[Cloud] 보안과 폐쇄형 클라우드 : 4장

클라우드 세상 속으로 라는 책을 읽으며, 중요한 내용은 저 자신도 곱씹어 볼겸 가겹게 포스팅 하겠습니다.

4.1 공개형 클라우드에서의 정보 보안

1) 클라우드 도입을 더디게 만드는 보안에 대한 우려

2009년 IDC에서 기업 it 임원들을 대상으로 클라우드 컴퓨팅과 관련된 우려사항들에 대한 조사 1위로 보안이 당첨되었다.

 

저자는 거의 모든 회사들의 내부 IT 환경만큼 클라우드 컴퓨팅 환경을 안전하게 만드는데 있어, 근본적인 장애물은 존재하지 않는다고 하였다. 암호화된 저장소, 가상 랜, 방화벽이나 패킷 필터등 표준 네트워크 보안 도구들처럼 잘 알려진 기술들을 이용하면 대부분의 이러한 장애물들은 즉시 제거될 수 있다.

 

2) 주요 클라우드 데이터센터 보안

- 물리적 보안

말 그대로 물리적 공간의 분리이다. 담장으로부터 아주 멀리 안쪽 깊숙히 위치시키고, 자연적으로 갖춰진 경계 보호에 더해 경계를 따라 지대를 높혀 군사 시설 수준의 통제용 지역을 갖춘다. 일반적으로 모든 방문자들과 직원들은 본인 인증서를 보이고 서명을 해야하고, 내부에서 이동시 허가된 직원이 따라다닌다.

 

대부분의 공개용 클라우드 제공 회사들은 SAS 70 Type II 인증을 지닌다. 이는 클라우드 를 제공하는 회사가 내부적으로 효과적으로 운영되고 있음을 외부의 기관인 미국 공인회계사 에서 확인하여 인증해줌을 의미한다.

SAS 감사는 한 시점에만 확인하는 것 이 아닌, 6개월 간의 꾸준한 감사를 통하여 진행되며, 1년마다 한번씩은 진행된다.

 

이러한 SAS 70과 같은 인증을 지속적으로 유지함으로써 규정을 준수하고 있다는 것 을 보장받을 수 있다.

 

3) 공개형 클라우드의 접근 통제 방법들

- 비용 청구 유효성 확인

보통 신용카드 인증을 통하여 이루어진다.

 

- 전화로 본인 확인

 

- 회원 가입을 위한 신용정보들

 

- 접근 키들

클라우드에 접근하여 작업을 수행하기 위해서는 모든 API에 접근 키를 필요로 한다.

 

- X.509 인증서

- 쌍으로 된 키

 

4) 주요 클라우드 네트워크와 데이터 보안

이미 클라우드는 대부분의 데이터센터들 보다 더 안전한다. 시간이 갈수록 이 차이는 더 커질것 이다.

일반적 데이터 센터들에 비해 대형 클라우드 회사에서 보안에 투자하는 지출은 상당하며, 기술력 또한 정상급이다. 개별 데이터 센터들이 근접할 수 없을 수준의 보안을 자랑한다.

 

또한 클라우드 사용하는 것 자체가 이미 보안상의 혜택을 받고 있는 것 이다. 조직 전체에 분산되지 않고 클라우드에 모아진 데이터는, 사람들의 노트북에는 상대적으로 적은 데이터가 있음을 의미하고, 이는 더 적은 정보 유출가능성을 의미한다.

 

만약 사고가 발생한다면 클라우드는 더 신속하고 포괄적인 대응 수단을 제공한다. 또한 클라우드 제공 회사들은 양적 질적으로 더 좋은 내장된 인증키를 제공한다. 예를들면 아마존의 S3는 모든 S3객체에 대해 MD5 해시 암호화를 해둔다.

 

4.2 폐쇠형 클라우드에 대한 타당성

폐쇠형 클라우드는 기존의 5가지 클라우드의 주요 원칙에서 3가지 원칙이 적용된다. 가상화, 탄력성, 자동화 가 적용되었다.

 

폐쇠형 클라우드란?

방화벽 내에 특정 그룹의 사람들에게 호스팅 서비스로 제공하는 컴퓨팅 아키텍처 이다. 폐쇄형 클라우드는 필용에 따라 탄력성을 가진 연산 능력을 내부 사용자들에게 제공하기 위해 가상화, 자동화, 분산 컴퓨팅을 사용한다.

 

그럼 폐쇠형클라우드를 적용하는 기준이 무엇일까? 총 4가지 기준이 있다.

- 보안 : 보안과 개인정보 보호 이유 때문에 직접적인 통제와 감독이 필요한 경우.

- 가용성 : 공유된 공용 자원 환경에서는 보장될 수 없는 한정된 컴퓨팅 자원들에 확실한 접근이 요구되는 어플리케이션들

- 사용자 커뮤니티 : 지역적으로 분산된 많은 사용자를 가진 조직이 유틸리티 컴퓨팅 자원들에 접근해야 하는 경우

- 규모의 경제 : 활용 가능한 기존 데이터센터와 하드웨어 자원들과, 유리한 가격 수준으로 자본 설비를 구매할수있는 능력

 

4.3 가상 폐쇄형 클라우드 (VPC)

vpc는 조직이 갖고있는 기존의 IT 인프라와 클라우드 제공자의 공개형 클라우드를 안전하고 완벽하게 연결해 준다.

 

앞서 설명한 폐쇄형 클라우드는 아니지만, 이 접근 방법은 기업의 데이터센터와 대중적인 클라우드 제공자의 공개형 클라우드 양쪽을 합친 결합모델을 제시해준다.

 

아마존의 VPC는 기업들로 하여금 자신들의 기존의 인프라를 가상사설망(VPN)을 통하여 독립된 AWS 자원들에 접속 가능하도록 해주고, 보안 서비스나 방화벽, 침입 탐지 시스템 과 같은 기존 관리 범위를 자신들의 AWS 자원을 포함한 영역으로 확장이 가능하도록 해준다.

 

다음 그림을 보면 외부의 회사에서 AWS에 할당되있는 VPC에 접근하여 사용하는 것을 알수있다.

VPC는 하나 이상의 VPC_subnet으로 구성되어 있다.