본문 바로가기

PRODUCT/Cloud

하이브리드 클라우드 보안 개선 팁

엔터프라이즈 컴퓨팅은 시대를 떠나 늘 보안에 대한 걱정이 있었습니다. 최근 주류가 된 하이브리드 컴퓨팅 관련 보안 걱정은 무엇일까요? 크게 3가지 측면에서 걱정거리를 정리해 볼 수 있습니다.

 

-      데이터 보안: 하이브리드 환경에서는 데이터가 저장된 위치도 다양하고, 사내와 외부 네트워크 경계를 넘나들며 데이터가 이동합니다. 예전 DMZ 안쪽에 철통 방어벽을 치던 시절에 비하면 데이터 침해 사고가 일어날 수 있는 표면적이 아무래도 더 넓습니다.

-      보안 운영: 대부분의 개발, 운영, 보안 조직에게 클라우드를 큰 도전 과제입니다. 기존처럼 각자의 역할과 책임의 틀 안에만 움직이면 도구와 작업의 중복이 커져 발생하는 불필요한 수고를 피할 수 없습니다.  

-      규정 준수 및 거버넌스: 수작업 방식으로 규정 준수 활동을 하고 거버넌스 체계를 세우면 시간은 물론 비용도 눈덩이처럼 커질 수 있습니다.

 

보안의 3요소

 

그렇다면 어떻게 위와 같은 도전 과제를 해결해야 할까요? 보안의 3요소(CIA Triad)에 그 답이 있습니다. CIA는 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)의 앞머리를 딴 약어입니다. 보안의 3요소에 대한 대책을 세우면 하이브리드 클라우드 보안에 대한 큰 걱정 세 가지 해결에 한 걸음 더 다가설 수 있습니다.

 

-      기밀성: 권한이 있는 사용자만 데이터에 접근할 수 있도록 제어를 합니다.

-      무결성: 비인가 사용자가 데이터를 변경하거나 삭제하지 않았는지 확인할 수 있어야 합니다.

-      가용성: 필요한 때 사용자 및 애플리케이션이 데이터에 접근해 활용할 수 있어야 합니다.

 

하이브리드 환경에서 보안의 3요소를 충족하는 방법은 복잡하지 않습니다. 저장 및 전송 중인 데이터를 암호화하여 기밀성을 확보하고, 강력한 접근 제어와 함께 악성 코드로 인한 침해 방지를 통해 무결성을 유지하고, 백업 및 재해복구 계획 수립을 통해 데이터 접근에 대한 가용성을 보장하면 됩니다. 언뜻 보면 모든 조직이 하는 보안 운영입니다. 모두 하고 있지만, 하이브리드까지 운영을 확장하는 것에 확신이 있는 이들이 많지 않은 것이 현실입니다. 하이브리드 시대로 넘어가려면 어떤 접근이 필요할까요? 많은 조직이 DevSecOps에서 길을 찾고 있습니다.

 

DevSecOps

 

DevSecOps는 전체 IT 수명 주기에 걸쳐 개발, 보안, 운영이 유기적으로 역할과 책임을 함께 하는 방식입니다. DevSecOps는 개발 단계부터 프로덕션 배포까지 모두가 보안에 대해 고려를 합니다. 보안 팀이 따로 맡은 바 역할을 하면 되던 예전 방식과는 좀 다르죠. DevSecOps는 보안성을 전제로 클라우드가 지향하는 민첩성, 유연성, 탄력성 등의 이점을 극대화하기 위한 전략입니다. DevSecOps가 조직의 문화이자 역량으로 자리 잡으려면 다음 네 가지 조건이 충족되어야 합니다.

 

-      교육: 개발 단계부터 보안을 고려한 방법론을 교육을 통해 전파합니다.

-      투명성: 사일로를 제거하고 운영 도구에 대한 가시성을 제공합니다.

-      목표: DevSecOps 파이프라인 전반에 걸쳐 KPI를 정의하고 측정합니다.

-      자동화: 파이프라인 측면에서 보안을 자동화합니다.

 

DevSecOps를 위한 좋은 출발점이 있다면? 하이브리드 클라우드의 핵심 기반인 쿠버네티스와 컨테이너가 바로 그 출발점이 될 수 있습니다. 엔터프라이즈 컨테이너 플랫폼 환경을 보호하는 것은 개발, 배포, 운영 전반에 걸쳐 보안을 강화하는 활동입니다.

레드햇은 크게 두 가지 솔루션으로 하이브리드 환경에서의 DevSecOps를 돕습니다. 첫 번째는 Red Hat Advanced Cluster Security for Kubernetes입니다. 이를 적용하면 DevOps 파이프라인과 보안 도구 통합이 속도를 높일 수 있습니다. 다음으로 Red Hat OpenShift Plus Platform을 도입하면 하이브리드 환경에서 DevSecOps를 고려한 클러스터를 관리를 할 수 있습니다. 여기에 Red Hat Ansible Automation Platform까지 적용하면 규정 준수와 거버넌스 간소화까지 실행에 옮길 수 있습니다.

 

이상으로 하이브리드 클라우드 보안에 대한 걱정거리와 이를 해결하는 데 있어 보안의 3요소를 중심에 놓는 것에 대해 이야기를 해보았습니다. 더 자세한 내용이 궁금하시면 락플레이스로 문의 바랍니다.


운영체제, 미들웨어, 데이터베이스, 마이그레이션(U2L, DB, WAS), 가상화, 클라우드 및 빅데이터 컨설팅 서비스 관련하여 궁금하신 점은 언제든 문의해 주시기 바랍니다. 아래 링크를 클릭해주세요.

 1:1 문의 바로가기 click

 락플레이스는 2005년에 출범하여 대한민국 리눅스의 역사와 성장을 함께 해온 18년차 오픈소스&클라우드 전문 기업으로 국내 최다 엔지니어, 국내 최고 기술력, 국내외 유수기업 컨설팅의 풍부한 경험과 탄탄한 기술력으로 고객의 성공적인 오픈소스 플랫폼 구축과 응용 프로그램 전체 범위의 서비스를 제공하고 있습니다. 락플레이스는 레드햇코리아로부터 Elite Business Associate/Advanced Business Parter/채널 어워드 한국  파트너/FY15 champion 등을 수상 파트너이며, Microsoft Microsoft Cloud Solution Partner(CSP)로서 함께하고 있습니다.