Tech story/Security

KT Cloud는 어떻게 보호되는가? #4

Cloud보안 2021. 1. 25. 15:12

지난 글에서, 클라우드 사용자의 네트워크는 클라우드 제공자의 네트워크와 분리된다고 하였습니다. 그렇다면 클라우드 제공자가 보호하려는 것은 무엇일까요?

 

 

클라우드의 핵심요소, 가상화

클라우드에서는 하나의 컴퓨터를 여러명이 쓰거나, 여러 대의 컴퓨터를 한 명이 쓸 수 있습니다. 이렇게 물리적인 환경을 논리적인 환경으로 바꾸는 기술을 가상화라고 합니다. 가상화 소프트웨어는 실제 물리적 머신과 각 고객별 가상 머신 사이에 존재하며, 모든 사용자에 영향을 미치는데요. 바꿔말하면 가상화 소프트웨어의 취약점에 의해 여러 고객별 가상 환경이 피해를 입을 수 있다는 의미입니다. 이러한 특성 때문에 가상화 시스템은 클라우드에서 지켜야 할 가장 중요한 요소로 간주됩니다.

가상화는 전통적인 기업 IT환경에는 존재하지 않았던 기술이기에, 가상화 문제는 클라우드 고유의 보안 위협이 됩니다. 클라우드 제공자들은 가상 환경, 더 넓게는 자원을 공유하며 생기는 문제를 막아 기존의 IT환경과 동일한 수준의 보안을 제공하고자 합니다.

 

 

접근 통제와 Zero-trust

가상 머신을 관리하는 하이퍼바이저의 접근은 매우 제한적 입니다. 우선, 일반적인 사용자가 접속할 수 없도록 인터넷과 분리된 망을 사용하죠. 다음으로, 각각의 하이퍼바이저는 관리 시스템으로만 통제가 됩니다. 하이퍼바이저는 특수 권한을 가지며, 지정된 작업만 수행할 수 있도록 설계됩니다. 또한, 관리 시스템에는 접근제어시스템을 통해 지정된 운영자만 접근할 수 있습니다. 마지막으로, 각 운영자는 인터넷과 분리된 망에서만 접근제어시스템에 접속할 수 있습니다.

 

이러한 설계는 각 작업 내용에 맞도록 권한을 분리하고, 최소한 권한만을 허용하는 보안의 기본 원칙에 따라 구성된 것입니다. 내부자에 의해 데이터가 유출되거나, 특정 공격에 의한 피해 확산 방지를 목표로 하죠. 특히, 최근에는 Zero-trust의 개념이 대두되는데, 클라우드 제공자의 권한조차 없애 권한 탈취에 의한 해킹과 내부 유출을 원천 차단하게 됩니다.

 

 

외부 공격으로부터의 보호

통제에 의한 방어가 뚫렸을 경우는 어떻게 될까요? 하이퍼바이저와 달리 인터넷 통신이 필요한 시스템도 있기 때문에 통신을 차단하는 것만으로는 보안이 완성되지 않죠. KT Cloud에서 운영 중인 모든 시스템은 인프라의 설정상 취약점을 진단하고, SW의 취약점들을 테스트한 뒤에 배포가 됩니다. 이러한 테스트에는 알려진 취약점에 대한 개선과 더불어, 동적으로 실행하며 실시하는 테스트도 포함됩니다. 소프트웨어 레벨의 취약점 보완은 통신이 가능하더라도 안전한 체계를 유지하는 데 가장 큰 역할을 하죠. 

 

물론, 인터넷과 통신이 가능할 경우에는 지난 글에서 밝힌 다양한 네트워크 보안 솔루션들을 거치게 됩니다. 또한, 중요시스템의 경우에는 악성코드의 탐지/차단이 가능한 체계를 갖추게 됩니다. 이러한 체계를 통해 외부의 다양한 공격을 방어하게 됩니다. 그 개념은 기존의 IT 인프라와 동일하지만, 클라우드 내부에서의 악성코드 탐지는 많은 고민이 필요한데요. 예컨대, 악성코드 탐지가 동시에 발생하며 전체시스템의 부하를 야기하거나, 가상환경이라는 차이점 때문에 에이전트 동작이 비정상적일 수 있기 때문이죠. 이러한 문제를 없애고 클라우드를 보호하는 기술이 클라우드 보안 담당자의 영업 비밀이 아닐까 합니다.

 

 

관련글