클라우드 시장은 이제 성숙기에 접어들고 있으며, 많은 기업들이 이미 프라이빗또는 퍼블릭 클라우드전략을 도입 및 실행하고 있습니다. 이처럼 적극적인 클라우드 기반의 소프트웨어 개발은 한편에서는 비즈니스 혁신을 지원하지만 다른 한편에서는 강력한 보안 유지에 어려움을 더한다고 합니다.
그러다 보니 종종 '혁신이냐? 보안이냐?' 둘 중 하나만을 선택해야 하는 상황에 처하게 되는데요. 두 마리 토끼를 다 잡을 수 있도록 시스코는 최근 ‘시스코 도메인 텐(Cisco Domain Ten)’이라는 레퍼런스 프레임워크를 선보였습니다.
도메인 텐은 데이터센터 및 클라우드에 대한 엔드투엔드 뷰(view)를 제공하는 서비스인데, 이를 통해 여러분은 자사의 클라우드 환경을 좀 더 구체적으로 이해할 수 있습니다. 또, 업계 모범 사례를 표본 삼아 어떠 부분을 강화하고, 어떤 부분에 변화를 가져올지도 알 수 있지요 ^^
오늘은 도메인 텐은 클라우드 컴퓨팅 플랫폼의 보안 및 규제준수(compliance) 리스크를 최소화해주는데, 보안을 강화해야 하는 3개 분야에 대해 살펴보겠습니다.
프라이버시 및 데이터 주권
기업 또는 개인의 프라이버시, 그리고 기밀 정보를 유지하는 것은 매우 중요한 일입니다. 한편, 데이터 주권은 디지털 데이터가 저장되어 있는 국가의 법률 아래 있다는 개념이고요. 이 같은 프라이버시와 데이터 주권 관련 법률 및 요구사항들은 통상 매우 구체적이며 구속력이 있습니다.
그래서 기업들은 반드시 데이터 프라이버시 및 주권을 준수하는 클라우드 프레임워크를 구축해야합니다. 주의사항은 데이터 주권법에 따라 데이터가 원산국가를 떠나지 않고, 또 해당 국가 밖에 거주하는 관계자는 해당 데이터에 접근하지 못하며, 프레임워크의 모든 데이터 운영은 국가 내에 거주 중인 직원들이 진행한다는 점입니다.
클라우드 플랫폼 보안
또한 클라우드 플랫폼 자체도 접근, 운영 및 애플리케이션, 세 가지 측면에서 잘 보호되어야 합니다.
포털 또는 API를 통한 접근은 API 방화벽, 웹 애플리케이션 방화벽 및 APT(Advanced Persistent Threat, 지능형 지속 가능 위협) 솔루션으로 보호되어야 합니다. 운영 측면에서는 방화벽, 침입 감지, 제어/관리/네트워크/스토리지/애플리케이션의 보안 및 거버넌스를 위한 개별 논리 네트워크와 같이 기본적인 규제를 요구하는 PCI를 채택하는 것이 좋고요. 애플리케이션 측면에서는 인증 받은 사람들만이 데이터에 접근하도록 허용하는 ID 관리 및 보안 정책을 적용해야 합니다.
참고로 규제준수는 언제나 클라우드 제공업자가 아닌 애플리케이션, 프로세스 및 데이터 소유자의 책임입니다. 그러므로 여러분은 다음 두 가지 필터를 통해 규제준수 문제를 고려할 필요가 있습니다.
첫째, 고객의 감사를 허용하고 필요한 정보를 공유하도록 허용하는 클라우드 제공업자가 내부적인 규제준수를 갖췄는지 확인하고, 두 번째로는 여러분이 규제에 맞는 솔루션(예. 방화벽, IDS 및 암호화 기능)을 개발하도록 돕는 규제를 마련해야 합니다.
클라우드 오케스트레이션 및 자동화
클라우드 오케스트레이션 및 자동화 시스템은 클라우드를 제공, 운영 관리 및 유지하는데 필요한 모든 역량을 제공합니다. 하지만 안타깝게도 방화벽의 뒷단에 있는 이 시스템은 클라우드의 가장 큰 보안 취약점이 될 수 있지요. 주로 하나의 비밀번호로 보호되는 단일 시스템 계정 형태로 운영되는데, 이를 반드시 신뢰도가 낮은 세그먼트로 취급하고 보안을 강화해야 합니다.
아직도 클라우드 보안이 걱정되신다면, 잊지 마시고 위 세 가지 분야에서 보안 관리와 규제 준수가 제대로 이뤄지도 있는지 먼저 확인해보시기 바랍니다~!
함께 읽어보세요>>
<클릭> [칼럼] 성공적인 프라이빗 클라우드 활용을 위한 체크리스트 시스코 이득만 클라우드 서비스 매니저
<클릭> [후니의 1분 정보] 아파트 아니죠~ 에이.피.티 맞습니다~.시스코 진강훈 상무
이번 포스팅은 시스코 클라우드 인프라 서비스 부문 CTO인 케네스 오웬스(Kenneth Owens)가 작성한 Managing Security and Risk in a Hybrid Cloud Environment를 바탕으로 준비되었습니다.
