2014.11.28

하이브리드 클라우드 SLA 체크리스트

Gina Murphy | Network World
아직 하이브리드 클라우드에 대한 표준이 없기 때문에 기업은 하이브리드 클라우드를 도입할 때 일반적인 SLA보다 훨씬 더 많은 것들을 고민해서 협의해야 한다.

클라우드 서비스에서 서비스 수준 계약(SLA, service level agreement)은 로드맵이자 보증서다. 모든 클라우드 서비스 제공자는 가용성, 성능, 보안, 재해복구, 응답시간, 컴플라이언스, 터미네이션 등을 담은 천편일률적인 SLA를 적용하고 있다. 순수하게 클라우드 애플리케이션만이라면 괜찮겠지만 하이브리드 클라우드라면 이것들로는 부족할 수 있다.

하이브리드 클라우드 서비스는 표준과는 거리가 멀다. 각 애플리케이션이 고유의 특징이 있고 IT부서가 깊이 개입해야 한다. 이 경우 SLA는 기업과 서비스 제공자의 참여에 대한 확실한 가이드라인을 제공할 필요가 있다. 안타깝게도 클라우드 서비스 제공회사들 중에는 SLA를 커스터마이징 할 준비도 안 돼있고, 그럴 생각도 없는 업체들도 있다.

하이브리드 클라우드의 특이성을 염두에 두고 생각해 보면 하이브리드 클라우드 보안이 지속적으로 신경 써야 할 과제임을 알 수 있다. 프라이빗 클라우드는 기업의 보안을 책임지고 보호한다. 중요 업무용 애플리케이션과 데이터는 내부적으로 통제하며 그보다 덜 중요한 데이터나 애플리케이션들은 퍼블릭 클라우드에 보관한다. 이러한 접근 방식을 통해 기업들은 확장성과 클라우드 컴퓨팅 비용 절감이라는 두 마리 토끼를 잡으면서도 중요 정보를 써드파티에 노출시키지 않아도 됐다.


그러나 프라이빗 클라우드와 퍼블릭 클라우드간의 네트워크는 매우 신중하게 생각해야 할 문제다. 그리고 여기서 SLA의 역할이 중요해진다. SLA는 3가지 주요 리스크를 해결할 수 있어야 한다.

*데이터: 데이터가 프라이빗 클라우드를 떠날 경우 누가 이 링크의 보안을 책임질 것인가? 이런 식으로 데이터가 이동할 때는 개인정보 보호, 데이터 보안 문제가 항상 뒤따른다. 퍼블릭 클라우드의 개인정보 보호 방식이 프라이빗 클라우드와 판이하게 다르기 때문이다. 클라우드를 이동시키면 기업은 그 데이터에 대한 운영 및 통제력을 잃게 된다. 클라우드로 데이터를 옮기고 나면 그 데이터의 안전은 주로 클라우드 서비스 제공자의 책임이 된다. 따라서 SLA는 데이터 보호의 책임자가 누구인지, 누가 그 데이터를 소유하고 관리하며 반송은 어떻게 할 것인지 등을 명확히 해야 한다.

*컴플라이언스: 데이터가 이동한다고 해도 기업들은 여전히 데이터 거버넌스에 따른 규제 및 규정들을 따라야 한다. 따라서 SLA는 클라우드 서비스 제공자가 따라야 하는 사베인-옥슬리법(Sarbanes-Oxley), 연방의료보험통상책임법(HIPAA), 결제카드산업정보보안표준(Payment Card Industry Data Security Standard) 등의 규제를 분명히 명시해야 한다.

*감사: SLA에는 감사에 대한 컴플라이언스를 나타낼 수 있는 근거를 문서화해서 넣어야 하며 감사 기간 동안 서비스 제공자가 입게 되는 시간적 피해에 대해 누가 보상할 것인지를 명시해야 한다.

데이터는 어디로 갔나?
프라이빗 클라우드를 떠난 데이터는 가용성과 비즈니스 연속성 등의 이유로 여러 개의 데이터센터에 보관하거나 다수의 클라우드에 저장될 가능성이 높다. 지역 규제 법이나 산업 규제에 다라 일부 데이터는 정해진 물리적, 지리적 장소를 벗어날 수 없는 경우도 있다. 또한 나의 데이터를 추후 복구, 재건할 수 있는지도 확인해야 한다. SLA는 다음의 내용들을 반드시 다뤄야 한다.

• 데이터가 어디에 저장돼 있는가? 지리적으로 여기저기 흩어져 있는 다수의 서버에 저장돼 있을 가능성이 높다. 컴플라이언스 문제나 재해 복구를 대비해서라도 어디에 데이터가 저장돼 있는지 알아두는 것이 좋다.

• 데이터가 해외로 빠져나가는가? 나라마다 개인정보를 어떻게 다룰지에 대한 개인정보 보호법이 다 다르다.

• 누가 내 데이터에 접근할 수 있나? 데이터센터 보안은 어떻게 이루어지는가? 클라우드 서비스 제공자에게 보안 정책 사본을 받을 수 있는가?

• 데이터가 암호화 돼 있는가?




2014.11.28

하이브리드 클라우드 SLA 체크리스트

Gina Murphy | Network World
아직 하이브리드 클라우드에 대한 표준이 없기 때문에 기업은 하이브리드 클라우드를 도입할 때 일반적인 SLA보다 훨씬 더 많은 것들을 고민해서 협의해야 한다.

클라우드 서비스에서 서비스 수준 계약(SLA, service level agreement)은 로드맵이자 보증서다. 모든 클라우드 서비스 제공자는 가용성, 성능, 보안, 재해복구, 응답시간, 컴플라이언스, 터미네이션 등을 담은 천편일률적인 SLA를 적용하고 있다. 순수하게 클라우드 애플리케이션만이라면 괜찮겠지만 하이브리드 클라우드라면 이것들로는 부족할 수 있다.

하이브리드 클라우드 서비스는 표준과는 거리가 멀다. 각 애플리케이션이 고유의 특징이 있고 IT부서가 깊이 개입해야 한다. 이 경우 SLA는 기업과 서비스 제공자의 참여에 대한 확실한 가이드라인을 제공할 필요가 있다. 안타깝게도 클라우드 서비스 제공회사들 중에는 SLA를 커스터마이징 할 준비도 안 돼있고, 그럴 생각도 없는 업체들도 있다.

하이브리드 클라우드의 특이성을 염두에 두고 생각해 보면 하이브리드 클라우드 보안이 지속적으로 신경 써야 할 과제임을 알 수 있다. 프라이빗 클라우드는 기업의 보안을 책임지고 보호한다. 중요 업무용 애플리케이션과 데이터는 내부적으로 통제하며 그보다 덜 중요한 데이터나 애플리케이션들은 퍼블릭 클라우드에 보관한다. 이러한 접근 방식을 통해 기업들은 확장성과 클라우드 컴퓨팅 비용 절감이라는 두 마리 토끼를 잡으면서도 중요 정보를 써드파티에 노출시키지 않아도 됐다.


그러나 프라이빗 클라우드와 퍼블릭 클라우드간의 네트워크는 매우 신중하게 생각해야 할 문제다. 그리고 여기서 SLA의 역할이 중요해진다. SLA는 3가지 주요 리스크를 해결할 수 있어야 한다.

*데이터: 데이터가 프라이빗 클라우드를 떠날 경우 누가 이 링크의 보안을 책임질 것인가? 이런 식으로 데이터가 이동할 때는 개인정보 보호, 데이터 보안 문제가 항상 뒤따른다. 퍼블릭 클라우드의 개인정보 보호 방식이 프라이빗 클라우드와 판이하게 다르기 때문이다. 클라우드를 이동시키면 기업은 그 데이터에 대한 운영 및 통제력을 잃게 된다. 클라우드로 데이터를 옮기고 나면 그 데이터의 안전은 주로 클라우드 서비스 제공자의 책임이 된다. 따라서 SLA는 데이터 보호의 책임자가 누구인지, 누가 그 데이터를 소유하고 관리하며 반송은 어떻게 할 것인지 등을 명확히 해야 한다.

*컴플라이언스: 데이터가 이동한다고 해도 기업들은 여전히 데이터 거버넌스에 따른 규제 및 규정들을 따라야 한다. 따라서 SLA는 클라우드 서비스 제공자가 따라야 하는 사베인-옥슬리법(Sarbanes-Oxley), 연방의료보험통상책임법(HIPAA), 결제카드산업정보보안표준(Payment Card Industry Data Security Standard) 등의 규제를 분명히 명시해야 한다.

*감사: SLA에는 감사에 대한 컴플라이언스를 나타낼 수 있는 근거를 문서화해서 넣어야 하며 감사 기간 동안 서비스 제공자가 입게 되는 시간적 피해에 대해 누가 보상할 것인지를 명시해야 한다.

데이터는 어디로 갔나?
프라이빗 클라우드를 떠난 데이터는 가용성과 비즈니스 연속성 등의 이유로 여러 개의 데이터센터에 보관하거나 다수의 클라우드에 저장될 가능성이 높다. 지역 규제 법이나 산업 규제에 다라 일부 데이터는 정해진 물리적, 지리적 장소를 벗어날 수 없는 경우도 있다. 또한 나의 데이터를 추후 복구, 재건할 수 있는지도 확인해야 한다. SLA는 다음의 내용들을 반드시 다뤄야 한다.

• 데이터가 어디에 저장돼 있는가? 지리적으로 여기저기 흩어져 있는 다수의 서버에 저장돼 있을 가능성이 높다. 컴플라이언스 문제나 재해 복구를 대비해서라도 어디에 데이터가 저장돼 있는지 알아두는 것이 좋다.

• 데이터가 해외로 빠져나가는가? 나라마다 개인정보를 어떻게 다룰지에 대한 개인정보 보호법이 다 다르다.

• 누가 내 데이터에 접근할 수 있나? 데이터센터 보안은 어떻게 이루어지는가? 클라우드 서비스 제공자에게 보안 정책 사본을 받을 수 있는가?

• 데이터가 암호화 돼 있는가?


X