클라우드 보안 - 대표적 보안 기술 : end-to-end 보안

클라우드 보안 설계시, 가장 중요하게 다루는 분야는 사용자 응용에서, 클라우드 플랫폼의 해당 자원(resource)까지의 end-to-end 보안 기술

예시) TLS 수준의 VPN 기술이 end-to-end 보안성 제공

외부 인터넷망에 존재하는 사용자와 클라우드 자원 간에 통신을 하기 위해서 네트워크 구간에 전송되는 패킷 단위 데이터를 암호화 하는 통신 방법

이를 통해, 네트워크 구간에서는 암호문이 전송되는 것
만약, 일반적인 TCP 프로토콜을 통해 암호화 되지 않은 평문이 전송된다면, 악의적인 공격으로 데이터의 내용이 유출되는 사고가 발생 (데이터의 민감성 수준에 따라 2차 보안 위협 가능)

ex. 도메인과 TLS 인증서를 등록하여, 외부와의 네트워크 통신 시에 암호화 처리를 수행함

클라우드 환경에서는 도메인 발급/관리 서비스와 공인 인증서 발급/등록 서비스를 통해서 TLS 설정을 가능하게 함 → 클라우드 사용자는 주기적으로 인증서 발급과 자동 갱신 서비스를 통해, 보안과 운영 효율의 2가지 효과 기대 가능

암호화 통신을 구성하기 위한 2가지

Q. 도메인(domain)?

A. 특정 서비스를 호출하는 경우에 물리적으로 구성된 자원의 공인 IP를 호출해야 하나, 사용자가 기억하기 쉬운 이름인 별명. 넓은 의미로는 네트워크 상에서 컴퓨터를 식별하는 호스트 명, 좁은 의미에서는 도메인 레지스트리에서 등록된 이름

Q. TLS 인증서?

A. 신뢰할 수 있는 공인 인증기관으로부터 서버와 같은 자원을 신뢰하도록 암호화된 연결을 수립할 수 있도록 발급된 인증 파일. 이를 클라우드 자원이나 서버 자원 등에 등록하여 네트워크 구간 내에서 암호화된 구간 통신을 수행 가능

[AWS에서 제공하는 관련서비스]

도메인 관리를 위한 Route 53 : 공식 도메인 발급 기관을 통해서 도메인을 발급받을 수 있으나, 클라우드 서비스 제공자의 도메인 발급으로 모니터링 등의 일원화된 도메인 서비스를 받을 수 있음

인증서 발급을 위한 ACM(Amazon Certificate Manager) : 공식 인증서 발급 기관을 통해서 TLS 통신을 구현할 수 있으나, 클라우드 서비스 제공자의 인증서 관리 서비스로 비용 절감과 갱신 작업에 대한 사용자 부담을 줄일 수 있음

가상의 논리적 네트워크 사설망을 구축하여 구간 암호화 통신과 외부에서의 임의적 침입을 방지하는 가상의 전용 네트워크망

개별 네트워크 통신 초입 지점에 가상 사설 네트워크 게이트웨이를 두고 상대방의 네트워크 설정을 추가하여 고정된 네트워크 구간에서 안전한 사설망 구축 가능

구축 예시)

VPN 서비스로 통신을 수행하고자 양단 끝의 위치에 VPN Gateway를 적용하고, 각 VPN G/W를 연결할 수 있는 VPN Connection 설정으로 완전히 암호화된 논리적 사설망이 구축됨

황치하, 양지언, 『클라우드X보안 실무 가이드』 (부천:프리렉, 2020)
책의 내용을 공부하고 정리한 글입니다.

sososo_개발블로그