스 삭제 또는 쓰기 권한을 부여하는 것이 있습니다. 애플리케이션 수준에서는 잘못 설정된 키와 권한이 세션을 보안 위험에 노출시킵니다.

  6. 복잡한 환경

    하이브리드 환경에서 일관된 방식으로 보안을 관리하고 멀티클라우드 오늘날 기업들이 선호하는 환경은 퍼블릭 클라우드 제공업체 전반에서 원활하게 작동할 수 있는 방법과 도구를 요구합니다. 프라이빗 클라우드 제공업체 및 온프레미스 배포—포함 지점 사무실 보안 지리적으로 분산된 조직을 위한 것입니다.

  7. 클라우드 컴플라이언스 및 거버넌스

    모든 주요 클라우드 제공업체는 PCI 3.2, NIST 800-53, HIPAA 및 GDPR과 같은 잘 알려진 인증 프로그램 대부분을 준수하고 있습니다. 그러나 고객은 자신의 작업 부하와 데이터 프로세스가 규정을 준수하도록 책임을 지고 보장해야 합니다. 클라우드 환경의 낮은 가시성과 역동적인 특성을 고려할 때, 지속적인 컴플라이언스 점검을 수행하고 잘못된 구성에 대한 실시간 경고를 발행하는 도구를 사용하지 않으면 컴플라이언스 감사 프로세스는 거의 불가능에 가깝습니다.

제로 트러스트와 그것을 받아들여야 하는 이유

용어 Zero Trust 존 킨더백은 2010년에 처음 소개했습니다. 그는 당시 포레스터 리서치의 선임 애널리스트였습니다. 클라우드 보안에서 제로 트러스트의 기본 원칙은 네트워크 내부 또는 외부의 그 누구도, 그 무엇도 자동으로 신뢰하지 않고 모든 것을 검증(즉, 승인, 검사 및 보안)하는 것입니다.

제로 트러스트는 예를 들어, 사용자가 자신의 업무를 수행하는 데 필요한 리소스에만 액세스 권한을 부여하는 최소 권한 거버넌스 전략을 촉진합니다. 마찬가지로, 이는 개발자들에게 웹 기반 애플리케이션이 제대로 보안되도록 보장할 것을 요구합니다.  예를 들어, 개발자가 포트를 일관되게 차단하지 않았거나 "필요에 따라" 권한을 구현하지 않은 경우, 해커가 애플리케이션을 장악하면 데이터베이스에서 데이터를 검색하고 수정할 수 있는 권한을 갖게 됩니다.

또한 제로 트러스트 네트워크는 마이크로 세분화를 활용하여 클라우드 네트워크 보안을 훨씬 더 세밀하게 만듭니다. 마이크로 세분화는 데이터 센터 및 클라우드 배포 환경에 보안 영역을 생성하여 워크로드를 서로 분리하고, 영역 내의 모든 것을 보호하며, 영역 간 트래픽에 대한 정책을 적용하여 보안을 강화합니다.

강력한 클라우드 보안의 6가지 기둥

클라우드 제공업체는 다음과 같은 방식으로 운영됩니다. Amazon Web Services (AWS) Microsoft Azure (Azure), 그리고 Google Cloud Platform (GCP)는 다양한 클라우드 네이티브 보안 기능과 서비스를 제공하지만, 기업 수준의 보안을 구현하려면 타사 솔루션의 보완적인 사용이 필수적입니다. 클라우드 워크로드 보호클라우드 환경에서의 침해, 데이터 유출, 표적 공격으로부터 N을 공격합니다. 오직 통합된 클라우드 네이티브/서드파티 보안 스택만이 다음 업계 모범 사례를 실현하는 데 필요한 중앙 집중식 가시성과 정책 기반의 세분화된 제어를 제공합니다:

  1. 복잡한 인프라 전반에 걸친 세분화된 정책 기반 IAM 및 인증 제어

    그룹 및 역할을 사용하여 개별 IAM 수준에서 작업하는 것이 비즈니스 요구 사항의 변경에 따라 IAM 정의를 업데이트하는 것이 더 쉬워집니다. 그룹이나 역할이 작업을 수행하는 데 필수적인 자산 및 API에 대해 최소한의 접근 권한만 부여하십시오. 권한이 더 많을수록 인증 수준이 더 높아집니다. 그리고 엄격한 암호 정책 시행, 권한 제한 시간 제한 등 IAM 위생을 게을리하지 마세요.

  2. 제로 트러스트 클라우드 네트워크 보안 논리적으로 격리된 네트워크 및 마이크로 세그먼트 전반에 걸친 제어

    비즈니스 크리티컬 리소스와 앱을 공급자의 클라우드 네트워크의 논리적으로 격리된 섹션에 배포하세요. 예를 들어 가상 사설 클라우드(AWS 및 Google) 또는 vNET(Azure) 등이 있습니다. 서브넷을 사용하여 워크로드를 서로 마이크로 세그먼트로 분리하고, 서브넷 게이트웨이에서 세분화된 보안 정책을 적용하십시오. 하이브리드 아키텍처에서는 전용 WAN 링크를 사용하고, 정적 사용자 정의 라우팅 구성을 사용하여 가상 디바이스, 가상 네트워크 및 해당 게이트웨이, 그리고 공용 IP 주소에 대한 액세스를 사용자 지정할 수 있습니다.

  3. 가상 서버 보호 정책 및 변경 관리, 소프트웨어 업데이트 등의 프로세스 시행:

    클라우드 보안 공급업체는 강력한 서비스를 제공합니다. Cloud Security Posture Management가상 서버를 프로비저닝할 때 거버넌스 및 컴플라이언스 규칙과 템플릿을 일관되게 적용하고, 구성 편차를 감사하며, 가능한 경우 자동으로 수정합니다.

  4. 차세대 웹 애플리케이션 방화벽으로 모든 애플리케이션(특히 클라우드 네이티브 분산 애플리케이션)을 보호합니다.

    이 시스템은 웹 애플리케이션 서버로 들어오고 나가는 트래픽을 세부적으로 검사하고 제어하며, 트래픽 동작 변화에 따라 WAF 규칙을 자동으로 업데이트하고, 워크로드를 실행하는 마이크로서비스에 더 가까운 곳에 배포됩니다.

  5. 향상된 데이터 보호

    모든 전송 계층에서의 암호화를 통한 향상된 데이터 보호, 보안 파일 공유 및 통신, 지속적인 컴플라이언스 위험 관리, 그리고 잘못 구성된 버킷 감지 및 고아 리소스 종료와 같은 우수한 데이터 저장소 리소스 관리 유지.

  6. 위협 인텔리전스 알려진 위협과 알려지지 않은 위협을 실시간으로 탐지하고 해결합니다.

    서드파티 클라우드 보안 벤더들은 자산 및 구성 관리 시스템, 취약성 스캐너 등 내부 데이터와 공개 위협 인텔리전스 피드, 위치 데이터베이스 등 외부 데이터와 집계된 로그 데이터를 지능적으로 교차 참조하여 크고 다양한 클라우드 네이티브 로그 스트림에 맥락을 더합니다. 또한 위협 환경을 시각화하고 쿼리하는 데 도움이 되는 도구를 제공하여 사고 대응 시간을 단축할 수 있습니다. AI 기반 이상 탐지 알고리즘을 적용하여 알려지지 않은 위협을 포착하고, 이후 포렌식 분석을 통해 위험 프로필을 파악합니다. 침입 및 정책 위반에 대한 실시간 경고는 문제 해결 시간을 단축하고, 때로는 자동 해결 워크플로를 트리거하기도 합니다.

체크 포인트 CloudGuard 솔루션에 대해 자세히 알아보세요.

체크 포인트의 통합 CloudGuard 클라우드 보안 플랫폼은 공급자의 클라우드 네이티브 보안 서비스와 원활하게 통합되어 클라우드 사용자가 공유 책임 모델의 자신의 부분을 준수하고 클라우드 보안의 모든 기둥에 걸쳐 제로 트러스트 정책을 유지하도록 합니다: 액세스 제어, 네트워크 보안가상 서버 컴플라이언스, 워크로드 및 데이터 보호, 위협 인텔리전스.

클라우드 보안 핵심 요소 다이어그램