클라우드 보안: 일루미오를 통해 잘못된 가정을 확신으로 전환하기

이전 블로그 게시물에서 부적절한 클라우드 보안의 위험을 무시하는 것이 왜 실수인지에 대해 자세히 설명한 바 있습니다. 그리고 많은 조직에서 비즈니스 지원을 위해 클라우드 서비스를 도입할 때 잘못된 가정 두 가지를 소개했습니다.

이 게시물에서는 세 가지 가정을 더 살펴보고, 클라우드 네이티브 가시성과 제어를 개선하기 위해 Illumio CloudSecure의 기능을 쉽게 활용할 수 있는 방법을 살펴봅니다.

가정 #3: 클라우드 서비스가 인터넷과 격리되어 있습니다.

고객이 투자를 최대한 활용할 수 있도록 클라우드 공급업체는 고객에게 서비스형 인프라(IaaS) 및 서비스형 플랫폼(PaaS) 인프라 리소스를 제공합니다. 여기에는 가상 머신, 컨테이너, 서버리스 기능 및 관리형 클라우드 데이터베이스가 포함될 수 있습니다.

하지만 이러한 클라우드 서비스는 기본적으로 인터넷에 개방되어 있는 경우가 많습니다. 따라서 잠재적인 침해의 진입 지점이 될 수 있습니다. 액세스를 제한하는 것은 클라우드 제공업체가 아닌 고객의 책임입니다. 클라우드는 기본적으로 '최소 권한'을 제공하지 않는다는 점을 기억하세요. 대신 "초과 권한"을 기반으로 작동합니다. 즉, 어떤 리소스가 서로 통신할 수 있는지 결정하고 다른 모든 리소스를 차단해야 합니다.

어떤 애플리케이션이 클라우드에 있는지, 어떤 애플리케이션과 통신하고 있는지에 대한 가시성이 없으면 적절한 제어 없이 중요한 리소스를 클라우드에서 호스팅하고 있을 수 있습니다. 퍼블릭 클라우드에 내부 데이터센터 리소스에 노출되는 워크로드 및 프로세스 기능이 있는 경우 특히 위험합니다.

우수한 클라우드 보안을 보장하려면 클라우드와 온프레미스 워크로드 간의 통신 경로를 이해해야 합니다. 데이터 센터와 마찬가지로 인터넷에 무엇이 연결되어 있는지 정확히 파악해야 합니다. 그런 다음 이러한 연결이 해커나 멀웨어가 네트워크에 침입할 수 있는 경로가 되지 않도록 해야 합니다.

가정 #4: 클라우드 서비스 확장에는 제한이 없습니다.

보안 관점에서 보면 AWS 및 Microsoft Azure와 같은 퍼블릭 클라우드는 보안 관리를 위해 만들 수 있는 세그먼트의 수가 제한되어 있습니다. 이렇게 하면 클라우드 애플리케이션과 데이터를 세밀하게 제어할 수 없습니다.

세분화에 대한 클라우드 제공업체의 해답은 가상 네트워크 세그먼트, 즉 Amazon의 경우 가상 프라이빗 클라우드(VPC), Microsoft의 경우 Azure 가상 네트워크(VNet)입니다. 이러한 환경에서는 보안 그룹이 세그먼트 안팎에 경계를 설정합니다.

그러나 가상 네트워크 세그먼트에 존재할 수 있는 보안 그룹의 수는 제한되어 있습니다. 한도보다 많은 호스트가 필요한 경우 세그먼트에 여러 호스트를 사용해야 합니다. 하지만 효율적으로 확장하려면 모든 세그먼트에 호스트가 하나만 있어야 합니다.

하나의 세그먼트에 여러 호스트가 있으면 관리가 더 복잡해지고 보안 위험이 커집니다. 한 호스트가 침해된 경우, 다른 호스트와 통신하여 감염시킬 수 있는 것을 원치 않으실 것입니다. 확장하려면 클라우드 제공업체가 액세스 세분화를 위해 제공하는 것 외에 추가적인 도움이 필요합니다. 그렇지 않으면 가시성 부족, 복잡한 정책 관리, 네트워크 구성 및 방화벽을 수동으로 '재구성'해야 하는 등 기존 데이터센터 세분화에서 조직이 겪었던 것과 동일한 문제에 직면하게 됩니다.

가정 #5: 워크로드를 확보하면 작업이 완료된 것입니다.

많은 사람들이 워크로드 보안에 대해 생각할 때 워크로드가 한 곳에만 있다고 잘못 생각하는 경우가 많습니다. 하지만 클라우드에서는 워크로드가 각각 고유한 정책 모델을 가진 여러 퍼블릭 클라우드에 걸쳐 이동할 수 있습니다. 이 경우 보안 세그먼트가 동일한 보안 제어 기능을 공유할 가능성은 거의 없습니다. 또한 이러한 움직임이 발생하더라도 보안팀은 이러한 움직임을 지속적으로 모니터링하여 워크로드가 적절한 정책에 의해 보호되고 있는지 확인해야 합니다.

클라우드의 모든 컴퓨팅 리소스, 서버리스 리소스 및 개체는 동적입니다. 이러한 리소스와 클라우드 개체가 이동하면 해당 IP도 변경됩니다. 퍼블릭 클라우드 내에서 위치가 변경될 수 있습니다. 또한 여러 클라우드 제공업체 간에 이동할 수도 있습니다. 심지어 '죽었다가' 새 IP 주소로 다시 살아날 수도 있습니다.

따라서 더 이상 기존 방식으로는 정책을 작성할 수 없습니다. 대신 클라우드 워크로드를 검토하여 애플리케이션 구성 요소가 서로 통신하는 방식을 이해하세요. 애플리케이션 동작에 대한 명확한 인사이트를 확보한 후에는 적절한 시행 정책을 작성할 수 있습니다.

중요한 점은 모든 클라우드 애플리케이션은 위치나 사용하는 관련 리소스에 관계없이 기존 데이터센터의 서버에서 실행되는 애플리케이션과 마찬가지로 철저하게 보호되어야 한다는 것입니다.

보안은 클라우드의 핵심 비즈니스 지원 요소입니다.

크고 작은 조직에서 더 많은 워크로드를 클라우드로 이전하거나 이전을 고려하는 이유는 무엇일까요? 클라우드가 제공하는 속도, 유연성, 확장성. 그럼에도 불구하고 '고아'인 보안은 클라우드로의 이전을 논의할 때 종종 논의의 일부가 되지 않습니다. 왜 그럴까요? 보안은 비즈니스를 촉진하는 것이 아니라 '비즈니스를 복잡하게 만드는 요소'로 간주되기 때문입니다.

그러나 보안 계획은 클라우드 마이그레이션 노력의 일부가 되어야지 나중에 고려하는 것이 아닙니다. CloudSecure는 클라우드 네이티브 앱, 가상 머신 및 컨테이너는 물론 서버리스, PaaS 및 IaaS 인프라를 지속적으로 모니터링하고 보호합니다. 따라서 안심하고 클라우드를 도입할 수 있습니다.

멀티 클라우드 및 하이브리드 환경을 위해 더 강력한 보안을 구축하는 방법에 대해 자세히 알아보세요: 

• 데모를 통해 Illumio CloudSecure가 실제로 작동하는 모습을 확인하세요.
• 제품 개요를 읽어보세요. 
• 제로 트러스트 네트워킹 2023을 위한 가트너 하이프 사이클을 다운로드하세요.