Offcanvas

보안 / 비즈니스|경제 / 클라우드

데이터부터 ID까지 다 지킨다··· 클라우드 '빅3' 사이버 보안 제품 가이드

2021.09.29 Bob Violino  |  InfoWorld
기업들이 퍼블릭 클라우드 서비스 업체를 선정할 때 직면하는 가장 큰 고려사항은 업체에서 제공하는 사이버 보안 수준이다. 이는 자체 네트워크와 서비스를 보호하고 침해 및 기타 공격으로부터 고객의 데이터를 안전하게 보호하기 위해 구축한 기능과 역량을 의미한다.

클라우드 3인방 ‘아마존 웹 서비스(AWS), 구글 클라우드 플랫폼(GCP), 마이크로소프트 애저(Microsoft Azure)’는 보안을 중요하게 고려한다. 단 한 건의 보안 침해가 수많은 잠재고객을 위협하고, 수백만 달러의 손실을 입히며, 컴플라이언스 위반까지 이어질 수 있어서다.  

클라우드 ‘빅3’가 사이버 보안의 4가지 핵심 영역에서 제공하는 제품 및 서비스는 다음과 같다.
 
ⓒGetty Images

1. 네트워크 및 인프라 보안 
AWS
AWS는 프라이버시를 강화하고 네트워크 액세스를 제어하도록 설계된 여러 보안 기능과 서비스를 제공한다. 여기에는 고객이 프라이빗 네트워크를 만들고 인스턴스 또는 애플리케이션 액세스를 제어할 수 있는 네트워크 방화벽이 포함된다. 기업들은 AWS 서비스에서 전송 중인 암호화를 제어할 수 있다.

이 밖에 프라이빗 또는 전용 연결이 가능한 연결 옵션, 애플리케이션 및 콘텐츠 딜리버리 전략의 일부로 적용할 수 있는 DDoS(Distributed Denial of Service) 완화 기술, AWS 보안 시설 간 AWS 글로벌 및 지역 네트워크의 모든 트래픽 자동 암호화 등도 제공된다.

GCP
구글은 보안을 위해 특별히 하드웨어를 설계하고 구축했다. 이를테면 서버 및 주변 기기에서 하드웨어 자체 보안 기능(ROT)을 확보하기 위해 사용하는 맞춤형 보안 칩 ‘타이탄(Titan)’ 등이 있다. 이 회사는 보안을 강화하기 위해 자체 네트워크 하드웨어를 구축한다. 이 모든 것이 여러 계층의 물리적 및 논리적 보호를 포함하는 데이터센터 설계로 통합된다. 

네트워크 측면에서 GCP는 DDoS 등의 공격을 견디고 서비스와 고객을 보호하기 위해 클라우드 서비스를 지원하는 글로벌 네트워크 인프라를 설계하고 지속적으로 발전시키고 있다. 지난 2017년 GCP는 2.5 Tbps DDoS를 방어했는데, 이는 현재까지 보고된 가장 높은 대역폭 공격이었다. 

GCP는 글로벌 네트워크 인프라의 내장 기능 외에도 고객이 구축하도록 선택할 수 있는 네트워크 보안 기능을 제공한다. 여기에는 클라우드 로드 밸런싱과 DDoS 및 애플리케이션 공격 방어 기능을 제공하는 네트워크 보안 서비스 클라우드 아머(Cloud Armor)가 포함된다.

구글은 전송 중인 데이터의 신뢰성, 무결성 및 프라이버시를 보호하기 위해 여러 보안 수단을 사용한다. 이를테면 데이터가 구글에서 제어하지 않는 물리적 경계 밖으로 이동할 때 하나 이상의 네트워크 계층에서 전송 중인 데이터를 암호화하고 인증한다.

마이크로소프트 애저
애저는 마이크로소프트가 관리하고 운영하는 데이터센터에서 실행된다. 회사에 따르면 이렇게 지리적으로 분산된 데이터센터는 보안 및 안정성에 관한 주요 업계 표준을 준수한다. 또 오랜 경력을 가진 마이크로소프트 운영 직원이 데이터센터를 관리 및 모니터링한다고 회사 측은 말했다.

또 마이크로소프트는 운영 인력의 백그라운드 검증을 수행하고, 백그라운드 검증 수준에 비례해 애플리케이션, 시스템 및 네트워크 인프라 액세스를 제한한다.

애저 방화벽(Azure Firewall)은 애저 가상 네트워크(Azure Virtual Network) 리소스를 보호하는 클라우드 기반의 관리형 네트워크 보안 서비스다. 이 방화벽은 고가용성(HA)과 무제한 확장성이 내장된 서비스로서의 완전한 스테이트풀 방화벽이다.

애저 방화벽은 아웃바운드 트래픽을 해독하고 필요한 보안 검사를 수행한 다음 대상으로 전달하기 전에 트래픽을 다시 암호화할 수 있다. 관리자는 소셜 미디어 등의 웹 사이트 범주에 관한 사용자의 액세스를 허용하거나 거부할 수 있다. 

2. ID 및 액세스 제어 
AWS
아마존 웹 서비스는 AWS 서비스 전체에서 사용자 액세스 정책을 정의, 시행,관리하는 기능을 제공한다. 여기에는 기업들이 AWS 리소스 전반에 걸쳐 권한을 가진 개별 사용자 계정을 정의할 수 있는 AWS IAM 그리고 권한을 가진 계정에 관한 AWS MFA(소프트웨어 기반 및 하드웨어 기반 인증자를 위한 옵션 포함)이 포함된다. 

AWS IAM은 마이크로소프트 액티브 디렉토리(Microsoft Active Directory) 또는 기타 파트너 제품 등의 기존 자격증명 시스템을 사용해 AWS 관리 콘솔(AWS Management Console) 및 AWS 서비스 API의 액세스 권한을 직원 및 애플리케이션에 부여하는 데 쓸 수 있다.

또 AWS는 기업들이 관리 오버헤드를 줄이고 최종 사용자 환경을 개선하기 위해 기업 디렉토리와 통합 및 연합할 수 있는 AWS 디렉토리 서비스(AWS Directory Service)와 모든 AWS 계정의 사용자 액세스 및 권한을 기업들이 관리할 수 있도록 해주는 AWS SSO를 제공한다.

GCP
구글의 클라우드 IAM은 구글 클라우드의 ID와 역할을 관리하는 여러 방법을 제공한다. 첫째, 관리자는 클라우드 IAM을 통해 특정 리소스에 조치를 취할 수 있는 권한을 부여하여 GCP 리소스를 중앙에서 관리할 수 있는 제어 및 가시성을 지원한다. 

또 복잡한 조직 구조, 수백 개의 작업 그룹, 많은 프로젝트가 있는 기업을 위해 클라우드 IAM은 컴플라이언스 프로세스를 용이하게 하는 내장된 감사 기능을 통해 조직 전체의 보안 정책에 통합된 뷰를 제공한다. 

이 밖에 사용자와 그룹을 중앙에서 관리하는 IDaaS(Identity as a Service) 제품인 클라우드 아이덴티티(Cloud Identity)도 있다. 기업들은 구글과 다른 ID 제공업체 간에 ID를 연합하도록 클라우드 아이덴티티를 구성할 수 있다. 

GCP는 사용자가 합법적인 서비스(예: 보안 키를 등록한 서비스)와 상호 작용하고 있으며, 보안 키를 소유하고 있다는 암호화 증거를 제공하는 타이탄 보안 키도 제공한다.

마지막으로 클라우드 리소스 관리자(Cloud Resource Manager)는 기업들이 GCP 리소스를 그룹화하고 계층적으로 구성할 수 있도록 하는 조직, 폴더 및 프로젝트와 등의 리소스 컨테이너를 지원한다.

마이크로소프트 애저
애저 AD(Azure AD)는 기업 네트워크, 온프레미스 리소스 및 수천 개의 SaaS 애플리케이션은 물론이고 애저 서비스 SSO, MFA 및 조건부 액세스를 제공하는 엔터프라이즈 ID 서비스다. 

회사에 따르면 애저 AD를 사용하면 안전한 적응형 액세스를 통해 ID를 보호하고, 통합 ID 관리를 통해 액세스 및 제어를 간소화하며, 단순화된 ID 거버넌스를 준수할 수 있다. 마이크로소프트는 99.9%의 사이버 보안 공격에서 사용자를 보호할 수 있다고 말한다.

3. 데이터 보호 및 암호화
AWS
AWS는 클라우드에 저장된 데이터에 보안 계층을 추가할 수 있는 기능을 제공한다. 아마존 EBS(Amazon EBS), 아마존 S3(Amazon S3), 아마존 RDS(Amazon RDS), 아마존 레드시프트(Amazon Redshift), 아마존 엘라스티캐시(Amazon ElastiCache), AWS 람다(AWS Lambda) 및 아마존 세이지메이커(Amazon SageMaker)를 비롯한 대부분의 AWS 서비스에서 미사용 데이터 암호화 기능을 포함한 확장 가능한 암호화 기능을 제공한다.

또 AWS에서 암호화 키를 관리하도록 할지 아니면 자체 키를 제어할 것인지 선택할 수 있는 AWS 키 관리 서비스(AWS Key Management Service), AWS 클라우드HSM(AWS CloudHSM)을 쓰는 전용 하드웨어 기반 암호화 키 스토리지, 아마존 SQS용 서버 측 암호화(SSE)를 사용해 민감한 데이터를 전송하기 위한 암호화된 메시지 대기열 등을 비롯하여 유연한 키 관리 옵션도 지원한다.

GCP
구글은 데이터가 처리되는 동안 사용 중인 데이터를 암호화하는 ‘획기적인’ 기술인 컨피덴셜 컴퓨팅(Confidential Computing)을 제공한다. 컨피덴셜 컴퓨팅 환경은 메모리 및 중앙 처리 장치의 외부에 암호화된 데이터를 보관한다.

컨피덴셜 컴퓨팅 포트폴리오의 첫 번째 제품은 컨피덴셜 VM(Confidential VMs)이다. 구글은 이미 클라우드 인프라의 일부로 다양한 격리 및 샌드박스 기술을 사용하여 멀티 테넌트 아키텍처 보안을 유지하고 있으며, 컨피덴셜 VM은 사용자가 클라우드에서 워크로드를 추가로 분리할 수 있도록 메모리 암호화를 지원한다. 

또 다른 제품인 클라우드 EKM(Cloud EKM)을 통해 기업들은 지원되는 외부 키 관리 파트너 내에서 관리하는 키를 사용하여 구글 클라우드 플랫폼 내의 데이터를 보호할 수 있다. 기업들은 키 생성, 위치 및 배포를 제어하여 타사 키에 대한 핵심 출처를 유지할 수 있다. 자신의 키에 액세스하는 사람을 제어할 수도 있다.

마이크로소프트 애저
애저 키 볼트(Key Vault)를 사용하면 클라우드 애플리케이션 및 서비스에서 쓰는 암호화 키와 기밀을 보호할 수 있다. 애저 키 볼트는 키 관리 프로세스를 간소화하고, 기업들이 데이터에 액세스하고 암호화하는 키를 계속 제어할 수 있도록 설계됐다. 

개발자는 몇 분 만에 개발 및 테스트용 키를 생성한 다음 이를 프로덕션 키로 마이그레이션할 수 있다. 보안 관리자는 필요에 따라 키에 사용 권한을 부여하거나 취소할 수 있다.

마이크로소프트 정보 보호(Microsoft Information Protection) 및 마이크로소프트 정보 거버넌스(Microsoft Information Governance)는 마이크로소프트 365 내의 데이터를 보호하고 관리한다. 

마이크로소프트 정보 보호는 모든 마이크로소프트 365 애플리케이션 및 서비스뿐만 아니라 윈도우 10 및 엣지에서 데이터 손실 방지 기능을 확장한다. 애저 퍼뷰(Azure Purview)는 구조화된 데이터가 어디에 있는지 파악하여 데이터를 더 잘 보호하고 관리할 수 있도록 지원한다.

4. 애플리케이션 보안
AWS
AWS 쉴드(AWS Shield)는 애플리케이션을 보호하는 관리형 DDoS 보호 서비스다. 아마존 클라우드에서 실행된다. 이는 애플리케이션 중단 시간과 지연 시간을 최소화하도록 설계된 상시 탐지 및 자동 인라인 완화 기능을 제공한다. AWS 쉴드에는 스탠다드와 어드밴스드라는 2가지 계층이 있다.

모든 AWS 고객은 AWS 쉴드 스탠다드의 자동 보호를 받을 수 있다. 스탠다드는 웹 사이트나 애플리케이션을 대상으로 하는 대부분의 일반적인 네트워크 계층 및 전송 계층 DDoS 공격을 방어한다고 아마존은 설명한다. 쉴드 스탠다드를 아마존 클라우드프론트(Amazon CloudFront) 및 아마존 루트 53(Amazon Route 53)과 함께 사용하면 알려진 모든 인프라 공격에서 포괄적인 보호를 받을 수 있다.

아마존 EC2(Amazon EC2), 엘라스틱 로드 밸런싱(Elastic Load Balancing), 아마존 클라우드프론트(Amazon CloudFront), AWS 글로벌 악셀러레이터(AWS Global Accelerator) 및 아마존 루트 53(Amazon Route 53) 리소스에서 실행되는 애플리케이션을 대상으로 한 공격에 더 높은 보호 수준을 원한다면 AWS 쉴드 어드밴스드를 선택할 수 있다. 

쉴드 어드밴스드는 스탠다드와 함께 제공되는 네트워크 계층 및 전송 계층 보호 외에도 대규모의 정교한 DDoS 공격 추가 탐지 및 완화, 실시간에 가까운 공격 가시성, 클라우드 제공자의 웹 애플리케이션 방화벽인 AWS WAF와의 통합을 제공한다. 

GCP
구글 클라우드 웹 앱 및 API 보호(Google Cloud Web App and API Protection; WAAP)는 웹 애플리케이션과 API에 포괄적인 위협 보호를 제공한다. 클라우드 WAAP는 구글이 웹 애플리케이션 침해, DDoS 공격, 사기성 봇 활동 및 API 대상 위협에서 퍼블릭 서비스를 보호하는 데 사용하는 것과 동일한 기술을 기반으로 한다.

클라우드 WAAP는 사일로화된 애플리케이션 보호에서 통합 애플리케이션 보호로의 전환을 의미하며, 개선된 위협 방지, 향상된 운영 효율성, 통합된 가시성 및 텔레메트리 기능을 제공하도록 설계됐다. 또 클라우드 및 온프레미스 환경 전반에 걸쳐 보호 기능을 제공한다고 회사 측은 전했다.

클라우드 WAAP는 3가지 제품을 결합하여 위협 및 사기에 포괄적인 보호를 제공한다. 첫 번째는 GCP의 글로벌 로드 밸런싱 인프라의 일부이며, 웹 애플리케이션 방화벽 및 안티 DDoS 기능을 제공하는 구글 클라우드 아머다. 

두 번째는 보안에 중점을 두고 API 수명 주기 관리 기능을 제공하는 어피지 API 관리(Apigee API Management)다. 마지막은 자격증명 스터핑, 자동 계정 생성, 자동화 봇 악용 등의 사기 행위, 스팸, 남용을 보호하는 리캡차 엔터프라이즈(reCaptcha Enterprise)다. 

또 다른 GCP 제품인 클라우드 보안 스캐너(Cloud Security Scanner)는 웹 애플리케이션 취약점을 검색하고 공격자가 취약점을 악용하기 전에 기업이 조치를 취할 수 있도록 해준다.

마이크로소프트 애저
마이크로소프트 클라우드 앱 보안(Microsoft Cloud App Security)은 다기능 가시성, 데이터 이동 제어, 사용자 활동 모니터링, 정교한 애널리틱스를 결합하여 고객이 모든 마이크로소프트 및 타사 클라우드 서비스에서 사이버 위협을 식별하고 해결할 수 있도록 하는 클라우드 앱 보안 브로커다. 

정보 보안 전문가용으로 설계된 클라우드 앱 보안은 기본적으로 애저 액티브 디렉토리(Azure Active Directory), 마이크로소프트 인튠(Microsoft Intune), 마이크로소프트 정보 보호(Microsoft Information Protection)를 비롯한 보안 및 ID 도구와 통합되며 로그 수집, API 커넥터, 역방향 프록시 등의 다양한 배포 모드를 지원한다. ciokr@idg.co.kr




 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.