2017.05.17

기고 | PaaS, 이제는 보안 걱정 없이 쓰자

Wayne Chang | CIO
대규모 클라우드 서비스가 보안 및 서비스 이용 관련 가이드라인을 제공한다 해도, 중요한 애플리케이션 개발에서 클라우드를 이용할 때 여전히 상당한 보안 위험이 따른다. 그런데 보안 문제에 초점을 맞춘 클라우드 플랫폼이 등장하고 있어 이러한 우려를 덜어줄 것으로 기대되고 있다.

이들 솔루션은 PaaS(platform as a service)의 편리함과 보안 규제 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까?



보안 중심의 PaaS를 제공하는 대표적인 업체로는 대티카(Datica), 헬스케어 블록스(Healthcare Blocks), 앱터블(Aptible) 등이 있다. 모두 2013년에 생겨난 컨테이너 기반 클라우드 업체들이다. 이들은 최고의 보안 및 데브옵스 전문가로 구성된 팀을 자랑하며 서비스의 안전성과 기능성을 보장한다.

서비스 요율 자체도 높지 않은 데다가 편리한 보안 프레임워크를 제공해 고객들이 보안 문제에 노심초사하지 않고 기능에 중점을 맞춰 앱 개발을 할 수 있도록 돕는다.

예를 들어, 리소스가 제한적인 신생벤처의 경우 이러한 PaaS를 활용하여 고객에게 자사만의 고유한 가치를 보여줄 수 있을 것이다. 사내에 정보보안팀이나 개발팀을 둘 여력이 되지 않는 소형 병원에서도 이러한 서비스의 표준 기능과 IT전문가의 지원을 활용할 수 있게 된다. 대기업과 정부기관의 경우 CI(continuous integration)이나 내장 컨테이너 같은 데브옵스 툴을 이용해 비즈니스 민첩성을 확장할 수 있게 된다.

대티카, 헬스케어 블록스, 앱터블 이 3개 업체는 이미 미국 정부기관, 의료기관, 병원, 의료/금융 기술 벤처 등 다양한 기업 및 기관을 상대로 만족스러운 서비스를 제공한 바 있다.

• 미국 재향군인회(U.S. Department of Veterans Affairs)는 대티카의 서비스를 이용해 더 빠르게 새로운 툴을 설치하고 환자 행동 양식에 관한 새로운 통찰을 얻는 성과를 거뒀다.
• 그레이터 콜로라도 애네스테시아(The Greater Colorado Anesthesia) 병원에서는 헬스케어 블록스의 서비스를 통해 온-프레미스 클리니컬 애플리케이션을 안전하게 클라우드로 이전시켰다.
• 원격 소매 약국(Retail telepharmacy) 소프트웨어 업체인 텔레팜(TelePharm)은 앱터블의 도움으로 개발팀을 확장할 수 있었다.

보안 클라우드 플랫폼이란?
보안 중심의 클라우드 플랫폼이 주로 제공하는 기술 기능으로는 아래와 같은 것들이 있다.

• 지속 통합(CI) 워크플로우에서는 깃(Git) 기반의 ‘푸쉬 투 디플로이(push to deploy)’ 자동화 기능
• 다수의 애플리케이션 인스턴스로의 확장 용이성
• 새롭게 떠오르는 고(Go) 프로그래밍 언어부터 기존의 J2EE 셋업에 이르기까지 다양한 테크놀로지 지원
• API 키 및 패스워드를 위한 비밀 매니지먼트 서비스
• 서버 및 데이터베이스의 세분화 된 퍼포먼스 매트릭스와 알림 기능
• 네트워크 노출 위험을 줄여주는 VPCs(virtual private clouds) 설정 및 관리
• 안전한 파트너 통합과 온 프레미스 설치를 위한 VPN 터널 지원
• 다수의 애플리케이션 인스턴스에 걸쳐 적용되는 로드 밸런싱
• 호스트 레벨 격리
• SSL 터미네이션
• 애플리케이션 로그 컴플라이언스
• 휴지기간 중 데이터베이스 암호화 및 자동 백업
• 침입 탐지 시스템(IDS)통합, 사용 가능 또는 내장
• 내장형 또는 가용 IDS 통합 기능
• OS 하드닝
• 재난 복구
• 비상시 상시 대기 및 지원

고객 경험
현대의 설치 인프라는 매우 복잡하고, 수백 개의 서비스를 각기 다 유지, 관리, 업데이트, 패치 해야 하는 것으로 악명이 높다. 특히 보안이 중요시되는 환경에서는 이것 중 어느 하나도 소홀히 할 수 없다. 이러한 관리가 제대로 이루어지지 않을 경우 치명적인 보안상의 취약점으로 이어지기 때문이다. 위에서 소개한 새로운 플랫폼은 관리 과정을 간편화하면서도 안전한 디플로이먼트 디폴트를 제공하고 다양한 고객 요구사항에 맞춰 기술과 정책을 정리해 간편화에 따르는 리스크를 최소화했다.

예를 들어 푸들(POODLE)이나 셸쇼크(Shellshock), 하트블리드(Heartbleed) 취약성 문제가 발생했을 때 이들 PaaS 고객들은 그저 업체로부터 수 시간 내로 도착한 업데이트를 기다리는 것 외에 별다른 조처를 할 필요가 없었다. 이는 로드 밸런서, 역 프록시 및 데이터 스토어 등 컨테이너 테크놀로지와 요소 관리가 있었기 때문에 가능했다. 데브옵스에 덜 신경 써도 괜찮은 환경이 조성되면서 팀 역시 비상사태에 크게 영향받지 않은 채 애플리케이션 개발에 집중할 수 있었다.

이 플랫폼에는 대개 고객사를 위한 접근 관리 전략과 정책 통제가 포함돼 있다. 때문에 관리자는 ‘누가, 무엇을 열람하고 변경할 권한을 갖는가’를 안전하게 통제할 수 있으며 이는 감사, 리스크 평가 및 컴플라이언스에서 매우 중요한 문제가 된다. 또한 규제 당국이나 잠재적 고객들의 보안 평가를 통과하는 데 도움을 줄 만한 다양한 툴과 문서가 함께 제공된다.

그렇다고 해도 이들 플랫폼을 맹신해도 되는 것은 아니다. 데이터 보안은 아주 까다롭고 주의를 필요로 하는 문제기 때문이다. 우선, 애플리케이션 레이어 수준에서는 거의 아무런 안전장치도 제공되지 않는다. PaaS를 이용한다 해도 민감한 데이터가 담긴 페이지에 암호를 걸어놓지 않는다면 데이터 유출은 여전히 발생할 수 있다. 이러한 시스템을 효율적으로 활용하기 위해서는 그것의 기능과 한계를 확실히 파악하고 있는 것이 중요하다. 투명성 확보를 통한 보안이야말로 최선의 전략이며, 많은 업체가 리뷰를 위해 웹사이트 상에 보안 아키텍처를 제공하고 있다.

요금제 역시 리소스 사용량에 기반을 둔 월별 요금제에서부터 요구 조건이 복잡한 기업을 위한 맞춤형 계약까지 다양하다. 아직 신생 산업이기 때문에 요금이나 서비스의 표준화가 활발히 이루어지고 있는 편이며 현재는 많은 기업들이 새로운 고객을 상대로 컨설팅 서비스를 제공하고 있다. 위에 언급한 세 플랫폼은 모두 AWS 파트너 네트워크의 멤버들이기도 하다.

표준 애플리케이션 설정을 위한 셀프-서비스 옵션도 제공되고 있기는 하지만, 그 경우에도 PaaS 업체는 서비스의 안전한 설치 과정을 보장하기 위하여 고객과 활발하게 의사소통할 준비가 되어 있다. 고객사의 개발팀에서는 저렴한 요율의 트라이얼 서비스를 통해 제품을 미리 체험해 볼 수 있고, 궁금한 점은 서비스 업체의 기술지원팀에 문의할 수 있다.

PaaS는 의료나 핀테크(fintech)같이 규제가 엄격한 산업에서 IT기업의 진입 장벽을 낮추고 적은 리소스로 많은 것을 성취할 수 있게 해준다. 또한 유연한 사고와 자율성이 주어졌을 때 가능한 혁신과 문제 해결 능력을 개발함으로써 고객사의 내부 팀 경쟁력 향상에도 기여할 것이다.

*Wayne Chang은 제품 혁신과 보안을 전문으로 하는 기술 컨설턴트다. ciokr@idg.co.kr
 

2017.05.17

기고 | PaaS, 이제는 보안 걱정 없이 쓰자

Wayne Chang | CIO
대규모 클라우드 서비스가 보안 및 서비스 이용 관련 가이드라인을 제공한다 해도, 중요한 애플리케이션 개발에서 클라우드를 이용할 때 여전히 상당한 보안 위험이 따른다. 그런데 보안 문제에 초점을 맞춘 클라우드 플랫폼이 등장하고 있어 이러한 우려를 덜어줄 것으로 기대되고 있다.

이들 솔루션은 PaaS(platform as a service)의 편리함과 보안 규제 컴플라이언스라는 두 마리 토끼를 잡을 수 있을까?



보안 중심의 PaaS를 제공하는 대표적인 업체로는 대티카(Datica), 헬스케어 블록스(Healthcare Blocks), 앱터블(Aptible) 등이 있다. 모두 2013년에 생겨난 컨테이너 기반 클라우드 업체들이다. 이들은 최고의 보안 및 데브옵스 전문가로 구성된 팀을 자랑하며 서비스의 안전성과 기능성을 보장한다.

서비스 요율 자체도 높지 않은 데다가 편리한 보안 프레임워크를 제공해 고객들이 보안 문제에 노심초사하지 않고 기능에 중점을 맞춰 앱 개발을 할 수 있도록 돕는다.

예를 들어, 리소스가 제한적인 신생벤처의 경우 이러한 PaaS를 활용하여 고객에게 자사만의 고유한 가치를 보여줄 수 있을 것이다. 사내에 정보보안팀이나 개발팀을 둘 여력이 되지 않는 소형 병원에서도 이러한 서비스의 표준 기능과 IT전문가의 지원을 활용할 수 있게 된다. 대기업과 정부기관의 경우 CI(continuous integration)이나 내장 컨테이너 같은 데브옵스 툴을 이용해 비즈니스 민첩성을 확장할 수 있게 된다.

대티카, 헬스케어 블록스, 앱터블 이 3개 업체는 이미 미국 정부기관, 의료기관, 병원, 의료/금융 기술 벤처 등 다양한 기업 및 기관을 상대로 만족스러운 서비스를 제공한 바 있다.

• 미국 재향군인회(U.S. Department of Veterans Affairs)는 대티카의 서비스를 이용해 더 빠르게 새로운 툴을 설치하고 환자 행동 양식에 관한 새로운 통찰을 얻는 성과를 거뒀다.
• 그레이터 콜로라도 애네스테시아(The Greater Colorado Anesthesia) 병원에서는 헬스케어 블록스의 서비스를 통해 온-프레미스 클리니컬 애플리케이션을 안전하게 클라우드로 이전시켰다.
• 원격 소매 약국(Retail telepharmacy) 소프트웨어 업체인 텔레팜(TelePharm)은 앱터블의 도움으로 개발팀을 확장할 수 있었다.

보안 클라우드 플랫폼이란?
보안 중심의 클라우드 플랫폼이 주로 제공하는 기술 기능으로는 아래와 같은 것들이 있다.

• 지속 통합(CI) 워크플로우에서는 깃(Git) 기반의 ‘푸쉬 투 디플로이(push to deploy)’ 자동화 기능
• 다수의 애플리케이션 인스턴스로의 확장 용이성
• 새롭게 떠오르는 고(Go) 프로그래밍 언어부터 기존의 J2EE 셋업에 이르기까지 다양한 테크놀로지 지원
• API 키 및 패스워드를 위한 비밀 매니지먼트 서비스
• 서버 및 데이터베이스의 세분화 된 퍼포먼스 매트릭스와 알림 기능
• 네트워크 노출 위험을 줄여주는 VPCs(virtual private clouds) 설정 및 관리
• 안전한 파트너 통합과 온 프레미스 설치를 위한 VPN 터널 지원
• 다수의 애플리케이션 인스턴스에 걸쳐 적용되는 로드 밸런싱
• 호스트 레벨 격리
• SSL 터미네이션
• 애플리케이션 로그 컴플라이언스
• 휴지기간 중 데이터베이스 암호화 및 자동 백업
• 침입 탐지 시스템(IDS)통합, 사용 가능 또는 내장
• 내장형 또는 가용 IDS 통합 기능
• OS 하드닝
• 재난 복구
• 비상시 상시 대기 및 지원

고객 경험
현대의 설치 인프라는 매우 복잡하고, 수백 개의 서비스를 각기 다 유지, 관리, 업데이트, 패치 해야 하는 것으로 악명이 높다. 특히 보안이 중요시되는 환경에서는 이것 중 어느 하나도 소홀히 할 수 없다. 이러한 관리가 제대로 이루어지지 않을 경우 치명적인 보안상의 취약점으로 이어지기 때문이다. 위에서 소개한 새로운 플랫폼은 관리 과정을 간편화하면서도 안전한 디플로이먼트 디폴트를 제공하고 다양한 고객 요구사항에 맞춰 기술과 정책을 정리해 간편화에 따르는 리스크를 최소화했다.

예를 들어 푸들(POODLE)이나 셸쇼크(Shellshock), 하트블리드(Heartbleed) 취약성 문제가 발생했을 때 이들 PaaS 고객들은 그저 업체로부터 수 시간 내로 도착한 업데이트를 기다리는 것 외에 별다른 조처를 할 필요가 없었다. 이는 로드 밸런서, 역 프록시 및 데이터 스토어 등 컨테이너 테크놀로지와 요소 관리가 있었기 때문에 가능했다. 데브옵스에 덜 신경 써도 괜찮은 환경이 조성되면서 팀 역시 비상사태에 크게 영향받지 않은 채 애플리케이션 개발에 집중할 수 있었다.

이 플랫폼에는 대개 고객사를 위한 접근 관리 전략과 정책 통제가 포함돼 있다. 때문에 관리자는 ‘누가, 무엇을 열람하고 변경할 권한을 갖는가’를 안전하게 통제할 수 있으며 이는 감사, 리스크 평가 및 컴플라이언스에서 매우 중요한 문제가 된다. 또한 규제 당국이나 잠재적 고객들의 보안 평가를 통과하는 데 도움을 줄 만한 다양한 툴과 문서가 함께 제공된다.

그렇다고 해도 이들 플랫폼을 맹신해도 되는 것은 아니다. 데이터 보안은 아주 까다롭고 주의를 필요로 하는 문제기 때문이다. 우선, 애플리케이션 레이어 수준에서는 거의 아무런 안전장치도 제공되지 않는다. PaaS를 이용한다 해도 민감한 데이터가 담긴 페이지에 암호를 걸어놓지 않는다면 데이터 유출은 여전히 발생할 수 있다. 이러한 시스템을 효율적으로 활용하기 위해서는 그것의 기능과 한계를 확실히 파악하고 있는 것이 중요하다. 투명성 확보를 통한 보안이야말로 최선의 전략이며, 많은 업체가 리뷰를 위해 웹사이트 상에 보안 아키텍처를 제공하고 있다.

요금제 역시 리소스 사용량에 기반을 둔 월별 요금제에서부터 요구 조건이 복잡한 기업을 위한 맞춤형 계약까지 다양하다. 아직 신생 산업이기 때문에 요금이나 서비스의 표준화가 활발히 이루어지고 있는 편이며 현재는 많은 기업들이 새로운 고객을 상대로 컨설팅 서비스를 제공하고 있다. 위에 언급한 세 플랫폼은 모두 AWS 파트너 네트워크의 멤버들이기도 하다.

표준 애플리케이션 설정을 위한 셀프-서비스 옵션도 제공되고 있기는 하지만, 그 경우에도 PaaS 업체는 서비스의 안전한 설치 과정을 보장하기 위하여 고객과 활발하게 의사소통할 준비가 되어 있다. 고객사의 개발팀에서는 저렴한 요율의 트라이얼 서비스를 통해 제품을 미리 체험해 볼 수 있고, 궁금한 점은 서비스 업체의 기술지원팀에 문의할 수 있다.

PaaS는 의료나 핀테크(fintech)같이 규제가 엄격한 산업에서 IT기업의 진입 장벽을 낮추고 적은 리소스로 많은 것을 성취할 수 있게 해준다. 또한 유연한 사고와 자율성이 주어졌을 때 가능한 혁신과 문제 해결 능력을 개발함으로써 고객사의 내부 팀 경쟁력 향상에도 기여할 것이다.

*Wayne Chang은 제품 혁신과 보안을 전문으로 하는 기술 컨설턴트다. ciokr@idg.co.kr
 

X