Mark 27, 2018 4 min to read

[Cloud]10. 클라우드 보안 위협과 보안 기술

[1. Cloud Security Issues]

What is Cloud to a User?

• 나에 대한 데이터가 저장됨(메디컬 정보, 주소, 은행 정보 등)
• Forrester’s Frank Gillett는 personal cloud는 영구적이고 유동적인 리소스라 정의함
  • 개인에게 인터넷 기반의 디지털 서비스가 제공되고, 정보/문서/미디어/커뮤니케이션 도구를 제공해줌
  • 정보가 on-demand로 어느 장비나 서비스로 전달될 수 있음
  • 모든 장비나 서비스로 통합된 개인의 정보가 조직됨
• personal cloud의 목표는 개인의 리소스를 어느 장비를 통해서든 접근을 가능하게 해줌
• 본인이 소유하고 있지 않은 모든 컴퓨팅 리소스를 사용해서 어디서든 본인의 리소스에 접근할 수 있게 해줌

Cloud 요소

• 클라우드는 언제든지 자기가 좋아하는 어플리케이션이 수행될 수 있도록 지원해줘야함
• 언제든지 제약없이 클라우드에 있는 본인의 모든 리소스를 사용할 수 있어야 함
• 테스트 lab에서 증명과 테스트를 위해 접근할 수 있어야 함

The framework of cloud

• 사용자는 다양한 단말(PDA, laptop, cell-phone)을 통해서 접근한다(encryption/decryption)
• 사용자의 요청은 클라우드의 back-end 서버로 보내진다(Authentication(사용자인증, 단말인증, 서버인증 등))
• 요청을 기준으로 서버는 유저에 맞는 VM image를 찾아서 부팅한다(encryption/decryption)
• Customized Service가 사용자에게 보내진다(Authentication)

Security Implications(보안 영향)

• Sloan.k(2009)는 클라우드의 가장 큰 어려움은 보안이라고 말함
• 또한 보안 요소들이 보안 Layer에 추가되어야 하고, 서비스로서(SaaS) 제공되어야 한다고 함
• 정보의 CIA(Confidentiality, Integrity, Availability)를 확인하기 위해, 서비스 제공자는 암호화된 스키마, 접근 제한, 스케쥴된 데이터 백업 등을 제공해야 한다
• 기본 보안 요소가 확인되어도 보안 요구사항은 domain이나 비즈니스 needs에 따라 모두 다르게 나올 것이다

Cloud Computing 보안에 어떤 어려움이 있는가

• 기업들이나 마켓에 있는 유효한 클라우드는 각각 다른 기능을 위해 다른 클라우드를 사용하며 클라우드 서비스에 종류에 따라 각각 다른 보안 접근이 필요함
• 기업 간 클라우드의 보안 규칙이 상이할 수 있음
• 이런 내용을 고려해서 클라우드 연동을 하는 것이 어려움

보안 요소

• Encryption : 개인의 privacy 보장을 위해서 반드시 필요. decryption을 위한 key가 필요함
• Intrusion Detection/Prevention Systems((침입 탐지/방어 시스템))
• Antivirus
• Firewall

Security Threat(보안 위협)

• 클라우드 서비스와 소비자 사이에 comm.이 발생할 경우 주로 SSL을 이용하여 보안이 적용된다. 하지만 해당 기술이 너무 알려져 있기 때문에 종종 공격자에 의해 깨어진다
• SaaS 모델에서는 개발자들은 침입자들이 클라이언트에 full access 하고 있다는 것을 가정하고 개발해야 한다. 때문에 클라이언트가 단말에 요청을 하게 되면 실행을 하기 전에 verification 매카니즘이 반드시 필요하다
• 클라우드 컴퓨팅을 이용하는 기관들은 클라우드 제공자들이 백업을 해줄지라도 자신들의 데이터를 백업해야 한다

Top Threats to Cloud Computing

• Abuse and Nefaious Use of Cloud Computing(클라우드 리소스 오남용) : IaaS, PaaS
• InSecure Interfaces and APIs : IaaS, PaaS, SaaS
• Malicious Insiders(악의적인 내부자) : IaaS, PaaS, SaaS
• Shared Technology Issues : IaaS
• Data Loss or Leakage : IaaS, PaaS, SaaS
• Account or Service Hijacking : IaaS, PaaS, SaaS
• Unknown Risk Profile : IaaS, PaaS, SaaS

Operating in the Cloud - Application Security

• Cloud 환경이 유연하고 개방되어있고 공공이 이용가능하지만 이런 점이 보안 위협을 만들게 된다
• Cloud 컴퓨팅이 SaaS, PaaS, IaaS간에 보안 공격이 있을 수 있다.
• cloud 내 어플리케이션이 보안적 요소에 의해서 영향을 주거나 받을 수 있음
  • 어플리케이션 보안 구조
  • 소프트웨어 개발 주기
  • compliance
  • tools and service
  • vulnerabilites(취약성)

Operating in the Cloud - Encryption and Key Management

• 클라우드 소비자와 제공자는 데이터 유실이나 도난으로부터 보호할 필요가 있다
• 암호화는 매우 필요하다. 어떤 경우는 이것을 법으로 규정하고 있다
• 클라우드 소비자는 제공자가 그들의 데이터를 암호화하여 물리적으로 어디에 존재하는지 상관없이 데이터를 보호해주길 원한다
• 암호화와 key 관리는 데이터 보호에서 매우 중요한 매커니즘이다
• 암호화는 자원을 방어하기도 하고 key 관리는 보호되는 리소스에 접근을 할 수 있게 한다

Operating in the Cloud - Identity and Access Management

• 기업의 어플리케이션을 위한 Identity 관리와 접근 제어가 IT가 직면한 가장 큰 어려움이다
• 성공적이고 필수적인 클라우드 내 identity 관리를 위해 IAM functions가 필수적이다
  • identity provisioning/deprovisioning
  • Authentication
  • Federation
  • Authorization & user profile management and access management strategy

[2. Access Control for Data in Cloud]

개요

• 멀티 클라우드에서 single하고 portable 한 access point를 제공하는데 이때 access control이 가장 중요한 보안이 된다
  • 손쉽게 identify와 접근 제어를 웹 어플리케이션과 서비스에게 제공
• 클라우드에서는 access control이 다양한 서버에 일어난다
• 클라우드 서비스에서는 접근제어를 할 때 여러가지 고려해야 함
  • 접근제어 모델의 적정성을 잘 판단해야 한다. 정책과 유저 profile이 잘 관리되어야 한다
  • 데이터에 대한 보안 정책
  • 정책이나 사용자 정보의 format
  • 정책 Administration Point(PAP)에서 정책 Decision point(PDP)로 전송되는 메커니즘을 결정해야 함
• 클라우드 서비스의 접근제어 서비스를 선택할 때 여러가지를 고려해야 함
  • 정책 Information Point(PIP)에서 정책 Decision Point(PDP)로 사용자 정보가 전송되는 메커니즘을 결정해야 함
  • 정책 결정(policy decision) 포인트(PDP)에 정책 결정 요청
  • 정책 결정을 policy enforcement point(PEP)에서 실행
  • 로깅

Use Access Control to

• 유저, 그룹, 디렉토리
• 어플리케이션 내 유저와 그룹의 access level 관리
• 서비스 버스 연결 사이에 동일 수준의 보안과 관리가 적용되어야 함

Access control 이점

• 규칙에 의한 연합된 identity와 access control에 의해 어플리케이션에서 사용자 계정이 로컬에서 관리되는 것처럼 응답될 수 있다
• 다중 자격증명 및 신뢰 parties를 제공하는 유연한 표준 기반 서비스

Access Control 기능

• 간단한 웹 인터페이스 또는 프로그래밍방식의 api를 통한 발급자 신뢰 설정
• Active Directory 와 다른 identity 인프라 제공
• 여러 신용정보 지원
• REST를 포함한 standard protocol 지원
• 기관 내부나 와부에서 수행되는 어플리케이션은 서비스 신뢰 가능
• 데이터 및 연결 서비스에서 응용프로그램 및 사용자 요청의 유효성 검사

[3. Access Control Background for Data in Cloud]

Backgrounds

• Azure Access Control Services(ACS)
  • cloud에서 toekn을 발급하면, 유저가 token으로 인증하고 서비스를 사용할 수 있다

Role-Based Access Control

• 어떤 시스템에 접근할 때 그룹을 나눠서 역할을 부여함
• 유저와 역할, 역할과 권한간의 다 대 다 매핑이 가능함

Access Control Model for Personal Cloud

*출처 :

• 클라우드 컴퓨팅 핵심기술 요소의 이해 사내교육 참고