멀티 클라우드 기반의 아키텍처와 보안 고려 사항
단일 클라우드 서비스 제공자를 이용한 서비스 사용 시 발생할 수 있는 가용성 문제는 특정 클라우드 서비스 제공자에 대한 의존도가 높아질수록 시스템 종속성이 발생하는 것이다.
- 갑작스러운 서비스 비용 증가나 클라우드 서비스 제공자의 인프라 환경에 중대한 취약점 발생 시 시스템 전체가 위험해질 수 있기 때문에, 여러 클라우드 서비스 제공자를 활용하는 멀티 클라우드 기반을 이용하면 하나의 클라우드에 종속되는 위험을 줄일 수 있음
예시) 멀티 클라우드 환경에서 지역적인 엣지 포인트(AWS에는 CloudFront) 또는 CSB(Cloud Service Broker)를 통해 원격지 서비스 간의 통신을 구성 (그림으로 나와있음)
- 요약 : 개별 클라우드를 퍼블릿 서브넷과 프라이빗 서브넷으로 분리하고, 인/아웃 바운드 방화벽과 엣지 포인트 설정을 대역이 아닌 구체적으로 설정하여 기본적인 보안 환경을 구성. 또한, 인터넷 공용망으로 통신하는 구간은 통신 구간 암호화로 네트워크 보안 수준을 향상 시킴.
멀티 클라우드 이용 시 장단점
- 장점 : 클라우드별 장단점을 활용하여 서비스를 위해 사용하는 인프라의 비중을 조정, 가용성 측면에서는 단일 클라우드 대비 향상된 서비스를 제공할 수 있음
- 단점 : 관리해야 할 영역이 늘어나고, 클라우드별로 적용 가능한 보안 서비스나 정책들이 다를 수 있다는 어려움도 있음
멀티 클라우드 구조에서 고려해야 할 보안 요소 : 복잡성 해결
하나의 클라우드 내에서도 서비스별로 개발 방식이 달라 다양한 정보 교환 방법이 존재 & 클라우드별로 보안 서비스와 보안 정책도 다름
- 이러한 복잡성을 해결해주는 서비스 : CASB(Cloud Access Security Broker)
- 클라우드에 상관없이 하나의 클라우드 서비스로 접점을 만들어 보안 정책을 적용해주기 때문에, 여러 클라우드의 다양성으로 인한 보안 관리의 복잡성을 줄여줌
- 추가적으로 클라우드별 운영 노하우 및 기술 부담 줄이기 : CSB(Cloud Service Brokerage)
- 클라우드 운영 서비스 제공
| 보안 위협 요소 | 해결안 | 보안 서비스 및 솔루션 | |
| 1 | 클라우드 운영 미숙으로 인한 보안 위협 | 클라우드 운영 전문가 활용 | CSB(Cloud Service Brokerage) 활용하여 다수의 이기종 클라우드를 통합 관리 |
| 2 | 클라우드 서비스별 다른 보안 수준 | 표준화된 보안 정책 적용 | CASB(Cloud Access Security Broker) 활용해서 클라우드 접속 시 보안 요소를 표준화 및 일원화하여 관리 |
| 3 | 이기종 클라우드 간 데이터 전송 시 노출 | 인터넷 통신 구간의 데이터 보호 | TLS 통한 구간 암호화 또는 비대칭 키 적용, 클라우드 간에 직접적인 데이터 공유 및 참조가 필요한 경우는 필수적으로 네트워크 구간의 암호화 및 데이터 자체의 암호화 적용 필요 |
서비스가 다양해지고 커질 수록 통합된 보안 정책 관리와 보안 모니터링에 대한 운영의 어려움이 발생
- CASB나 CSB와 같은 서비스로 부족한 클라우드 보안 관리 수준을 개선
추가 공부 (책에 없는 내용)
지속적인 보안 사고 대응
Preparation
클라우드 자산의 인벤토리를 수행하는 준비 단계의 주요 활동
- 기본적으로 expected-state라고도 하는 실제의 단일 소스인 사용자 지정 구성 관리 데이터베이스(CMDB)를 활용
- expected-state는 클라우드 스토리지 버킷, 사용자, 액세스 제어 목록 및 액세스 제어 정책과 같은 클라우드 자산으로 구성됨
Detection & Analysis
클라우드 보안 상태 관리 시스템인 CSBAuditor를 사용하여 보안 사고를 감지
- state-transition-analysis를 사용하고 있기 때문에 클라우드에 있는 자산의 실시간 상태를 나타내는 cloud-state라는 또 다른 상태를 구성
- 이 상태를 획득하기 위해 클라우드 API를 통해 전체 클라우드 자산을 열거, 그 후 편차를 식별할 수 있도록 두 상태를 지속적으로 비교하고 확인
- 여기서 생기는 편차는 클라우드 자산의 무단 수정 또는 새 자산 생성을 나타내므로 보안 이벤트로 간주되며 그에 따라 보안 경고가 생성
Containment(봉쇄), Eradication(근절) & Recovery(복구)
- Containment : 보안 사고를 무력화하기 위해 수행되는 조치
- 부분적인 개선이거나 일시적인 해결 방법
- ex. 프라이빗 으로 프로비저닝된 버킷이 갑자기 퍼블릭 이 되면 프라이빗으로 되돌리는 것
하지만, 위의 예시에서 누가, 왜, 언제, 어떻게 버킷이 비공개 에서 공개 로 상태를 변경했는지 즉시 자동으로 조사하는 것이 훨씬 더 중요
- 이러한 기능을 통해 위협을 완벽하게 감지하고 제거
- 지속적인 사고 대응 도구인 SlingShot은 CSBAuditor 와 함께 작동
{
“Alert”:{
“id”:23,
“csp”:”AWS”,
“resourceName”:”attacker01",
“resourceType”:”ServiceAccount”,
“rule”:”UserAuditor”,
“ruleType”:”UserChecks”,
“finding”:”unknown user”,
“score”:7.0,
“timeStamp”:”2019–04–06 20:24:30",
“description”:”The serviceaccount is unknown”
}
}
Post-Mortem
CSBAuditor에서 생성된 보고서(위의 예 참조)는 사후 분석 단계의 중요한 자료로 유지되고 사용
- 보고서는 CloudTrail 및 Stackdriver와 같은 클라우드 로그로 보강되어 보안 이벤트에 대한 자세한 그림을 캡처
- 캡처된 정보에는 API 액세스 키 , IP 주소 및 사용자 에이전트 , 사용자 이름이 포함되며 추가 조사에 매우 유용
- 따라서, 보안 사고에 대한 더 깊은 통찰력을 얻고 포렌식 조사를 수행하기 위해 포괄적인 정보가 제공
[참고 글] : Fast & Furious — Continuous Security Incident Response in the Cloud.
황치하, 양지언, 『클라우드X보안 실무 가이드』 (부천:프리렉, 2020)
책의 내용을 공부하고 정리한 글입니다.
'개발 > 클라우드' 카테고리의 다른 글
| 웹 방화벽 (WAF) (0) | 2023.09.03 |
|---|---|
| 클라우드 보안 - 지능형 클라우드 보안 기술 : CROWDSTRIKE(2) (0) | 2023.08.06 |
| 클라우드 보안 - 지능형 클라우드 보안 기술 : CROWDSTRIKE (0) | 2023.07.31 |
| 클라우드 보안 - Advanced 클라우드 보안 (0) | 2023.07.31 |
| 클라우드 보안 - 대표적 기술 : 접근제어/권한제어 (0) | 2023.07.31 |
