2024-03-29 17:45 (금)
클라우드에서 자산 및 애플리케이션 보안
상태바
클라우드에서 자산 및 애플리케이션 보안
  • 유성희 기자
  • 승인 2017.08.04 15:00
이 기사를 공유합니다

20170703124422556.jpg

이미지 출처 : 위키미디어

홍콩의 점점 더 많은 기업들이 클라우드의 강점을 인식하고 채택하고 있다. 홍콩 기업이 느끼는 클라우드의 매력 중 하나는 편의성, 효율성 및 비용 절감이다.

지난 해 아시아 클라우드 컴퓨팅 협회(ACCA)가 발표한 클라우드 준비 지수(Cloud Readiness Index, CRI)에 따르면 홍콩과 싱가포르, 호주 등 다른 아시아 태평양 국가들은 미국과 영국에 비해 시장에서 상위를 차지했다.

특히 홍콩은 CRI 점수 78.1을 기록해 4위를 기록했고 싱가포르는 CRI 점수 76.7로 2위를 차지했다.

이를 통해 클라우드 컴퓨팅의 보안을 둘러싼 논쟁, 특히 데이터가 클라우드에서 보다 안전한지 아닌지에 대한 대부분의 논의가 해결됐다. 점점 더 많은 기업 및 기관들은 클라우드가 대부분의 경우 온프레미스보다 더 안전하다고 보고 있다.

그 외에도 공공 클라우드 벤더들이 지적한 바와 같이, 클라우드의 보안은 애플리케이션 소유자, OS, 지원 인프라 및 클라우드에서 실행되는 기타 자산을 보호해야 하는 책임이 있다.

보안 관점에서 공공 클라우드 공급 업체의 관리 콘솔은 핵심 약점이며 결과적으로 공격자들이 피싱 시도를 하기 쉬운 대상이다. 따라서 디지털 볼트에서 권한 있는 자격 증명을 잠그고 보안을 유지하여 매니지먼트 콘솔을 보호해야 한다.

기업의 책임은, 특히 하이퍼바이저의 기능을 하면서 고객 데이터베이스와 같은 다른 응용 프로그램 및 자산에 액세스하는 응용 프로그램, 그리고 스크립트에서 사용되는 권한 있는 자격 증명의 보안을 포함한다.

하지만 단점도 있다 이러한 자격 증명은 너무 자주 하드 코딩된다. 이는 위험한 취약점이다. 클라우드 및 하이브리드 환경 전반에 걸쳐 사용되는 많은 하드 코드 된 자격 증명이 있을 수 있기 때문이다.

코드 또는 스크립트에 자격 증명을 하드 코딩하고 포함 시키면 처음에는 쉽게 사용할 수 있지만 공격자 또는 악의적인 내부자도 쉽게 액세스 할 수 있으므로 특히 자격 증명이 일반 텍스트라면 더욱 취약하다.

더 나쁜 경우 자격 증명이 하드 코딩되거나 로컬에 저장되면 옮기기가 거의 불가능하므로 공격자에게는 쉬운 공격 대상이 된다.

위험은 현실이다. 데브옵스 프로세스 개발자들 중에는 GitHub와 같은 코드 저장소에서 개발한 소스 코드를 공유하는 개발자가 있다.

데브옵스 프로세스의 일부이지만 임베디드 암호와 자격 증명이 공개되는 방법에 대해서는 너무 일반적인 예다. 이것들은 하드 코딩되어 있다.

코드가 기업의 내부 코드 저장소에만 저장 되더라도 암호와 자격 증명은 다른 개발자가 쉽게 액세스할 수 있으며 실수로 또는 악의적으로 사용된다.

어떤 응용 프로그램이나 스크립트가 상호 작용하는지 완전히 식별하기란 어렵지만 불가능한 일은 아니다. 이는 다른 응용 프로그램 및 기타 기업 자산과 함께 사용될 수 있다.

과거에는 이러한 실수가 사내 환경 내에서 그렇게 위험하지 않았으며 악용될 소지가 적고 기업에 큰 손해를 끼치지 않았다.

그러나 클라우드 환경에서는 빠른 변화 속도, 신속한 확장 기능 및 사용되는 도구로 인해, 이러한 취약점은 금새 증폭되어 감당할 수없는 수준의 위험을 초래하게 된다.

위험을 최소화하고 모범 사례를 따르려면 기업은 응용 프로그램 및 스크립트에서 사용하는 암호 및 자격 증명을 하드 코딩하지 말고 보안 디지털 볼트에 자격 증명을 보관하고 정책에 따라 자격 증명을 자주 옮겨야 한다.

이러한 접근 방식을 통해 기업 사용자는 인간 사용자와 마찬가지로 각 응용 프로그램, 코드 이미지 또는 스크립트에 고유한 자격 증명을 할당한 다음 보안 디지털 볼트를 통해 액세스를 추적, 모니터링 및 제어할 수 있다.

또 이런 접근 방식으로 IT 관리자는 어떤 응용 프로그램이 리소스, 예를 들어 고객 데이터 베이스에 접근했는지 알 수 있다. 또한 응용 프로그램 또는 스크립트가 폐기될 때 관리자 또는 스크립트는 간단하게 자격 증명을 해제할 수 있다.

클라우드의 핵심 비즈니스 이점은 탄력성이다. 컴퓨팅 인스턴스 또는 가상 서버 수를 특정 시점의 비즈니스 요구 사항을 충족시키기 위해 쉽고 즉각적으로 확장 및 축소 할 수 있는 기능이다. 주문형 클라우드 컴퓨팅을 사용하는 기업은 그들이 사용하는 컴퓨팅, 스토리지 및 기타 리소스에 대해서만 비용을 지불한다.

사람의 개입이 필요하지 않다. AWS 오토 스케일과 같은 클라우드 자동화 도구는 공공 클라우드 공급 업체의 기본 기능으로 내자되어 있거나 데브옵스와 함께 사용되는 오케스트레이션 및 자동화 도구의 일부로 퍼핏, 셰프, 앤서블 등이 있다.

자동화 도구로 구현되는 클라우드의 주문형 컴퓨팅은 큰 장점이지만 도전 과제와 새로운 잠재적 위험도 있다. 이러한 새로운 애플리케이션 인스턴스가 생성되고 실행될 때 리소스에 액세스할 수있는 권한과 자격이 필요하다. 자동화 도구는 자격 증명을 제공하지만 이러한 자격 증명도 보호해야 한다.

결과적으로 컴퓨팅 환경이 동적으로 확장되므로 새로운 애플리케이션 인스턴스가 생성될 때 보안 디지털 볼트에서 새 인스턴스에 할당된 권한 및 자격 증명을 즉시 보호하는 편이 좋다. 그러면 자격 증명을 즉시 모니터링하고 관리할 수 ​​있다. 또 자격 증명은 정책에 따라 보안되고 회전된다. 컴퓨팅 인스턴스가 폐기되면 연관된 자격 증명도 제거된다. 이 과저은 다양한 자동화 도구와 보안 디지털 볼트 간의 통합으로 이루어진다.

기업이 IaaS 또는 PaaS를 통해 클라우드의 다른 애플리케이션 및 자산에 액세스하려면 애플리케이션, 스크립트 및 기타 자산에서 보안 암호 및 권한 있는 자격 증명을 사용하는 것이 중요하다.


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★