3가지 멀티클라우드 보안 과제와 전략 구축 방법

보안 전문가에 따르면 멀티클라우드 환경이 부상하면서 다양한 보안 모범 사례가 등장했으며 , 자체 보안 전략을 개발할 때 모든 조직이 취해야 할 몇 가지 중요한 단계가 있습니다.

데이터 침해 또는 침입자 경고를 통해 보안 팀은 피해를 억제하고 원인을 식별하는 데 더욱 적극적으로 대처할 수 있습니다.

실제 IT 담당자가 자신의 인프라에서 모든 작업을 실행하는 경우에도 해당 작업은 항상 어렵습니다. 조직이 더 많은 워크로드를 클라우드로 이동하고 이후 여러 클라우드 제공업체로 이동함에 따라 이 작업은 점점 더 복잡해지고 있습니다.

클라우드 서비스 제공업체인 RightScale의 2018년 클라우드 운영 보고서에 따르면 기술 전문가의 77%(응답자 997명에 해당)가 클라우드 보안이 과제라고 답했으며, 이들 중 29%는 매우 큰 과제라고 답했습니다.

보안 전문가들은 특히 RightScale 설문조사 응답자의 81%가 멀티클라우드 전략을 사용하고 있다는 점을 고려하면 놀라운 일이 아니라고 말합니다.

경영 컨설팅 회사 Protiviti의 전무이사이자 기술 컨설팅 리더인 Ron Lefferts는 "멀티클라우드 환경은 보안 제어를 구현하고 관리하는 방식을 더욱 복잡하게 만들 것입니다."라고 말했습니다.

그와 다른 보안 리더들은 조직이 더 많은 워크로드를 클라우드로 이동함에 따라 높은 수준의 보안을 유지하기 위해 적극적으로 노력하고 있다고 말합니다.

주요 멀티클라우드 보안 과제

• 멀티클라우드 보안 과제
• 멀티클라우드 전략 구축
• 공급업체에 대한 기대치 설정
• 최신 신기술 사용

멀티클라우드 보안 과제

그러나 멀티클라우드 환경에는 해결해야 할 추가적인 과제가 따른다는 점도 인정해야 합니다. 이는 포괄적인 보안 전략의 일부입니다.

IT 거버넌스에 중점을 둔 전문 협회인 ISACA의 이사이자 전 이사회 회장인 Christos K. Dimitriadis는 "이 멀티클라우드 세계에서는 기술과 인간 지능 간의 조정이 전제 조건입니다."라고 말합니다. 이제 사고가 발생하면 모든 주체가 협력하여 위반 사항을 식별하고 분석하며 보다 효과적인 통제를 위한 개선 계획을 개발해야 합니다."

다음은 전문가들이 말하는 멀티클라우드 환경의 복잡한 보안 전략 세 가지 요소입니다.

• 복잡성 증가 : 여러 클라우드 제공업체의 보안 정책, 프로세스, 대응을 조정하고 연결 지점 네트워크가 훨씬 확장되면서 복잡성이 가중됩니다.

비영리 무역 조직인 CSA(Cloud Security Alliance)의 ERP 보안 실무 그룹 연구원이자 공동 의장인 Juan Perez-Etchegoyen은 "전 세계 여러 곳에 데이터 센터 확장이 있습니다"라고 말했습니다. 그런 다음 데이터 센터가 위치한 모든 국가 또는 지역의 규정을 준수해야 합니다. 규제의 수가 많고 늘어나고 있습니다. 이러한 규정은 기업이 구현해야 하는 통제 및 메커니즘을 촉진하고 있습니다. 이 모든 것이 데이터를 보호하는 방식을 더욱 복잡하게 만듭니다.”

• 가시성 부족 : IT 조직은 직원이 사용하는 모든 클라우드 서비스를 알지 못하는 경우가 많으므로 직원은 쉽게 비즈니스 IT 전략을 무시하고 몰래 소프트웨어 서비스를 서비스 또는 기타 클라우드 기반 서비스로 구매할 수 있습니다.

"그래서 우리는 데이터가 어디에 있는지 명확히 이해하지 않고도 데이터, 서비스, 비즈니스 자체를 보호하려고 노력하고 있습니다"라고 Dimitriadis는 말했습니다.

• 새로운 위협 : 컨설팅 회사인 Security Risk Management Inc의 설립자이자 CEO인 Jeff Spivey에 따르면, 기업 보안 리더는 빠르게 진화하는 멀티클라우드 환경이 새로운 위협을 야기할 수 있다는 점도 깨달아야 합니다.

"우리는 아직 모든 취약점에 대해 알지 못하는 새로운 것을 만들고 있습니다. 하지만 앞으로 진행하면서 이러한 취약점을 발견할 수 있습니다."라고 그는 말했습니다.

멀티클라우드 전략 구축

보안 전문가에 따르면 멀티클라우드 환경이 부상하면서 다양한 보안 모범 사례가 등장했으며 모든 조직이 자체 보안 전략을 개발할 때 취해야 할 몇 가지 중요한 단계가 있습니다.

가장 먼저 해야 할 일은 데이터가 "상주"하는 모든 클라우드를 식별하고 조직이 강력한 데이터 거버넌스 프로그램, 즉 "모든 유형의 정보와 관련된 IT 자산은 물론 데이터와 해당 서비스에 대한 완전한 그림"을 갖추고 있는지 확인하는 것입니다( Dimitriadis 씨에 따르면).

Dimitriadis 씨는 게임 운영업체이자 솔루션 제공업체인 INTRALOT Group의 정보 보안, 정보 규정 준수 및 지적 재산 보호 책임자이기도 하며 이러한 보안 제안이 멀티클라우드 환경에만 제공되는 것이 아니라는 점을 인정했습니다.

그러나 그는 데이터가 클라우드로 이동하고 여러 클라우드 플랫폼에 걸쳐 있기 때문에 이러한 기본 조치를 마련하는 것이 그 어느 때보다 중요해지고 있다고 말합니다.

통계를 보면 강력한 보안 기반을 확보하는 것이 왜 중요한지 알 수 있습니다. 450명의 보안 및 IT 전문가를 대상으로 설문조사를 실시한 KPMG와 Oracle의 2018년 클라우드 위협 보고서에 따르면 기업의 90%가 데이터의 절반을 클라우드 기반으로 분류하고 있습니다.

또한 보고서에 따르면 응답자의 82%는 직원이 클라우드 보안 정책을 따르지 않는 것을 우려하고 있으며, 38%는 클라우드 보안 사고를 감지하고 대응하는 데 문제가 있는 것으로 나타났습니다.

이러한 상황에 대처하기 위해 기업은 정보를 분류하여 여러 계층의 보안을 구축해야 한다고 ISACA의 리더이자 Symantec CTO 사무실의 전도사인 Ramsés Gallego는 말했습니다. 이는 모든 데이터에 액세스하거나 잠그는 데 동일한 수준의 신뢰와 확인이 필요한 것은 아니라는 것을 알려줍니다.

또한 보안 전문가는 기업에 멀티클라우드 환경을 보호하는 데 필요한 기본 계층 전반에 걸쳐 기타 상식적인 보안 조치를 구현하라고 조언합니다. 데이터 분류 정책 외에도 Gallego는 2단계 인증 과 같은 암호화, ID 및 액세스 관리(IAM) 솔루션을 사용할 것을 권장합니다 .

기업은 일관된 적용을 보장하기 위해 정책과 구조를 표준화하고 가능한 한 많이 자동화하여 해당 보안 표준에서 벗어나는 것을 제한해야 합니다.

“회사가 들이는 노력의 수준은 데이터의 위험과 민감도에 따라 달라집니다. 따라서 클라우드를 사용하여 비기밀 데이터를 저장하거나 처리하는 경우 중요한 정보를 보관하는 클라우드와 동일한 보안 접근 방식이 필요하지 않습니다.”라고 Gadia 씨는 말했습니다.

그는 또한 표준화와 자동화가 매우 효과적이라고 지적했습니다. 이러한 조치는 전체 비용을 절감할 뿐만 아니라 보안 리더가 더 많은 리소스를 더 높은 가치의 작업에 투입할 수 있도록 해줍니다.

전문가에 따르면, 이러한 기본 요소는 더 크고 응집력 있는 전략의 일부가 되어야 합니다. 기업이 보안 관련 작업을 관리하기 위한 프레임워크를 채택하면 좋은 성과를 거둘 수 있습니다. 일반적인 프레임워크에는 국립표준기술연구소(National Institute of Standards and Technology)의 NIST; 정보 기술(COBIT)에 대한 ISACA 통제 목표 ISO 27000 시리즈; 및 클라우드 보안 연합 클라우드 제어 매트릭스(CCM).

공급업체에 대한 기대치 설정

Dimitriadis씨에 따르면 선택된 프레임워크는 비즈니스뿐만 아니라 공급업체에도 지침을 제공합니다.

“우리가 해야 할 일은 이러한 프레임워크를 클라우드 서비스 제공업체와 결합하는 것입니다. 그러면 보호하려는 데이터와 서비스에 대한 통제력을 구축할 수 있게 될 것입니다.”라고 그는 설명했습니다.

보안 전문가들은 클라우드 제공업체와의 협상 및 후속 서비스 계약을 통해 데이터 격리 및 저장 방법을 다룰 것이라고 말합니다. 이들은 다른 클라우드 제공업체와 협력하고 조정한 다음 기업에 서비스를 제공합니다.

각 제공업체로부터 어떤 서비스를 받고 있는지, 해당 제공업체가 해당 서비스를 관리하고 운영할 능력이 있는지를 명확하게 이해하는 것이 중요합니다.

"당신이 기대하는 것과 거기에 도달하는 방법을 구체적으로 설명하십시오"라고 Spivey는 덧붙였습니다. "각 제공업체로부터 어떤 서비스를 받는지, 그리고 해당 제공업체가 이를 관리하고 운영할 역량이 있는지에 대한 명확한 이해가 있어야 합니다."

하지만 Gallego 씨에 따르면 보안 문제를 클라우드 컴퓨팅 서비스 제공업체 에 맡기지 마십시오 .

클라우드 서비스 제공업체는 기업 고객을 대신해 자신이 할 수 있는 일을 강조하여 서비스를 판매하는 경우가 많으며 보안 서비스도 포함하는 경우가 많습니다. 그러나 그것만으로는 충분하지 않습니다. 이들 회사는 보안 분야를 전문으로 하는 회사가 아니라 클라우드 컴퓨팅 서비스 사업을 하고 있다는 점을 기억하세요.

따라서 그는 기업 보안 리더가 누가, 언제, 어떻게 액세스할 수 있는지와 같은 세부적인 수준에서 보안 계획을 수립해야 한다고 주장합니다. 그런 다음 해당 계획을 실행하는 데 도움이 되도록 각 클라우드 제공업체에 제공하세요.

이어 “클라우드 서비스 제공업체는 고객의 신뢰를 얻어야 한다”고 덧붙였다.

최신 신기술 사용

정책, 거버넌스, 그리고 2단계 인증과 같은 상식적인 보안 조치도 필요하지만 여러 클라우드에 워크로드를 분산할 때 발생하는 복잡성을 처리하기에는 충분하지 않습니다.

기업은 기업 보안 팀이 멀티클라우드 보안 전략을 더 잘 관리하고 실행할 수 있도록 설계된 새로운 기술을 채택해야 합니다.

갈레고 씨와 다른 연구원들은 조직의 온프레미스 인프라와 클라우드 제공업체의 인프라 사이에 위치하는 소프트웨어 도구 또는 서비스인 CASB(Cloud Access Security Brokers)와 같은 솔루션을 지적합니다. 자격 증명 매핑, 장치 정보 보존, 암호화 및 맬웨어 탐지 .

또한 이 도구는 인공지능 기술을 나열한 후 네트워크 트래픽을 분석하여 사람의 주의가 필요한 이상 현상을 정확하게 탐지함으로써 확인하거나 교체해야 하는 사고의 수를 제한하고 심각한 결과를 초래할 가능성이 있는 사고에 해당 리소스를 리디렉션합니다. .

그리고 전문가들은 멀티클라우드 환경에서 보안을 최적화하기 위한 핵심 기술로 자동화의 지속적인 사용을 꼽습니다. Spivey 씨는 또한 다음과 같이 언급했습니다. "성공적인 조직은 많은 부분을 자동화하고 거버넌스 및 관리에 중점을 두는 조직입니다."

또한 Spivey와 다른 연구원들은 CASB와 같은 많은 클라우드 서비스를 통해 데이터를 보호하는 데 사용되는 정확한 기술이 멀티클라우드 환경에 고유할 수 있다고 말합니다. 전문가들은 전반적인 보안 원칙은 최고의 전략을 수립하기 위해 사람과 기술 모두의 장기적인 접근이라는 목표를 따른다고 강조합니다.

Onapsis의 CTO인 Perez-Etchegoyen은 "우리는 데이터에 더 초점을 맞춘 다양한 기술과 시나리오에 대해 이야기하고 있지만 구현해야 하는 개념은 동일합니다."라고 말했습니다. "멀티클라우드 환경마다 기술적 접근 방식은 다르지만 전체적인 전략은 동일할 것입니다."

더보기:

• 클라우드 컴퓨팅 및 자주 묻는 10가지 보안 질문
• 클라우드 스토리지를 업무와 통합하는 방법
• 클라우드 컴퓨팅의 과제