Cloud Computing

Cloud Computing

---

클라우드 컴퓨팅 필수 구성 요소

---

• 광대역 네트워크 대역폭(Broad Network Access)

  • 네트워크를 통하여 다수 단말들에게 서비스를 제공하는 능력을 갖춰야 한다.
    최근에는 PC외에도 테블릿, 모바일 등 다양한 단말이 존재하기 때문이다.

• 서비스 탄력성(Rapid Elasticity)

  • 클라우드 컴퓨팅은 사용자의 서비스 요구사항에 맞춰 자원의 확장, 축소 기능을 제공해야 한다.

• 측정 가능한 서비스(Measured Service)

  • 클라우드 시스템은 자동적으로 자원의 사용을 제어하고 최적화해야 한다.
    모든 자원은 감시되고 제어 되어야 하며 사용자와 서비스 제공자 모두에게 정확한 내역이 제공되어야 한다.

• 사용자 요청 서비스(On-demand Self-service)

  • 사용자는 서버시간, 네트워크 저장 공간 등의 컴퓨팅 가용자원을 서비스 업체 담당자의 작업 없이도 자동으로 사용할 수 있어야 한다.

• 자원 공유(Resource Pooling)

  • 클라우드 서비스 제공자가 공급하는 모든 자원은 공용으로 사용될 수 있으며, 사용자의 요청에 따라 동적으로 할당되고 회수될 수 있어야 한다.

서비스 모델

---

IaaS(Infrastructure as a Service)

• 서비스 제공업체는 사용자가 운영하는 프로그램을 구동하기 위한 컴퓨티 자원을 제공한다.
• 임의의 소프트웨어는 운영체제(Windows, Linux 등) 및 각종 어플리케이션, 웹 서버, 데이터베이스가 될 수 있음

PaaS(Platform as a Service)

• 사용자가 개발한 응용 프로그램을 구동하기 위한 환경을 제공하는 서비스
• PaaS는 클라우드 컴퓨팅에서 운영체제로 불리고 있다.

Saas(Software as a Service)

• 사용자가 필요로 하는 소프트웨어 응용 프로그램을 제공하는 것.
• 기업 업무의 공용 업무를 제공하는 것이 일반적. ( 메일서비스 - Gmail, 기업 회계 시스템 - ERP )

배포 모델

---

사설 클라우드 - Private Cloud

• 클라우드 컴퓨팅을 사용하려는 기업이 직접 클라우드 시스템을 구축하는 체계

• 기업/기관의 전산 환경을 자체 클라우드 시스템에서 구동하기 위함

• 장점

  • 기존 IT Infra 대부분 재활용 가능
  • IT Service를 원하는 형태로 사용자 구미에 맞게 구성하여 제공이 가능함
  • 내부 통제가 가능하며, 주요 정보 자산을 자체 보관하므로 보안성 확보 가능
  • IT 서비스의 내부 효율성 향상

공용 클라우드 - Public Cloud

• 클라우드 서비스 제공업체가 직접 구축하여 운영중인, 클라우드 인프라를 비용을 지불하며 사용하는것.

• 장점
  • 초기 투자 비용 저렴, 서비스 비용 절감
  • 클라우드 전문 업체의 전문 인력 활용 가능
  • 서비스 유연성 강화, 서비스 구현 속도 향상

Community Cloud

• 특정 조직, 특정 기관들만 사용하도록 클라우드 시스템을 구축하여 운영
• 동일한 성격의 기관이나 조직이 구축하여 사용하며, 업무가 유사한 경우 생상되는 자료의 성격, 운영 방식이 유사
• 클라우드 시스템의 활용방안이 큰 편
• ex) 행정기관 전용 웹 서버 클라우드 시스템 등

Hybrid Cloud

• 앞서 설명한 방식들 중 두 개 이상을 동시에 운영하는 모델
• Private + Public || Public + Community || Private + Community
• ex ) Public Clud의 SaaS를 사용하여 업무를 진행하며, 사무실의 Private Cloud 내 저장장치에 저장한다.

클라우드 보안 위협 및 대응방안

---

Cloud Security Alliance [CSA 10]는 아래 내용을 클라우드에 특화된 위협으로 정의하며 이에 대한 대응책을 제시한다.

• Abuse and nefarious use of cloud computing

  • 문제점
    • 많은 클라우드 서비스 제공자들을 서비스 사용을 위한 등록과정을 손쉽게 만들었다. 또한 무료로 서비스 체험 기능을 제공한다.
    • 이는 공격자에게 스팸, 악성코드 공격, DDoS와 같은 공격을 위한 컴퓨팅 자원을 제공하는 사례가 발생함.
  • 대응방안
    • 엄격한 초기 등록 및 검증 절차 운영
    • 개선된 신용카드 부정사용 방지 모니터링
    • 사용자 네트워크 트래픽에 대한 분석
    • 외부 위협 목록에 대한 차단 수행

• Malicious Insiders

  • 문제점

    • 클라우드 컴퓨팅 패러다임으로 인하여 조직은 보안이나 타 분야의 직접 통제를 포기하고 있으며, 이 과정에서 클라우드 제공자의 보안 수준에 대하여 논의중이다.
    • 클라우드 아키텍쳐에서 시스템 관리자는 보안 관리자 역할도 수행하여야 한다.

  • 대응방안

    • 채용 과정에서 법적 계약의 한 부분으로 보안 사항 명시

    • 정보보안 관리 절차, 컴플라이언스와 같이 모든 정보에 대한 투명성 요구

    • 발생 가능한 침해사고에 대한 사고 대응 절차 정의

• Insecure Interface and APIS

  • 문제점
    • 클라우드 제공자는 서비스의 동작 및 관리를 위하여 인터페이스와 API를 노출시킨다.
    • 클라우드 서비스의 가용성, 보안성은 이러한 기본 API의 보안에 종속된다.
    • 인증, 암호를 위한 접근통제, 행동 분석 등의 인터페이스는 갑작스러운 악성 우회 시도로부터 대응력을 갖도록 설계되어야 한다.
  • 대응방안
    • 강력한 인증기법과 접근통제를 사용
    • 클라우드 제공자 인터페이스의 보안 모델 분석
    • API에 연관된 연속된 업무 흐름에 대한 이해 필수!

• Shared Tech Issues

  • 문제점
    • IaaS(Infra as a Service)제공자들은 자신들의 서비스를 공유기법을 통하여 확장 가능하도록 제공한다.
    • 그러나 인프라를 구성하는 각종 구성품들은 다르게 설계되었을 수 있다.
    • 클라우드 제공자는 분리된 가상 머신을 이용하여 이러한 문제를 처리하지만 완벽한 해결책은 아님.
  • 대응방안
    • 설치와 환경설정에서 보안설정을 최적으로 구현
    • 허가되지 않은 변경/동작 등에 대한 모니터링 실시
    • 관리자의 접근이나 운영은 강한 접근통제와 인증을 적용
    • 취약점 점검 및 인프라 감사를 지속적으로 수행

• Data Loss or Leakage

  • 문제점

    • 많은 고객들에게 데이터 관련 사고 중 가장 큰 여파가 있는 것은 데이터 손실과 데이터 유출

  • 대응방안

    • 강력한 API 접근통제 수행

    • 데이터 전송시 무결성 보호 및 암호화 실시

    • 설계와 실행 과정 모두에서 데이터 보호 로직 분석

    • 강력한 키 생성, 보호, 관리 및 파기 절차 구현

• Account or Service Hijacking

  • 문제점

    • 계정, 서비스의 하이재킹과 같은 인증정보 도난은 여전히 심각한 위협
    • 훔친 계정정보를 이용하며, 공격자는 운영중인 클라우드 컴퓨팅의 핵심 자원에 접근이 가능할 수 있음
    • 기밀성, 무결성 그리고 서비스의 가용성을 손상시킬 수 있음

  • 대응방안

    • 사용자, 서비스의 계정정보 굥유 금지

    • 가능한 경우 Two-Factor Authentication을 사용하여 보안 강화

    • 허가받지 않은 행위를 탐지하기 위한 사전 모니터링 실시

• Unknown Risk Profile

  • 문제점

    • 클라우드를 사용함에 있어 고객들을 서비스 통제권을 클라우드 제공자에게 양도하는 것이 보안에 영향을 줄 수 있다.
    • 그러므로 고객은 위험 관리에 R&R을 명확히 하고 주의를 기울여야 한다.

  • 대응방안

    • 데이터 및 어플리케이션 로그의 공개

    • 인프라 상세 명세에 대한 일부 공개

    • 필요 정보에 대한 감시 및 경고 필요

    • Anti-Virus는 알려진 위협을 탐지하는것, 능동적 방어는 불가능하다.

• Data Protection In the Cloud

  • 클라우드 환경에서 데이터에 대한 위협은 나날이 증가하고 있다.
  • DB환경은 클라우드 컴퓨팅에서도 매우 다양한 방법으로 사용된다.
  • 데이터는 저장 상태, 전송중, 사용중일 때 안전해야 하며, 데이터에 대한 접근 역시 반드시 통제되어야 한다.
  • 고객은 데이터 보호를 위해 전송데이터 암호 기법을 사용할 수 있다.
  • 저장중인 데이터의 이상적인 보호는 DB를 암호화하는 것이며, 저장된 암호화 데이터 보호를 위해서는
    클라우드 제공자라 할지라도 암호키 접근이 불가능해야 한다.

보다 자세한 내용은 클라우드 컴퓨팅 서비스 정보보호에 관한 기준을 참고하면 좋을것 같다.