2020.04.21

블로그 | 클라우드 서비스 업체는 잘 알려주지 않는 클라우드 보안의 비밀

David Linthicum | InfoWorld
클라우드 보안은 클라우드 서비스 업체에 특화된 무엇처럼 보인다. 하지만 새로이 부상하는 접근법과 기술은 게임의 판도를 바꾸고 있다.

클라우드 보안 솔루션 설계를 맡은 대부분 클라우드 보안 아키텍트가 제일 먼저 묻는 것은 사용하는 클라우드이다. 그리고는 IAM이나 암호화 같은 몇 가지 기술을 선택하는데, 보통 특정 클라우드 브랜드의 네이티브 솔루션이다.
 
ⓒ GettyImagesBank

몇 년 전만 해도 건전한 접근법이었다. 하지만 지금 우리는 보안이 위험뿐만 아니라 복잡성도 제거해야 하는 멀티클라우드 세상에 살고 있다. 퍼블릭 클라우드 서비스 업체가 말해주지 않는 세 가지 클라우드 보안의 비밀을 소개한다.

대형 서비스 업체가 제공하는 클라우드 네이티브 보안 솔루션은 이기종 멀티클라우드 솔루션에는 도움이 되지 않는다. 이들 보안 기술은 특정 클라우드 서비스 업체의 자체 서비스에서는 대단히 잘 동작할지 몰라도 다른 퍼블릭 클라우드, 그리고 우리 대부분이 사용하는 멀티클라우드는 지원하지 않거나 제한적으로 지원한다.

두 가지 중 하나를 선택할 수 있다. 각 퍼블릭 클라우드의 네이티브 시스템을 이용한다면, 두 가지 이상의 보안 시스템을 관리해야 한다. 아니면 공통 보안 솔루션을 이용해야 한다. 공통 보안 솔루션은 각 클라우드 서비스 업체의 서로 다른 보안 문제를 다룰 수 있고, 그것 자체로 위험이 될 수 있는 복잡성으로부터 사용자를 구제해 준다. 필자라면 두 번째를 선택할 것이고, 대부분 기업에서 매우 잘 동작한다.

보안은 애플리케이션과 데이터 스토리지에 제대로 구현하지 않으면 성능에 장애가 되고 매월 더 많은 비용이 들 수 있다. 클라우드 서비스 업체는 컴퓨트와 스토리지 서비스를 판매해 수익을 얻다. 만약 보안 솔루션이 필요 이상으로 많은 CPU 자원을 먹어 치운다면, 보안 솔루션 자체와 애플리케이션이 보안 솔루션을 사용하는 방법을 다시 설계해야 한다.

필자는 보안과 애플리케이션 튜닝으로 한 달 사용료를 80%까지 절감한 사례도 알고 있다. 이들 애플리케이션의 성능도 4배나 증가했다.
기술보다는 교육 훈련에 투자하라. 지난 수년 동안 무수히 많은 데이터 침해 사고를 조사했다. 많은 경우 보안 툴이나 기술의 부족이 아니라 이들 툴을 제대로 사용하는 방법을 충분히 이해하지 못했기 때문에 일어난 사고였다.

교육 훈련에 사용하는 비용은 실제로 위험을 1000배는 줄여준다. 교육에 1달러를 투자하면, 1,000달러어치의 위험을 줄일 수 있다. 게다가 클라우드 서비스 업체가 제공하는 클라우드 네이티브 보안 관련 교육도 아니다. 모든 퍼블릭 클라우드와 온프레미스 시스템에도 적용할 수 있는 공통 보안 아키텍처와 솔루션 관련 교육이다.

핵심은 독립적으로 생각하고 왜 현재와 같은 방식으로 일이 진행되었는지 의문을 제기하는 것이다. 클라우드 보안은 현상 유지에 도전하는 문화에서만 개선될 수 있다.  editor@itworld.co.kr



2020.04.21

블로그 | 클라우드 서비스 업체는 잘 알려주지 않는 클라우드 보안의 비밀

David Linthicum | InfoWorld
클라우드 보안은 클라우드 서비스 업체에 특화된 무엇처럼 보인다. 하지만 새로이 부상하는 접근법과 기술은 게임의 판도를 바꾸고 있다.

클라우드 보안 솔루션 설계를 맡은 대부분 클라우드 보안 아키텍트가 제일 먼저 묻는 것은 사용하는 클라우드이다. 그리고는 IAM이나 암호화 같은 몇 가지 기술을 선택하는데, 보통 특정 클라우드 브랜드의 네이티브 솔루션이다.
 
ⓒ GettyImagesBank

몇 년 전만 해도 건전한 접근법이었다. 하지만 지금 우리는 보안이 위험뿐만 아니라 복잡성도 제거해야 하는 멀티클라우드 세상에 살고 있다. 퍼블릭 클라우드 서비스 업체가 말해주지 않는 세 가지 클라우드 보안의 비밀을 소개한다.

대형 서비스 업체가 제공하는 클라우드 네이티브 보안 솔루션은 이기종 멀티클라우드 솔루션에는 도움이 되지 않는다. 이들 보안 기술은 특정 클라우드 서비스 업체의 자체 서비스에서는 대단히 잘 동작할지 몰라도 다른 퍼블릭 클라우드, 그리고 우리 대부분이 사용하는 멀티클라우드는 지원하지 않거나 제한적으로 지원한다.

두 가지 중 하나를 선택할 수 있다. 각 퍼블릭 클라우드의 네이티브 시스템을 이용한다면, 두 가지 이상의 보안 시스템을 관리해야 한다. 아니면 공통 보안 솔루션을 이용해야 한다. 공통 보안 솔루션은 각 클라우드 서비스 업체의 서로 다른 보안 문제를 다룰 수 있고, 그것 자체로 위험이 될 수 있는 복잡성으로부터 사용자를 구제해 준다. 필자라면 두 번째를 선택할 것이고, 대부분 기업에서 매우 잘 동작한다.

보안은 애플리케이션과 데이터 스토리지에 제대로 구현하지 않으면 성능에 장애가 되고 매월 더 많은 비용이 들 수 있다. 클라우드 서비스 업체는 컴퓨트와 스토리지 서비스를 판매해 수익을 얻다. 만약 보안 솔루션이 필요 이상으로 많은 CPU 자원을 먹어 치운다면, 보안 솔루션 자체와 애플리케이션이 보안 솔루션을 사용하는 방법을 다시 설계해야 한다.

필자는 보안과 애플리케이션 튜닝으로 한 달 사용료를 80%까지 절감한 사례도 알고 있다. 이들 애플리케이션의 성능도 4배나 증가했다.
기술보다는 교육 훈련에 투자하라. 지난 수년 동안 무수히 많은 데이터 침해 사고를 조사했다. 많은 경우 보안 툴이나 기술의 부족이 아니라 이들 툴을 제대로 사용하는 방법을 충분히 이해하지 못했기 때문에 일어난 사고였다.

교육 훈련에 사용하는 비용은 실제로 위험을 1000배는 줄여준다. 교육에 1달러를 투자하면, 1,000달러어치의 위험을 줄일 수 있다. 게다가 클라우드 서비스 업체가 제공하는 클라우드 네이티브 보안 관련 교육도 아니다. 모든 퍼블릭 클라우드와 온프레미스 시스템에도 적용할 수 있는 공통 보안 아키텍처와 솔루션 관련 교육이다.

핵심은 독립적으로 생각하고 왜 현재와 같은 방식으로 일이 진행되었는지 의문을 제기하는 것이다. 클라우드 보안은 현상 유지에 도전하는 문화에서만 개선될 수 있다.  editor@itworld.co.kr

X