여러 개의 클라우드? 다중 위험.

대부분의 조직은 자체 온프레미스 프라이빗 클라우드 외에도 여러 클라우드 자산에서 운영하고 있습니다. 지난 3년 동안 우리는 이 모드로 운영하면서 IT 부문의 모든 직무에 종사하는 전문가들이 겪는 어려움과 좌절에 대해 물어보았습니다 .

매년 가장 많은 답변은 '일관성'입니다.

이는 놀랄 일이 아닙니다. 대부분의 조직은 여전히 분산된 팀 형태로 일하고 있으며, 퍼블릭 클라우드가 도입되어도 이러한 상황은 바뀌지 않았습니다. 실제로 클라우드 중심 팀이 각 개별 퍼블릭 클라우드의 고유한 대시보드, 콘솔 및 운영 방식에 적절히 적응하는 데 종종 필요함에 따라 사일로의 수가 크게 확대되었습니다.

이러한 현실로 인해 클라우드 공급자가 아닌 조직이 책임을 져야 하는 애플리케이션을 보호하는 것이 더 어려워졌습니다. 이러한 과제는 부분적으로 서로 다른 보안 서비스를 사용하기 때문에 발생하는데, 이러한 서비스는 회사의 기대에 부응하는 충분한 애플리케이션을 보호하는 데 필요한 정책적 동등성을 제공할 수도 있고 그렇지 않을 수도 있습니다. 한 보안 서비스의 역량은 다른 보안 서비스의 역량과 같지 않을 수 있습니다. 애플리케이션을 보호하는 데 필요한 기능이 한 클라우드에서는 제공되지만 다른 클라우드에서는 제공되지 않는 경우 일관된 보안을 달성할 수 없습니다.

따라서 Sophos의 2020년 클라우드 보안 상태 보고서에서 여러 클라우드 자산에서 운영하는 조직에서 보안 사고가 더 많이 발생한 것은 놀라운 일이 아니었습니다.

"멀티 클라우드 조직은 지난 12개월 동안 보안 사고가 더 많이 발생했다고 보고했습니다. 설문 조사에 참여한 조직의 73%가 두 개 이상의 퍼블릭 클라우드 공급업체를 사용하고 있었으며, 단일 플랫폼을 사용하는 경우보다 보안 사고가 더 많다고 보고했습니다."

보고서는 이러한 사고의 출처를 더욱 명확히 밝혔으며, 잘못된 구성으로 인해 발생한 보안 격차가 공격의 66%에서 악용되었으며, 이를 세 가지 범주로 분류했습니다. 

• 33% 클라우드 계정 자격 증명이 도난당했습니다.
  
• 22% 클라우드 리소스 구성 오류 
• 44% 잘못 구성된 웹 애플리케이션 방화벽

구성 오류는 여러 가지 원인으로 인해 발생할 수 있습니다. 오타가 흔합니다. 용어를 잘못 해석하거나 정책 모델을 오해하는 것도 하나의 원인이 될 수 있습니다.

오타와 인간이 초래한 다른 오류를 줄이기 위해 자동화가 종종 활용됩니다. 하지만 후자의 경우에는 정책 모델과 언어의 차이가 혼동을 일으켜 잘못된 구성으로 이어질 수 있으므로 도움이 되지 않습니다.

오늘날 잘못된 구성 문제를 해결하기 위한 가장 좋은 답은 표준화입니다. 필요한 모든 환경에서 작동하는 표준 보안 서비스 세트를 선택하면 구성 오류를 없애는 데 큰 도움이 됩니다. 단일 보안 서비스에 집중함으로써 습득한 기술은 클라우드 자산 전체에서 유지됩니다. 전문성은 경험을 바탕으로 구축되며, 더 좁은 범위의 정책 언어와 모델에 집중함으로써 조직은 어떤 환경에서든 자신 있게 애플리케이션을 보호할 수 있습니다.

표준화는 여러 클라우드에서 보안 서비스를 프로비저닝, 배포, 관리하는 코드, 스크립트 및 템플릿을 재사용할 수 있게 하여 자동화를 위한 힘을 증폭시킵니다. 자동화 아티팩트는 사용 및 재사용을 통해 강화되고 최적화되므로 클라우드 사용에 대한 확신이 더욱 커집니다.

클라우드는 앞으로도 계속 존재할 것이고, 한 조직에서 여러 클라우드를 사용하는 현실도 마찬가지입니다. 하지만 그렇다고 해서 보안 사고가 늘어나는 현실을 받아들여야 하는 것은 아닙니다. 협업을 방해할 수 있는 내부 조직 구조와 표준화에 주의를 기울이고 보안 서비스에 의도적으로 접근함으로써 조직은 보안을 개선하고, 자동화를 확장하고, 가장 귀중한 자산인 직원의 기술과 전문성을 최적화하기 위한 긍정적인 조치를 취할 수 있습니다.