클라우드 속성
1. 멀티테넌시 Multi-Tenancy
멀티테넌시 직역하면 '다수의 세입자'
복도의 조명과 엘리베이터, 주차 공간 등의 시설은 관리하지 않고 사용만 할 뿐이지만, 각자가 거주하고 있는 집 내부는 직접 도배하고, 페인트칠하고, 가구를 들여오는 등의 인테리어 작업을 할 수 있다.
클라우드 서비스 제공자는 다수의 클라우드 사용자들에게 자원을 제공하기 위해 가상화 기술을 사용해 물리적인 자원을 논리적으로 분할하고 격리하여 세입자들에게 나눠준다.
클라우드 사용자는 비용을 지불하고 대여한 자원의 운영체제 파라미터를 수정하거나, 접속 계정을 생성하고 소프트웨어를 설치하는 등의 내부 작업만 수행하면 된다.
하지만 가상화 기술을 통한 논리적 통제는 클라우드 제공자의 보안 기술과 통제수준에 따라 중요한 데이터가 노출되거나 의도치 않게 내가 사용하는 자원에 다른 사용자의 접근을 허용하는 '공유' 문제를 일으킬 수 있다.
특히 중요한 데이터가 저장될 경우, 데이터의 독립성에 의해 물리적인 위치를 정확히 알 수 없으므로 자원 접근에 대한 통제 문제가 발생할 수 있다.
그렇기 때문에 데이터에 대한 암호화, 비밀키 또는 키 쌍 관리 보안과 접근 통로에 대한 모니터링 활동이 중요해지게 된다.
2. 접근성 Accessibility
공유라는 개념으로 이해할 수 있다. 즉, 클라우드 자원의 공유를 위해서 여러 사람이 인터넷을 통해 쉽게 접근할 수 있는 속성이다.
클라우드 환경은 권한만 있다면 사용자가 언제 어디서든지 손쉽게 자원을 생성하고 방화벽과 같은 보안 기술을 적용할 수 있다. 그리고 클라우드 제공자측에서 클라우드 자원을 다루기 위한 각종 API와 도구를 제공하므로 접속하는 디바이스, 소프트웨어, 운영체제의 종류도 매우 다양하다.
클라우드 환경의 접근성을 고려하지 않고 기존 레거시 시스템과 유사한 방법으로 겹겹이 쌓인 보안 장비를 구축한다면, 막대한 보안비용은 물론 클라우드만의 강점을 저해할 수 있으므로 초기 클라우드 보안 설계가 매우 중요하다.
반복된 인증을 수행하기보다는 최소한의 인증처리로 정확한 인증을 수행하는 것이 좋을 수 있다.
자원에 접근하고자 하는 주체가 누구인지 구분하고(식별), 허락된 사용자가 접근하는지를 확인해서(인증), 사용자가 수행하려는 작업의 권한을 확인하는 과정(인가)이 명확하면 된다. 또한, 사용자가 수행하는 모든 일을 기록하고(로깅), 나중에 문제가 없는지 검토하는 과정(감사)을 포함하여 클라우드 환경에서의 보안 설계 방안을 수립할 수 있다.
3. 탄력성 Elasticity
클라우드 환경에서의 자원들은 유연하게 변경되고, 빠르게 생성되거나 삭제될 수 있다. 이를 탄력성 또는 변동성이라 한다.
즉, 클라우드 환경에서는 자원 사양이 증설되는 스케일 업, 자원의 사양이 축소하는 스케일 다운, 동일한 자원이 추가로 생성되는 스케일 아웃, 동일한 자원 그룹 중에 하나의 자원을 삭제하는 스케일 인의 작업이 자동으로 빈번하게 발생한다.
의도치 않은 비용 발생을 사전에 대응하기 위해서는 자원의 생성과 폐기, 변경에 대한 모니터링과 자동화를 기반으로 한 보안 설계와 보안점검을 고민해볼 필요가 있다.
클라우드 보안 특수성: 책임 추적성 Accountability
클라우드 환경이 가진 속성으로 인해 외부에서의 악의적인 자원 변경, 내부의 중요 데이터 유출, 허가되지 않은 사용자의 접속 등 여러 보안위험이 커졌다.
따라서 클라우드 자원을 사용하기 전에 '식별Identification', '인증Authentication', '인가Authorization' 활동을,
클라우드 자원을 사용하는 도중에는 '로깅Logging', '모니터링Monitoring' 활동을,
클라우드 자원을 사용한 이후에는 활동 이력에 대한 '감사Audit' 활동을 수행하여
클라우드 보안의 특수성인 책임 추적성을 만족시켜야 한다.
여기서 책임 추적성이란 고유하게 식별된 사용자의 행위를 기록하여 수행한 행위에 대한 책임을 부여하고, 사용자 활동의 추적을 위하여 감사 로그와 모니터링을 하는 활동이다.
책임 추적성의 관점에서 자원을 활용하는 클라우드 사용자 또는 개발자, 고객 등의 모든 접속자에 대해, 각자 수행한 행위에 대한 책임을 부여하기 위하여 크게 6가지 활동이 필요하다. 물론 기존 온프레미스 환경에서도 책임 추적성은 필요한 활동이다.
식별Identification
클라우드에 접속을 요청하는 주체(사용자 또는 서버 등)가 스스로를 증명하기 위해 자신이 누구인지 식별 가능한 정보를 입력하는 활동
ex) 사용자 id, 로그인 id, 계정번호, 이메일 주소 등의 정보 입력
인증Authentication
식별을 통한 사용자 정보 외에 본인을 증명할 수 있는 정보를 입력하여, 이를 토대로 허가된 사용자인지를 확인하는 신원 검증 활동
ex) 사용자의 계정 비밀번호 또는 PIN, 토큰, 스마트 카드, 생체 인증을 입력하는 과정을 통해 로그인을 수행함
인가Authorization
인증된 사용자에게 필요한 행위를 수행할 수 있도록 권한을 부여하는 활동. 주체는 리소스, 자원에 접근 및 필요한 행위를 수행할 수 있음
로깅Logging and Audit
애플리케이션 접속/행위 로그, 데이터 액세스 로그, 네트워크 통신 로그, 시스템 이벤트 로그, 관리자의 활동 로그 등 기록을 전자문서로 저장하는 행위
모니터링Monitoring
시스템, 네트워크, 데이터, 사용자 등이 시스템에서 수행한 행위에 대해서 이상징후 분석을 수행하고 실시간으로 수집된 자원의 변경이나 현황정보를 대시보드 등으로 관리하는 활동
감사Audit
감사 로그, 사용자 접속 로그 등 로그 파일이나 활동 정보를 검토하여 보안기준에 따라 계정과 권한 관리 여부를 확인ㅇ하고 위험요소(데이터 유출, 외부 해킹시도 등)를 관리할 수 있도록 보안수준을 관리하는 활동
'Cloud' 카테고리의 다른 글
| [Cloud] [Google Cloud] VM서버 생성 연습 (0) | 2024.05.17 |
|---|---|
| [Cloud] 클라우드의 활용 (0) | 2024.05.17 |
| [Cloud] 클라우드 컴퓨팅이란? (0) | 2024.05.16 |
| [Cloud] 클라우드 유형(배치 모델 / 서비스 모델에 따른 유형) (0) | 2024.03.27 |
| [Cloud] 클라우드란? 클라우드의 특징 (0) | 2024.03.26 |
