클라우드
0. 개요
이 글은 삼성 SDS의 인사이트를 참고해서 정리한 글입니다.
인공지능 | 인사이트리포트 | 삼성SDS
삼성SDS에서 다양한 IT 인사이트 정보를 제공해 드립니다.
www.samsungsds.com
1. 클라우드란?
Cloud는 구름이라는 의미를 가진 영어 단어입니다.
구름은 작은 물방울이나 얼음이 서로 연결된 큰 덩어리입니다.
IT 업계의 클라우드 는 1990년대 구글, 네이버와 같은 인터넷 기업들이 방대한 사용자의 접속을 유지하는 서비스를 제공하면서 클라우드라는 개념이 사용됐습니다.
클라우드는 크게 네 가지 대표적인 특징이 있습니다.
- 접속 용의성
- 유연성
- 셀프 서비스
- 사용량 기반 과금제
1.1 접속 용의성
클라우드 서비스는 공간과 시간의 제약 없이 인터넷이 사용한 곳이면 어디서나 접속 및 서비스를 이용할 수 있습니다.
또, 다양한 기기에서 연결이 가능하기 때문에 자료 공유와 업무 생산성 향상에 도움이 됩니다.
반면 정보가 인터넷 상에 있기 때문에 개인 정보나 중요 데이터에 대한 내용 유출에 기울여야 합니다.
1.2 유연성
클라우드는 가상화 기술을 이용하기 때문에 물리적인 환경에 비해 확장 및 축소가 가능합니다.
특히 사용자 증감이 심한 서비스는 클라우드가 서비스를 위한 최상의 환경이 됩니다.
사용자 증감에 따라 필요한 서비스 규모를 늘리고 줄일 수 있습니다.
서버 규모 확장을 위한 기술은 크게 스케일 업과 스케일 아웃이 있습니다.
스케일 업은 고가의 서버로 교환하는 방식입니다. 하드웨어는 좋은 성능을 가진 서버일 수록 비용이 기하급수적으로 비싸지기 때문에 매우 많은 비용이 소모됩니다.
스케일 아웃은 저가의 서버 여러 대를 추가하는 방식입니다. 비용이 저렴한 서버를 사용하기 때문에 상대적으로 낮은 비용이 소모될 수 있으며, 서버 하나에 장애가 발생해도 서비스 제공을 지속적으로 할 수 있다는 장점이 있습니다.
1.3 셀프 서비스
기업 내에서 서버나 네트워크를 증설하기 위해서는 물리적인 공간 부터 전원, 설치 위치 등 다양한 고려 사항과 승인 절차가 필요합니다.
하드웨어 발주부터 입고까지 몇 주의 시간이 필요할 수 있습니다.
그러나 클라우드는 서버나 네트워크 관리자와 직접적으로 협의할 필요 없이 사용자가 클라우드 관리 화면을 통해 서버와 네트워크를 직접 구성할 수 있습니다.
사용자는 온라인으로 필요 자원을 바로 구성하고, 불필요해지면 시스템을 폐기할 수도 있습니다.
1.4 사용량 기반 과금제
하드웨어를 구축하는 비용 매우 비쌉니다.
하드웨어 자체 가격, 하드웨어를 위치 시킬 공간 마련, 전기료, 유지보수 비용(주기 점검, 먼지 제거, …) 등의 비용이 필요합니다.
잘못된 의사결정으로 과도한 성능의 서버 장비를 구입하거나, 더 비싼 장비를 새로 구입해야할 수 있습니다.
하지만 클라우드는 사용자가 필요한 만큼 사용하고 사용량에 대한 비용만 지불합니다.
개인이나 스타트업 기업에서 최소한의 비용으로 작은 규모의 서비스를 구성할 수 있게 됩니다.
2. 클라우드 유형과 서비스 종류
클라우드 환경은 사용자 접근성과 개방식에 따라 두 가지로 나눌 수 있습니다.
- 퍼블릭 클라우드(Public Cloud)
- 프라이빗 클라우드(Private Cloud)
또, 이 두가지를 혼합한 하이브리드 클라우드(Hybrid Cloud)와 서로 다른 클라우드를 사용하는 멀티 클라우드(Multi Cloud)가 있습니다.
클라우드 서비스는 제공 범위에 따라 아래와 같이 구분할 수 있습니다.
- IaaS(Infastructure as a Service)
- PaaS(Platform as a Service)
- SaaS(Software as a Service)
2.1 퍼블릭 클라우드
제약 없이 접근해서 사용할 수 있는 클라우드 환경을 의미합니다.
비용은 지불하지만, 접근하는 주체의 제약이 없는 형태입니다.
대표적인 클라우드에는 AWS, Azure, GCP, 네이버 클라우드 플랫폼 등이 있습니다.
2.2 프라이빗 클라우드
허용된 사용자만 접근가능한 클라우드 환경을 의미합니다.
백화점 VIP 라운지에 출입이 허가된 고객만 방문할 수 있는 것 처럼, 인가된 사용자가 서비스를 활용하도록 구성하여 보안수준을 높인 유형이라 볼 수 있습니다.
대표적인 국내 프라이빗 클라우드 서비스 업체로 티맥스 클라우드, 오케스트로 등이 있습니다.
2.3 하이브리드 클라우드
퍼블릭 크라우드에 프라이빗 클라우드나 온프레미스를 결합한 환경을 의미합니다.
중요하고 민감한 영역은 프라이빗 클라우드에 관리 및 저장하고, 외부에서 자주 접근하고 덜 민감한 정보는 퍼블릭 클라우드에 관리 및 저장해 보안성을 높일 수 있습니다.
2.4 멀티 클라우드
다수의 퍼블릭 클라우드 서비스를 활용해 사용하는 환경을 의미합니다.
특정 클라우드 서비스 제공자(AWS, MS, Googole, …)만 의존하는 현상(Lock-in)을 줄일 수 있고, 각 퍼블릭 클라우드에서 내세우는 강점(저가, 보안, 고속)만 골라서 시스템을 구축할 수 있습니다.
2.5 IaaS
서버의 용량을 대여해서 운영체제 위에서 사용하는 형태를 의미합니다.
클라우드 서비스 제공 업체에 필요한 용량 만큼 대여하고, 대여한 서버 위에서 인프라, 환경, 애플리케이션, 보안 등을 직접 구축해서 사용하는 방식입니다.’
커스터마이징이 PaaS, SaaS 보다 용의하지만, 초기 구축에 많은 비용이 소모될 수 있습니다.
AWS의 EC2가 IaaS의 한 종류입니다.
2.6 Paas
운영체제, 미들웨어, 런타임까지 제공하는 서비스를 사용하는 형태를 의미합니다.
<aside> 💡 미들웨어란? 운영체제와 애플리케이션 사이에서 운영체제가 제공하지 않는 기능을 제공하는 SW ex) WAS
</aside>
사용자는 애플리케이션 개발, 배포, 서비스 관리를 담당합니다.
PaaS는 IaaS와 달리 미리 구축한 상태로 제공되기 때문에, 개발자는 애플리케이션 개발과 비즈니스에만 집술할 수 있습니다.
Redheat의 OpenShift가 PaaS의 한 종류입니다.
2.7 SaaS
클라우드 제공 업체가 100% 관리하는 서비스를 사용하는 형태를 의미합니다.
IT 인프라 자원부터 업데이트, 유지 보수 등 서비스 업체가 담당합니다.
Slack, MS 365 등이 SaaS의 한 종류입니다.
3. 클라우드 서비스의 장단점과 국내외 시장 동향
클라우드 서비스는 다른 서비스와 마찬가지로 장, 단점이 있습니다.
3.1 장점
클라우드의 장점은 정량적 장점과 정성적 장점이 존재합니다.
숫자로 계산 가능한 장점이 정량적 장점입니다.
클라우드는 투자 비용 절감과 개발 환경의 시간 단축을 할 수 있습니다.
하드웨어 구매 및 유지보수 비용 등의 비용을 절감할 수 있으며 완성형 클라우드 서비스를 사용하면 서비스 구축 시간이 감소됩니다.
또, 자유롭고 빠르게 개발 환경을 구성하고 비즈니스 트렌드의 변화 속도에 맞춰 신속하게 시스템을 구축할 수 있습니다.
생산성 증대와 자원의 유연성 향상이 정성적 장점입니다.
클라우드는 인터넷 연결시 시공간의 제약을 받지 않아 생산성이 향상됩니다.
또, 필요한 만큼 자원을 탄력적으로 운영할 수 있어 자원의 유연성을 확보할 수 있습니다.
3.2 단점
대표적인 클라우드의 단점이 보안 문제와 장애 대응시 블랙박스 문제입니다.
클라우드는 물리적 자원을 SW적으로 가상화합니다.
가상화를 하는 SW에 보안 취약점이 있을 수 있으며, 장애가 전체로 확장될 수 있는 위험성이 존재합니다.
또한 클라우드 서비스 제공가자 책임지는 영역에 대한 접근이나 원인 분석이 불가능한 블랙박스 문제가 있습니다.
3.3 클라우드 서비스 시장 동향
2023년을 기준으로 글로벌 클라우드 서비스는 AWS, MS, Google이 전체의 65%를 차지하고 있습니다.
출처 : https://www.ciokorea.com/files/ciokr/2023/05/CL435.jpg
특히 퍼블릭 클라우드의 시장은 위 세 기업의 치열한 경쟁으로 인해 국내의 기업들은 프라이빗 클라우드 시장을 위주로 서비스를 제공하고 있습니다.
4. 클라우드 환경의 속성과 보안 특수성
많은 기업들이 온프레미스 환경에서 클라우드로 전환하거나, 다른 클라우드로 이전하고 있습니다.
또한, 클라우드 서비스는 기존의 온프레미스 환경과 다른 독특한 특수성이 있으며, 이는 크게 세 가지가 있습니다.
- 멀티테넌시(Multi-Tenanacy)
- 접근성(Accessibility)
- 탄력성(Elasticity)
- 책임 추적성(Accountability)
4.1 멀티테넌시
멀티테넌시를 직영하면 다수의 세입자라는 의미입니다.
다수의 세입자는 공동의 공간인 엘리베이터, 주차 공간은 직접 관리않고 주인이 대신 관리합니다.
반면에 각자의 집 내부는 가구 설치, 형광등 교체 등의 작업으로 직접 관리합니다.
클라우드 서비스 역시 이와 비슷합니다.
클라우드 서비스 제공자는 가상화 기술로 물리적인 자원을 논리적으로 분할합니다.
분리된 자원 중 클라우드 공용 영역(클라우드 관리 포털, 물리적 자원의 전원 관리, …) 등 서비스 제공자가 대신 관리합니다.
사용자는 빌린 자원에 대해 운영체제 설정 변경, SW 설치 등의 자신의 자원만 직접 관리합니다.
4.2 접근성
클라우드 서비스를 사용하기 위해서 인터넷을 통해 클라우드 자원으로 쉽게 접근할 수 있음을 의미합니다.
기존 온프레미스 환경은 경로마다 경계를 설정하고, 각 경계마다 보안 장비로 접근을 인증 및 인가합니다.
보안 장비를 설치하면 구매 및 유지비용 비용이 들게 됩니다.
하지만 클라우드 환경은 방화벽과 접근 통제 목록(ACL, Access Control List) 등을 활용하여 단순하게 보안 수준을 조절할 수 있는 유연성을 가지고 있습니다.
4.3 탄력성
클라우드 자원이 추가되기도 하고 삭제되기도 하는 속성을 의미합니다.
자원 자체의 사양이 늘어나는 스케일 업(Scale-Up), 자원 사양이 줄어드는 스케일 다운(Scale-Down), 동일한 자원이 새로 생성되는 스케일 아웃(Scale-Out), 동일한 자원 그룹 중에서 자원이 삭제되는 스케일 인(Scale-In) 작업들을 손쉽게 수행할 수 있습니다.
4.4 책임 추적성
클라우드에 접근해서 자원을 활용하는 식별된 사용자의 행위를 기록하고, 수행한 행위에 대한 책임을 부여하는 전반적인 활동입니다.
책임 추적성을 만족하기 위해서는 식별(Identification), 인증(Authentication), 인가(Authorization) 활동을 수행하고, 항상 로깅(Logging), 모니터링(Monitoring)활동을 수행하며, 자원을 사용한 이후에는 활동 이력에 대한 감사(Audit)을 수행해야 합니다.
5. 클라우드 환경의 공통 보안 서비스와 네트워크 보안 서비스
클라우드는 하드웨어가 어떤 위치에 존재하는지, 어떤 원리로 자원이 생성되는지 알 수없습니다.
하지만, 클라우드 서비스 제공자들은 비가시적인 클라우드의 속성을 클라우드 관리 포털(CMP, Cloud Management Portal)로 가시화하여 관리할 수 있습니다.
클라우드에 접속하는 사용자를 인증하는 서비스, 자원이 상요되는 흔적을 남기는 로깅 서비스 등으로 사용 기록을 저장하고, 네트워크 보안 서비스를 활용하여 필요한 서비스에 접근하는지 모니터링할 수 있습니다.
클라우드 공통 보안 서비스는 계정 관리, 로그 설정과 같이 클라우드 환경에 대한 공통된 설정을 할 수 있는 서비스를 의미합니다.
위 그림에서 좌측이 공통 보안 서비스, 우측이 네트워크 보안 서비스입니다.
5.1 사용자 인증
클라우드 환경에서 제공되는 모든 자원을 관리하기 위해서는 클라우드 관리 포털(이하 CMP)을 사용합니다.
사용자는 CMP를 통해 가상의 네트워크를 구성하고, 서버와 DB를 생성 및 변경할 수 있습니다.
즉, CMP로 모든 자원의 라이프 사이클을 관리하게 됩니다.
클라우드 서비스를 활용하는 중심에 CMP가 존재해 CMP 계정 관리 및 업무별 관한 설정이 중요합니다.
CMP에는 IAM(Identity and Access Management)라는 계정 관리 서비스가 있습니다.
IAM에서 자원에 대한 권한 설정이 가능합니다.
위 그림처럼
- 이메일과 비밀번호 인증 과정이 정상적으로 수행되면
- 개인 장비에서 토큰이 발생됩니다.
- 사용자는 토큰을 확인 및 입력하여 CMP에 로그인하게 되는데,
- 로그인 가능 대상(ID, 물리 장비)를 구분할 수 있고, 지식과 소유에 의한 인증이 결합됩니다.
따라서, 비밀번호만 알아서는 관리 화면으로 로그인할 수 없는 강력한 보안 수준을 확보할 수 있습니다.
5.2 로그 설정
CMP에서는 다양한 클라우드 자우너에 대해 로그 설정을 할 수 있습니다.
네트워크 접속 이력, 사용자 접속 이력 등 다양한 로그 설정을 통해 사용 중인 클라우드에서 ‘책임 추적성’을 확보할 수 있습니다.
5.3 다양한 네트워크 보안서비스
CMP에서 가상의 네트워크 구성 및 방화벽과 접근제어 설정을 다양하고 쉽게 구성할 수 있습니다.
위 그림과 같이 접근제어, 서브넷 분리, 반화벽 서비스 등을 통해 상호 간 침해를 줄 수 있는 격리된 환경을 구성하여 보안성을 높일 수 있습니다.
클라우드 자원 방화벽은 설정과 동시에 트래픽 제어가 시작되기 때문에
사용자는 방화벽 변경 작업을 진행할 때, 소스 IP, 목적지 IP, 포트는 사용하는 최소한의 정보만 사용하도록 설정 하도록 하고 정기적으로 확인해야 합니다.
또, 인터넷 구간 보안을 위해 TLS(Transport Layer Security) 프토콜을 활용하거나 VPN(Virtual Private Network) 서비스를 활용하여 네트워크 구간 암호화를 적용할 수 있습니다.
6. 클라우드 환경 내 컴퓨팅 자원과 애플리케이션 자원의 보안 서비스
클라우드 서비스에서 활용하는 대부분의 컴퓨팅 자원은 외부에 공개하지 않는 프라이빗 네트워크에 배치하는 것이 일반적입니다.
6.1 꽁꽁 숨겨둔 컴퓨팅 자원
인터넷 환경과 분리되고, 제한된 클라우드 자원 간 통신을 수행하여 위협을 방어하기 위함 입니다.
물론, 직접 접속이 필요할 수 있는 웹 서버, 로드 밸런서(L4, L7) 등의 자원은 퍼블릭 네트워크에 위치할 수 있습니다.
클라우드 밖에 있는 개발자는 IT 시스템 구축을 위해 클라우드 자원에 접속해 OS 환경 설정, 데이터 이관, 소프트웨어 설치, 배포 등의 작업을 수행해야 하는데 어떻게 해야 할까요?
이는 배스천 호스트(Bastion-Host)라는 중개 서버를 사용하면 됩니다.
배스천 호스트를 사용하면 자원 접근의 일원화를 할 수 있습니다.
배스천 호스트는 클라우드 서버 자원, 컨테이너 자원, 관리형 서비스(Managed Service) 자원 등에도 폭넓게 적용 가능한 수동적인 보안 구축 방법입니다.
무엇보다 배스천 호스트의 인바운드 규칙이 매우 중요합니다.
접속 가능한 IP를 제한하여 보안성을 높여야 합니다.
7. 콘텐츠 보안과 클라우드 보안운영 서비스
클라우드를 사용하는 대부분의 기업이 걱정하는 부분은 중요 데이터가 인터넷상으로 유출되거나 유싱되는 것입니다.
또, 기존의 보안과 클라우드 보안이 다른 특징을 가지고 있어 안전하게 보안정책을 적용하고 운영하기 어려움을 느낍니다.
7.1 콘텐츠 보안
클라우드 환경에서 콘텐츠 파일을 안전하게 보관하여면 데이터 암호화 적용이 필요합니다.
기존에는 서버에서 콘텐츠를 암, 복호화하거나 클라이언트가 직접 암호화 라이브러리를 사용해 암, 복호화를 했습니다.
클라우드 환경에서는 키 관리 서비스(KMS, Key Management Service)와 키를 안전하게 저장하는 키 관리 보안모듈(Cloud HSM, Hardware Security Module), 민간함 정보 유출 탐지 서비스(DLP, Data Loss Prevention) 등을 활용하여 기업의 콘텐츠와 암, 복호화된 키를 안전하게 저장하고 관리할 수 있습니다.
키 관리 서비스는 키 발급, 관리, 보안위협에 대한 방어까지 일원화된 서비스를 제공합니다.
키 관리 서비스를 사용하면 사용자는 암, 복호화 키를 별도로 보관하지 않고, 클라우드 내부에서 키를 발급바다 지속적인 데이터 암, 복호화 수행에 활용할 수 있습니다.
사용자가 데이터를 클라우드 환경에 저장하려는 경우, 키 관리 서비스에서 발급된 암호화 키를 이용해 데이터 암호화를 수행합니다.
스토리지에 저장된 암호화 데이터를 사용할 때도 키 관리 서비스에서 복호화 키를 발급받아 암호문을 평문으로 변환합니다.
즉, 키 관리 서비스는 암호화에서 사용한 키를 보관하고 암호 보안모듈과 통신하여 암호화 키를 새롭게 변경하는 등 암호화 키의 라이프사이클을 관리합니다.
키 관리 서비스가 여러 클라우드 사용자들의 암호화 키를 사용하는 멀티테넌시 형태의 서비스인 반면,
키 관리 보안 모듈은 클라우드 사용자가 자신의 클라우드 가상 네트워크에서 키 관리 보안 모듈을 구성하여 독점적으로 제어하는 서비스입니다.
또한, 키관리 보안 모듈은 공격자가 암호화 키를 유출 시도할 때 이를 감지하여 저장되어 있는 암호키를 삭제하는 기능이 있습니다.
민감한 정보유출 탐지 서비스란 클라우드 사용자가 누락한 개인정보나 민감한 데이터를 자동으로 분석하여 마스킹 작업 등의 비식별화 처리를 하는 것입니다.
중요한 정보가 승인 없이 외부로 전송된 경우 메시지를 별도 분류하여 격리할 수 있고, 발송 지연 또는 차단하는 정책을 설정할 수 있습니다.
7.2 클라우드 보안운영 서비스
보안운영 서비스 제공자를 MSSP(Mangement Security Service Provider)라고 합니다.
MSSP는 보안운영, 모니터링, 문제점 해결 등 효율적인 보안관리를 수행하는 아웃소싱 서비스로, 클라우드 이전부터 전통적인 네트워크 보안영역에 대한 서비스를 제공했고 점차 발전되고 있는 서비스입니다.
멀티 클라우드나 하이브리드 클라우드를 사용하면 각각의 클라우드 서비스 제공자별로 일관된 보안 정책을 적요하기 어렵고, SaaS와 같이 클라우드 서비스만 사용하는 경우도 보안 모니터링이나 보안기능 제약이 발생합니다.
이때 클라우드 보안운영 서비스를 활용하면 기업의 클라우드에 대한 가시성과 자동화 등의 전문성을 확보할 수 있습니다.
클라우드 보안운영 서비스에서 제공하는 업무는 크게 기본업무, 보안 수준 관리, 보안 수준 고도화로 구분할 수 있습니다.
전반적인 보안운영 서비스 외에 최근에는 보안기능을 서비스 형태로 활용하는 클라우드 보안 서비스(SECaaS)와 클라우드 접근 보안 중계(CASB)가 활용되고 있습니다.
특히 멀티 클라우드를 사용할 경우 클라우드별로 제공되는 서비스 범위와 정책이 다르기 때문에 일관된 보안정책을 적용하거나 필요한 보안기능 추가를 위해 활용되고 있습니다.
클라우드 보안 서비스는 클라우드 서비스에서 제공하지 않는 추가적인 보안 기능을 서비스 형태로 제공합니다. 따라서 사용한 만큼 비용을 지불하며 필요에 다라 온디멘드 형태를 적용해 보안 수준은 극대화하고 비용은 절감할 수 있습니다.
클라우드 접근 보안 중계는 사용자와 클라우드 서비스 제공자 사이에 위치하면서 클라우드 환경으로 암호화 등의 보안 기능을 제공하는 허브라고 볼 수 있습니다. 일관된 보안 정책을 통합, 관리할 수 있다는 장점이 있습니다.
