데이터 센터 및 클라우드 보안 - 우리에게 혁명이 필요한 이유

데이터 센터 및 클라우드 보안에 대해 새로운 방식으로 생각하고 애플리케이션 환경 전반에서 진화하는 요구 사항에 따라 접근 방식을 재조정하는 데 도움이 되는 주요 개념을 다루는 Illumio CTO인 PJ Kirner의 블로그 시리즈를 소개합니다.

혁명이 일어나는 데는 다 이유가 있습니다. 이는 기대와 현실의 괴리로 인해 억눌려 있던 불만이 표출되어 변화의 필요성이 커진 결과입니다. 기존의 방식은 더 이상 새로운 요구사항에 부합하지 않으며, 변화 외에는 다른 선택의 여지가 없는 비등점에 이르렀습니다. 

애플리케이션, 데이터 센터, 클라우드의 발전으로 인해 초크 포인트 및 네트워크 기반 접근 방식과 같은 기존 방식이 더 이상 애플리케이션 팀의 새로운 요구 사항에 부합하지 않는 보안이 한계에 이르렀습니다. 이러한 팀은 새로운 리소스 활용 및 애플리케이션 제공 모델에 익숙해졌으며 이제 되돌릴 수 없습니다. 이제 보안에 혁명이 일어나야 할 때입니다.

데이터 센터의 압력

지난 10년 반 동안 데이터 센터는 빠르게 발전하여 리소스를 더 잘 활용하고, 새로운 수준의 규모를 실현하며, 그 어느 때보다 빠르게 움직일 수 있게 되었습니다. 애플리케이션이 어느 정도 정적이고 모두 프라이빗 데이터 센터에 있다고 가정하던 시대는 지났습니다.

새로운 수준의 소비, 규모, 속도로 인해 보안 팀에는 새로운 도전과 압박이 생겼습니다.

• 가상화는 컴퓨팅, 네트워크, 스토리지의 핵심 데이터센터 리소스를 추상화하여 워크로드의 이동성과 적응성을 높이는 동시에 애플리케이션의 확장성과 복원력을 향상시켰습니다.
• 클라우드는 온디맨드의 탄력적인 환경을 조성하여 온디맨드 인프라 요구 사항을 충족하고 소비를 더 쉽게 하고 활용도를 높일 수 있게 해줍니다.
• 컨테이너는 오늘날 환경에서 점점 더 보편화되어 애플리케이션과 서비스를 신속하게 개발, 구축 및 패키징할 수 있는 방법을 제공합니다.
   

애플리케이션의 압력

인프라만이 진화와 혁신의 유일한 영역은 아닙니다. 애플리케이션 개발 및 제공 방식에도 비슷한 변화가 있었습니다. 지속적 통합 및 지속적 배포(CI/CD) 덕분에 소프트웨어 배포 수명 주기(SDLC) 전반에 걸친 기대치가 진화했습니다. 이제 기존의 릴리스 기반 접근 방식보다 더 빠르고 유연하게 소프트웨어를 개발하고 제공할 수 있을 것으로 기대합니다.

많은 경우, 팀이 한 공간에 모여 다가오는 출시 날짜에 맞춰 세부 사항을 계획할 수 있는 뚜렷한 출시 주기가 있는 시대는 지났습니다. 매주, 경우에 따라서는 매일 또는 하루에도 여러 번 새로운 코드가 개발되어 프로덕션에 적용되고 있습니다.

모놀리식 애플리케이션은 마이크로서비스 아키텍처로 대체되었습니다. 애플리케이션 자체와 관련 서비스 아키텍처도 더욱 복잡해지고 구성 요소의 연결성도 높아졌습니다. 애플리케이션은 환경 전반의 데이터와 서비스에 의존하게 되면서 과거에 비해 기하급수적으로 많은 동서 간 통신이 이루어지고 있습니다.

상호 연결이 많다는 것은 개방된 경로가 많다는 것을 의미하며, 이는 방어해야 할 공격 표면이 커지고 비즈니스에 더 많은 위험을 초래할 수 있습니다. 또한 컨테이너의 임시적인 특성과 이러한 환경 전반의 연결성으로 인해 보안에 대한 완전히 새로운 과제가 생깁니다.

데브옵스 운동은 애플리케이션 및 인프라 민첩성에 대한 이러한 요구를 촉진하기 위해 개발자와 운영 팀을 한데 모았습니다. 하지만 이러한 1세대 운동에서는 보안이 소외되었습니다. 많은 사람들에게 보안에 관여하는 것은 발전과 신속한 배포 철학에 방해가 되는 것으로 여겨졌고, 어떤 경우에는 보안을 아예 회피하는 경우도 있었습니다.

보안이 따라가지 못했습니다.

데이터 센터 인프라와 애플리케이션의 발전으로 인해 조직은 그 어느 때보다 빠르게 소프트웨어 중심으로 변화하고 있습니다. 보안은 항상 중요했지만, 조직이 비즈니스를 추진하는 데 있어 소프트웨어에 대한 의존도가 높아지면서 비즈니스 위험을 최소화하기 위해 보안을 제대로 갖추는 것이 점점 더 중요해지고 있습니다. 잘못하면 데이터 손실, 수익에 대한 영향, 브랜드에 대한 지속적인 영향, 규정 준수와 관련된 과태료까지 발생할 수 있습니다. 보안은 인프라와 애플리케이션 전반의 진화를 따라가지 못했습니다.

정책을 시행하기 위한 기존의 네트워크 기반 초크 포인트 솔루션은 비실용적일 뿐만 아니라 아키텍처를 설계하고 배포하는 것이 완전히 불가능할 수 있습니다. 애플리케이션은 여러 부분의 집합체이며 때로는 데이터 센터와 클라우드에 분산되어 있기 때문에 정책을 일관되게 적용하는 것은 큰 도전이 될 수 있습니다. 애플리케이션 인프라가 점점 더 동적으로 변하고 있다는 사실과 함께, 정책을 이동 및 규모에 맞춰 동기화하는 것은 거의 불가능에 가깝습니다.

진화하는 보안의 목표 중 하나는 공격자의 우위에서 벗어나 방어자의 강점을 활용하는 것입니다.

공격자들도 최신 보안 방식을 무력화하기 위해 진화하고 있습니다. 균형을 수비수에게 유리하게 바꾸려면 위협에 사후 대응하는 모델에서 선제적으로 게임을 변화시켜 수비수에게 다시 제어권을 주는 모델로 전환해야 합니다. 이를 위해서는 새로운 방식으로 보안에 접근하고 애플리케이션 환경과 이를 보호하는 방법에 대해 다르게 생각해야 합니다.

현재의 보안 접근 방식은 전적으로 장애물이 되지는 않더라도 진행 속도를 늦추는 걸림돌이 될 수 있습니다. 기존의 경로를 계속 따라가다 보면 개발팀은 효율성을 유지하는 데 필요한 속도로 계속 발전하기 위해 보안을 우회하는 방법을 찾을 위험이 있습니다.

이러한 효율성에 대한 요구는 보안을 재고하고 데이터센터 전반의 발전에 발맞춰 보안을 개선해야 하는 이유 중 하나입니다.

최신 애플리케이션 환경을 위한 보안의 진화

오늘날 대부분의 보안 솔루션은 사물이 느리게 움직이고 어느 정도 정적이라는 오래된 가정에 기반하고 있지만, 현실은 더 이상 그렇지 않다는 것을 알고 있습니다.

아직 그 영향을 온전히 느끼지 못하더라도 비즈니스는 점점 더 소프트웨어에 의해 주도되고 애플리케이션은 더 빠르게 이동하며 애플리케이션 환경은 더욱 복잡하고 이기종화되어 데이터 센터 및 클라우드 보안의 혁명을 요구하고 있습니다.

가상화 및 IaaS와 같은 기술은 애플리케이션 요구 사항에 더 잘 부합하도록 인프라를 추상화했습니다. 우리도 비슷한 방식으로 보안에 대해 생각해야 합니다.

애플리케이션 및 비즈니스 프로세스의 맥락에서 워크로드를 보는 것이 위험을 이해하고 정책을 수립하는 가장 좋은 방법입니다. 또한 조직 내 모든 팀이 이해할 수 있는 유일한 공통 언어이기도 합니다. 애플리케이션 개발팀은 네트워크(IP 주소 및 포트)라는 맥락에서 앱 환경을 고려하지 않습니다. 이들은 해당 애플리케이션의 구성 요소, 이들이 어떻게 연관되어 있는지, 어떻게 함께 작동하는지에 대한 맥락에서 생각합니다.

비즈니스 프로세스 소유자가 자신의 프로세스, 관련 애플리케이션 및 서비스, 그리고 비즈니스 요구 사항을 해결하기 위해 이 모든 것이 함께 작동하는 방식에 대해 생각하는 것도 마찬가지입니다.

이러한 관점의 전환은 새로운 접근 방식의 문을 여는 기초이자 첫걸음입니다. 이는 여러 플랫폼과 위치에 분산되어 있고 수요에 따라 동적으로 이동 및 확장되는 최신 애플리케이션 환경에 적합한 보안을 구축할 수 있는 유일한 방법입니다.

다음 글에서는 애플리케이션 중심 맵이 중요한 이유와 보안을 재고하고 발전시키는 토대가 되는 방법에 대해 이야기하겠습니다.

편집자 주: 다음 게시물을 읽어보세요, "보안을 발전시키려면 지도가 필요합니다."