불필요한 위험을 초래하는 클라우드 보안의 대표적인 잘못된 가정

Amazon Web Services가 최초의 클라우드 인프라 플랫폼을 출시한 지 15년이 지났습니다. 스위치만 누르면 하드웨어를 구입하거나 자본을 투자할 필요 없이 데이터 센터를 가동할 수 있습니다. 하지만 처음에는 많은 기업이 의심의 눈초리로 클라우드를 바라보았습니다. 통제권을 잃을까 봐 두려워서 자체 데이터 센터를 운영하는 것을 고수했습니다. 그들은 클라우드가 위험하다고 생각했습니다. 그리고 정말 그랬죠.

두 개의 블로그 게시물 중 첫 번째인 이 블로그 게시물에서는 클라우드를 필요 이상으로 위험하게 만드는 클라우드 보안에 대한 잘못된 가정에 대해 살펴봅니다.

클라우드: 무시하기에는 너무 매력적인 존재

이러한 위험에도 불구하고 시간이 지나면서 클라우드의 가치는 무시하기에는 너무 매력적이라는 것이 입증되었습니다. 오늘날 거의 모든 비즈니스에서 클라우드를 어느 정도 사용하고 있습니다. 그리고 많은 조직이 10년 전에는 상상할 수 없었던 중요한 작업을 클라우드에 의존하여 호스팅하고 있습니다.

클라우드는 광범위한 이점을 제공하지만 위험과 과제는 여전히 남아 있습니다. 클라우드에서 포괄적인 제로 트러스트 보안을 적용하는 것은 디지털 인프라의 다른 부분과 마찬가지로 중요합니다.

가장 큰 문제는? 조직은 클라우드 인프라가 사이버 공격과 랜섬웨어에 어떻게 노출되는지 완전히 이해하지 못하는 경우가 많습니다.

가정 1: 클라우드 제공업체가 애플리케이션의 보안을 책임집니다.

클라우드 제공업체가 아니라면 클라우드 보안은 누가 책임지나요?

사실 보안은 공동의 책임입니다.

Amazon, Microsoft, Google 또는 기타 클라우드 공급업체와 협력하는 경우, 작은 글씨를 보면 보안 책임은 호스팅 환경을 구성하는 모든 요소인 네트워크 패브릭만 보호하는 것으로 제한된다는 것을 알 수 있습니다.

애플리케이션 보안은 여전히 사용자의 책임입니다. 클라우드 네트워크 위에 운영 체제가 포함된 애플리케이션 인스턴스를 배포하는 순간, 이를 보호하는 것은 클라우드 네트워크가 아닌 사용자의 몫입니다.

또한 공급업체의 클라우드 보안 지원은 서비스 수준 계약(SLA)이 아닌 '최선의 노력' 모델을 사용합니다. 즉, 분산 서비스 거부(DDoS) 공격과 같은 네트워크에서 발생하는 위협으로부터 사용자를 보호하기 위해 최선을 다하겠다는 약속만 하면 됩니다. 하지만 통과했다면 최선을 다한 것입니다. 워크로드를 보호하는 것은 항상 사용자의 책임입니다.

또한 클라우드 제공업체는 애플리케이션을 호스팅하는 Linux 서버와 같은 시스템을 패치하지만, 잠재적인 애플리케이션 취약성을 해결하지는 못합니다. 애플리케이션 계층에 대한 가시성이 없으면 애플리케이션이 제대로 배포되었는지 또는 구성되었는지 알 수 없습니다.

가정 2: 클라우드 보안은 관리하기 쉽습니다.

클라우드의 장점인 속도, 민첩성, 탄력성은 오히려 클라우드 보안을 더 어렵게 만들기도 합니다. 클라우드를 사용하면 조직의 거의 모든 사람이 마우스 클릭 몇 번으로 새 애플리케이션이나 리소스를 가동할 수 있기 때문입니다.

더욱 어려운 점은 IT 및 보안 팀 내에서 클라우드 서비스를 중앙 집중식으로 관리하는 조직이 거의 없다는 것입니다. 대신 다양한 사업부 및 그룹이 독립적으로 새 클라우드 계정을 설정할 수 있습니다.

즉, 액세스 권한이 있는 모든 사용자 또는 개발자는 인터넷에 대한 포트가 열려 있는 애플리케이션을 만들 수 있으며, 여기서 모든 것이 모든 것과 통신할 수 있습니다. 그리고 이러한 애플리케이션의 보안은 고사하고 IT 부서나 보안팀도 이러한 애플리케이션이 존재한다는 사실조차 모른 채 이 모든 일이 일어날 수 있습니다.

또한 대기업은 AWS, Microsoft Azure, Google Cloud 및 기타 클라우드 플랫폼에 수백 개의 클라우드 계정을 보유하고 있는 경우가 많습니다. 이러한 각 계정에는 자체 보안 그룹이 있는 여러 개의 가상 사설 클라우드가 있을 수 있습니다.

이 모든 것이 이러한 그룹을 관리하고 보안 노출을 파악하는 것을 점점 더 어렵게 만듭니다. 클라우드 환경과 주고받는 애플리케이션 트래픽을 시각화할 수 있는 도구가 있으면 도움이 되지만 일반적으로 클라우드 제공업체는 이러한 도구를 제공하지 않습니다.

클라우드는 계속 발전하고 있으며 보안 위험도 증가하고 있습니다.

크고 작은 조직에서 워크로드를 클라우드로 이전하는 것을 고려할 때 보안을 논의에서 제외하는 경우가 많습니다. 왜 그럴까요? 일부 팀에서는 보안을 비즈니스를 가속화하는 원동력이 아니라 비즈니스 속도를 늦추는 방해 요소로 간주할 수 있기 때문입니다.

이로 인해 CIO, 보안 임원 및 기타 기술 리더에게는 어려운 딜레마가 생깁니다. 비즈니스를 추진하는 이니셔티브와 애플리케이션을 지원하지 못한다면 비즈니스 성장에 도움이 되지 않습니다. 하지만 클라우드의 잠재적인 보안 위험을 관리하지 않는다면 비즈니스는 심각한 위협에 노출될 수 있습니다.

다음 블로그 게시물에서는 비즈니스를 위험에 빠뜨릴 수 있는 추가적인 클라우드 보안 가정에 대해 설명할 예정이니 기대해 주세요.

그동안 Illumio가 멀티 클라우드 및 하이브리드 클라우드 환경을 위해 더 강력한 디지털 보안을 구축하는 데 어떻게 도움이 되는지 알아보세요. 또는 전문가에게 일루미오로 랜섬웨어 및 사이버 공격에 대한 디지털 방어를 강화하는 방법에 대해 문의하세요.