Cloud Computing
Cloud Computing
클라우드 컴퓨팅 필수 구성 요소
광대역 네트워크 대역폭(Broad Network Access)
- 네트워크를 통하여 다수 단말들에게 서비스를 제공하는 능력을 갖춰야 한다.
최근에는 PC외에도 테블릿, 모바일 등 다양한 단말이 존재하기 때문이다.
서비스 탄력성(Rapid Elasticity)
- 클라우드 컴퓨팅은 사용자의 서비스 요구사항에 맞춰 자원의 확장, 축소 기능을 제공해야 한다.
측정 가능한 서비스(Measured Service)
- 클라우드 시스템은 자동적으로 자원의 사용을 제어하고 최적화해야 한다.
모든 자원은 감시되고 제어 되어야 하며 사용자와 서비스 제공자 모두에게 정확한 내역이 제공되어야 한다.
사용자 요청 서비스(On-demand Self-service)
- 사용자는 서버시간, 네트워크 저장 공간 등의 컴퓨팅 가용자원을 서비스 업체 담당자의 작업 없이도 자동으로 사용할 수 있어야 한다.
자원 공유(Resource Pooling)
- 클라우드 서비스 제공자가 공급하는 모든 자원은 공용으로 사용될 수 있으며, 사용자의 요청에 따라 동적으로 할당되고 회수될 수 있어야 한다.
서비스 모델
IaaS(Infrastructure as a Service)
- 서비스 제공업체는 사용자가 운영하는 프로그램을 구동하기 위한 컴퓨티 자원을 제공한다.
- 임의의 소프트웨어는 운영체제(Windows, Linux 등) 및 각종 어플리케이션, 웹 서버, 데이터베이스가 될 수 있음
PaaS(Platform as a Service)
- 사용자가 개발한 응용 프로그램을 구동하기 위한 환경을 제공하는 서비스
- PaaS는 클라우드 컴퓨팅에서 운영체제로 불리고 있다.
Saas(Software as a Service)
- 사용자가 필요로 하는 소프트웨어 응용 프로그램을 제공하는 것.
- 기업 업무의 공용 업무를 제공하는 것이 일반적. ( 메일서비스 - Gmail, 기업 회계 시스템 - ERP )
배포 모델
사설 클라우드 - Private Cloud
클라우드 컴퓨팅을 사용하려는 기업이 직접 클라우드 시스템을 구축하는 체계
기업/기관의 전산 환경을 자체 클라우드 시스템에서 구동하기 위함
장점
- 기존 IT Infra 대부분 재활용 가능
- IT Service를 원하는 형태로 사용자 구미에 맞게 구성하여 제공이 가능함
- 내부 통제가 가능하며, 주요 정보 자산을 자체 보관하므로 보안성 확보 가능
- IT 서비스의 내부 효율성 향상
공용 클라우드 - Public Cloud
- 클라우드 서비스 제공업체가 직접 구축하여 운영중인, 클라우드 인프라를 비용을 지불하며 사용하는것.
- 장점
- 초기 투자 비용 저렴, 서비스 비용 절감
- 클라우드 전문 업체의 전문 인력 활용 가능
- 서비스 유연성 강화, 서비스 구현 속도 향상
Community Cloud
- 특정 조직, 특정 기관들만 사용하도록 클라우드 시스템을 구축하여 운영
- 동일한 성격의 기관이나 조직이 구축하여 사용하며, 업무가 유사한 경우 생상되는 자료의 성격, 운영 방식이 유사
- 클라우드 시스템의 활용방안이 큰 편
- ex) 행정기관 전용 웹 서버 클라우드 시스템 등
Hybrid Cloud
- 앞서 설명한 방식들 중 두 개 이상을 동시에 운영하는 모델
- Private + Public || Public + Community || Private + Community
- ex ) Public Clud의 SaaS를 사용하여 업무를 진행하며, 사무실의 Private Cloud 내 저장장치에 저장한다.
클라우드 보안 위협 및 대응방안
Cloud Security Alliance [CSA 10]는 아래 내용을 클라우드에 특화된 위협으로 정의하며 이에 대한 대응책을 제시한다.
Abuse and nefarious use of cloud computing
- 문제점
- 많은 클라우드 서비스 제공자들을 서비스 사용을 위한 등록과정을 손쉽게 만들었다. 또한 무료로 서비스 체험 기능을 제공한다.
- 이는 공격자에게 스팸, 악성코드 공격, DDoS와 같은 공격을 위한 컴퓨팅 자원을 제공하는 사례가 발생함.
- 대응방안
- 엄격한 초기 등록 및 검증 절차 운영
- 개선된 신용카드 부정사용 방지 모니터링
- 사용자 네트워크 트래픽에 대한 분석
- 외부 위협 목록에 대한 차단 수행
Malicious Insiders
문제점
- 클라우드 컴퓨팅 패러다임으로 인하여 조직은 보안이나 타 분야의 직접 통제를 포기하고 있으며, 이 과정에서 클라우드 제공자의 보안 수준에 대하여 논의중이다.
- 클라우드 아키텍쳐에서 시스템 관리자는 보안 관리자 역할도 수행하여야 한다.
대응방안
채용 과정에서 법적 계약의 한 부분으로 보안 사항 명시
정보보안 관리 절차, 컴플라이언스와 같이 모든 정보에 대한 투명성 요구
발생 가능한 침해사고에 대한 사고 대응 절차 정의
Insecure Interface and APIS
- 문제점
- 클라우드 제공자는 서비스의 동작 및 관리를 위하여 인터페이스와 API를 노출시킨다.
- 클라우드 서비스의 가용성, 보안성은 이러한 기본 API의 보안에 종속된다.
- 인증, 암호를 위한 접근통제, 행동 분석 등의 인터페이스는 갑작스러운 악성 우회 시도로부터 대응력을 갖도록 설계되어야 한다.
- 대응방안
- 강력한 인증기법과 접근통제를 사용
- 클라우드 제공자 인터페이스의 보안 모델 분석
- API에 연관된 연속된 업무 흐름에 대한 이해 필수!
Shared Tech Issues
- 문제점
- IaaS(Infra as a Service)제공자들은 자신들의 서비스를 공유기법을 통하여 확장 가능하도록 제공한다.
- 그러나 인프라를 구성하는 각종 구성품들은 다르게 설계되었을 수 있다.
- 클라우드 제공자는 분리된 가상 머신을 이용하여 이러한 문제를 처리하지만 완벽한 해결책은 아님.
- 대응방안
- 설치와 환경설정에서 보안설정을 최적으로 구현
- 허가되지 않은 변경/동작 등에 대한 모니터링 실시
- 관리자의 접근이나 운영은 강한 접근통제와 인증을 적용
- 취약점 점검 및 인프라 감사를 지속적으로 수행
Data Loss or Leakage
문제점
- 많은 고객들에게 데이터 관련 사고 중 가장 큰 여파가 있는 것은 데이터 손실과 데이터 유출
대응방안
강력한 API 접근통제 수행
데이터 전송시 무결성 보호 및 암호화 실시
설계와 실행 과정 모두에서 데이터 보호 로직 분석
강력한 키 생성, 보호, 관리 및 파기 절차 구현
Account or Service Hijacking
문제점
- 계정, 서비스의 하이재킹과 같은 인증정보 도난은 여전히 심각한 위협
- 훔친 계정정보를 이용하며, 공격자는 운영중인 클라우드 컴퓨팅의 핵심 자원에 접근이 가능할 수 있음
- 기밀성, 무결성 그리고 서비스의 가용성을 손상시킬 수 있음
대응방안
사용자, 서비스의 계정정보 굥유 금지
가능한 경우 Two-Factor Authentication을 사용하여 보안 강화
허가받지 않은 행위를 탐지하기 위한 사전 모니터링 실시
Unknown Risk Profile
문제점
- 클라우드를 사용함에 있어 고객들을 서비스 통제권을 클라우드 제공자에게 양도하는 것이 보안에 영향을 줄 수 있다.
- 그러므로 고객은 위험 관리에 R&R을 명확히 하고 주의를 기울여야 한다.
대응방안
데이터 및 어플리케이션 로그의 공개
인프라 상세 명세에 대한 일부 공개
필요 정보에 대한 감시 및 경고 필요
Anti-Virus는 알려진 위협을 탐지하는것, 능동적 방어는 불가능하다.
Data Protection In the Cloud
- 클라우드 환경에서 데이터에 대한 위협은 나날이 증가하고 있다.
- DB환경은 클라우드 컴퓨팅에서도 매우 다양한 방법으로 사용된다.
- 데이터는 저장 상태, 전송중, 사용중일 때 안전해야 하며, 데이터에 대한 접근 역시 반드시 통제되어야 한다.
- 고객은 데이터 보호를 위해 전송데이터 암호 기법을 사용할 수 있다.
- 저장중인 데이터의 이상적인 보호는 DB를 암호화하는 것이며, 저장된 암호화 데이터 보호를 위해서는
클라우드 제공자라 할지라도 암호키 접근이 불가능해야 한다.보다 자세한 내용은 클라우드 컴퓨팅 서비스 정보보호에 관한 기준을 참고하면 좋을것 같다.