우리가 소유한 물건은 잃어버리면 절대 안 되는 물건과 잃어버려도 아깝지 않지 않은 것으로 나눌 수 있습니다. 잃어버리면 절대 안 된다고 생각하는 '신용카드'는 항상 지갑에 넣고 몸에 지니고 다니지만, 외부에 보이고 노출되어 있는 '외투'는 멀찍이 공용 옷걸이에 걸어서 보관하기도 합니다. 이는 물건 중요도와 가치에 따라서 보관하는 방법이 달라지는 것이겠죠? 클라우드 환경에서도 우리 일상생활 속 경험처럼 데이터 중요도와 역할에 따라 관리하고 보관/운영하는 방법이 다를 것입니다. 이번 시간에는 <데이터 안전성 측면에서의 클라우드 보안 아키텍처>에 대해 알아보겠습니다.
IT 시스템에서 말하는 데이터 안전성이란 데이터가 저장된 공간이나 데이터를 다른 곳으로 이동하는 과정에서 검토해야 하는 속성을 의미합니다. 즉, 저장 공간과 이동 과정 중에 의도하지 않은 유출과 위협이 있더라도 데이터 내용이 노출되지 않는다는 속성일 텐데요. 클라우드 환경에서 데이터 안전성을 보장하기 위한 클라우드 아키텍처 기본 구성도를 살펴보겠습니다.
# 데이터, 중요도에 따라 관리 방법이 다르다
우리가 사용하는 퍼블릭 클라우드 환경에는 노출되어서는 안 되는 기밀 데이터와 일반 사용자에게 공유되는 일반 데이터가 혼재되어 있습니다. 마치 소중하게 다뤄야 할 신용카드(기밀 데이터)와 다른 사람에게 보이는 외투(일반 데이터)가 섞여 있는 형태죠. 데이터 가치에 따라 안전하게 보관하고 이동시키기 위해서는 서로 다른 구성을 고민해 봐야 하겠죠?
클라우드 환경에서 서비스되는 정보에 주민등록 번호, 휴대폰 번호와 같은 개인정보가 저장된다면, 기본적으로 데이터 암호화를 수행합니다. 애플리케이션 로직을 통해 고수준 비트의 암호화 알고리즘을 적용한 데이터 암/복호화를 수행하거나, 클라우드 서비스에서 제공하는 암호화 키를 활용하여 데이터의 자동적인 암/복호화를 설정할 수 있습니다.
그러나 이번에는 아키텍처 측면에서 데이터 안전성을 높이기 위한 거시적인 방법을 고민하고자 합니다. 우리는 매우 중요한 데이터는 내 주머니 속으로, 타인에게 공개해도 되는 데이터는 공용 사물함에 보관하는 방법을 떠올릴 수 있습니다. 그렇다면 내 주머니는 과연 어디이고, 공용 사물함은 어디인지 기본 구성을 생각해보겠습니다.
# 다른 클라우드를 하이브리드(Hybrid) 하게
내 주머니 속과 공용 사물함은 과연 어떤 클라우드를 의미하는 것일까요? 우선 매우 소중한 데이터는 허가된 사람만 접근할 수 있는 프라이빗 클라우드(내 주머니) 또는 온 프레미스(On-premises)에 저장하는 방법을 생각할 수 있겠죠. 반면, 외부에 공유되는 데이터나 유출되어도 영향을 받지 않는 데이터는 누구든지 쉽게 접근할 수 있는 퍼블릭 클라우드(공용 사물함)에 저장합니다. 즉, 데이터가 가진 기밀/중요도 등급에 따라서 저장 위치를 선택적으로 지정하는 것이죠.
그리고 상이한 두 개의 클라우드 간에는 구간 암호화 통신을 위하여 TLS/SSH 인증서를 사용하도록 네트워크를 구성해줍니다. 클라우드 서비스에서 기본으로 제공해주는 로드밸런서(Load Balancer)나 게이트웨이, CDN(Contents Delivery Network) 서비스 등에서 암호화 통신을 설정할 수 있습니다. 다음 그림은 데이터 중요도에 따라 데이터 위치를 선택하여 저장/보관/전송하는 하이브리드 클라우드 개념도입니다. 이는 데이터 보안성이 확보된 상태에서 볼 수 있는 간략한 클라우드 아키텍처인 거죠.
서로 다른 종류의 클라우드를 연결한 만큼 추가로 고려할 사항이 2가지 있습니다.
• 데이터 보안 통제 : 데이터 중요도에 따라 적절한 보안 통제를 받고 있는가?
• 데이터 외부 접근성 : 기업의 중요한 정보가 외부에서 접근 가능한 상태로 저장되는가?
즉, 데이터 관리 정책과 전략을 수립한 이후 데이터가 어떻게 저장하고 운영되는 가로 데이터 보안 통제를 확인할 수 있습니다. 그리고 데이터의 외부 접근 여부는 로그 설정을 통해 정기적인 데이터 감사(Audit)와 모니터링을 수행하고, 네트워크 구간 암호화로 데이터가 안전하게 전송되는가를 상시 확인하면서 보안 이상 여부를 관리할 수 있습니다. 이와 같은 데이터 안전성을 위해 추가로 고려할 사항은 데이터 사용에 대한 정기 감사와 상시 모니터링 체계가 기반이 되어야 하겠죠?
삼성SDS를 비롯한 프라이빗 클라우드, 퍼블릭 클라우드 사업자는 클라우드 자원과 데이터에 대해서 상시 모니터링 체계를 위한 대시보드 서비스를 기본적으로 제공합니다. 또한, 필요시 사용자가 선택적으로 데이터 감사를 수행할 수 있도록 지원하고 있는데요. 누구나 손쉽게 클라우드 관리 콘솔을 통해 데이터 안전성을 확보할 수 있는 것이지요.
다음 시간에는 가성비 좋게 클라우드 컴퓨팅을 사용할 수 있는 <비용 효율 측면의 클라우드 보안 아키텍처>에 대해서 알아보겠습니다.
+ 클라우드 보안 입문서를 소개합니다! <클라우드 x 보안 실무 가이드> 저자 인터뷰
+ 언제 어디서나 마음대로 사용하는 클라우드
+ 클라우드 서비스를 선택하는 방법 ‘클라우드의 유형과 서비스 종류 알아보기’
+ 클라우드 서비스의 장·단점과 국내외 시장 동향
+ 클라우드 환경의 속성과 보안 특수성
+ 클라우드 환경의 공통 보안 서비스와 네트워크 보안 서비스
+ 클라우드 환경 내 컴퓨팅 자원과 애플리케이션 자원의 보안 서비스
+ 콘텐츠 보안과 클라우드 보안운영 서비스
+ 가용성 측면의 클라우드 보안 아키텍처
+ ‘성능과 보안의 양립점 찾기’ 성능 향상을 위한 클라우드 보안 아키텍처
출처: 클라우드 x 보안 실무 가이드(황치하·양지언 지음)
