1. 애플리케이션 보안 설계 애플리케이션 보안에는 "인증/암호화/감사" 등이 포함됩니다. 특히, Cloud의 특성 상 애플리케이션이 노출되고 네트워크 억제가 어려워지므로, 애플리케이션 보안 수준이 높아져야 합니다. 리소스가 공유되기에, 사용자가 권한이 부여된 데이터에 접근할 수 있도록 통제되어야 하고, 웹-WAS-DB 등으로 분리하는 3-Tier 이상의 설계가 필요합니다. 이를 통해 데이터베이스의 노출을 최소화할 수 있습니다. 만약 전통적인 웹/WAS 서버를 구성하기 어려워 데이터에 바로 접근하는 상황이라면, 중계 서버를 구성하는 것이 좋습니다. 이는 주요 자원을 Private Network로 위치시키고, 경로를 최소화 하는 방법입니다. 중계 서버는 연결된 서비스와 터널링하여, 접속자가 클라우드 자원에 ..

1. 가상 네트워크 설계 Cloud에서는 각 고객별로 가상의 네트워크를 제공합니다. 이는 물리적으로 같은 환경 내에서, 고객별로 전용 사설 클라우드를 운영할 수 있다는 뜻이죠. 각 고객은 자신의 가상 네트워크를 다시 분리할 수 있습니다. 이를 Subnet이라 합니다. 같은 Subnet은 보안 위협이 전파 가능한 상태로 간주되므로, 네트워크를 분리하여 보안 위협 전파를 방지할 수 있습니다. KT Cloud 또한 모든 고객에 Virtual Network과 Subnet을 제공하며, Subnet은 Tier라 부릅니다. 각 Subnet은 통신을 제한할 수 있으며, 이를 위해 ACL(Access Control List)이나 방화벽(Firewall)으로 불리는 서비스를 사용하게 됩니다. 여기서는 Stateful In..

1. Cloud 접근제어 시스템의 이해 Cloud는 어디에서나 사용자가 서버에 접근을 할 수 있고 가상화를 활용해 서버의 대수가 많아지게 되며, 그 결과 '사용자와 - Cloud간'의 접근을 제어하는 시스템이 중요해집니다. 이러한 시스템을 넓은 의미의 IAM이라 합니다. IAM은 사용자와 Cloud 시스템과 각각 상호작용하게 되는데, 각각에 대해 안전한 체계를 갖추는 것이 중요합니다. 사용자를 역할에 맵핑하고 각 역할별로 권한을 제한하여, 갑작스러운 퇴사 등 인력의 변동에 빠르게 대비할 수 있습니다. 이러한 방식의 접근제어를 Role-based Access Control이라 하며, 이는 IAM을 활용해 일반적으로 권한을 제어하는 방식입니다. 2. 사용자 → Cloud 접근제어 시스템으로의 접근 사용자 접..

이전의 글에서는 Cloud를 보호하기 위한 시스템 측면의 보안을 살펴 보았습니다. 시스템 측면의 보안이 설계와 구축 관점의 취약점을 없애는 것이라면, 이용 중의 취약점을 없애는 것도 매우 중요합니다. 이러한 운영 관점의 보호를 관리적 보안이라 합니다. 조직과 인적관리 KT에서는 정보보호 업무를 총괄하는 전담 조직이 있습니다. 특히, 클라우드 사업의 경우 지속적으로 안전한 서비스를 제공하기 위해 별도의 전담 실무팀이 존재하죠. 필자가 속한 클라우드보안팀에서는 교육, 정보보호 관리, 보안 정책 개정, 사고 대응 등의 업무를 하게 됩니다. 클라우드 서비스 관련 업무를 수행하는 직원들은 연 1회이상 정보보호 교육을 수행하고, 비밀유지 서약을 하게 됩니다. 또한, 각 직원들도 직무에 따라 통제를 받게 되는데, 보..

보안은 Cloud 이용의 허들로 자주 언급되고 있습니다. (Cloud 서비스 제공자들이 강력한 보안 체계를 구축/제공하고는 있지만, 고객 입장에서는 여전히 큰 걱정거리로 인식되고 있는 것 같습니다.) Cloud 보안에 대한 오해를 풀고, 올바른 정보를 제공해 드리고자 "KT Cloud는 어떻게 보호되는가" 시리즈를 연재하고 있었습니다. 이번에는 KT Cloud를 보다 안심하고 이용하실 수 있도록, "KT Cloud 보안 가이드"에 대한 내용을 소개드리고자 합니다. 본 가이드는 KT Cloud 사용 고객이 보안적으로 권장되는 설정을 통해 KT Cloud 서비스를 이용하실 수 있도록 작성되었습니다. 고객께서 직접 선택 및 설정하실 수 있는 보안 사항들을 알기 쉽게 소개드릴 예정입니다. (KT Cloud 서비..

지난 글에서, 클라우드 사용자의 네트워크는 클라우드 제공자의 네트워크와 분리된다고 하였습니다. 그렇다면 클라우드 제공자가 보호하려는 것은 무엇일까요? 클라우드의 핵심요소, 가상화 클라우드에서는 하나의 컴퓨터를 여러명이 쓰거나, 여러 대의 컴퓨터를 한 명이 쓸 수 있습니다. 이렇게 물리적인 환경을 논리적인 환경으로 바꾸는 기술을 가상화라고 합니다. 가상화 소프트웨어는 실제 물리적 머신과 각 고객별 가상 머신 사이에 존재하며, 모든 사용자에 영향을 미치는데요. 바꿔말하면 가상화 소프트웨어의 취약점에 의해 여러 고객별 가상 환경이 피해를 입을 수 있다는 의미입니다. 이러한 특성 때문에 가상화 시스템은 클라우드에서 지켜야 할 가장 중요한 요소로 간주됩니다. 가상화는 전통적인 기업 IT환경에는 존재하지 않았던 기..

지난 글에서 클라우드의 물리보안과 인프라(하드웨어)의 보안을 설명드렸습니다. 지금부터는 본격적으로 정보보호의 영역을 말씀드리고자 합니다. 정보보호에서 가장 먼저 고려되는 요소는 네트워크입니다. 마치 전쟁에서 지도를 펼쳐놓고 전투의 흐름을 보듯, 시스템 간 네트워크 흐름을 보고 보안의 위협을 효과적으로 차단할 수 있기 때문입니다. 네트워크 경계 보안과, 경계없는 클라우드 전통적인 기업 IT 환경에서는 네트워크의 경계를 기준으로 보안 대책을 세웁니다. 인터넷(사외망)과 인트라넷(사내망)을 나누고, 사외망과 사내망을 모래시계처럼 구성하는 것이죠. 사외망과 사내망간의 모든 통신이 거쳐가는 구간을 네트워크의 경계라고 하고, 네트워크 경계에는 방화벽, IPS 등의 네트워크 보안 시스템을 구성합니다. 이러한 체계는 ..