[클라우드 보안] 클라우드 보안 서비스

1. 네트워크 구간 암호화 (TLS)

• 네트워크 구간에 전송되는 패킷 단위 데이터를 암호화를 'TLS 통신'을 수행해야 함.
• 암호화된 통신을 구성하려면 기본적으로 도메인과 인증서가 필요함
• CSP 인증서 서비스는 무료 또는 저렴한 비용으로 이용 가능
• 매년 인증서 갱신 비용과 등록 작업이 자동으로 진행돼 인증서 교체 작업의 누락에 대한 위험성이 최소화

2. 컴퓨팅(서버) 자원 및 저장소 보안 서비스

1) 중계서버(Bastion Host)

• 네트워크 내부와 외부 사이에 연결을 위해 중계 역할을 수행하는 서버 또는 호스트를 구성
• 인바운드 방화벽 규칙은 명확한 출발지 IP(범위로 적용하는 것 지양)로 설정해서 퍼블릭 서브넷에 위치한 Bastion Host의 보안도 향상

2) SaaS와 같은 외부 서비스의 내부 통신

• 내부 게이트웨이 서비스 (예> AWS VPC Endpoint)
  
  

3) WFA(웹 방화벽)

•  웹방화벽을 적용할 때 가용성 분석을 위해 보통 6개월 정도의 학습모드로 공격 모니터링과 서비스 영향도 분석을 수행하고 이후에 운영모드로 전환

 (1)  CDN에 적용

•  실시간으로 HTTP/HTTPS 트래픽에 대한 보안 수행
•  어플리케이션에 대한 공격이 클라우드에 도달하기 전에 차단

 (2) 로드밸런스에 적용

• ALB에서 인터넷 게이트웨이나 웹서버에 도달하기 전에 차단
• 웹 액세스 제어 목록의 수(웹 사이트수), 웹 액세스 제어에 추가한 규칙의 수, 그리고 수시한 웹 요청의 수를 기준으로 비용 부과

3. API 보호 서비스

• API는 프로그램들 간에 어플리케이션이나 서비스를 연결해 주는 역할을 하는 인터페이스용 프로그램
• API Gateway는 단일 접점에서 인증, 라우팅, 조정(Mediation), 로깅과 미터링(Metering) 등의 기능을 수행

• 인증 : 서비스를 요청하는 클라이언트를 인증하고 API 토큰을 생성 / 발급하는 기능
• 라우팅 : 사용자의 서비스 요청을 받아 해당 서비스를 제공하는 서버로 전달하는 기술(로드밸런싱, 메시지와 헤더 기반으로 요청사항 전달)
• 조정 : API 요청 메시지를 받아 서비스 제공을 위해 API를 추가하거나 프로토콜을 변환하는 기능
• 로깅 : API 운영상태를 모니터링하고 최적화하기 위해 호출 로그를 저장
• 미터링 : 허출 패턴을 분석하여 과금 처리하고 빅데이터와 연계하는 기능

4. 콘텐츠 보안 서비스

• 클라우드 환경에 보관된 파일, 영상, 데이터 등을 아우르는 콘텐츠를 안전하게 보관하려면 기놉적으로 암호화 키와 복호화 키가 필요함.
  
  

 1) 키 관리 서비스(KMS)

• 사용자는 암호화키를 별도로 보관하지 않고 클라우드 내부 서비스로 키를 발급받아 지속적인 데이터 암/복호화 수행에 활용
• 암호화에 사용한 암호화키를암호화 키를 보관하고 암호 모듈과 통신하여 암호화 키를 새롭게 변경하는 등의 암호화 키의 라이트 사이클을 관리

2) 키 관리 보안 모듈(Cloud HSM)

• 암호화키를 필요로 할 때, 별도의 전용 장치로 암호화 키를 생성, 저장, 백업, 복구를 제공하는 서비스
  
  

  (1) 클라우드 HSM은 암호화키를 보관하기 위한 목적으로 만들어진 전용 장비

•  미국 표준공인 FIPS 140-2를 취득한 HSM 모듈을 서비스로 제공

레벨	설명
1	소프트웨어 측면에서 암호화 모듈 평가
2	암호화 모듈과 하드웨어적인 보안 적합성 평가
3	제품에 무단 접근할 때 중요 보안 변수 삭제
4	물리적 보호가 어려운 환경을 고려해 평가

(2) 클라우드 HSM은 애플리케이션을 통해 키를 관리하는 것보다 뛰어난 성능을 제공

• 자동화 : 프로비저닝, 소프트웨어 패치, 고사용성, 백업, 접근제어, 부하분산

(3) 중앙 집중적인 키 관리 수행

• 자신의 클라우드 가상 네트워크에서 클라우드 HSM을 구성하여 독점적으로 제어

5. Managed 보안 서비스

1) CASB(Cloud Access Security Broker)

•  CSP와 클라우드 사용자 사이에 위치하여 클라우드 환경으로 데이터 인증과 암호화 등의 보안 기능을 제공

 (1) 기능

• 클라우드 보안 위험 평가
• 암호화
• 접근통제
• DLP
• 로깅 및 모니터링
• 이상탐지
• 컴플라이언스 준수

 (2) 세가지 유형

• API형 : API를 통해 기능 수행
• Forward Proxy형 : In-Line 방식, 실시간 탐지 가능, 장애 발생 시 서비스 영향
• Reverse Proxy형 : 외부에 Proxy 주소를 노출하여 사용자 요청시 Proxy 서버가 요청을 방아 내부에서 처리 내용을 전달하는 방식
  
  

2) SECaaS(Security as a Service)

• 보안 서비스를 SaaS 형태로 제공하느 클라우드 솔루션
• 클라우드 환경은 비즈니스 요건에 맞는 보안 솔루션을 적용하는데 제약이 존재 하므로 해당 어려움을 해결하기 위한 클라우드 솔루션

(1) 기능 

• 사용한 만큼 비용 지불
• 필요할 때 적용 가능
• 보안 수준 향상
• 비용 절감
• 최신의 보안 위협요소와 컴플라이언스 대응 실시간 가능
• 전문 보안 인력 없이 자동으로 보안 수준 향상 가능

(2) CAS에서 발표한 SECaaS 이용 시 효과적인 보안 서비스

• 네트워크 보안
• 웹 보안
• IAM
• 침입 관리(IDS/IPS)
• SIEM
• 지속적인 모니터링
• 취약점 스캐닝
• 이메일 보안
• 암호화
• 내부정보 유출 방지
• 지속적인 백업과 재해 복구
• 보안 평가
  
  

3) SECaaS와 CASB 차이점

구분	SECaaS	CASB
개념	보안 솔루션을 SaaS 기반으로 제공	CSP와 클라우드 사용자 서비스 사이에서 보안 기능 제공
목적	클라우드에 적용하기 어려운 보안 기능의 해결	클라우드 서비스 증가에 따른 보안 정책 통합관리 어려움 해결
주요기능	네트워크, 웹, IAM, 취약점 스캐닝 등	사용자 인증, 위험 평가, 접근 통제 등
장점	도입비용 절약과 유연성	보안 솔루션 적용에 어려운 SaaS 서비스에도 보안 정책 적용 가능

4) 보안 운영 아웃소싱(MSSP -Management Security Service Provider)

• 보안 운영, 모니터링, 문제점 해결 등 효율적인 보안 관리를 수행하는 아웃소싱 서비스

1) 보안관제 운영 업무

• 기본업무 : 모니터링, 보안 사고 분석/대응, 보안정책 관리, 보안 연계
• 보안 수준관리 : 웹 어플리케이션 보안 점검, 시스템, 콘솔보안 설정 점검, SW 패치 및 신규 취약점 모니터링
• 보안수준 고도화 : 신기술을 활용하 이벤트 분석, 컴플라이언스 준수, 변경 사항에 대한 컨설팅, 신규 보안 솔루션 검토, 보안 관리 자동화 기능

5) CSPM(Cloud Security Posture MAnagement)-클라우드 보안 형상 관리

• 컴플라이언스 또는 기업 보안 정책에 따라 클라우드 인프라의 위험요소를 예방, 탐지, 대응 및 예측하여 클라우드 위험을 지속적으로 관리하는 솔루션

(1) 기능

• 컴플라이언스 진단
• 운영 모니터링
• DevOps 통합
• 인시던트 관리
• 리스크 판별
• 리스크 시각화

6) CWPP(Cloud Workload Protection Platform)

• 개발부터 운영까지 워크로드에서 보안을 구현하며 클라우드 네이티브 애플리케이션 컨테이너, 관리형 쿠버네티스, PaaS 에서 지속적으로 안정적인 클라우드 구성을 보장하기 위한 클라우드 보안 형상 관리의 개념

(1) 기능

• 컨테이너와 VM을 보호
• 네트워크 분할 정책 생성과 모니터링
• 워크로드 구성 관리
• 어플리케이션 화이트리스트 작성
• 시스템 건전성 확인

 

https://coupa.ng/b5Gncn

클라우드X 보안 실무 가이드

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."