클라우드 컴퓨팅 보안 문제

클라우드 컴퓨팅 보안

• 저장되어 있는 데이터의 보안 (security of data at rest)
• 이동중인 데이터의 보안 (security of data in transit)
• 사용자/응용프로그램/프로세스들의 인증 (authentication of users/applications/processes)
• 서로 다른 고객에 속하는 데이터의 강력한 분리 (robust separation of data belonging to different customers)
• 법률 및 규제 문제 (legal and regulatory issues)
• 사고 대응(incident response)

 

1. 저장되어 있는 데이터의 보안

암호화된 도구를 적용해야 함

→ 데이터의 비밀성(confidentiality)과 무결성(integrity)을 위해서

 

데이터의 중복은 보장되어야 함

→ 가용성(availability)을 유지하기 위해서

 

사용자의 책임- IaaS (Infrastructure-as-a-service) : 인터넷을 통해 최종 사용자에게 IT 인프라를 제공하는 형태의 클라우드 컴퓨팅

 

CSP는 이 영역에서 역할이 있음

- PaaS (Platform as a Service)

- SaaS (Software as a Service)

 

2. 이동중인 데이터의 보안

암호화 기술은 필수

→ 도청과 조작을 막기 위해서

 

클라우드를 사용하는 가상 시스템 간의 전환

→ 트래픽이 공공 인터넷을 통과하지 않는다는 것을 보장하기가 쉽지 않음 (ex. Multi-cloud deployment model)

 

사용자의 PC와 클라우드 서버 사이의 전환

- 필연적으로 공공 인터넷을 통하게 됨

- 상대적으로 위험하므로 이에 대한 보호대책이 필요함

 

3. 사용자/응용프로그램/프로세스들의 인증

클라우드 환경 관리 콘솔에 대한 사용자의 엔드 시스템
→ 클라우드 외부로부터의 합법적인 액세스만 가능

 

대부분의 클라우드 서비스
→ 웹 기반 액세스를 컴퓨팅 리소스의 게이트웨이로 제공

 

클라우드 서비스에 접속하기 위한 웹사이트는 공개적으로 위치
- 웹에 대한 접근은 특별히 관리되고 통제됨
- 잘 정의된 인증 메커니즘

 

4. 서로 다른 고객에 속하는 데이터의 강력한 분리

물리적 시스템이 여러 가상 시스템을 배포하는 데 사용되는 경우
→ 한 가상 시스템의 컴퓨팅 리소스를 다른 가상 시스템에 공개해서는 안됨

클라우드 컴퓨팅의 Multi-tenancy
- 클라우드 서비스 프로바이더는 각 가상 머신의 독립적인 운영을 보장해야 함

*Multi-tenancy : 소프트웨어 애플리케이션의 단일 인스턴스가 여러 고객에게 서비스를 제공하는 아키텍처

두가지 측면
- 데이터의 비밀성 유지
- 사이드 채널 은폐

 

5. 법률 및 규제 문제

클라우드 컴퓨팅 서비스는 법적 문제를 야기할 수 있음
- 기업이 클라우드 환경으로 정보 자산을 이전하기로 결정한 경우

 

정보는 다른 나라들에 저장 될 수 있음

→ 분쟁이 일어날 수 있음

 

6. 사건 대응

원격지에 있는 컴퓨팅 리소스에서 인시던트 발생 시
→ 피해는 이용자에게 감

사용자와 클라우드 서비스 제공자가 참여하는 효과적인 절차가 필요
- 인시던트 알람
- 로그 및 증거를 사용자와 공유

클라우드 서비스의 기능을 활용하여 사고 대응
- Load balancing, Fault domain, auto-scaling