클라우드 인프라 보안이란 무엇인가요?

클라우드 인프라 보안이란 기본 클라우드 인프라의 보안 상태를 강화하기 위해 설계된 기술, 제어 및 정책을 말합니다. 강력한 클라우드 인프라 보안은 예상치 못한 보안 이벤트로 이어질 수 있는 DDoS 이벤트, 데이터 손실 및 잘못된 구성과 같은 위협에서 클라우드를 보호하는 데 도움이 됩니다. 클라우드 인프라 보안은 클라우드 보안의 핵심 구성 요소입니다.

공동 책임 모델은 클라우드 공급자와 사용자 간의 특정 사이버 보안 조치를 책임질 사람을 결정하는 시스템입니다. 책임은 사용자, 혹은 클라우드 공급자의 몫일 수도 있으며 양 당사자 간의 공동 책임일 수도 있습니다.

공동 책임 모델에서 각 당사자의 주요 책임은 다음과 같습니다.

클라우드 공급자의 책임

클라우드 공급자는 클라우드 서비스를 실행하는 물리적 인프라를 보호할 책임이 있습니다. 하드웨어, 소프트웨어, 네트워킹 및 서비스에 연결된 모든 시설은 클라우드 공급자의 책임입니다.

고객의 의무

공동 책임 모델에서의 책임은 귀하가 선택한 클라우드 서비스에 따라 정해집니다. 이 모든 사항을 종합하면 보안 책임의 일부로 수행해야 하는 구성 작업의 양이 정해집니다. 귀하는 암호화 옵션을 비롯한 데이터 관리, 자산 분류, ID 및 액세스 관리(IAM) 도구를 사용하여 적절한 권한을 적용하는 등의 작업을 담당합니다.

책임 공유

일부 제어 수단은 인프라 계층과 고객 계층에 모두 적용되지만, 각각 별도의 맥락이나 관점에서 적용됩니다. 책임이 공유되는 경우, 클라우드 공급자는 인프라에 대한 요구 사항을 적용하고 고객은 클라우드 서비스 사용 범위 내에서 제어 기능을 구현합니다. 이러한 예로는 구성 관리, 인지 및 교육이 있습니다.

클라우드 인프라는 모든 클라우드 서비스를 뒷받침하므로 그 보안은 클라우드의 모든 워크로드에 매우 중요합니다.

클라우드 인프라 보안이 기업에 중요한 이유는 다음과 같습니다.

클라우드 환경에서 무단 액세스를 방지하는 데 도움이 됨

클라우드 환경에는 방대한 양의 데이터가 포함되어 있어 위협 행위자들의 주요 표적이 됩니다. 클라우드 인프라 내에 잘못된 구성, 취약한 제어 방식이나 기저 취약성이 있다면 승인되지 않은 타사 그룹에 진입할 수 있습니다. 클라우드 인프라 보안 조치를 통해 이러한 진입 지점을 식별하고 제어하여 회사의 데이터를 안전하게 유지하고 데이터 기밀성을 향상해야 합니다.

비즈니스 연속성의 중단 줄이기

분산 서비스 거부(DDoS) 이벤트와 같은 특정 사이버 위협의 목표는 조직이 예상한 대로 기능하지 못하게 능력을 저하시키는 것입니다. 네트워크 세그멘테이션과 같은 클라우드 인프라 보안 조치는 내부 및 외부 위협을 사전에 방어하고 비즈니스 운영 시 높은 가동 시간을 유지하는 데 도움이 됩니다.

신뢰 유지

조직이 사이버 보안 이벤트, 특히 클라우드에 저장된 고객 데이터와 관련된 이벤트에 연루되면 조직의 평판이 훼손될 수 있습니다. 클라우드 인프라 보안은 클라우드에서 실행되는 가상화된 서비스를 더 잘 보호하여, 중요한 회사 데이터를 비공개로 유지하는 데 도움이 됩니다.

클라우드 인프라 보안 솔루션은 보통 클라우드 네이티브 그 자체입니다.

다음은 클라우드 인프라 보안의 주요 구성 요소입니다.

ID 및 액세스 관리

조직은 민감한 데이터와 정보를 클라우드에서 호스트하며, 인증된 사용자가 이러한 클라우드 리소스에 액세스할 수 있도록 지원합니다. ID 및 액세스 관리(IAM)는 어떤 사용자 역할이 데이터에 접근하거나 이를 조회할 수 있는지 정의합니다. 권한 시스템과 함께 IAM은 멀티 팩터 인증을 통해 클라우드 계정의 소유권을 검증하여 무단 사용자를 차단할 수 있습니다.

로깅 및 텔레메트리

로깅 및 텔레메트리 서비스는 클라우드 시스템 내의 구체적인 작업 및 이벤트를 문서화하는 것을 목표로 합니다. 액세스 이벤트, 정보 이동 및 사이버 보안 조치를 주의 깊게 기록하면 조직에서는 클라우드 인프라 가시성을 높일 수 있습니다. 중요 시스템에서 배출되는 운영상 텔레메트리는 감사에 자주 쓰이는 정보의 흔적을 생성할 수 있습니다.

분석

분석 솔루션은 운영상 텔레메트리 및 기존 로그 데이터를 활용하여 추가 조사가 필요한 불일치, 이상 또는 예기치 않은 이벤트를 파악할 수 있습니다. 보안 정보 및 이벤트 관리(SIEM)와 같은 분석 시스템은 데이터 포인트를 집계하여 잠재적 보안 이벤트를 경고하고 추적하며, 클라우드 인프라 보안 모니터링 시스템이 예상대로 작동하는지 확인하는 데 도움이 됩니다.

네트워크 및 장치 보안

직원들은 다양한 위치와 장치에서 클라우드 환경 및 그 안에 저장된 클라우드 리소스에 액세스합니다. 다양한 범위의 솔루션을 배포하면 이 광범위한 공격 표면을 잠재적 위협으로부터 보호할 수 있습니다. 이러한 솔루션에는 인바운드 및 아웃바운드 트래픽을 제어하고 악성 트래픽을 필터링하기 위한 네트워크 및 장치 보안과, 네트워크를 구획화하도록 지원하는 워크로드 격리가 포함됩니다.

데이터 암호화

데이터 보안은 전송 중인 데이터와 저장된 모든 데이터를 무단 액세스로부터 보호하는 일반적인 프로세스입니다. 클라우드 인프라 보안은 데이터 분류 정책을 활용하여 민감도를 기반으로 데이터에 태그를 지정하고 다양한 보안 관행을 적용하여 데이터를 보호할 수 있습니다. 저장된 데이터와 전송 중인 데이터를 모두 암호화하면 승인된 당사자만 민감한 데이터에 액세스할 수 있습니다. 데이터 보안에는 정보 보안을 강화할 목적의 데이터 손실 방지 전략의 개발 및 구현도 포함됩니다.

다음은 클라우드 보안 전략을 개선하고 기본 클라우드 컴퓨팅 인프라를 보호하는 데 도움이 되는 몇 가지 모범 사례입니다.

네트워크 계층 생성

네트워크 계층 생성 시에는 워크로드 구성 요소를 기능 및 민감도에 따라 인터넷에 연결된 웹 서버 또는 백엔드 데이터베이스와 같은 논리적 그룹으로 구성하는 작업이 포함됩니다. 이러한 구성 요소를 별도의 서브넷에 배치하면 명확한 경계를 설정할 수 있으며, 구성 요소 간 트래픽 흐름을 제어할 기회를 만들 수 있습니다.

이렇게 계층화된 접근 방식을 취하면 각 계층이 보안 체크포인트 역할을 하는 심층 방어 전략을 지원할 수 있습니다. 예를 들어, 가장 바깥쪽 계층의 리소스만 인터넷에 노출시키는 한편, 데이터베이스와 같은 더 민감한 시스템은 격리된 상태로 유지하며 내부 네트워크를 통해서만 액세스할 수 있도록 합니다.

가상 프라이빗 클라우드와 프라이빗 클라우드 인프라는 클라우드에 논리적으로 격리된 네트워크 및 인프라를 구축하는 데 도움이 됩니다. 클라우드 네트워크와 사용을 정의하는 일관된 보안 정책을 만들면 안전한 클라우드 환경을 조성하는 데 도움이 됩니다.

트래픽 흐름 제어

트래픽 흐름 제어에는 워크로드, 사용자 및 외부 시스템 간에 필요한 통신만 허용하도록 환경을 분할하는 작업이 포함될 수 있습니다. 이 트래픽 제어에는 네트워크와 인터넷 간 트래픽(남북 트래픽) 및 네트워크와 인터넷 간 트래픽(동서 트래픽) 관리가 모두 포함됩니다.

경계 방어에만 의존하거나 네트워크 계층 내에서의 신뢰를 가정하는 게 흔히 발생하는 실수입니다. 대신 모범 사례에서는 사용자와 클라우드 서버 등 클라우드 자산 간에 포인트 투 포인트 기반으로 액세스 권한을 부여하는 최소 권한 접근 방식을 중요시합니다. 이러한 방식으로 인바운드 트래픽과 아웃바운드 트래픽을 모두 제어하면 무단 액세스의 영향을 제한하고, 보안 이벤트 발생 시 탐지 및 대응 시간을 개선할 수 있습니다.

검사 기반 보호 구현

검사 기반 보호를 구현한다는 것은 네트워크 계층 간에 이동하는 트래픽을 세분화된 수준에서 검사한다는 것을 의미합니다. 예를 들어, 전송 중 데이터의 실제 콘텐츠, 메타데이터 및 동작을 분석할 수 있습니다. 검사 기반 보호를 통해 실시간 위협 인텔리전스를 기반으로 이상/잠재 무단 액세스를 탐지할 수 있습니다. 애플리케이션의 맥락, 사용자 ID 또는 알려진 위협을 기반으로 규칙을 만들어 민감한 워크로드의 경우에는 더욱 엄격하게 보호를 적용할 수도 있습니다.

네트워크 보호 자동화

코드형 인프라(IaC) 및 CI/CD 파이프라인과 같은 DevOps 방식을 사용하여 네트워크 보호를 자동화하면 조직에서 보다 안전하고 일관되며 반복 가능한 네트워크 구성을 배포할 수 있습니다. 어떤 사항이 변경되면 자동화된 파이프라인이 테스트 및 배포 워크플로를 개시합니다. 변경 사항은 검증을 위해 스테이징 환경에 먼저 배포됩니다. 스테이징 환경에서는 실제 적용 전에 변경 사항이 의도한 대로 작동하는지 테스트할 수 있습니다.

AWS Well-Architected Framework

AWS Well-Architected Framework는 AWS 워크로드를 보호하는 데 도움이 되는 일련의 모범 사례와 클라우드 보안 설계 사례를 제공합니다. 이 프레임워크의 보안 핵심 요소는 강력한 계층형 클라우드 보안 및 사전 보호를 통해 시스템, 데이터 및 정보를 더 잘 보호하는 방법에 대한 구체적인 지침을 제공합니다.

Well-Architected 가이드라인을 자주 검토하면 조직에서 클라우드 보안 상태를 개선하여 클라우드 인프라 보안 전략이 계속 유효하도록 할 수 있습니다.

클라우드 보안은 AWS의 최우선 과제이며, 당사의 글로벌 인프라 설계는 지속적인 운영을 지원합니다. 당사는 대규모 애플리케이션, 데이터 및 워크로드를 보호하는 데 필요한 도구와 서비스를 제공하여 고객 및 파트너와의 신뢰를 유지합니다. AWS 인프라는 여러 지역 및 가용 영역에 걸쳐 있으며, 각 지역은 물리적 및 논리적 제어 계층으로 설계되었습니다. 이러한 보호 조치는 각 지역 및 가용 영역의 수명 주기 전반에 걸친 지속적인 위협 모델링과 철저한 테스트를 통해 마련됩니다.

AWS는 AWS에서 귀하의 조직 인프라 보안을 보호하는 데 도움이 되는 다양한 클라우드 인프라 보안 서비스를 제공합니다.

• Amazon GuardDuty는 지능형 위협 탐지 기능을 통해 AWS 사용자 계정, 워크로드 및 데이터를 보호하는 데 도움을 줍니다.
• AWS Identity and Access Management(IAM)는 AWS에서 민첩성과 혁신을 안전하게 지원하면서 워크로드 및 인력의 액세스를 관리하고 조정합니다.
• Amazon Inspector는 Amazon Elastic Compute Cloud(Amazon EC2) 인스턴스, 컨테이너 이미지, AWS Lambda 함수 및 코드 리포지토리와 같은 워크로드를 자동으로 검색하고 소프트웨어 취약성과 의도하지 않은 네트워크 노출이 있는지 검사합니다.
• Amazon Macie는 기계 학습 및 패턴 일치를 사용하여 민감한 데이터를 검색하고, 데이터 보안 위험에 대한 가시성을 제공하며, 이러한 위험으로부터 데이터를 자동으로 보호합니다.
• AWS Security Hub는 중요한 보안 문제의 우선순위를 지정하고, 대규모 대응을 통해 환경을 보호할 수 있도록 지원합니다. 신호를 연관, 강화해 실행할 수 있는 인사이트로 전환함으로써 중요한 문제를 감지하고, 더욱 간소화된 대응을 가능하게 합니다. AWS Security Hub에는 현재 보안 상태를 이해하기 위한 클라우드 보안 태세 관리(CSPM)가 포함되어 있습니다.

지금 바로 무료 계정을 생성하여 AWS에서 클라우드 인프라 보안을 시작하세요.