클라우드 컴퓨팅 보안 개요

클라우드 컴퓨팅 관리적 보안 위협

1. 클라우드 컴퓨팅 남용

• 해커들에게도 같은 가상공간에 입주하여 다양한 악의적인 행위를 할 수 있음 -> 높은 공유된 모든 이용자들에게 대규모 피해 발생 우려 -> 네트워크 보안 장치들은 가상머신간 네트워크 트래픽을 확인할 수 없으며, 동일한 호스트 상의 가상머신에서 발생한 공격도 탐지, 차단을 못함 -> 기술적인 방법보다 클라우드 컴퓨팅 서비스를 최초로 가입, 등록 시 사용자의 신원을 철저히 검증 필요 & 주기적인 사용자 모니터링 필요

2. 악의적인 내부자들

• 사용자의 계정과 권한에 대한 지속적인 관리와 감사 필요 & 특정한 사용자에게 많은 권한이 집중되는 것을 막기 위한 분산 조치도 필요

3. 공개되지 않은 위협

• 고객에게 인프라의 세부 정보, 로그 등 데이터를 공개 & 보안 위협에 대한 모니터링 및 경고 조치 필요

4. 클라우드 서비스 이해 부족

5.불충분한 식별자, 권한 및 접근관리

• 섀도 데이터(방대해진 데이터에 따라 생긴 관리의 사각지대에 있는 데이터)의 증가
• 결국 클라우드 서비스의 보안 핵심은 사용자 인증 및 권한 관리

6. APT (지능형 지속 공격)

• 잠복기간이 길고 다양한 패턴의 공격 방식이 복합적으로 적용 à 일반적인 보안 정책으로는 예방과 대응이 어렵

 

클라우드 컴퓨팅 기술적 보안 위협

1. 안전하지 않은 API

• 운영의 과정에서 응용계층의 보안(클라우드 웹 방화벽 등)을 채용 à 최소한의 보안

2. 가상화 취약점

• 운영체제 이미지에 취역점이 생겼을 시에 이 이미지를 사용하는 가상머신들은 다 취약점을 갖게 된다.
• 호스트 운영체제 해킹 시, 게스트 운영체제도 해킹되어 감염될 확률 증가 -> 가상환경 내부 감염 확산(N차 감염) 
• 하이퍼바이저 해킹 시, 전 가상머신의 통제권 상실

3. 계정, 서비스 및 트래픽 탈취

• XSS취약점으로 인한 계정 정보 탈취 -> 입출력 값 검증, 보안라이브러리 사용, Two-factor 인증 등 적용 필요

4. 데이터 유출

• 데이터를 읽는 과정에서 발생
• 특정 기업의 클라우드 서비스에 대한 공격이 성공할 경우, 동일한 클라우드를 사용하는 다른 기업의 클라우드 환경에도 동일한 공격이 연쇄적으로 발생 가능

5. 데이터 손실

• 데이터를 쓰는 과정에서 발생
• 데이터의 수정이나 삭제 = 새로운 데이터로의 갱신 = 기존의 데이터의 손실
• 데이터를 수정하거나 삭제할 수 있는 권한을 잘 관리할 필요가 있으며 평상시에 백업을 해놓아야! (스냅샷)

6. 서비스 거부 공격

• 서버의 자원을 소진 시켜서 서비스의 가용성을 없애는 공격

7. 시스템 취약점

• CVE취약점 & CCE취약점
• CVE취약점 -> 오픈소스 플랫폼(Openstack 등)과 오픈 하이퍼바이저에 대한 취약점이 대표적이며 공격자는 이러한 CVE 취약점을 통해 서비스 운영 중단 또는 장애를 유발하는 디도스 공격을 발생

 

클라우드 컴퓨팅 도입 보안

만일 어떤 한 기업에서 퍼블릭 클라우드를 도입할 경우,클라우드 환경에서의 it 조직은 조금 더 비즈니스와 연계된 조직으로서 it자원의 운영관리에서 it 서비스의 공급 관리 관점으로 역할이 전환되는 것!

기업은 SLA를 체결할 때, 서비스 내용 및 범위, 업무 및 책임 범위, 서비스 수준 지표(가용성, 서비스 장애 위약금, 데이터 백업 및 복구, 서비스 확장성, 고객지원 등)설정, 서비스 수준의 평가 등급 및 방법 등을 포함하여야 한다.

 

클라우드 컴퓨팅 실무 보안 

중요한 것만 정리

1. 아키텍처 설계

• 잘못된 아키텍처 설계 -> 잘못된 접근 통제로 인한 정보 유출, 업무의 연속성에 악영향
• 아키텍처 보안 요구 사항으로는 1. 확장성, 2. 지연 및 대기 시간, 3. 서비스 구성, 4. 비용, 5. 보안솔루션, 6. 클라우드 계정 관리 형태, 7. 업무 연속성 이 존재한다.

2. 네트워크 접근 통제 

• H/W 형태 : 기존 온프레미스 환경과 동일
• S/W 형태 : 서버에 접근 통제 솔루션을 설치
• API 형태 : 기존의 네트워크 솔루션 기반의 접근통제 방식과는 다른 개념으로 성능 및 네트워크와 무관하게 원하는 대로 그룹을 묶어 접근통제 가능  인바운드, 아웃바운드 트래픽 제어를 설정

3. 보안솔루션 구축

• 네트워크 기반 보안솔루션 VS 호스트 기반 보안 솔루션

  네트워크 기반	호스트 기반
  서버에 S/W 보안 솔루션을 설치하는 구조 -> 대량 트래픽을 처리하기 위해 다수의 서버 운영이 필요할 수 있음 또한 Zone을 다수 운영할 경우, Zone별로 별도로 보안솔루션을 구성해야함 그리고 auto sacling, HA구성이 불가한 솔루션이 많아 반드시 확인이 필요	os에 설치했을 때, 오작동이 없는지 검증이 필요하며, 최진 os 지원 여부를 확인해야함

• 가변성이 있는 서비스일 경우 서버를 auto scaling 할 수 있도록 구성해 놓은 환경일 것이다. 이 경우, 네트워크 보안 솔루션도 서비스 구성에 맞춰 auto scaling이 가능해야하는지 확인해야한다.
• 접근통제 솔루션 배치 관련 : 온프레미스 환경에서는 접근 통제를 위해 firewall을 사용하였으나 클라우드 환경에서 api형태의 접근통제솔루션을 사용할 수 있다. 물론 기존에 사용하던 firewall을 별도로 구매하여 사용할 수 있으나 클라우드 환경에서는 api방식으로 통제하는 것이 더 유연하고 강력하게 접근통제를 할 수 있다.
• host IPS : 클라우드 환경에서도 네트워크 기반의 탐지 솔루션을 구축할 수 있으나 Auto scaling, HA구성 등 문제로 인해 host에 IPS를 설치하여 악성코드를 탐지한다.

4, 계정 및 권한 관리

• 클라우드 환경에서는 클라우드 서비스 계정(클라우드 서비스에 자원을 생성할 수 있는 권한)과 VM OS 접근 계정(가상서버의 OS에 접근할 수 있는 권한) 2개를 관리해야!
• 클라우드 서비스 계정 : 계정의 중요도에 따라 중요한 권한을 수행하는 Admin 계정 등에 대해서는 2차 인증 등 추가 인증수단을 수행/클라우드 서비스 관리 콘솔은 회사에서 허용한 IP로만 접속할 수 있도록 접근 통제
•  VM OS 접근 계정 : 서버 접근 통제 솔루션 도입

6. 보안 관제

• OS로그, 웹 application 로그, 보안솔루션 로그, 클라우드 서비스 계정 로그 등 통합 모니터링 필요

 

 

 

 

 

[출처, 참고: 한국인터넷진흥원]