클라우드 환경의 공통 보안 서비스와 네트워크 보안 서비스

우리가 클라우드 환경을 사용하더라도 물리적인 하드웨어를 눈으로 볼 수 없습니다. 하드웨어가 어떤 위치에 존재하는지, 내부적으로는 어떠한 원리로 클라우드 자원이 생성되는지도 알 수 없는데요. 마치 블랙박스와 유사하다고 볼 수 있습니다. 클라우드 서비스 제공자들은 비가시적인 클라우드의 속성을 클라우드 관리 포털(CMP: Cloud Management Portal)을 통해 가시화하여 관리할 수 있습니다. 즉, 클라우드에 접속하는 사용자를 인증하는 서비스, 자원이 사용되는 흔적을 남기는 로깅 서비스 등으로 사용 기록을 저장하고, 네트워크 보안 서비스를 활용하여 필요한 서비스에 접근하는지 모니터링할 수 있습니다.

이번 시간에는 클라우드 환경에서 제공하는 공통 보안 서비스와 네트워크 보안 서비스에 대해 이야기해 보겠습니다. 클라우드 공통 보안 서비스는 계정 관리, 로그 설정과 같이 클라우드 환경에 대한 공통된 설정을 할 수 있는 서비스를 의미합니다.

계정 및 접근 권한 관리(IAM: Identity and Access Management)
다중요소 인증(MFA : Multi Factor Authentication)
로깅과 모니터링(Logging and Monitoring)
골드환경(보안설정된 클라우드 이미지)
마켓 플레이스 보안서비스 활용
가상 사설 클라우드(VPC : Virtual Private Cloud)
서브넷(Subnet)
네트워크 접근 제어 목록(ACL : Access Control List)
방화벽(Security Group)
가상 사설 네트워크(VPN : Virtual Private Network)




클라우드 서비스 환경의 대표적인 공통 보안서비스 5가지(좌)와 네트워크 보안서비스 6가지(우)

# 클라우드 관리 포털을 활용한 사용자 인증

클라우드 환경에서 제공되는 모든 자원을 관리하기 위해서 클라우드 관리 포털(CMP: Cloud Management Portal, 이하 CMP)을 사용합니다. 사용자는 CMP를 통해 가상의 네트워크를 구성하고, 서버와 DB를 생성하거나 변경할 수 있습니다. 즉, 자원의 상태, 변경을 위한 전체 라이프 사이클을 관리하게 됩니다. 클라우드 서비스를 활용하는 중심에 CMP가 존재하기 때문에 CMP 계정 관리와 업무별 권한 설정이 중요합니다.

CMP에서는 IAM(Identity and Access Management)라는 계정 관리 서비스가 있습니다. IAM에서는 사용자 별로 자원에 대한 권한을 설정할 수 있는데요. 자원의 목록만 조회(read only) 하는 계정, 자원을 수정하거나 삭제까지 할 수 있는 계정 등 사용자 별로 정책과 역할 설정이 가능합니다.

관리자 이메일 비밀번호 입력 클라우드 관리 화면
토큰 발생 토큰 전달 로그인 완료 클라우드 관리 화면 사용자 이메일과 비밀번호, 토큰값으로 클라우드 관리 화면에 로그인하는 사례

또한 CMP의 인증을 강화할 수 있는 다중 요소 인증 서비스가 있습니다. 위 그림처럼 ① 이메일과 비밀번호 인증 과정이 정상적으로 수행되면, ② 개인 장비에서 토큰이 발생됩니다. 사용자는 토큰을 확인하여 입력하고 CMP에 로그인하게 되는데요. 로그인이 가능한 대상(ID, 물리 장비)을 구분할 수 있고, <지식과 소유>에 의한 인증이 결합되어 비밀번호만 알아서는 관리 화면으로 로그인할 수 없는 강력한 보안 수준을 확보할 수 있습니다.

# 클라우드에서 일어난 일을 확인하는 로그 설정

CMP에서는 다양한 클라우드 자원에 대해 로그 설정을 할 수 있습니다. 네트워크 접속 이력, 사용자 접속 이력 등 다양한 로그 설정을 통해 사용 중인 클라우드에서 ‘책임 추적성’을 확보할 수 있습니다. 시스템의 규모가 크고, 로그양이 많아질수록 로그분석이 어려워지는데요. 모니터링 규칙과 알람 설정 기능을 활용하여 서비스 담당자나 보안 관리자에게 문자나 메일로 알람을 발송할 수도 있습니다.

클라우드 환경
스토리지 데이터베이스 가상머신
감사로그/액세스로그
알람 모니터링 화면
로깅 모니터링/알람 로깅과 모니터링, 최소화된 권한으로 구성된 사용자 계정 사례

# 다양한 네트워크 보안서비스

기업의 경우 서버와 네트워크 담당자가 각각 분리되어 있지만, 클라우드 환경에서 제공되는 모든 자원을 관리하는 CMP에서는 가상의 네트워크 구성부터 방화벽과 접근제어 설정 등을 다양하고 쉽게 구성할 수 있습니다. 운영, 스테이지, 테스트, 개발 환경 등 다양한 환경을 독립적인 사설 네트워크 망으로 구성하고, 아래 그림과 같이 접근제어와 서브넷 분리, 방화벽 서비스 등을 통해 상호 간 침해를 줄일 수 있는 격리된 환경을 구성하여 보안성을 높일 수 있습니다.

사용자 암호화된 데이터 TLS 
가상 사설 클라우드 
접근 제어 (ACL :  Acess Control List)
퍼블릭 서브넷 방화벽(시큐리티 그룹)
로드 밸런서 VM 가상머신 TSL(Transport Layer Security:네트워크 구간 암호화) 프로토콜을 통한 구간 암호화 개념도

클라우드 자원 방화벽은 설정과 동시에 트래픽 제어가 시작되기 때문에 사용자는 방화벽 변경 작업을 진행할 때 여러 가지 사항을 주의해야 합니다.

[방화벽을 설정 시 주의할 점]

+ 소스 IP, 목적지 IP, 포트는 사용하는 최소한의 정보만으로 설정
+ Any IP, Any Port, Any Protocol로 설정은 최소화하고, 적절한지 정기적으로 확인

방화벽 보안 서비스는 비즈니스와 클라우드 자원의 특성에 맞게 필요한 정책만을 설정해야 보안 수준을 확보할 수 있습니다. 인터넷 구간의 보안을 위해 TLS(Transport Layer Security) 프로토콜을 활용하거나 VPN(Virtual Private Network) 서비스를 활용하여 네트워크 구간 암호화를 적용할 수 있습니다.

지금까지 클라우드 환경에서의 공통 보안 서비스와 네트워크 보안에 대해 알아봤습니다. 클라우드 보안 서비스를 활용하여 CMP에 대한 계정관리와 네트워크 보안 기능을 활용하여 영역 간 접점에서 접근을 통제한다면 보다 안전한 클라우드 환경을 만들 수 있습니다.

다음 시간에는 컴퓨팅 자원와 애플리케이션 보안에 대한 클라우드 서비스에 대해 살펴보겠습니다.

+ 클라우드 보안 입문서를 소개합니다! <클라우드 x 보안 실무 가이드> 저자 인터뷰
+ 언제 어디서나 마음대로 사용하는 클라우드
+ 클라우드 서비스를 선택하는 방법 ‘클라우드의 유형과 서비스 종류 알아보기’
+ 클라우드 서비스의 장·단점과 국내외 시장 동향
+ 클라우드 환경의 속성과 보안 특수성

출처: 클라우드 x 보안 실무 가이드(황치하·양지언 지음)

공유하기