클라우드 보안 영역에서 인프라 보안은 가상화, 서버, 스토리지, 네트워크 같은 각 인프라 요소에 악의적인 침입이나 내부 취약점에 대해 보호하는 기술을 말합니다. 이 문서에서는 각 요소들의 보안기술의 종류와 특징에 대해서 자세히 알아보겠습니다.
클라우드보안 : 인프라 영역
클라우드 컴퓨팅 서비스를 제공하기 위해서 가장 기본이 되는 인프라는 아래의 그림과 같이 가상화기술, 서버, 스토리지, 네트워크로 세분화 할 수 있습니다.
클라우드보안에서 인프라에 해당하는 영역에 해당하는 부분의 위 이미지에서 아래 4개 계층입니다. 인프라 영역 각 계층의 특징 및 보안기술을 알아보겠습니다.ㅣ
1. 가상화 보안기술
클라우드는 다수의 운영체제를 동시에 실행하기 위한 논리적 플랫폼으로 하이퍼바이저 가상화 기술을 사용합니다. 이러한 가상화 환경에서는 공격의 탐지가 어렵고 전파에 취약한 특성이 있습니다.
가상화 시스템의 위와 같이 여러 VM 들이 혼재되어 있는 형태입니다. 이런 가상화 특성이 보완에 있어 취약한 이유에 대해서 정리해보겠습니다.
| 특징 | 취약점 설명 |
| 타 가상머신으로부터의 피해 전파가 용이함 | 가상 네트워크 공간에서 타 가상 머신으로부터의 해킹, DDoS, 악성코드의 전파가 용이한 취약점이 있다. |
| 자원공유 | 다수와 자원을 공유하는 특성상 비인가자의 정보접근 가능성이 커진다. |
| 자원의 집중화 | 주요 자원을 하나의 클라우드 서비스에 집적하여 사용하며, 문제점 발생시 대규모 피해의 우려가 있다. |
| 책임소재의 불분명 | 자원의 동적인 재배치 및 자원 공유 등으로 정보보안의 책임소재가 명확하지 않다. |
가상화 환경에서 보안 취약점에 대한 대응기술은 다음과 같습니다.
1) VM 머신 모니터링 방식
아래의 그림과 같이 Hypervisor를 통해 각 가상머신(VM) 들의 CPU, 레지스터, 가상메모리 사용, 파일 IO 등의 내부 활동을 모니터링하고 분석하는 기술입니다.
2) 가상보안 어플라이언스 방식
아래와 같이 각 가상머신과 동등한 별도의 가상 Security VM의 형태로 위치하며, 특별한 권한을 가진 보안 전용 어플라이언스 형태의 기술입니다.
3) 클라우드 기반 보안서비스
클라우드를 기반으로 한 별도의 서비스(SecaaS)를 이용하는 방식입니다. 이는 클라우드뿐만 아니라 기존 인프라 기술에 대해서도 보안 서비스가 가능하다는 측면에서 장점입니다.
2. 서버보안 기술
서버 내 리소스를 보호하기 위해 사용자 계정관리, 접근제어, 파일 및 네트워크 시스템의 제어정책 등의 기술들이 있습니다.
| 기술유형 | 설명 |
| 사용자 계정관리 | 비인가자의 접근을 통제하기 위한 기술로 인증과 권한에 따라 관리합니다. SSO, IAM, EAM 관리솔루션을 활용할 수 있습니다. |
| 접근제어 | 서버내 파일, 네트워크, IO 등 다양한 장치에 대한 접근 권한관리 및 통제를 수행합니다. DAC, MAC, RBAC 유형으로 분류하며 RBAC를 기반으로 나머지 2가지를 혼합하여 적용할 수 있습니다. |
| 리소스 제어정책 | CPU, 메모리, 디스크 사용량 등을 실시간으로 모니터링하고 통제합니다. |
3. 스토리지 보안
클라우드 스토리지는 다른 클라우드 서비스와 마찬가지로 가상화 기술로 구성되며, 비정형 데이터의 저장, 콘텐츠의 분산저장, 백업 및 복구와 같은 기능을 제공합니다. 이런 클라우드 스토리지의 특성상 다음과 같은 취약점에 노출될 가능성이 있습니다.
| 기밀성 및 데이터 암호화 | 다양한 사용자와 공유되는 특성이 있으며, 데이터 유출시 피해가 매우 큽니다. 위험을 최소화하기 위해 객체 및 접근경로에 암호화를 수행합니다 ( API 방식, 플러그인 방식 등) |
| 데이터 무결성 보호 | 공유 자원에 대한 정확성, 유효성, 신뢰성에 대해 보장이 필요합니다. |
| 가용성 및 복구 | 데이터 백업 및 HA(High Availability) 지원을 위한 무정지 시스템 기술의 활용 |
4. 네트워크 보안
클라우드 가상환경에서 네트워크 보안에는 차세대 방화벽 적용과 같은 솔루션 외에 암호화 통신(SSL) 가상전용망(VPN), 데이터유출방지 솔루션(DLP) 등의 기능이 필요합니다.
| 기술유형 | 설명 |
| 차세대 방화벽 | 딥 패킷검사, 통합침입보호 및 패킷 필터링을 실시간으로 탐지 및 방어하는 솔루션입니다. |
| 암호화 통신 | SSL 기반 키교환 기술을 이용해 송, 수신단의 패킷을 암호화하여 데이터 유출시의 피해를 최소화 합니다. |
| VPN | 클라우드 네트워크를 VPN 가상 전용망으로 연결하여 외부 접근을 차단합니다. |
| DLP 솔루션 | 클라우드 컴퓨팅 환경에서 사용중이거나 이동중인 데이터의 외부 유출을 방지합니다. |
네트워크 관련 보안 솔루션에서 차세대 방화벽, UTM 및 엔드포인트 보안을 위한 DLP, DRM 등의 자료는 다음의 자료를 참고 바랍니다.
이상으로 클라우드보안 유형 중 인프라보안 기술 종류 및 특징에 대해서 알아보았습니다.