원하는 서비스를 도입하려면 우리가 생각하는 것보다 많은 비용과 인력이 필요합니다. 서비스가 실행되는 서버를 몇 대 운영하기 위해서는 온·습도 조절을 위한 장치와 물리적인 보호장치, 갑작스러운 정전에 대비하기 위한 전력시스템을 갖추어야 합니다. 또한 외부 해킹에 대비한 방화벽 등 보안장비와 운영 인력도 필수적이죠.
클라우드는 이러한 문제를 쉽게 풀어나갈 수 있는 방법을 제공하는데요. 특히 클라우드를 사용하면 작은 규모의 서버를 비용 효율적으로 이용할 수 있습니다. 지금부터 클라우드를 통해 비용 효율을 극대화하는 서비스 구성과 적용해야 하는 보안 고려 사항에 대해 살펴보겠습니다.
# 저렴한 클라우드 자원만 사용하는 하이브리드 시스템 구성
모든 클라우드 서비스 비용이 저렴한 것은 아닙니다. 클라우드 서비스 제공자가 배포한 서비스 중에서 기존 온프레미스(On-Premises) 또는 프라이빗 클라우드(Private Cloud) 대비 저렴한 비용의 서비스가 존재할 수 있습니다. 일반적으로 클라우드 서비스에서는 네트워크 구간의 암호화 통신을 위한 공인 인증서 관리 서비스가 무료이거나 저렴하며, 저장 용량의 제약 없이 대용량 파일을 저장하는 스토리지 단가가 저렴하다는 사실을 경험적으로 알 수 있습니다.
AWS 클라우드의 ACM과 S3가 그에 해당하는 서비스라고 할 수 있습니다. IT 투자비용을 민감하게 고려해야 한다면, 저렴한 클라우드 서비스를 선택적으로 활용해 IT 투자부터 운영에 이르는 비용을 감소할 수 있습니다.
기존 온프레미스에서 운영하는 서비스 외에 신규 웹서버 환경이 필요하다고 가정해보겠습니다. 기존 온-프레미스 환경에서 외부 웹 서비스를 제공하기 위해서는 신규 서버 구매와 네트워크 구성, 인프라 관리 등 초기 투자가 필요합니다. 상대적으로 비용이 저렴하거나 무료로 제공되는 클라우드 서비스를 활용하여 웹서비스를 구성하고 기존에 온프레미스에 있는 웹 애플리케이션 서버(Web Application Server)와 데이터베이스(Database)는 그대로 사용하여 하이브리드 구조의 서비스를 만들 수 있습니다.
최종 사용자는 ① 클라우드 환경의 로드밸런서(ELB; Elastic Load Balancer) 최종 접속 주소(End Point URL)를 통해 서비스를 접속합니다. ② ELB는 2대의 EC2 중에 하나의 EC2, 웹 자원으로 접속하게 됩니다.
③ 웹 자원의 화면을 통해서 원하는 결과나 질의를 요청하면, 온프레미스에 위치한 WAS/DB를 통해 비즈니스 로직과 데이터 처리를 수행해서 원하는 결과를 최종 사용자에게 반환하게 됩니다. 또한, 최종 사용자는 오브젝트 스토리지에 적재된 파일을 인터넷상에서 언제나 조회하여 확인할 수 있습니다.
그러나 하이브리드 아키텍처 환경에서 최소한의 보안 위협요소에 대해 인지하고 방어할 필요가 있습니다.
[보안 고려 사항]
• 사용자의 접속 장비와 클라우드 환경으로 진입하는 구간 사이에 평문으로 트래픽이 전송되지 않는가?
• 클라우드 환경에서 온프레미스 환경으로 트래픽이 전송되는 경우, 데이터가 안전하게 보호되고 있는가?
• 클라우드의 웹 EC2 자원에서 S3(오브젝트 스토리지) 방향으로 수시로 데이터가 적재되거나 변경된다고 할 때, 데이터의 위 변조가 발생할 가능성이 있는가?
위와 같은 보안 위협요소를 인지하고, 구축된 아키텍처의 ‘비용 절감’이라는 목적을 토대로 최소한의 보안 서비스와 소프트웨어를 적용하면 악의적인 위협에 대응할 수 있습니다. 먼저, 사용자의 접속 장비에서 클라우드 환경에 접속하는 구간까지는 암호화 통신이 이루어져야 합니다.
클라우드 서비스 제공사의 ACM(인증서 관리 서비스)을 통해 무료 서버 공인인증서를 발급받아 로드밸런서(ELB)에 적용하면, 사용자는 HTTPS 도메인 호출을 통해 보안통신(TLS: Transport Layer Security)을 할 수 있습니다.
또한, 클라우드 환경 내의 모든 자원이 인터넷 환경에 개방된 퍼블릭 서브넷에 노출되지 않도록, 서버 자원인 EC2는 프라이빗 서브넷으로 위치를 변경하여 임의적인 서버 자원의 외부 침입을 차단할 수 있습니다. 추가로 EC2에서 S3로 콘텐츠를 업로드하는 구간에서 데이터 위 변조와 탈취 등의 위협요소를 방어하기 위해 VPC Endpoints를 구성하여 외부 인터넷망에 노출하지 않고 가상 사설 네트워크(VPN)를 통해 내부적으로 안전한 데이터 전송을 수행할 수 있습니다.
마지막으로 클라우드 보안 서비스 비용을 지불해서 AWS 클라우드 서비스의 Site-to-Site VPN(사이트 간의 VPN), Direct connect(전용선 연결) 등의 추가 과금이 되는 보안 서비스를 선택할 수도 있습니다.
# 자원의 유연성과 약정서비스를 활용한 서비스 구성
클라우드 서비스는 24시간 365일 운영이 필요할까요? 글로벌 서비스가 아닌 경우 서비스가 제공되는 시간에만 자원을 사용하고 미제공 시간에는 자원을 중지하여 비용을 절약할 수 있습니다. 업무 사이클(Lifecycle) 또는 서비스 환경 패턴이 명확하다면, 아래 그림처럼 클라우드 서비스의 스케줄 이벤트를 활용하여 자원 개수와 크기를 유동적으로 변경할 수 있습니다.
자원을 유동적으로 관리할 경우에는 보안 측면에서 임의적 자원 접근과 변경 위험을 통제하기 위한 접근제어, 클라우드 자원 변경을 모니터링할 수 있는 로깅과 알람 기능 활용이 필요합니다.
클라우드 이용 비용을 줄일 수 있는 또 다른 방법은 우리가 신규 휴대전화를 구입할 때 약정하는 것처럼 약정 서비스를 이용하는 것입니다. 클라우드 서비스를 제공하는 업체 입장에서는 비정기적으로 사용하는 자원보다 장기적으로 꾸준하게 소비되는 자원이 프로비저닝(사전 준비, 구성)과 유지 보수 측면에서 수월하므로 할인된 비용으로 제공합니다.
클라우드 서비스도 휴대전화 요금과 같이 1년 약정, 3년 약정 서비스로 클라우드 자원을 사용하는 RI(Reserved Instance)가 존재하고, 기간 한정 없이 필요한 경우 바로 대여해서 사용하는 온디멘드(On-Demand) 형태 사용 방식이 존재합니다. 예를 들어 1년 동안 약정 서비스를 적용하게 되면 최대 75%까지 저렴해지므로, 비용 절감 목적이 있다면 고려해볼 만합니다. 필요한 시점에 즉시 자원을 가동했다 반납하는 온디멘드(On-Demand) 환경에서는 자원에 대한 보안정책 또는 보안 설정이 누락될 수 있습니다. 자원 유형별로 분리하여 관리하고, 동일한 수준의 보안정책이 적용될 수 있도록 보안통제를 자동화하여 적용하는 방안이 필요합니다.
다음 시간에는 DevOps 환경의 효율성이 강조된 클라우드 보안 아키텍처에 대해서 살펴보겠습니다.
+ 클라우드 보안 입문서를 소개합니다! <클라우드 x 보안 실무 가이드> 저자 인터뷰
+ 언제 어디서나 마음대로 사용하는 클라우드
+ 클라우드 서비스를 선택하는 방법 ‘클라우드의 유형과 서비스 종류 알아보기’
+ 클라우드 서비스의 장·단점과 국내외 시장 동향
+ 클라우드 환경의 속성과 보안 특수성
+ 클라우드 환경의 공통 보안 서비스와 네트워크 보안 서비스
+ 클라우드 환경 내 컴퓨팅 자원과 애플리케이션 자원의 보안 서비스
+ 콘텐츠 보안과 클라우드 보안운영 서비스
+ 가용성 측면의 클라우드 보안 아키텍처
+ ‘성능과 보안의 양립점 찾기’ 성능 향상을 위한 클라우드 보안 아키텍처
+ 데이터 안전성을 위한 클라우드 보안 아키텍처
출처: 클라우드 x 보안 실무 가이드(황치하·양지언 지음)
