안녕하세요. 코난 김대우입니다.
이번에 다룰 포스팅 내용은 "클라우드와 보안"이라는 내용으로 진행 예정입니다.
아마도, 이 글에 관심있는 분들은 충분히 개발이나 IT인프라는 물론 클라우드에 대한 높은 이해와 관심을 가지는 분으로 예상되기 때문에, 설명이나 이해를 목표로 포스팅을 진행하기 보다는 짧은 노트 형태로 남겨 보려고 합니다. 이하, 경어 생략.


클라우드 보안 무엇이 이슈인가? - 클라우드와 보안 (1/3)

인프라 보안이 플랫폼 보안과 어플리케이션 보안으로 변화 - 클라우드와 보안 (2/3)

Azure가 제공하는 클라우드 서비스 보안 인프라 - 클라우드와 보안 (3/3)

 

클라우드_보안_위협.jpg

 

 

클라우드를 사용하려는 고객과, 클라우드 솔루션 개발사의 고민은 크게 다르지 않다.

 

- 클라우드 서비스 제공자를 신뢰할 수 있는가?

- 데이터 외부(사외) 보관에 대해 매우 민감 & 불안
- 클라우드 서비스 제공자 입장에서 Biz Model로의 SaaS는 장점이지만, 보안 관점에서 멀티 테넌트 방식 하의 고객은 "우리의 데이터가 명확히 분리/격리되어 있을까?", "물리적 장치 접근 또는 시스템 리소스 접근 권한자와 같은 제 3자에 노출되어 있지 않을까?"와 같은 불안. 즉, "어플리케이션 관점, 또는 프로세스 관점에서 분리되어 있을까?"에 대한 의문들이 산재
- 데이터 보관 장소를 정확히 알기 어렵다. = 법제도와의 충돌
  우리는 개인정보와 관련 데이터에 대해 법률로 보관 저장소를 제한하고 있음. 특히 EU의 경우 "데이터 보호지령" 중, EU내 거주민 대상 충분한 레벨의 보호를 하고 있지 않을 경우 3국으로의 데이터 이동을 금지하는 법안도 존재.
- 자사 데이터에 접근하는 여부 확인을 위한 엑세스 로그 관리에 대한 의문.

- 클라우드 도입 = 보안 위협 완화 or 해소?

 


 

조금 더 상세 & 구체적인 인증, 제한, 법제도 내용까지 내려가 본다면

ISO 27001

SAS 70 Type2(SSAE-16)

관할지역 법적인 요구사항(Jurisdiction) 

SLA - 이미 SQLER에서도 한번 포스팅된 사항

US Safe Harbor

EU Data Protection Directive

EU Model Contractual Clauses 

FISMA(Federal Information Security Management Act)

FedRAMP(Federal Risk and Authorization Management Program)

Payment Card Industry Data Security Standard

HIPAA (Health Insurance Portability and Accountability Act)

 

국내 클라우드 사업자가 해외 서비스도 목표라면 반드시 법제도에 대해 이해할 필요 있음. 클라우드 도입의 특성상, Vertical Industry에 대한 이해, Jurisdiction에 따라 극명하게 차별화. 현재 위의 항목들이 적용+고려되는 데이터 센터와 서비스 프로세스를 보유한 회사는 전세계에서 두 군데 정도로 알려짐. 여담으로, 클라우드 컨설팅 한다고, go-global 컨설팅 도와 드린다고 컨설턴트 명함 파는 분들 갑자기 고민 되실 듯.

(위의 내용들을 관심있게 검토하면서 느낀건, 우리의 제정된 개인정보보호법은 참 사업자 중심으로 심플하구나... 하는 생각. 쿨럭.)

 

 

이제 조금 더 익숙한 내용으로 돌아가 본다면,

클라우드에도 여전히 산재한 IT 인프라 & 어플리케이션에 대한 보안 위협 및 패턴

Spoofing

Port Scanning/ Service Enumeration

Tampering & Disclosure

Denial of Service

Elevation of Privilege

 

우리가 서비스하는 어플리케이션은 안전한가? 위협이 사라지나?

기본 대전제로,

클라우드를 도입하면 모든 보안 위협과 안정성 문제가 해결 = 영업사원 멘트 / 그럴 일은 없소.

 

클라우드 SLA가 99.9% 이상인건 인프라를 의미하며, 우리가 만들어 올리는 어플리케이션의 안정성은 여전히 개발자에 의존적.

클라우드 서비스가 제어 가능한 위협도 있으나, 어플리케이션에 대한 위협은 여전히 존재.

클라우드 환경의 특성상, 새롭게 발생하는 위협 요인도 존재.

- New Privilege Escalation Attacks (VM to host or VM to VM)
- Jailbreaking the VM boundary
- Hyperjacking (rootkitting the host or VM)

 

 

클라우드로 서비스 한다고 해도, 위협 요인은 항상 존재. 보안 및 위협 대응 방식에 대한 근원적 변화가 필요.

 

보안 위협에 대한 상세한 내용은 다음 포스팅에서 다룰 예정.

감사합니다.

 

PS.

총선에 대선. 내년은 감사원 바쁘겠군요. 정권 바뀌면 꼭 감사 당하는 회사 몇 곳이 있지요.

감사나와서 영장들고 전산실에서 하드디스크 빼가려고 하는데. - "우린 클라우드 쓰는데요" = "데이터 보관소를 모르는데요"

"데이터 보관소를 모른다" = 정권 바뀌면 꼭 감사받는 국내 모 기업들은 이게 threat 일까 benefit 일까?


참고자료 : 

클라우드 보안 무엇이 이슈인가? - 클라우드와 보안 (1/3)

인프라 보안이 플랫폼 보안과 어플리케이션 보안으로 변화 - 클라우드와 보안 (2/3)

Azure가 제공하는 클라우드 서비스 보안 인프라 - 클라우드와 보안 (3/3)

Azure가 서비스되는 데이터센터들 - 소개 영상

Windows Azure 보안에 대한 소개 영상 - Windows Azure Security Overview

Windows Azure 보안 인증 - Azure Identity

Windows Azure 보안 기술백서 다운로드 / Security Best Practices for Developing Windows Azure Applications

안전한 클라우드 어플리케이션 개발 가이드 SDL - Security Development Lifecycle

Windows Azure Platform Security Essentials 시리즈 영상 소개


Azure - 클라우드 컴퓨팅 - 시리즈 강좌 리스트 
[Azure강좌] 1. 클라우드와 원도우 애저 소개
[Azure강좌] 2. SDK 설치와 Azure 무료 신청
[Azure강좌] 3. ASP.NET(Web Role) Hello World
[Azure강좌] 4. 프로젝트 패키지 Azure 배포
[Azure강좌] 5. Windows Azure Storage 서비스와 계정 설정
[Azure강좌] 6. 테이블 서비스와 StorageClient 라이브러리 #1
[Azure강좌] 7. SQL Azure 소개와 서버 구성
[Azure강좌] 8. 데이터베이스 생성과 SSMS 사용
[Azure강좌] 9. SQL Azure 마이그레이션 위자드 사용하기
[Azure강좌] 10. SQL Azure 방화벽 설정
[Azure강좌] 11. SQL Azure Manage 툴 사용해 보기
[Azure강좌] 12. 테이블 서비스와 StorageClient 라이브러리 #2
[Azure강좌] 13. SQL Azure ASP.NET GridView 바인딩
[Azure강좌] 14. Blob 서비스와 Container
[Azure강좌] 15. Blob 리스트 조회, 업로드 다운로드 예제
[Azure강좌] 16. 웹사이트 콘텐트 Blob 스토리지 이용
[Azure강좌] 17. Windows Azure CDN 설정
[Azure강좌] 18. Queue 서비스와 생성, 삭제, 메타데이터 추가
[Azure강좌] 19. Queue 의 메시지 피킹 및 가져오기, 추가, 삭제
[Azure강좌] 20. [Tip] SQL Azure 방화벽 룰 설정 예제 애플리케이션


Azure - 클라우드 컴퓨팅 - 동영상 참고 자료

[Azure 동영상 강좌] 1. 클라우드와 원도우 애저 소개 (애저 포털 둘러보기) 
[Azure 동영상 강좌] 2. SDK 설치와 Azure 무료 신청
[Azure 동영상 강좌] 3. ASP.NET(Web Role) Hello World
[Azure 동영상 강좌] 4. 프로젝트 패키지 Azure 배포
[Azure 동영상 강좌] 5. Windows Azure Storage 서비스와 계정 설정
[Azure 동영상 강좌] 6. 테이블 서비스와 StorageClient 라이브러리 #1
[Azure 동영상 강좌] 7. SQL Azure 소개와 서버 구성
[Azure 동영상 강좌] 8. 데이터베이스 생성과 SSMS 사용
[Azure 동영상 강좌] 9. SQL Azure 마이그레이션 위자드 사용하기
[Azure 동영상 강좌] 10. SQL Azure 방화벽 설정
[Azure 동영상 강좌] 11. SQL Azure Manage 툴 사용해 보기
[Azure 동영상 강좌] 12. 테이블 서비스와 StorageClient 라이브러리 #2
[Azure 동영상 강좌] 13. SQL Azure ASP.NET GridView 바인딩
[Azure 동영상 강좌] 14. Blob 서비스와 Container
[Azure 동영상 강좌] 15. Blob 리스트 조회, 업로드 다운로드 예제
[Azure 동영상 강좌] 16. 웹사이트 콘텐트 Blob 스토리지 이용
[Azure 동영상 강좌] 17. Windows Azure CDN 설정
[Azure 동영상 강좌] 18. Queue 서비스와 생성, 삭제, 메타데이터 추가
[Azure 동영상 강좌] 19. Queue 의 메시지 피킹 및 가져오기, 추가, 삭제
[Azure 동영상 강좌] 20. [Tip] SQL Azure 방화벽 룰 설정 예제 애플리케이션

 





profile

부족하지만, SQLER의 누군가와 함께한 나눔을 통해 제가 더 많이 즐거웠습니다.
SQLER와 함께 즐거워 할수록, 그 나눔을 통해 더 많은 기회와 가치를 발견하게 되었습니다.
나눔의 생각이 앞으로도 계속, SQLER를 움직일 것입니다.

코난, 김대우 / SQLER 운영자 / 골라먹는 SQLER RSS 정보 구독 / 실시간 SQLER 소식 uxkorea 트위터