Offcanvas

How To / 데이터센터 / 보안 / 분쟁|갈등 / 비즈니스|경제 / 애플리케이션 / 클라우드

"앱 위험 구분, 암호화" 퍼블릭 클라우드 활용 팁 10선

2016.11.18 Brandon Butler  |  Network World
GE, 페덱스, 뱅크오브아메리카, JP 모건 체이스, 모건 스탠리 등 글로벌 선진 기업들이 직접 클라우드를 사용하면서 배운 교훈을 공유했다. 

 
GE, 시티그룹, 페덱스, 뱅크오브아메리카(BoA), 인튜이트(Intuit), 갭(Gap), 카이저 퍼머넌트(Kaiser Permanente), 모건 스탠리(Morgan Stanley), JP 모건 체이스(JP Morgan Chase)는 퍼블릭 클라우드를 이용하면서 어떤 교훈을 얻었을까?

이들 기업의 대표들은 지난 6개월간 ONUG(Open Networking User Group)과 함께 하이브리드 클라우드를 이용할 때 맞닥뜨리는 도전과제를 담은 백서를 발간했다. ONUG의 HCWG(Hybrid Cloud Working Group)는 클라우드 이용 경험에 바탕을 둔 값진 교훈과 함께 플랫폼 업체들이 귀담아들어야 할 사항들도 제시했다.

다음은 이 백서에서 선도 기업들이 이야기한 10가지 팁이다.

1. 앱의 위험을 '높음', '중간', '낮음'으로 구분한다
어떤 앱을 클라우드로 옮겨야 할까? 이 질문에 답하기 전에 먼저 해야 할 일이 있다. 이용 중인 앱을 분류하는 일이다. HCWG는 앱을 보안 위험에 따라 '높음', '중간+', '중간', '낮음'으로 분류할 것을 권장했다.

보안 위험이 가장 높은 앱에 가장 엄격한 보안 프로토콜을 적용해야 한다. 이미 공개된 데이터는 위험이 낮은 데이터다. 위험이 중간인 데이터는 ERP 시스템과 비즈니스 관리 애플리케이션 데이터다. 그러나 지적 재산이나 특허 관련 데이터는 제외된다. 이는 별도의 보안 프로토콜 없이 퍼블릭 클라우드로 옮길 수 있다. 위험이 '중간+'인 앱 데이터는 정부에서 통제하는 비밀이 아닌 데이터, 규제가 적용되는 데이터를 예로 들 수 있다. 위험이 높은 앱은 퍼블릭 클라우드에 적합하지 않다. 특허, 아주 중요한 비즈니스 프로세스, 요주의 금융 정보 등이 들어있기 때문이다.

2. 클라우드 브로커를 활용한다
퍼블릭 클라우드로 이전할 앱을 결정한 다음에 만나는 도전과제는 클라우드에 도달하는 방법이다. 어떤 인터넷 연결에서도 퍼블릭 클라우드 리소스에 접근할 수 있다. ONUG 회원사들은 보안(HCWG는 악용 방지라고 표현)과 성능 개선을 위해 클라우드 브로커(중간자) 활용을 권했다. 클라우드 브로커는 여러 퍼블릭 클라우드 제공업체에 대한 액세스 포인트를 제공하는 코로케이션 제공업체다. 에퀴닉스(Equnix), AT&T, 버라이즌(Verizon), 스프린트(Sprint)가 여기에 해당된다.

클라우드 브로커는 엔터프라이즈 캠퍼스나 원격 데이터센터로 가기 전에 클라우드의 유입, 유출 네트워크 트래픽을 검사하는 안전한 장소를 제공하는 기업 데이터센터의 '파 엣지(멀리 떨어진 또 다른 데이터센터)'로 생각하면 된다. 백서는 "클라우드 브로커가 패킷을 검사/스캔하고, 발생 트래픽을 검사한다. 이를 통해 클라우드 공급업체에서 기업 데이터센터로 유입되는 악용 시도, 프라이빗 클라우드에 호스팅 된 서비스에 피해를 초래하는 악용 등을 줄여준다"고 설명했다.

성능도 향상된다. 브로커가 여러 IaaS 클라우드 업체를 파이버로 직접 연결하고 있기 때문이다. 다른 기능도 제공한다. 로드 밸런싱과 DNS/DHCP(Domain Name System/Dynamic Host Configuration Protocol) 같은 애플리케이션 전달 관리 기능, 인증 사용자에 대한 액티브 디렉토리 호스팅 등을 예로 들 수 있다. 클라우드와 엔터프라이즈 네트워크 사이의 완충재 역할을 하므로 IPS(Intrusion Prevention System)/방화벽 보안, 기타 네트워크 모니터링 및 분석 도구에 이상적이다. 코로케이션 시설이기 때문에 고객이 원하는 대로 늘리거나 줄일 수 있으며 고객이 직접 통제할 수 있다.

3. '표시 가격(정가)'은 '실제 가격'이 아니다
대기업은 퍼블릭 클라우드와 직접 협상해, 할인된 가격에 계약을 체결한다. 온라인에 표시된 가격은 참고용일 뿐이다. HCWG는 계약에 많은 시간과 노력이 필요할 수 있다고 경고했다.

4. 협상 전문가를 활용한다
IT업체와 계약을 체결할 때는 협상 전문가(중재인)를 이용하는 것이 좋다. HCWG 회원사 중에는 계약 협상에 18개월이라는 시간과 많은 (법무) 비용을 투자한 회사도 있다. 내부의 법무 담당 직원, 외부 전문가 등 경험 많은 협상가를 이용하는 것이 좋다.

5. 클라우드 라이선싱은 별개다
HCWG 회원들은 퍼블릭 클라우드를 이용할 때 라이선싱에 주의를 기울여야 한다고 말했다. 내부에서 사용할 수 있도록 라이선스를 받은 소프트웨어를 합법적으로 클라우드에서 사용할 수 있는지 확인해야 한다. 온-프레미스 앱을 합법적으로 퍼블릭 클라우드에서 이용할 수 있는 경우에도, 애초부터 퍼블릭 클라우드에 맞지 않는 라이선스가 있다. ONUG는 "예를 들어, 라이선스가 소프트웨어가 접근된 CPU의 수 등에 토대를 두고 있을 수 있다. 이 경우, 애플리케이션을 클라우드에 구현하면 더 많은 직원들이 이에 접근하게 된다"고 설명했다. 가능하면 퍼블릭 클라우드를 염두에 둔 소프트웨어 라이선스를 찾아야 한다.

6. 컴플라이언스 관리자를 교육한다
평생 온-프레미스에서 일한 감사 담당자는 퍼블릭 클라우드 관리에 어려움을 겪을 수 있다. ONUG 백서는 "클라우드 컴퓨팅의 '언어'와 '자산이 위치한 장소'가 생소한 감사자들이 많다"고 지적했다. 감사자들이 퍼블릭 클라우드에 익숙하지 않을 것이라고 가정하고, 여기에 대비해야 한다. ONUG는 퍼블릭 클라우드 업체들이 감사 담당자에게 교육 프로그램과 도구를 제공해야 한다고 주장했다.

7. '책임 부담'을 놓고 갈등이 초래될 수 있다
일부 ONUG 회원사는 IaaS 클라우드 공급업체와 책임 부담을 협상하면서 많은 어려움을 겪었다. 기존 관리형 서비스, 기타 아웃소싱 계약의 경우 통상 아웃소싱한 자산의 가치에 대한 피해, 손실, 책임을 규정한다. 그러나 클라우드 공급업체의 책임 부담은 이와 다른 경우가 있다.

백서는 "클라우드 업체가 지불한 금액을 책임 부담으로 규정하는 경향이 있다. 다시 말해, 애플리케이션 호스팅에 연간 5만 달러를 지불했는데 100만 달러의 피해가 발생한 경우, 클라우드 업체는 5만 달러만 책임지려 한다. 바로 이러한 이유로 애플리케이션이 위험이 낮거나 중간인 애플리케이션만 클라우드로 마이그레이션 하게 된다"고 설명했다.

8. 특정 업체 종속을 경계한다
HCWG의 설명에 따르면, 특정 퍼블릭 IaaS 클라우드 공급업체에 대한 '종속'을 피할 수 없는 경우도 있으며, 이것이 반드시 나쁜 것만도 아니다. 그러나 HCWG는 최종 사용자가 이를 인식해 수용하는 것이 중요하다고 강조했다. 백서는 다른 클라우드 업체로 데이터를 이전하는 비용이 많고, 클라우드에 데이터를 집어넣는 것보다 빼낼 때의 비용과 어려움이 가중된다고 밝혔다.

또 특정 업체 종속에 유독 취약한 애플리케이션 종류가 있다. 워크로드 생성 도구, 표준화되지 않은 오케스트레이션 도구, 표준화되지 않은 프로비저닝 도구, 특정 업체의 스케줄링 및 자동화 도구를 예로 들 수 있다. 특정 업체의 도구를 이용하는 개발자와 클라우드 관리자의 수가 많을수록 다른 환경에서 워크로드를 실행하기가 어려워진다.

9. 모든 것을 암호화하고, 키를 관리한다
클라우드로 전송해서 저장하는 모든 데이터를 암호화하는 것이 기준이 되는 추세다. ONUG는 최종 사용자가 키를 관리해야 한다고 강조했다. 기준으로 정착되고 있는 또 다른 보안책은 역할 기반 접근 관리다. 클라우드 환경의 관리자 도구에 접근할 수 있는 사람을 지정해야 한다는 의미다. 또 이중 인증을 도입해 활용해야 한다.

10. 퍼블릭 클라우드의 한계를 이해한다
HCWG 회원들은 퍼블릭 클라우드를 이용한 경험에 바탕을 둔 자세한 팁과 함께, 클라우드 업체들이 더 간편하게 이용할 수 있도록 플랫폼을 개선하는 방법을 제시했다. 이 '개선 리스트'를 참고하면, 퍼블릭 클라우드의 단점을 알 수 있다. 예를 들어, HCWG 회원들은 여러 퍼블릭 클라우드를 쉽게 마이그레이션 해 이용할 수 있어야 하고, 공통된 암호화 프로토콜과 공통된 노스바운드 API가 도입되어야 한다고 강조했다. 클라우드는 장점이 많지만 '완벽한' 것은 아니다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.