2018.05.15

블로그 | 클라우드 서비스 업체가 말하지 않는 클라우드 보안

David Linthicum | InfoWorld
누구나 내부자의 팁을 좋아한다. 클라우드 컴퓨팅의 경우, 대부분 클라우드 보안의 접근 방법과 기술에 관한 팁이다. 이제 클라우드 서비스 업체는 말하고 싶지 않은 클라우드 보안에 관한 팁 3가지를 소개한다.

Image Credit : GettyImagesBank

팁 하나. 클라우드 보안은 특정 클라우드 서비스 업체와 분리해야만 한다
클라우드 네이티브 보안 서비스가 편리하고 잘 동작하지만, 보안 서비스를 단일 서비스 업체로부터 받을 때는 스스로 제한할 필요가 있다.

지금은 멀티클라우드 세상이며, 보안에 대한 요구사항은 현재 또는 미래의 클라우드 서비스 업체가 제공하는 것 이상으로 높아질 것이다. 만약 클라우드 네이티브 보안 서비스를 각 서비스 업체로부터 이용한다면, 단일 클라우드 인스턴스에 관한 보안은 확보할 수 있지만, 총체적인 클라우드 보안은 얻지 못할 것이다. 이는 보안 서비스가 점점 더 복잡해질 것이며, 비용과 위험성의 격차가 커지거나 클라우드 보안 서비스가 실패한다는 의미이다.

최종 단계는 서로 다른 보안 시스템을 혼합해 클라우드 네이티브이든 아니든 멀티클라우드도 지원하는 최고의 목표 클라우드 솔루션을 정의하는 것이다. 비록 이런 접근방법은 처음에는 비용이 더 들겠지만, 앞으로 하나 이상의 퍼블릭 클라우드를 관리할 것이며, 이들 역시 보안이 필요할 가능성이 크다는 점을 고려하면 더 나은 방안이 될 것이다

보안 서비스와 보안 관리를 충분히 높은 수준으로 추상화해 클라우드 서비스 업체가 최소한의 노력으로 연결하고 끊을 수 있도록 해보기 바란다.

팁 둘. 암호화에 목매지 말라
데이터를 언제고 암호화할 수 있지만, 그렇다고 항상 암호화를 사용해야 하는 것은 아니다. 물론 암호화는 추가 보안 계층을 더해주지만, CPU 자원이 들기 때문에 성능에 장애가 될 수도 있다. 결과적으로 더 많은 비용과 지연을 유발할 수 있다.

암호화가 필요한 데이터를 선별하라. PII 같은 일부 종류의 데이터는 반드시 암호화해야 한다는 규제가 있지만, 모든 데이터를 암호화해야 한다는 말은 어디에도 없다. 잠궈 둬야 할 데이터에 관해 주의깊게 살펴야 한다.

팁 셋. 툴이 아니라 인력에 집중하라
이런 일을 수도 없이 목격한다. 적절한 인력을 확보하지 못하면 기업은 나쁜 기술적 선택을 하게 된다. 그리고 결과적으로 보호해야 할 것을 지키는 보안 운영에 실패한다. 기술에 투자하기 전에 올바른 인력에 투자하기 바란다. 훨씬 더 나은 투자가 될 것이다.  editor@itworld.co.kr



2018.05.15

블로그 | 클라우드 서비스 업체가 말하지 않는 클라우드 보안

David Linthicum | InfoWorld
누구나 내부자의 팁을 좋아한다. 클라우드 컴퓨팅의 경우, 대부분 클라우드 보안의 접근 방법과 기술에 관한 팁이다. 이제 클라우드 서비스 업체는 말하고 싶지 않은 클라우드 보안에 관한 팁 3가지를 소개한다.

Image Credit : GettyImagesBank

팁 하나. 클라우드 보안은 특정 클라우드 서비스 업체와 분리해야만 한다
클라우드 네이티브 보안 서비스가 편리하고 잘 동작하지만, 보안 서비스를 단일 서비스 업체로부터 받을 때는 스스로 제한할 필요가 있다.

지금은 멀티클라우드 세상이며, 보안에 대한 요구사항은 현재 또는 미래의 클라우드 서비스 업체가 제공하는 것 이상으로 높아질 것이다. 만약 클라우드 네이티브 보안 서비스를 각 서비스 업체로부터 이용한다면, 단일 클라우드 인스턴스에 관한 보안은 확보할 수 있지만, 총체적인 클라우드 보안은 얻지 못할 것이다. 이는 보안 서비스가 점점 더 복잡해질 것이며, 비용과 위험성의 격차가 커지거나 클라우드 보안 서비스가 실패한다는 의미이다.

최종 단계는 서로 다른 보안 시스템을 혼합해 클라우드 네이티브이든 아니든 멀티클라우드도 지원하는 최고의 목표 클라우드 솔루션을 정의하는 것이다. 비록 이런 접근방법은 처음에는 비용이 더 들겠지만, 앞으로 하나 이상의 퍼블릭 클라우드를 관리할 것이며, 이들 역시 보안이 필요할 가능성이 크다는 점을 고려하면 더 나은 방안이 될 것이다

보안 서비스와 보안 관리를 충분히 높은 수준으로 추상화해 클라우드 서비스 업체가 최소한의 노력으로 연결하고 끊을 수 있도록 해보기 바란다.

팁 둘. 암호화에 목매지 말라
데이터를 언제고 암호화할 수 있지만, 그렇다고 항상 암호화를 사용해야 하는 것은 아니다. 물론 암호화는 추가 보안 계층을 더해주지만, CPU 자원이 들기 때문에 성능에 장애가 될 수도 있다. 결과적으로 더 많은 비용과 지연을 유발할 수 있다.

암호화가 필요한 데이터를 선별하라. PII 같은 일부 종류의 데이터는 반드시 암호화해야 한다는 규제가 있지만, 모든 데이터를 암호화해야 한다는 말은 어디에도 없다. 잠궈 둬야 할 데이터에 관해 주의깊게 살펴야 한다.

팁 셋. 툴이 아니라 인력에 집중하라
이런 일을 수도 없이 목격한다. 적절한 인력을 확보하지 못하면 기업은 나쁜 기술적 선택을 하게 된다. 그리고 결과적으로 보호해야 할 것을 지키는 보안 운영에 실패한다. 기술에 투자하기 전에 올바른 인력에 투자하기 바란다. 훨씬 더 나은 투자가 될 것이다.  editor@itworld.co.kr

X