이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:


안녕하세요, CrefunX입니다.^^
무더운 여름 시원하게 잘 보내고 계신가요?

이번에는 클라우드 보안에 이야기를 해볼까 합니다.

요즘 클라우드 컴퓨팅은 IT 전문가들에게 많이 회자가 되고 있는것 같습니다.


가트너의 분석가인 밀린드 고브카에 따르면 클라우드는 가트너의 핵심 기술 투자에 대한 연례 CIO 설문 조사에서
16위에서 2위로 수직상승 했다고 합니다.

그 만큼 Green IT와 더블어 관심이 높아지고 있으며 그에 따른 다양한 기술들이 속속 선보이고 있습니다.  

클라우드 컴퓨팅 서비스 유형을 보면 아래와 같습니다.
                구분                         정의               사용예
                IaaS
   (Interface As A Service)
- 서버 또는 스토리지를 사용자에게 서비스 형태로
   제공

- 자체 인프라에 투자하기 어려운 기업들이 주 고객
  이지만 최근 대기업들도 백업 등의 목적으로 이 
  서비스를 이용하는 경우가 늘고 있음
           Amazon의 AWS
      (Amazon Web Service)
               PasS
   (Platform As A Service)
- 사용자가 쉽게 서비스를 만들수있도록 필요한 
  기본기능을 제공하는 플램폼을 서비스 형태로 제공

- 사용자가 제공받은 플랫폼을 통해 웹에서 프로그
   램을 만들고 이를 웹을 통해 서비스가 가능
        Google의 AppEngine
               SaaS
  (Software As A Service)
- 어플리케이션 또는 소프트웨어를 시비스 형태로 
   제공

- 웹을 통해 어플리케이션이나 소프트웨어를 사용하
  는 방식으로 사용자는 라이선스 구매 및 설치 과정
  이 필요없이 사용하고자 하는 어플리케이션을 요청
  을 하고 바로 사용 가능
           Salesfoerce.com

클라우드 컴퓨팅과 타 컴퓨팅과의 비교표를 보면 아래와 같습니다.
      구분                         유사점                       차이점
      그리드      분산된 IT 리소스들을 통합하여 서비스 제공 그리드는 인터넷을 통해 유휴의 컴퓨팅 자원을 활용하지만, 클라우드는 서비스 사업자의 서버 네트워크를 사용
    유틸리티                     사용한 만큼 과금처리                                 -
    서버기반              IT자원을 아우소싱 형태로 제공 클라우드에서 사용자는 서비스를 제공받을 뿐
서비스에 대한 정보나 권한이 없음
    네트워크               서버의 어플리케이션을 이용 네트워크는 클라이언트의 컴퓨터 자원을 사용
하고 클라우드는 서버의 컴퓨팅 자원을 사용


새로운 기술의 도입은 새로운 위협요소가 도출되며 거기에 따른 보안기술도 같이 성장하고 있습니다.
이에 클라우드 보안 기술에 대해서 아래와 같이 정리해 보았습니다.

CSA(Cloud Security Alliance) 협회에서 이야기하는 보안기술
       구분                   보안관련 도메인                   위협해결기술
     거버넌스
 (Governance)
- 거버넌스와 ERM
- 합법적이고 전자적인 탐색(Discovery)
- 컴플라이언스와 감사
- 정보 라이프사이클 관리
  (ILM: Information Lifecycle Management)
- 이식성(Portability)과 상호운영성 
1. XML, SOA 그리고 애플리케이션 보안

2. 전송 중이거나 머물러 있는 데이터에 대한
    암호화 도구

3. 스마트 키 관리

4. 로그(Log) 관리

5. ID와 액세스 관리; 가상 방화벽과 다른 가상화
   관리 도구

6. 데이터 손실 방지
        운영    
  (Operations)
- 기존의 보안, 비즈니스 연속성 그리고 재해 복구
- 데이터센터 운영
- 침해 대응, 통보 그리고 교정
- 애플리케이션 보안
- 암호화와 키(Key) 관리
- ID와 액세스 관리
- 가상화 

클라우드 컴퓨팅에서 요소별 보안 기술
     구분                                              보안기술
플랫폼 - 접급제어 : DAC, MAC, RBAC
- 사용자인증 : ID/PW, PIK, Multi-factor, SAML(Security Assertion Markup Language), i-PIN
스토리지 - 검생가능 암호시스템 :
  기존의 암호 기술과 같이 기밀성을 보장하면서 특정 키워드를 포함하는 정보를 검색할 있도록
  고안된 기술
- PPDM(Privacy Preserving Data Mining) :  
  
데이터 소유자의 프라이버시를 침해하지 않으면서 유용한 정보를 추출해 내는 기술
네트워크 - SSL, Ipsec, Application Firewall, Anti-DDOS
단말 - TPM(Trusted Platform Module), CrptoCell, SafeXcel IP, Virualization Security,
   Renewalbe Security

클라우드 컴퓨팅 보안을 위한 요소 기술
                   구분                                          내용
      기밀성과 데이터 암호화 - 기밀성 보호를 위해 기본적인 암호화 기술이 제공되어야 하며 클라우드 컴퓨팅
   에서는 대용량 데이터의 암호화시 가용성이 떨어질수 있는 점을 고려하여
   적절한 암호화 알고리즘을 사용
- DES나 AES와 같은 블록 암호대용으로 스트림 암호화한 방식을 고려
- 키 저장 서버의 사고시 다수 사용자의 데이터가 접근 불가능해지므로 키 관리 
   방안에 대한 대책도 필요
      사용자 인증과 전급제어 - 여러 사용자의 데이터가 혼재되어 있는 클라우드 환경에서는사용자 인증과 권한
   관리가 필요
- Single-Sign On (SSO), 개방형 인증 기술인 OpenID, OASIS의 Security
  Assertion Markup Language(SAML)은 사용 권한을 제어하기 위한 프레임워크
- AWS(Amazon Web Services)의 전자서명에서 취약점이 발견된 사례가 있어 
  인증 프로토콜에 대한 다양한 케이스별 검증이 중요
           데이터의 무결성 - 2008년 7월 AWS S3 서비스 다운 사례는 서버간에 교환되는 메시지에 대한 
  무결성 검사 루틴이 없어 발생함
- 클라우드 컴퓨팅에서는 저장되는 데이터와 교환되는 메시에 대한 오류검사가
   필요
- 최근에 무결성 확인을 위해 많이 사용되는 MD5와 SHA의 취약점 발견. 
   미국 NIST에서 새로운 해쉬 알고리즘 SHA3의 공모 및 개발이 진행되고 있음
           가용성 및 복구 - 서비스 중단이나 데이터손실을 막기 위해서 고장 감내성 및 데이터 복구 기법이 
   필요
- 클라우드 서비스 중단 및 데이터의 연구적 손실이 발생한 사례들은 이러한 
   메커니즘들이 제대로 동작하지 않을때 생길수 있는 문제들이 보여준 예
   원격 확인 및 가상 머신 보호 - 코드가 원격으로 실행되는 경구가 많으므로 원격 확인, 특히 소프트웨에 대한 
   이진분석이 매우 중요한 이슈
- 가상 머신 상에서 프로그램의 실행 영역 및 메모리 보호를 위해 sandboxing 등
   관련 기술이 활발히 연구중
    네트워크 보안 및 웹보안 - IDS, IPS, 방화벽, Ipsec 및 VPN 등 기존의 네트워크 보안기술을 어떻게 효율적
   으로 적용할 것인가라는 문제에 고료함
- 특히 클라우드 컴퓨팅은 주로 웹 기반 인터페이스를 이요하므로 S니/TLS 기반의
   https에 대한 활용 방안도 연구 되어야 함
    공격 모델 및 시뮬레이션 - 클라우드 컴퓨팅에서는 사용자의 요청에 의한자원을 할당하는 서비스방식이므로
  서비스 거부 공격은 전형적인 공격모델
- 이에 클라우드 환경을 가정한 공격 모델의 정립과 공격 시뮬레이션 기술로
  안전한 클라우드 환경제공을 위해 필요
  보안 정책 관리 및 비용 분석 - 암호화 등 보안 기능 적용으로 상당량의 컴퓨터 자원 및 에너지를 소모하므로 
   이에 대한 비용과 보안 사고시 예상되는 피해 규모등을 종합적으로 평가하여
   자원 및 인력을 적절히 배분하는 것이 중요하다.

클라우드 컴퓨팅 이용자를 위한 보안 가이드라인
               구분                                          내용
       접근 권한에 관한 정보 실제 데이터를 다루는 인력 및 이들에 대한 관리 정보를 서비스 제공자에게 요청
하여 얻을 수 있어야 함
             규정의 준수 클라우드 사용자에 대한 외부 감사나 보안 기능에 대한 인증이 보장되어야 함
           데이터의 위치 서비스 제공자로 하여금 데이터가 저장되고 처리되는 지역이 어디라는 점과 그
해당 지역에 의무화하고 있는 프라이버시 규정을 준부한다는 점을 확인 받을수
있어야 함
           데이터의 분리 기본적으로 암호화가 이용되어야 하며 이러한 암호 기술은 전문가들에 의해  설계되고 충분히 검증 되어야 함
                  복구 서비스 제공자는 문제 상황시 데이터가 완전히 복구 가능한지, 또한 복구에 시간이 얼마나 소요될 것인지를 보장할 수 있어야 함
           불법행위 조사 서비스 제공자는 불법행위에 대한 조사나 책임 소재 규명을 위한 조사기능을 보장해야 함
        장기 생존 가능성 서비스 제공자가 페업하거나 인수, 합병되는 경웨는 기존 사용자 데이터의 가용성이 보장되어야 하며, 특히 이러한 데이터는 다른 업체가 제공하는 서비스로 쉽게
포팅이 가능한 형태로 유지되어야 함

현재 클라우드 컴퓨팅은 해외 대기업들이 소비자 시장과 구매시장을 중심으로 사업을 확장하고 있으며
국내에서는 포탈서비스와 글로벌 기업들이 해외의 검증된 솔루션을 기반으로 국내에서 다양한 시도를 하고 있습니다. 

새로운 환경에서의 보안취약점을 더욱더 많이 생겨날 것으로 예상이 되며
이에 클라우드 컴퓨팅의 표준 정립과 그에 따른 복합적인 보안기술에 대한 연구가 계속 되어야 겠습니다.  


[출처 및 참고자료]
1. IDG Korea "클라우드 보안의 기초 : 계층별 보안 방안" / Mary Brandel
    http://www.idg.co.kr/newscenter/common/newCommonView.do?newsId=61995

2. 클라우드 컴퓨팅 보안 기술(학술논문 | 임철수 | 한국정보보호학회)

3. 클라우드 컴퓨팅 보안기술 동향 (학술발표자료 | 황문영 외 3명 | 한국정보처리학회)

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 알 수 없는 사용자
,