2017.03.14

구글이 명시한 AWS와의 차별화 전략··· '클라우드 보안'

Fahmida Y. Rashid | InfoWorld
구글은 자사의 클라우드로 기업들의 필수적인 서비스를 이전하도록 하려면 AWS와는 다른 무엇인가를 제공해야 한다는 사실을 알고 있다. 구글 클라우드 넥스트(Google Cloud Next) 행사에서 이 기업의 경영진은 구글 클라우드가 가장 안전한 클라우드라고 주장했다.

지난주 열린 컨퍼런스에서 구글은 기업 IT 부문이 애플리케이션에 적절히 접근하고 암호화 키를 더욱 잘 관리하며 구글 클라우드에서 실행되는 애플리케이션에 대해 더욱 강력한 인증 메커니즘을 실행할 수 있는 일련의 툴을 공개했다.

구글은 GCP용 KMS(Key Management System)으로 아마존을 추격하는 동시에 DLP(Data Leak Prevention) API를 통해 미지의 영역을 개척하고 있다. 관리자들에게 하드웨어 인프라를 넘어 개별적인 애플리케이션을 보호하는 툴을 제공하는 것이다. 구글은 아마존과는 다른 방식으로 신원 액세스 관리 문제를 강조하고 있는 셈이다.

즉 구글은 분명 보안을 다른 클라우드 인프라 제공자와 차별화할 수 있는 수단으로 보고 있다. 기존 하드웨어와 가상 머신을 보호할 뿐 아니라 그 위에서 구동하는 애플리케이션까지도 보호한다는 아이디어다.

모든 곳에서 민감한 데이터 보호
현재 베타 상태인 DLP API를 이용해 IT팀들은 GCP에서 구동하는 애플리케이션에 있을 수 있는 민감한 정보를 식별하여 수정할 수 있다. DLP 기술은 심도 깊은 콘텐츠 분석을 실시해 신용카드와 계좌번호 또는 연락처 정보 등 40가지 이상의 민감한 데이터 유형 목록과 일치하는 부분을 파악하게 해준다. 이를 통해 관리자들은 해당 정보를 보호하는 최선의 방법을 결정할 수 있다.

새로운 보안 기능을 발표하는 블로그 게시물의 스크린샷을 보면 DLP API가 문서에서 사람의 이름, 이메일 주소, 전화번호, 사회보장번호, 신용카드번호 등의 정보를 수정하는 방식을 알 수 있다.

이 때 관리자들은 각 데이터 유형에 적용할 수 있는 보호 수준을 결정할 수 있다. 또한 관리자들은 OCR을 통해 이미지와 텍스트에 저장돼 있는 콘텐츠도 관리할 수 있다.

구글의 주된 차별점은 GCP용 DLP API가 본래 2015년에 출시된 지메일용 DLP와 1월에 발표된 드라이브(Drive)용 DLP의 확장 기능이라는 점이다. 이 3가지 툴의 조합으로 IT관리자들은 모든 플랫폼에서 클라우드 인프라에서 구동하는 애플리케이션, 지메일에 저장된 메시지, 드라이브에 저장된 문서 등 민감한 데이터를 일관되게 관리할 수 있는 정책을 작성할 수 있다.

다시 말해 구글은 기업들에게 자사 클라우드 내에서 구동하는 애플리케이션에서 데이터를 보호하는 보안 툴을 제공하고 있다. 반면 아마존은 데이터 보호에 투자하기는 했지만 서버와 블록 스토리지 수준에 집중했다.

애플리케이션 액세스 대상을 관리하라
현재 애플리케이션 액세스를 관리하려는 IT팀들은 VPN에 의존하고 있지만 모 아니면 도 방식으로 접근하는 경향이 있다. 유효한 VPN 크리덴셜이 있는 사용자는 모든 애플리케이션에 액세스한다. 미묘한 액세스 제어를 적용하는 것이 항상 문제였으며 직원들이 완전히 신뢰할 수 없는 네트워크로 이동 작업할 때 VPN은 액세스를 관리하기에 비효율적인 특성을 보인다.

설명에 따르면 바로 이 지점이 기업 IT 부문에게 VPN 모델에서 각 애플리케이션의 위험을 평가하는 모델로 전향할 수 있는 IAP(Identity-Aware Proxy)가 필요한 이유다. (현재 베타 상태인) IAP를 통해 관리자들은 어떤 신원 그룹이 어떤 애플리케이션에 액세스할 수 있는지 지정하여 승인되고 인증된 사용자만 구글 클라우드에서 구동하는 IAP 보호 애플리케이션에 액세스할 수 있도록 할 수 있다.

IAP는 직원들이 VPN에 대한 걱정 없이 신뢰할 수 없는 네트워크에서 작업할 수 있도록 구글이 내부적으로 개발한 기업 보안 모델인 BC(BeyondCorp) 프레임워크의 한 요소다. 사용자는 브라우저를 인터넷 액세스가 가능한 URL로 이동해 IAP 보호 애플리케이션에 액세스하고 IAP는 인증 프로세스를 처리하여 신원을 확인하게 된다.

구글은 아마존 및 그 AWS IAM(Identity and Access Management) 서비스와는 다른 방향에서 신원 문제를 해결하고 있다. AWS IAM에서는 관리자들이 AWS서비스 API 및 특정 자원에 대한 액세스를 통제하고 IT에서 AWS액티브 디렉토리 (Active Directory)를 통해 사용자와 그룹을 관리할 수 있지만 개별적인 애플리케이션에 구글이 IAP를 통해 계획하는 것과 같은 수준의 보호를 제공하지 않는다.

단 구글이 SKE를 통해 제공하는 것과 아마존이 이미 AWS IAM의 계정 액세스 요소 및 코그니토(Cognito)의 앱 통합 기능을 통해 제공하는 것들은 중복된다.

아머(Armor)의 수석 클라우드 아키텍트 블레인 플레밍은 “이번에 발표된 일련의 기능 세트를 통해 GCP는 기업 내의 개인들이 클라우드 서비스를 활용하는 방식을 추적하게 된다. AWS는 발표한 것과 개별적인 품목과 중복되는 것들이 있지만 전혀 다른 사용례를 대상으로 삼고 있다”라고 말했다.

클라우드의 의무적인 이중 인증
현재 대중에 공개된 GCP 및 G 스위트용 SKE(Security Key Enforcement)를 통해 기업 IT 부문은 모든 사용자가 G 스위트에 로그인하거나 구글 클라우드 플랫폼 자원에 액세스할 때마다 2단계 확인 요소로써 보안 키를 활성화하도록 요구할 수 있다.

최근까지 사용자들은 개인적인 수준에서 하드웨어 키(유비키 등)를 2단계 확인의 일환으로 사용할지 여부를 결정할 수 있었다. 그러나 GCP용 SKE를 통해 IT 관리자들은 이제 이를 의무화하여 클라우드 작업부하에 안전한 인증 계층을 추가할 수 있다. IAP는 보안 키와 통합하여 피싱 사기도 억제할 수 있다.

클라우드 투자 개선
클라우드 넥스트에서의 발표 내용이 익숙하게 들릴 수 있다. 구글이 올 해 초 이런 기업용 툴을 G 스위트에 추가했었기 때문이다. 사실 DLP와 SKE가 1월에 G 스위트에 추가되면서 구글의 클라우드 보안 전략이 분명히 드러났었다.

클라우드 보안은 서비스 공급자와 이용자 모두에게 책임이 있는 문제다. 지금껏 제공자는 데이터센터의 물리적인 보안과 하드웨어 보호에 중점을 두고 있고 기업은 애플리케이션과 데이터를 책임지는 것이 일반적이었다.

그러나 구글은 자사의 클라우드 내에서 액세스 보안, 콘텐츠 암호화, 민감한 데이터 유출 방지를 위한 툴도 제공함으로써 패러다임을 바꾸고 있다. “나의 가장 중요한 애플리케이션을 실행함에 있어 당신을 어떻게 믿을 수 있는가?”라고 생각하는 기업들에게 이런 툴들이 해답이 될 수 있을 것이다. ciokr@idg.co.kr 



2017.03.14

구글이 명시한 AWS와의 차별화 전략··· '클라우드 보안'

Fahmida Y. Rashid | InfoWorld
구글은 자사의 클라우드로 기업들의 필수적인 서비스를 이전하도록 하려면 AWS와는 다른 무엇인가를 제공해야 한다는 사실을 알고 있다. 구글 클라우드 넥스트(Google Cloud Next) 행사에서 이 기업의 경영진은 구글 클라우드가 가장 안전한 클라우드라고 주장했다.

지난주 열린 컨퍼런스에서 구글은 기업 IT 부문이 애플리케이션에 적절히 접근하고 암호화 키를 더욱 잘 관리하며 구글 클라우드에서 실행되는 애플리케이션에 대해 더욱 강력한 인증 메커니즘을 실행할 수 있는 일련의 툴을 공개했다.

구글은 GCP용 KMS(Key Management System)으로 아마존을 추격하는 동시에 DLP(Data Leak Prevention) API를 통해 미지의 영역을 개척하고 있다. 관리자들에게 하드웨어 인프라를 넘어 개별적인 애플리케이션을 보호하는 툴을 제공하는 것이다. 구글은 아마존과는 다른 방식으로 신원 액세스 관리 문제를 강조하고 있는 셈이다.

즉 구글은 분명 보안을 다른 클라우드 인프라 제공자와 차별화할 수 있는 수단으로 보고 있다. 기존 하드웨어와 가상 머신을 보호할 뿐 아니라 그 위에서 구동하는 애플리케이션까지도 보호한다는 아이디어다.

모든 곳에서 민감한 데이터 보호
현재 베타 상태인 DLP API를 이용해 IT팀들은 GCP에서 구동하는 애플리케이션에 있을 수 있는 민감한 정보를 식별하여 수정할 수 있다. DLP 기술은 심도 깊은 콘텐츠 분석을 실시해 신용카드와 계좌번호 또는 연락처 정보 등 40가지 이상의 민감한 데이터 유형 목록과 일치하는 부분을 파악하게 해준다. 이를 통해 관리자들은 해당 정보를 보호하는 최선의 방법을 결정할 수 있다.

새로운 보안 기능을 발표하는 블로그 게시물의 스크린샷을 보면 DLP API가 문서에서 사람의 이름, 이메일 주소, 전화번호, 사회보장번호, 신용카드번호 등의 정보를 수정하는 방식을 알 수 있다.

이 때 관리자들은 각 데이터 유형에 적용할 수 있는 보호 수준을 결정할 수 있다. 또한 관리자들은 OCR을 통해 이미지와 텍스트에 저장돼 있는 콘텐츠도 관리할 수 있다.

구글의 주된 차별점은 GCP용 DLP API가 본래 2015년에 출시된 지메일용 DLP와 1월에 발표된 드라이브(Drive)용 DLP의 확장 기능이라는 점이다. 이 3가지 툴의 조합으로 IT관리자들은 모든 플랫폼에서 클라우드 인프라에서 구동하는 애플리케이션, 지메일에 저장된 메시지, 드라이브에 저장된 문서 등 민감한 데이터를 일관되게 관리할 수 있는 정책을 작성할 수 있다.

다시 말해 구글은 기업들에게 자사 클라우드 내에서 구동하는 애플리케이션에서 데이터를 보호하는 보안 툴을 제공하고 있다. 반면 아마존은 데이터 보호에 투자하기는 했지만 서버와 블록 스토리지 수준에 집중했다.

애플리케이션 액세스 대상을 관리하라
현재 애플리케이션 액세스를 관리하려는 IT팀들은 VPN에 의존하고 있지만 모 아니면 도 방식으로 접근하는 경향이 있다. 유효한 VPN 크리덴셜이 있는 사용자는 모든 애플리케이션에 액세스한다. 미묘한 액세스 제어를 적용하는 것이 항상 문제였으며 직원들이 완전히 신뢰할 수 없는 네트워크로 이동 작업할 때 VPN은 액세스를 관리하기에 비효율적인 특성을 보인다.

설명에 따르면 바로 이 지점이 기업 IT 부문에게 VPN 모델에서 각 애플리케이션의 위험을 평가하는 모델로 전향할 수 있는 IAP(Identity-Aware Proxy)가 필요한 이유다. (현재 베타 상태인) IAP를 통해 관리자들은 어떤 신원 그룹이 어떤 애플리케이션에 액세스할 수 있는지 지정하여 승인되고 인증된 사용자만 구글 클라우드에서 구동하는 IAP 보호 애플리케이션에 액세스할 수 있도록 할 수 있다.

IAP는 직원들이 VPN에 대한 걱정 없이 신뢰할 수 없는 네트워크에서 작업할 수 있도록 구글이 내부적으로 개발한 기업 보안 모델인 BC(BeyondCorp) 프레임워크의 한 요소다. 사용자는 브라우저를 인터넷 액세스가 가능한 URL로 이동해 IAP 보호 애플리케이션에 액세스하고 IAP는 인증 프로세스를 처리하여 신원을 확인하게 된다.

구글은 아마존 및 그 AWS IAM(Identity and Access Management) 서비스와는 다른 방향에서 신원 문제를 해결하고 있다. AWS IAM에서는 관리자들이 AWS서비스 API 및 특정 자원에 대한 액세스를 통제하고 IT에서 AWS액티브 디렉토리 (Active Directory)를 통해 사용자와 그룹을 관리할 수 있지만 개별적인 애플리케이션에 구글이 IAP를 통해 계획하는 것과 같은 수준의 보호를 제공하지 않는다.

단 구글이 SKE를 통해 제공하는 것과 아마존이 이미 AWS IAM의 계정 액세스 요소 및 코그니토(Cognito)의 앱 통합 기능을 통해 제공하는 것들은 중복된다.

아머(Armor)의 수석 클라우드 아키텍트 블레인 플레밍은 “이번에 발표된 일련의 기능 세트를 통해 GCP는 기업 내의 개인들이 클라우드 서비스를 활용하는 방식을 추적하게 된다. AWS는 발표한 것과 개별적인 품목과 중복되는 것들이 있지만 전혀 다른 사용례를 대상으로 삼고 있다”라고 말했다.

클라우드의 의무적인 이중 인증
현재 대중에 공개된 GCP 및 G 스위트용 SKE(Security Key Enforcement)를 통해 기업 IT 부문은 모든 사용자가 G 스위트에 로그인하거나 구글 클라우드 플랫폼 자원에 액세스할 때마다 2단계 확인 요소로써 보안 키를 활성화하도록 요구할 수 있다.

최근까지 사용자들은 개인적인 수준에서 하드웨어 키(유비키 등)를 2단계 확인의 일환으로 사용할지 여부를 결정할 수 있었다. 그러나 GCP용 SKE를 통해 IT 관리자들은 이제 이를 의무화하여 클라우드 작업부하에 안전한 인증 계층을 추가할 수 있다. IAP는 보안 키와 통합하여 피싱 사기도 억제할 수 있다.

클라우드 투자 개선
클라우드 넥스트에서의 발표 내용이 익숙하게 들릴 수 있다. 구글이 올 해 초 이런 기업용 툴을 G 스위트에 추가했었기 때문이다. 사실 DLP와 SKE가 1월에 G 스위트에 추가되면서 구글의 클라우드 보안 전략이 분명히 드러났었다.

클라우드 보안은 서비스 공급자와 이용자 모두에게 책임이 있는 문제다. 지금껏 제공자는 데이터센터의 물리적인 보안과 하드웨어 보호에 중점을 두고 있고 기업은 애플리케이션과 데이터를 책임지는 것이 일반적이었다.

그러나 구글은 자사의 클라우드 내에서 액세스 보안, 콘텐츠 암호화, 민감한 데이터 유출 방지를 위한 툴도 제공함으로써 패러다임을 바꾸고 있다. “나의 가장 중요한 애플리케이션을 실행함에 있어 당신을 어떻게 믿을 수 있는가?”라고 생각하는 기업들에게 이런 툴들이 해답이 될 수 있을 것이다. ciokr@idg.co.kr 

X