클라우드 보안

기업이 다양한 클라우드 환경에서 최적화된 사이버 보안을 구현할 수 있도록

△협업 기반 거버넌스 및 문화 조성

△위험 기반의 가시성 확보

△강력한 접근 관리 적용

△적합한 툴 활용

△보안 프로세스 자동화

△선제적 시뮬레이션 활용 등 6가지 요소를 제안

 

클라우드는 비즈니스 효율성 및 혁신 측면에서 무궁무진한 가능성을 갖고 있지만, 다른 한편으로는 광활하고 분산된 환경이기 때문에 기업에서 관리하고 보호하기가 쉽지 않다

 

“기업은 클라우드를 통해 속도, 확장성, 민첩성의 삼박자를 모두 갖춘 보안을 실현할 수 있다. 이를 위해서는 새로운 기술에 최적화된 새로운 보안 접근 전략을 수립해야 한다. 클라우드 보안 관련 기술 및 정책 등을 제대로 이해하고, 클라우드를 노리는 외부 보안위협을 파악하는 것으로부터 시작해야 한다.

 

https://www.boannews.com/media/view.asp?idx=88948&kind=0

2019년 클라우드 보안사고의 45%는 ‘클라우드 기반 앱’에서 일어났다

 

 

 

* 클라우드 컴퓨팅 보안을 위한 7가지 선택기준 (가트너)
→ 기업적용 전략/방안 등에 활용

1. 접근권한이 있는 관리자를 철저히 감시하고 있는가
→ 클라우드 업체의 데이터 관리자를 신뢰할 수 있는지 파악
2. ‘법적책임을 준수’하는지 여부
→ 보안사고에 대비해 외부 감사 및 보안 인증 등 법적책임 준수
3. 데이터의 물리적 위치  [정보소유권]
→ 데이터를 물리적으로 어느 국가에 저장하고 있는지, 해당 국가의 규제에 충분히 대비하고 있는지 파악 (문제 발생시 법적인 보호 필수)
4. 철저한 ‘데이터 관리 여부의 파악’
→ 고객사 데이터를 안전하게 분리해 관리하는지, 암호화 등의 조치 여부
5. 데이터 복원 가능성
→ 데이터 유실을 대비해 백업을 비롯한 다양한 복원 체계
6. ‘불법 행위 등에 대한 조사’ 지원 여부
→ 클라우드 컴퓨팅 업체의 부적절하거나 불법적인 행위를 고객사가 조사할 수 있도록 로그 등을 적절히 관리하고, 계약내용에 반영여부 파악
7. 기업의 지속성
→ 기업이 파산할 지라도 데이터를 안전하게 보호할 수 있는지

 

<보안기술>
접근제어, 네트워크보안, 분산환경, 가상화 보안, SaaS 에스크로
퍼블릭, 프라이비트로 접근

* 서비스 가격 정책

 

 

 

책임 공유제

계정 및 권한 관리(IAM)

 

사업자가 책임의 범위에 선을 그었다고 하더라도, 자신이 제공하는 서비스를 보안 전문성이 떨어지는 이용기업이 안전하게 이용할 수 있도록 보안서비스에 대한 교육, 이해하기 쉬운 온라인 매뉴얼, 헬프 데스크, 안전한 기본 보안 설정(default setting) 등을 제공하고, 무료 제공 서비스를 확대하는 등 더 노력을 기울여야 할 것으로 보인다.

 

스타트업이나 중소기업은 정부·공공이 제공하는 보안서비스를 활용할 수 있다.

1) 먼저 한국인터넷진흥원(KISA)에서 제공하는 중소기업을 위한 보안서비스가 있다.

KISA에서는 웹 취약점 점검(원격 자동점검), 웹 방화벽(캐슬), DDoS 사이버대피소, webshell 차단 서비스(휘슬)를 중소기업에 무료로 제공한다.

 

2) 중소벤처기업부에서는 중소기업의 기술보호를 위한 기술지킴서비스(안티바이러스, 내부정보유출방지, 보안관제 서비스)를 무료로 제공한다. 안티바이러스와 내부정보유출방지는 해당 보안소프트웨어를 제공해 주므로, 사무실 IT 보안에 손쉽게 활용할 수 있다.

 

3) 좀더 나아가면 KISA에서 제공하는 SaaS 보안인증에 도전해 보는 것도 좋다. 표준 등급과 간편 등급이 있는데, 특히 간편 등급은 SaaS 스타트업을 위해 만들었기 때문에 SaaS 개발사에 상당한 도움이 된다.

 

http://www.ciokorea.com/news/154769

강은성의 보안 아키텍트 | 클라우드 서비스(SaaS) 개발사가 알아야 할 보안