Offcanvas

How To / 데이터센터 / 보안 / 클라우드

‘이것들은 꼭!’ 클라우드 보안 체크리스트

2012.01.13 Robert L. Scheier   |  Computerworld


현재 미국병원협회는 급여용 CRM 시스템에서 클라우드에서 모바일 애플리케이션용 데이터까지 모든 것을 호스트하고 있다. SaaS IT 관리 공급자인 서비스 나우(Service Now) IT 보안 이사 재이슨 라우는 ISO 27001이 좀더 철저한 대안일 수 있다고 제안했다.  

클라우드 보안 연합(CSA) 전략이사회 의장이며 스토리지 공급자인 EMC 최고 관리 이사 마린 폴맨(Marlin Pohlman)은 SAS 70 대신에 SSAE(Statement on Standards for Attestation Engagements) No. 16이나 SOC2를 사용할 것을 권고했다.

CSA는 또한 클라우드 컨트롤 매트릭스(Cloud Controls Matrix)에 보안 원칙 세트를 삽입했으며, 4사분기 중 보안, 신뢰 및 보증 레지스트리(STAR)을 위해 클라우드 공급자이 작성한 보안 설문지를 사용자들이 확인할 수 있을 것으로 기대하고 있다. Z스케일러 CEO와 CSA 공동설립자 제이 츄드리에 따르면, 공급자가 주장한 보안 실천이 잘 되고 있는지 비교해보는 포맷을 사용자들은 받아볼 수 있게 된다.
.  
어떤 경우에도 차카라파니는 어떤 시스템에 어떤 데이터가 저장되어 있는지, 어떻게 데이터가 저장되고 암호화됐는지, 그리고 그것이 무엇에 의해 읽고 쓰여지는지 정확한 패스에 대해 자세하게 질문하라고 조언했다. 그는 또 어느 운영자가 시스템을 액세스할 수 있는지, 그리고 그들의 접근은 어떻게 컨트롤되는지 알아야 한다고 말했다.

NetIQ 세세르는 단일 사용승인 용량이 다중 ID와 패스워드의 혼란을 없애는 반면, 그것은 또한 그들이 로그인했던 시스템, 사용 자격과 상관없이 사용자의 행동 모두를 캡처함으로써 좀더 완벽한 감사를 할 수 있다고 말했다.

코어 시큐리티 테크놀로지, 엔써클(nCircle) 등의 공급자들은 사용자들이 취약점 스캔을 실행할 수 있도록 권한을 부여하고 있다. 대다수 회사들은 그들이 내부적으로 하고 있는 동일한 스캔 기능을 원하며, 그들의 조직을 위해 클라우드 공급자들의 동일한 보고서를 받기를 바란다고 엔써클의 CTO 팀 키니니는 말했다.

하지만, 일각에서는 이를 흉내낸 공격에 의해 이러한 테스트가 공급자의 서비스를 방해할 수 있다고 반박하고 있다. 또 스캔이 불완전하며 부정확하다고는 의견도 있다. 맥브라이드는 공급자와의 ‘인간관계를 상하게 하는 확실한 길’이라고 평가했다. 폴맨은 공급자를 액세스하기 위해 덜 참견하는 길로서 미국국립표준기술원에 의해 개발된 시큐리티 컨텐트 오토메이션 프로토콜(Security Content Automation Protocol)을 제안하고 있다.

4. 데이터는 전용 하드웨어에 있는가?
많은 클라우드 공급자들은 비용 효율성, 확장 가능한 서비스를 제공하는 방안의 일환으로 여러 고객의 데이터와 애플리케이션들을 같은 서버나 스토리지를 공유하는 멀티테넌트(multitenant) 구조를 제안한다. 하지만, 다른 고객들로부터 안전하게 분리돼 그들의 데이터가 자신만의 플랫폼에 있기를 원하는 고개도 있다.

허트랜드 페이먼트 시스템즈(Heartland Payment Systems) CTO 크리스 헤린은 어떤 애플리케이션이 전용 하드웨어에 장착되고, 어떤 애플리케이션이 공유되는 시스템으로 갈 수 있는지 선택할 수 있는 공급자를 선택한다고 말했다. 예를 들어 헤린은 가상 서버에서 작동되는 애플리케이션용으로 전용 하드웨어 옵션을 선택했다. 그가 추가적인 안전조치를 원한 이유는, 비록 허트랜드 사양을 따른다 할지라도 회사의 엔지니어들가 아닌 IaaS 공급자가 하이퍼바이저를 관리하기 때문이다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.