개요
하이브리드 클라우드 보안이란 최소 1개의 클라우드(퍼블릭 또는 프라이빗)가 포함된 여러 IT 환경 전반에서 어느 정도의 워크로드 이식성, 오케스트레이션 및 관리를 포함하는 IT 아키텍처와 관련된 데이터, 애플리케이션, 인프라를 보호하는 것입니다.
하이브리드 클라우드는 데이터의 잠재적 노출을 줄일 수 있는 기회를 제공합니다. 민감하거나 중요한 데이터를 퍼블릭 클라우드에 보관하지 않으면서 동시에 퍼블릭 클라우드와 관련된 동일한 종류의 리스크가 없는 데이터에는 퍼블릭 클라우드를 계속 활용할 수 있습니다.
보안 강화를 위해 하이브리드 클라우드를 선택하는 이유
하이브리드 클라우드를 사용하는 기업은 컴플라이언스, 감사, 정책 또는 보안 요구 사항에 따라 워크로드와 데이터를 배치할 위치를 선택할 수 있습니다.
하이브리드 클라우드를 구성하는 다양한 환경은 별개의 고유한 엔터티 상태를 유지하지만 그러한 환경 간 마이그레이션은 리소스와 워크로드의 전송을 돕는 컨테이너 또는 암호화된 애플리케이션 프로그래밍 인터페이스(API)에 의해 촉진됩니다. 연결은 되어 있지만 별개인 이러한 아키텍처 덕분에 기업은 중요 워크로드는 프라이빗 클라우드에서, 덜 민감한 워크로드는 퍼블릭 클라우드에서 실행할 수 있습니다. 이는 데이터 노출을 최소화하고 기업이 유연한 IT 포트폴리오를 커스터마이징할 수 있는 구조입니다.
하이브리드 클라우드 보안 과제
데이터 보호
암호화를 통해 조직의 데이터 노출을 제한하세요. 동일한 데이터가 어느 때는 이동 상태가 되고 어느 때는 저장 상태가 됩니다. 이 두 상태에서 데이터 노출을 제한하려면 다양한 보안이 필요합니다.
컴플라이언스와 거버넌스
보건 의료, 금융, 정부 등과 같이 고도의 규제를 받는 부문의 경우 하이브리드 클라우드 인프라에 대해 추가로 고려해야 할 사항이 있을 수 있습니다. 분산 환경이 규정을 준수하는지 확인하는 방법, 사용자 정의 또는 규제적 보안 기준을 구현하는 방법, 그리고 보안 감사를 준비하는 방법을 알아보세요.
공급망 보안
하이브리드 클라우드 환경에는 복잡한 에코시스템에 속한 여러 벤더들의 제품과 소프트웨어가 포함되는 경우가 많습니다. 벤더가 자사 소프트웨어와 제품을 테스트하고 관리하는 방법을 알아보세요. 벤더가 소스 코드를 언제 어떻게 검사했고, 어떤 구현 가이드라인을 어떻게 준수하고 있으며, 언제 어떻게 업데이트와 패치를 제공할 수 있는지 파악하세요.
Red Hat 리소스
하이브리드 클라우드 보안의 구성 요소
일반적으로 컴퓨터 보안과 같은 하이브리드 클라우드 보안은 물리적 요소, 기술적 요소, 관리적 요소 등 세 가지로 구성되어 있습니다.
물리적 제어 요소는 실제 하드웨어를 보호합니다. 잠금장치, 경비 요원, 보안 카메라 등이 그 예입니다.
기술적 제어 요소는 암호화, 네트워크 인증, 관리 소프트웨어 등과 같이 IT 시스템 자체 내에 설계되어 있는 보호 수단입니다. 하이브리드 클라우드를 위한 가장 강력한 보안 툴의 대부분이 기술적 제어 요소입니다.
마지막으로 관리적 제어 요소는 교육이나 재난 계획과 같이 직원들이 보안을 강화하는 방식으로 행동하도록 돕는 프로그램입니다.
하이브리드 클라우드 보안의 물리적 제어 요소
하이브리드 클라우드는 여러 위치에 걸쳐 있을 수 있으므로 물리적 보안이 특히 까다롭습니다. 모든 시스템 주변에 경계를 구축하고 문을 잠글 수는 없습니다.
퍼블릭 클라우드 같은 공유 리소스의 경우 어떤 물리적 보안 표준을 충족할지를 정의하는 서비스 수준 계약(SLA)을 클라우드 공급업체와 체결할 수 있습니다. 예를 들어 일부 퍼블릭 클라우드 공급업체는 정부 고객과 물리 하드웨어에 대한 액세스 권한을 갖는 인력을 제한하는 합의를 체결합니다.
그러나 SLA가 아무리 훌륭해도 퍼블릭 클라우드 공급업체에 의존할 경우 제어 권한은 어느 정도 포기하게 됩니다. 그렇기 때문에 다른 보안 제어 요소의 중요성이 훨씬 더 커질 수밖에 없습니다.
하이브리드 클라우드 보안의 기술적 제어 요소
기술적 제어 요소는 하이브리드 클라우드 보안의 핵심입니다. 하이브리드 클라우드의 관리는 중앙집중식이므로 기술적 제어 요소를 구현하기가 더 쉽습니다.
하이브리드 클라우드 툴박스에서 가장 강력한 기술적 제어 요소에는 암호화, 자동화, 오케스트레이션, 액세스 제어, 엔드포인트 보안 등이 있습니다.
암호화
암호화를 사용하면 물리적 시스템이 손상되더라도 읽을 수 있는 데이터가 노출될 위험이 크게 감소합니다.
저장 데이터와 이동 데이터를 암호화할 수 있습니다. 그 방법은 다음과 같습니다.
저장 데이터 보호:
- 전체 디스크 암호화(파티션 암호화)는 컴퓨터 전원이 꺼져 있는 동안 데이터를 보호합니다. 하드 드라이브 파티션을 대용량으로 암호화할 수 있는 LUSK(Linux Unified Key Setup-on-disk) 형식을 사용해 보세요.
- 하드웨어 암호화로 하드 드라이브를 무단 액세스로부터 보호할 수 있습니다. 암호화 키를 저장하는 하드웨어 칩인 신뢰할 수 있는 플랫폼 모듈(Trusted Platform Module, TPM)을 사용해 보세요. TPM이 활성화되면 사용자가 자신의 로그인을 인증할 수 있을 때까지 하드 드라이브가 잠깁니다.
- 암호를 직접 입력할 필요 없이 루트 볼륨을 암호화합니다. 고도로 자동화된 클라우드 환경을 구축한 경우 자동 암호화를 활용해 보세요. Linux를 사용 중이라면 물리 시스템과 가상 머신에서 모두 작동하는 NBDE(Network Bound Disk Encryption)를 사용해 보세요. 보너스: TPM을 NBDE의 일부로 만들고 2개의 보안 계층을 제공하세요(NMDE는 네트워크화된 환경을 보호하는 데 도움이 되고 TPM은 온프레미스에서 작동).
이동 데이터 보호:
- 네트워크 세션을 암호화하세요. 이동 데이터는 가로채기와 변조의 위험이 훨씬 높습니다. 암호화를 사용하는 인터넷 프로토콜의 확장인 인터넷 프로토콜 보안(IPsec)을 사용해 보세요.
- 이미 보안 표준을 구현한 제품을 선택하세요. 고위험 데이터를 보호하기 위해 암호화 모듈을 사용하는 연방 정보 처리 표준(Federal Information Processing Standard, FIPS) Publication 140-2를 지원하는 제품을 찾으세요.
자동화
자동화가 하이브리드 클라우드에 적합한 이유를 이해하려면 수동 모니터링 및 패치의 단점에 대해 생각해야 합니다.
보안과 컴플라이언스의 수동 모니터링은 이점보다 리스크가 더 많은 경우가 종종 있습니다. 수동 패치 및 구성 관리는 비동기식으로 구현되는 리스크가 있습니다. 또한 셀프 서비스 시스템 구현을 더 어렵게 만듭니다. 보안 침해가 발생하는 경우 수동 패치 및 구성 기록은 손실될 위험이 있고 팀 내 갈등과 책임 전가를 야기할 수 있습니다. 이뿐만 아니라 수동 프로세스는 오류가 발생하기가 더 쉽고 시간이 더 오래 걸립니다.
이와는 반대로 자동화를 사용하면 리스크에 수동적이 아닌 예방적으로 대처할 수 있습니다. 자동화는 규칙을 설정하고 프로세스를 공유 및 검증할 수 있는 역량을 제공하므로 궁극적으로는 보안 감사를 통과하기가 더 쉬워집니다. 하이브리드 클라우드 환경을 평가할 때는 다음 프로세스를 자동화하는 것을 고려해 보세요.
- 환경 모니터링
- 데이터 관리
- 컴플라이언스 확인
- 패치 구현
- 사용자 정의 또는 규제적 보안 기준 구현
오케스트레이션
클라우드 오케스트레이션은 보안을 한 단계 더 강화합니다. 자동화가 구체적인 재료를 정의한다고 하면, 오케스트레이션은 그 재료들을 한 군데 모은 레시피를 담은 요리책입니다.
오케스트레이션을 활용하면 클라우드 리소스와 해당 소프트웨어 구성 요소를 단일 유닛으로 관리한 다음 템플릿을 통해 이들을 반복 가능한 자동화 방식으로 배포할 수 있습니다.
오케스트레이션이 보안에 미치는 가장 큰 혜택은 표준화입니다. 오케스트레이션을 활용하는 조직은 클라우드의 유연성을 제공하는 동시에 보안 및 컴플라이언스 표준에 부합하는 시스템을 배포할 수 있습니다.
액세스 제어
하이브리드 클라우드는 액세스 제어에도 의존합니다. 사용자 계정을 필요한 권한으로만 제한하고 2단계 인증을 요구해 보세요. 액세스 권한을 가상 프라이빗 네트워크(VPN)에 연결된 사용자로 제한하면 보안 표준을 유지할 수도 있습니다.
엔드포인트 보안
엔드포인트 보안은 사용자의 스마트폰, 태블릿 또는 컴퓨터의 분실, 도난 또는 해킹 발생 시 소프트웨어를 사용해 원격으로 액세스를 취소하거나 민감한 데이터를 삭제하는 것을 의미하는 경우가 많습니다.
사용자는 어디서나 개인 기기로 하이브리드 클라우드에 연결할 수 있으므로 엔드포인트 보안은 필수적인 제어 요소가 됩니다. 해커는 개인 사용자에 대한 피싱 공격과 개인 기기를 손상시키는 맬웨어로 시스템을 공격할 수 있습니다.
여기에서는 기술적 제어 요소로 나열하고 있지만 엔드포인트 보안은 물리적, 기술적, 관리적 제어 요소를 결합합니다. 따라서 물리적 기기를 안전하게 보호하고, 기기가 악의적 사용자의 손에 넘어간 경우 기술적 제어 요소를 사용하여 리스크를 제한하며, 올바른 보안 사례로 사용자를 교육해야 합니다.
하이브리드 클라우드 보안을 위한 관리적 제어 요소
마지막으로 하이브리드 클라우드 보안의 관리적 요소는 인적 요소를 고려하여 구현됩니다. 하이브리드 클라우드 환경은 고도로 연결되어 있으므로 보안은 모든 사용자의 책임입니다.
재난 대비 상태와 복구는 관리적 제어 요소의 예입니다. 하이브리드 클라우드의 일부가 서비스 장애를 일으키면 누가 어떤 조치를 취해야 할까요? 데이터 복구에 대한 프로토콜은 마련되어 있나요?
하이브리드 아키텍처는 관리 보안 측면에서 상당한 이점이 있습니다. 리소스가 온사이트 및 오프사이프 하드웨어에 분산되어 있을 가능성이 있는 조직에서는 백업과 중복을 위한 옵션을 사용할 수 있습니다. 퍼블릭 클라우드와 프라이빗 클라우드가 포함된 하이브리드 클라우드에서는 프라이빗 데이터센터 클라우드의 시스템에 장애가 발생하는 경우 퍼블릭 클라우드로 페일오버를 수행할 수 있습니다.
IT 보안은 하루아침에 이루어지지 않습니다.
IT 보안은 시간과 반복이 필요합니다. 보안 환경은 항상 변화합니다. 존재하지도 않는 완벽한 보안 상태에 이르기 위해 스스로에게 부담을 지우기보다는 한 걸음씩 나아가며 합리적이고 세심하게 고려한 조치를 취해 어제보다 나은 오늘의 보안을 구축하는 데 집중하세요.
레드햇 공식 블로그
레드햇 공식 블로그에서 고객, 파트너, 커뮤니티 에코시스템 등 현재 화제가 되는 최신 정보를 살펴 보세요.
