기업이 다양한 클라우드 환경에서 최적화된 사이버 보안을 구현할 수 있도록
△협업 기반 거버넌스 및 문화 조성
△위험 기반의 가시성 확보
△강력한 접근 관리 적용
△적합한 툴 활용
△보안 프로세스 자동화
△선제적 시뮬레이션 활용 등 6가지 요소를 제안
클라우드는 비즈니스 효율성 및 혁신 측면에서 무궁무진한 가능성을 갖고 있지만, 다른 한편으로는 광활하고 분산된 환경이기 때문에 기업에서 관리하고 보호하기가 쉽지 않다
“기업은 클라우드를 통해 속도, 확장성, 민첩성의 삼박자를 모두 갖춘 보안을 실현할 수 있다. 이를 위해서는 새로운 기술에 최적화된 새로운 보안 접근 전략을 수립해야 한다. 클라우드 보안 관련 기술 및 정책 등을 제대로 이해하고, 클라우드를 노리는 외부 보안위협을 파악하는 것으로부터 시작해야 한다.
https://www.boannews.com/media/view.asp?idx=88948&kind=0
2019년 클라우드 보안사고의 45%는 ‘클라우드 기반 앱’에서 일어났다
기업이 사전에 충분한 보안에 대한 준비 없이 클라우드를 도입할 경우 클라우드 보안의 책임소재가 불분명해지고 위험 대응이 어려워질 수 있다는 연구결과가 나왔다. IBM 엑스포스(X-Force) 보안
www.boannews.com
* 클라우드 컴퓨팅 보안을 위한 7가지 선택기준 (가트너)
→ 기업적용 전략/방안 등에 활용
1. 접근권한이 있는 관리자를 철저히 감시하고 있는가
→ 클라우드 업체의 데이터 관리자를 신뢰할 수 있는지 파악
2. ‘법적책임을 준수’하는지 여부
→ 보안사고에 대비해 외부 감사 및 보안 인증 등 법적책임 준수
3. 데이터의 물리적 위치 [정보소유권]
→ 데이터를 물리적으로 어느 국가에 저장하고 있는지, 해당 국가의 규제에 충분히 대비하고 있는지 파악 (문제 발생시 법적인 보호 필수)
4. 철저한 ‘데이터 관리 여부의 파악’
→ 고객사 데이터를 안전하게 분리해 관리하는지, 암호화 등의 조치 여부
5. 데이터 복원 가능성
→ 데이터 유실을 대비해 백업을 비롯한 다양한 복원 체계
6. ‘불법 행위 등에 대한 조사’ 지원 여부
→ 클라우드 컴퓨팅 업체의 부적절하거나 불법적인 행위를 고객사가 조사할 수 있도록 로그 등을 적절히 관리하고, 계약내용에 반영여부 파악
7. 기업의 지속성
→ 기업이 파산할 지라도 데이터를 안전하게 보호할 수 있는지
<보안기술>
접근제어, 네트워크보안, 분산환경, 가상화 보안, SaaS 에스크로
퍼블릭, 프라이비트로 접근
* 서비스 가격 정책
책임 공유제
계정 및 권한 관리(IAM)
사업자가 책임의 범위에 선을 그었다고 하더라도, 자신이 제공하는 서비스를 보안 전문성이 떨어지는 이용기업이 안전하게 이용할 수 있도록 보안서비스에 대한 교육, 이해하기 쉬운 온라인 매뉴얼, 헬프 데스크, 안전한 기본 보안 설정(default setting) 등을 제공하고, 무료 제공 서비스를 확대하는 등 더 노력을 기울여야 할 것으로 보인다.
스타트업이나 중소기업은 정부·공공이 제공하는 보안서비스를 활용할 수 있다.
1) 먼저 한국인터넷진흥원(KISA)에서 제공하는 중소기업을 위한 보안서비스가 있다.
KISA에서는 웹 취약점 점검(원격 자동점검), 웹 방화벽(캐슬), DDoS 사이버대피소, webshell 차단 서비스(휘슬)를 중소기업에 무료로 제공한다.
2) 중소벤처기업부에서는 중소기업의 기술보호를 위한 기술지킴서비스(안티바이러스, 내부정보유출방지, 보안관제 서비스)를 무료로 제공한다. 안티바이러스와 내부정보유출방지는 해당 보안소프트웨어를 제공해 주므로, 사무실 IT 보안에 손쉽게 활용할 수 있다.
3) 좀더 나아가면 KISA에서 제공하는 SaaS 보안인증에 도전해 보는 것도 좋다. 표준 등급과 간편 등급이 있는데, 특히 간편 등급은 SaaS 스타트업을 위해 만들었기 때문에 SaaS 개발사에 상당한 도움이 된다.
http://www.ciokorea.com/news/154769
강은성의 보안 아키텍트 | 클라우드 서비스(SaaS) 개발사가 알아야 할 보안
최근 몇 년간 스타트업이 활성화되는 것에 정부와 투자기관의 자금 지원이 큰 역할을 하고 있지만, 공유 오피스와 다양한 서비스형 소프트웨어(Saa
www.ciokorea.com
https://byline.network/2024/02/240220_003/
“다양한 솔루션을 한 곳에”…클라우드 보안에 힘주는 파이오링크 - 바이라인네트워크
파이오링크가 ‘클라우드’와 ‘보안’을 양대 축으로 삼아 사업 확장에 나선다. 클라우드 환경 적용이 확산하는 상황에서 통합 보안 플랫폼을 통해 맞춤형 인프라를 제공하기로 했다. 다양한
byline.network
https://www.bespinglobal.com/cloud-security-keywords-part-1/
클라우드 보안, 9개 키워드로 완벽 정복– Part 1
기업의 IT 보안 담당자들이 반드시 알아야 할 가이드입니다. 최신 클라우드 보안 개념부터 현재 가장 트렌디한 클라우드 보안 전략까지 다루고 있습니다. 클라우드 보안 아키텍처를 고민중이라
www.bespinglobal.com
https://www.bespinglobal.com/cloud-security-keywords-part-2/
클라우드 보안, 9개 키워드로 완벽 정복– Part 2
기업의 IT 보안 담당자들이 반드시 알아야 할 가이드입니다. 최신 클라우드 보안 개념부터 현재 가장 트렌디한 클라우드 보안 전략까지 다루고 있습니다. 클라우드 보안 아키텍처를 고민중이라
www.bespinglobal.com
'03.Security' 카테고리의 다른 글
| NW 가상화 - 오픈랜(Open RAN) - 인공지능 보안 (0) | 2024.05.02 |
|---|---|
| 클라우드 컴퓨팅 - 보안 - CASB (Cloud Access Service Broker) (1) | 2024.04.26 |
| 클라우드 컴퓨팅 - 보안 - 클라우드 보안 형상 관리 서비스(CSPM:Cloud Security Posture Management) (0) | 2024.04.26 |
| 클라우드 컴퓨팅 - 보안 - SeCaaS (Security as a Service) (0) | 2024.04.26 |
| SW 안전성 - 공급망 보안 - S-BOM 보안 가이드라인 (0) | 2024.04.22 |
