[칼럼/시스코 내부사례] 클라우드 보안과 위험 분석! 어떻게 관리할까요?

클라우드 시대의 보안! 결국 무엇을 관리해야 하는 걸까요?

지난 몇 년간 클라우드 기반 어플리케이션은 로켓이 하늘을 날아다니는 속도로 무섭게 시장에 도입되고 있습니다. 그리고 비즈니스를 위해 클라우드를 사용해야 한다는 것은 예외가 없는 일반적인 사실이 되었죠? 하지만 여러 클라우드 서비스들 사이에서 발생하는 보안 문제가 고민 거리로 떠오르고 있죠. 

시스코 내부의 클라우드 관리를 위한 해법 

시스코 IT 팀은 Cloud & Application Service Provider Remediation (CASPR)라고 불리는 프로그램을 통하여, 클라우드 내의 자사 데이터와 브랜드를 안전하게 보호하고 시스코 직원들이 사용하고 있는 2000개 이상의 클라우드 서비스에 대한 모니터링, 관리를 위해 활용하고 있습니다. 

사실 많은 기업들이 클라우드 내에서 자신들이 활용하는 정보의 양이 어느 정도 인지 정확하게 파악하지 못하고 있는데요. 이는 큰 보안 위협이 될 수 있습니다. 시스코 역시 시스코 내부에서 어떤 클라우드 서비스가 사용되고 있는지 등 클라우드 자산에 대한 정보를 알기 어려웠었지만, 지금은 속 시원히 현황을 파악하고 있죠! 그 비법이 궁금하시다고요? 그 비법을 공개해 드리겠습니다 ^^ 

Cisco Cloud Consumption Service, 숫자로 보는 IT자원 관리 

내부적으로 시스코 IT팀은 시스코클라우드소비서비스(Cisco Cloud Consumption Service)를 통하여 네트워크에 대한 가시성과 함께 최근에 많이 사용되고 있는 서비스들이 무엇인지 파악하고 있습니다. 그리고 위험도에 대한 분석을 위해서 머신 러닝, 소프트웨어 툴과 시스코의 프로페셔녈 서비스를 혼합하여 사용하고 있습니다. 

여기서 나오는 정보들을 통해 현 IT 환경에서 사용되는 클라우드 서비스에 대한 마스터 저장소를 구성합니다. 이 저장소는 시스코의 풍부한 보안 지식과 클라우드 서비스에 대한 안전성, 위험도 등을 점수로 표현하는 업계 표준 연합체인 시스코 보안 연합 (Cisco Security Alliance)의 정보들과 연계 구성됩니다. 이러한 과정을 통하여 클라우드 서비스에 어떤 문제들이 있는지 확인할 수 있는 것이죠. 

이렇게 산출된 점수를 기반으로 시스코 IT팀은 현재 제공되는 서비스들을 비즈니스 중요도에 따라 얼마나 안정적으로 운영중인지를 한 눈에 도식화하여 파악하고 있습니다. 

CASPR에서 고려하고 있는 다섯 가지 혁심영역

비즈니스의 위험을 최소화하는 방법 

이렇게 관리 환경이 복잡해지는 오늘날, 어떻게 비즈니스의 위험을 최소화 할 수 있을까요?

• 먼저 직원들이 어떤 클라우드 서비스를 사용하고 있는지 파악해 보세요! 클라우드 서비스 사업자의 관리 역량에 따라, 비용을 분석하거나 더 역량있는 서비스로 마이그레이션할지 등을 결정할 수 있습니다. 
• 클라우드 운영 관리 체계와 위험도 분석, 분류 프로세스를 구축하면, 분석된위험요소들이 현재 우리의 비즈니스에 어떤 영향을 주는지 쉽게 파악할 수 있습니다. 
• 마지막으로 클라우드 서비스 사용에 대한정책을 통하여 위험 요소를 최소화할 수 있습니다. 실제 위험 요소는 데이터를 어떻게 관리하고 저장하느냐와 긴밀한 관계를 지니고 있는데요. 이를 통해 정해진 정책을 지원들에게 지속적으로 교육하여, 위험 요소들을 최소화할 수 있습니다. 

예를 들면, 시스코는 많은 직원들이 클라우드를 통해 데이터를 저장하고 공유한다는 사실을 파악하고, 시스코 내부 서비스로 스토리지 서비스인 Box.com을 제공하여 한 군데서 자료를 관리하고 처리할 수 있도록 제공하고 있습니다. 직원들은 외부의 다른 서비스를 사용하지 않아도되고, 회사는 일원화된 스토리지 관리로 데이터를 보호하고 외부에 노출되는 위험도를 최소화할 수 있게 되었습니다. 일석이조 이죠? 

클라우드 서비스가 필수 불가결한 요소임은 누구나 공감하는 사실입니다. 

IT 운영 차원에서 보안을 이유로 “무조건 클라우드는 안됩니다!!”하지 않고, 

직원들이 사용하는 클라우드 서비스를 효율적으로 분석하고 판단하여

 IT의 탄력성은 높이고, 위험 요소들을 최소화하는 노력이 필요하겠죠? 

▶ 칼럼 다운 받기 시스코_클라우드 보안과 위험 분석 어떻게 관리할까요_시스코IT팀.pdf

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.