블로그

여러 개의 클라우드? 다중 위험.

로리 맥비티 썸네일
로리 맥비티
2020년 7월 27일 게시

대부분의 조직은 자체 온프레미스 프라이빗 클라우드 외에도 여러 클라우드 자산에서 운영하고 있습니다. 지난 3년 동안 우리는 이 모드로 운영하면서 IT 부문의 모든 직무에 종사하는 전문가들이 겪는 어려움과 좌절에 대해 물어보았습니다 .

매년 가장 많은 답변은 '일관성'입니다.

이는 놀랄 일이 아닙니다. 대부분의 조직은 여전히 분산된 팀 형태로 일하고 있으며, 퍼블릭 클라우드가 도입되어도 이러한 상황은 바뀌지 않았습니다. 실제로 클라우드 중심 팀이 각 개별 퍼블릭 클라우드의 고유한 대시보드, 콘솔 및 운영 방식에 적절히 적응하는 데 종종 필요함에 따라 사일로의 수가 크게 확대되었습니다.

이러한 현실로 인해 클라우드 공급자가 아닌 조직이 책임을 져야 하는 애플리케이션을 보호하는 것이 더 어려워졌습니다. 이러한 과제는 부분적으로 서로 다른 보안 서비스를 사용하기 때문에 발생하는데, 이러한 서비스는 회사의 기대에 부응하는 충분한 애플리케이션을 보호하는 데 필요한 정책적 동등성을 제공할 수도 있고 그렇지 않을 수도 있습니다. 한 보안 서비스의 역량은 다른 보안 서비스의 역량과 같지 않을 수 있습니다. 애플리케이션을 보호하는 데 필요한 기능이 한 클라우드에서는 제공되지만 다른 클라우드에서는 제공되지 않는 경우 일관된 보안을 달성할 수 없습니다.

따라서 Sophos의 2020년 클라우드 보안 상태 보고서에서 여러 클라우드 자산에서 운영하는 조직에서 보안 사고가 더 많이 발생한 것은 놀라운 일이 아니었습니다.

"멀티 클라우드 조직은 지난 12개월 동안 보안 사고가 더 많이 발생했다고 보고했습니다. 설문 조사에 참여한 조직의 73%가 두 개 이상의 퍼블릭 클라우드 공급업체를 사용하고 있었으며, 단일 플랫폼을 사용하는 경우보다 보안 사고가 더 많다고 보고했습니다."

보고서는 이러한 사고의 출처를 더욱 명확히 밝혔으며, 잘못된 구성으로 인해 발생한 보안 격차가 공격의 66%에서 악용되었으며, 이를 세 가지 범주로 분류했습니다. 

  • 33% 클라우드 계정 자격 증명이 도난당했습니다.
  • 22% 클라우드 리소스 구성 오류 
  • 44% 잘못 구성된 웹 애플리케이션 방화벽

구성 오류는 여러 가지 원인으로 인해 발생할 수 있습니다. 오타가 흔합니다. 용어를 잘못 해석하거나 정책 모델을 오해하는 것도 하나의 원인이 될 수 있습니다.

오타와 인간이 초래한 다른 오류를 줄이기 위해 자동화가 종종 활용됩니다. 하지만 후자의 경우에는 정책 모델과 언어의 차이가 혼동을 일으켜 잘못된 구성으로 이어질 수 있으므로 도움이 되지 않습니다.

오늘날 잘못된 구성 문제를 해결하기 위한 가장 좋은 답은 표준화입니다. 필요한 모든 환경에서 작동하는 표준 보안 서비스 세트를 선택하면 구성 오류를 없애는 데 큰 도움이 됩니다. 단일 보안 서비스에 집중함으로써 습득한 기술은 클라우드 자산 전체에서 유지됩니다. 전문성은 경험을 바탕으로 구축되며, 더 좁은 범위의 정책 언어와 모델에 집중함으로써 조직은 어떤 환경에서든 자신 있게 애플리케이션을 보호할 수 있습니다.

표준화는 여러 클라우드에서 보안 서비스를 프로비저닝, 배포, 관리하는 코드, 스크립트 및 템플릿을 재사용할 수 있게 하여 자동화를 위한 힘을 증폭시킵니다. 자동화 아티팩트는 사용 및 재사용을 통해 강화되고 최적화되므로 클라우드 사용에 대한 확신이 더욱 커집니다.

클라우드는 앞으로도 계속 존재할 것이고, 한 조직에서 여러 클라우드를 사용하는 현실도 마찬가지입니다. 하지만 그렇다고 해서 보안 사고가 늘어나는 현실을 받아들여야 하는 것은 아닙니다. 협업을 방해할 수 있는 내부 조직 구조와 표준화에 주의를 기울이고 보안 서비스에 의도적으로 접근함으로써 조직은 보안을 개선하고, 자동화를 확장하고, 가장 귀중한 자산인 직원의 기술과 전문성을 최적화하기 위한 긍정적인 조치를 취할 수 있습니다.