![](https://techblogpedia.com/wp-content/uploads/2022/09/클라우드보안.png)
클라우드 보안 영역에서 인프라 보안은 가상화, 서버, 스토리지, 네트워크 같은 각 인프라 요소에 악의적인 침입이나 내부 취약점에 대해 보호하는 기술을 말합니다. 이 문서에서는 각 요소들의 보안기술의 종류와 특징에 대해서 자세히 알아보겠습니다.
클라우드보안 : 인프라 영역
클라우드 컴퓨팅 서비스를 제공하기 위해서 가장 기본이 되는 인프라는 아래의 그림과 같이 가상화기술, 서버, 스토리지, 네트워크로 세분화 할 수 있습니다.
![클라우드보안 인프라계층을 나타낸 이미지](https://techblogpedia.com/wp-content/uploads/2022/07/클라우드-인프라-유형.png)
클라우드보안에서 인프라에 해당하는 영역에 해당하는 부분의 위 이미지에서 아래 4개 계층입니다. 인프라 영역 각 계층의 특징 및 보안기술을 알아보겠습니다.ㅣ
1. 가상화 보안기술
클라우드는 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼으로 하이퍼바이저 가상화 기술을 사용합니다. 이러한 가상화 환경에서는 공격의 탐지가 어렵고 전파에 취약한 특성이 있습니다.
![클라우드 가상화 환경 구성도 이미지 입니다.](https://techblogpedia.com/wp-content/uploads/2022/07/가상화시스템-구성도.jpeg)
가상화 시스템의 위와 같이 여러 VM 들이 혼재되어 있는 형태입니다. 이런 가상화 특성이 보완에 있어 취약한 이유에 대해서 정리해보겠습니다.
특징 | 취약점 설명 |
타 가상머신으로부터의 피해 전파가 용이함 | 가상 네트워크 공간에서 타 가상 머신으로부터의 해킹, DDoS, 악성코드의 전파가 용이한 취약점이 있다. |
자원공유 | 다수와 자원을 공유하는 특성상 비인가자의 정보접근 가능성이 커진다. |
자원의 집중화 | 주요 자원을 하나의 클라우드 서비스에 집적하여 사용하며, 문제점 발생시 대규모 피해의 우려가 있다. |
책임소재의 불분명 | 자원의 동적인 재배치 및 자원 공유 등으로 정보보안의 책임소재가 명확하지 않다. |
가상화 환경에서 보안 취약점에 대한 대응기술은 다음과 같습니다.
1) VM 머신 모니터링 방식
아래의 그림과 같이 Hypervisor를 통해 각 가상머신(VM) 들의 CPU, 레지스터, 가상메모리 사용, 파일 IO 등의 내부 활동을 모니터링하고 분석하는 기술입니다.
![클라우드 가상화 환경 구성도](https://techblogpedia.com/wp-content/uploads/2022/07/image-64.png)
2) 가상보안 어플라이언스 방식
아래와 같이 각 가상머신과 동등한 별도의 가상 Security VM의 형태로 위치하며, 특별한 권한을 가진 보안 전용 어플라이언스 형태의 기술입니다.
![어플라이언스 형태 구성도](https://techblogpedia.com/wp-content/uploads/2022/07/image-65.png)
3) 클라우드 기반 보안서비스
클라우드를 기반으로 한 별도의 서비스(SecaaS)를 이용하는 방식입니다. 이는 클라우드뿐만 아니라 기존 인프라 기술에 대해서도 보안 서비스가 가능하다는 측면에서 장점입니다.
![SecaaS 서비스 개념도](https://techblogpedia.com/wp-content/uploads/2022/07/image-66.png)
2. 서버보안 기술
서버 내 리소스를 보호하기 위해 사용자 계정관리, 접근제어, 파일 및 네트워크 시스템의 제어정책 등의 기술들이 있습니다.
기술유형 | 설명 |
사용자 계정관리 | 비인가자의 접근을 통제하기 위한 기술로 인증과 권한에 따라 관리합니다. SSO, IAM, EAM 관리솔루션을 활용할 수 있습니다. |
접근제어 | 서버내 파일, 네트워크, IO 등 다양한 장치에 대한 접근 권한관리 및 통제를 수행합니다. DAC, MAC, RBAC 유형으로 분류하며 RBAC를 기반으로 나머지 2가지를 혼합하여 적용할 수 있습니다. |
리소스 제어정책 | CPU, 메모리, 디스크 사용량 등을 실시간으로 모니터링하고 통제합니다. |
3. 스토리지 보안
클라우드 스토리지는 다른 클라우드 서비스와 마찬가지로 가상화 기술로 구성되며, 비정형 데이터의 저장, 콘텐츠의 분산저장, 백업 및 복구와 같은 기능을 제공합니다. 이런 클라우드 스토리지의 특성상 다음과 같은 취약점에 노출될 가능성이 있습니다.
기밀성 및 데이터 암호화 | 다양한 사용자와 공유되는 특성이 있으며, 데이터 유출시 피해가 매우 큽니다. 위험을 최소화하기 위해 객체 및 접근경로에 암호화를 수행합니다 ( API 방식, 플러그인 방식 등) |
데이터 무결성 보호 | 공유 자원에 대한 정확성, 유효성, 신뢰성에 대해 보장이 필요합니다. |
가용성 및 복구 | 데이터 백업 및 HA(High Availability) 지원을 위한 무정지 시스템 기술의 활용 |
4. 네트워크 보안
클라우드 가상환경에서 네트워크 보안에는 차세대 방화벽 적용과 같은 솔루션 외에 암호화 통신(SSL) 가상전용망(VPN), 데이터유출방지 솔루션(DLP) 등의 기능이 필요합니다.
기술유형 | 설명 |
차세대 방화벽 | 딥 패킷검사, 통합침입보호 및 패킷 필터링을 실시간으로 탐지 및 방어하는 솔루션입니다. |
암호화 통신 | SSL 기반 키교환 기술을 이용해 송, 수신단의 패킷을 암호화하여 데이터 유출시의 피해를 최소화 합니다. |
VPN | 클라우드 네트워크를 VPN 가상 전용망으로 연결하여 외부 접근을 차단합니다. |
DLP 솔루션 | 클라우드 컴퓨팅 환경에서 사용중이거나 이동중인 데이터의 외부 유출을 방지합니다. |
네트워크 관련 보안 솔루션에서 차세대 방화벽, UTM 및 엔드포인트 보안을 위한 DLP, DRM 등의 자료는 다음의 자료를 참고 바랍니다.
이상으로 클라우드보안 유형 중 인프라보안 기술 종류 및 특징에 대해서 알아보았습니다.