클라우드의 책임 공유

클라우드의 책임 공유

Tesla vs AWS

- 보안 대책이 없는 채로 AWS 클라우드 시스템을 하이재킹(Hijacking)하여 Kubernetes 콘솔을 장악
- AWS 자격 증명이 노출 → 해커들이 이 자격 증명을 사용하여 암호화폐 채굴에 이용

 

어떻게 숨길 것인가?
- CPU 사용량을 낮춤
- 서버를 Cloudflare 뒤에 숨김

 

고려해야 할 사항
- AWS가 안전한 환경을 제공했는가
- 테슬라는 AWS로부터 보안 요구 사항을 확인하고 보안 구성을 제대로 설정했는가

 

 

의견
- AWS는 비정상적인 상황을 처리하기 위한 조치를 취해야 했음
- 테슬라는 적절한 구성을 통해 비정상적인 접근 시도를 제한하기 위해 무엇인가를 해야 했음
- 둘 다 어떤 조치를 취해야 했음

이 문제에서 테슬라가 더 큰 책임을 가지고 있음
- 사용자들은 Amazon EKS 콘솔의 IAM 메커니즘을 적용해야 함
- 공격자들은 CloudFlare를 사용하여 실제 IP 주소를 숨기고 컴퓨팅 리소스 사용량을 낮췄음

=> 그러나 CSP(클라우드 서비스 공급자)도 사용자를 위해 AI 기술을 사용하여 비정상적인 상황을 감지하고 예방해야 한다.

 

클라우드 보안과 책임 분담

- 클라우드 컴퓨팅 서비스의 계층 → Data부터 Networking까지

- 책임은 구성 가능한지/관리 가능한지에 의해 정의 될 수 있음
- 공유란? : 책임 회피를 위한 것이 아니라, 역할을 명확히하기 위한 것

 

On-premises case

- CSP가 아닌 기업은 가상화 및 풀링 리소스에 대한 전문 지식을 갖춘 엔지니어를 고용해야 함
- 가상화(Virtualization) 및 PR (시스템 및 네트워크 관리의 새로운 영역)

 

IaaS/PaaS and SaaS

- 책임 분담에 합리적인 경계가 있을 수 있음
- SLA의 경계 사전 정의
- 사용자와 CSP 간 분쟁 또는 논쟁 가능성

 

Amazon Web Services

고객
- 클라우드에서의 보안
- EC2 사례 - 액세스 관리, 운영 체제, 플랫폼, 앱, 트래픽 필터링, 암호화/복호화 등
- S3 사례 - 액세스 관리, 데이터의 암호화/복호화

 

AWS
- 클라우드의 보안
- 물리 시스템/인프라 관리
- 지역, 가용 영역, 엣지 위치
- 클라우드 소프트웨어 구성 요소 보안 관리
- 컴퓨팅, 저장소, 데이터베이스, 네트워크

 

Microsoft Azure

- IaaS 경우, 명확한 경계가 있음
- SaaS 및 PaaS 경우에는 고객은 운영 체제에 대해 걱정할 필요가 없음
- PaaS의 경우 네트워크 제어, 애플리케이션, 식별 및 디렉터리 인프라에서 공유 부분이 있음
- SaaS의 경우 책임이 공유되는 영역은 식별 및 디렉터리 인프라뿐임

- 보안과 관련된 책임을 처리하기 위한 다양한 대안
- 고객은 리소스를 재할당함으로써 자신의 책임을 CSP(클라우드 서비스 공급자)에게 이전할 수 있음
- 클라우드 기반의 보안 능력을 활용하여 더 효과적으로 처리
- 보안을 위해 클라우드 인텔리전스를 활용
- 책임분담