클라우드 보안 정의
클라우드 보안에 대한 책임은 클라우드 서비스 공급자와 그 고객이 함께 집니다. 책임은 제공되는 서비스 유형에 따라 다릅니다.
퍼블릭 클라우드 환경
클라우드 서비스 공급자에 의해 실행됩니다. 이 환경에서 서버는 여러 테넌트에서 공유됩니다.
프라이빗 클라우드 환경
고객 소유의 데이터 센터에 있거나 퍼블릭 클라우드 서비스 공급자에서 실행할 수 있습니다. 두 인스턴스에서 서버는 단일 테넌트이고, 조직은 다른 회사와 공간을 공유할 필요가 없습니다.
하이브리드 클라우드 환경
온-프레미스 데이터 센터와 타사 클라우드의 결합입니다.
다중 클라우드 환경
서로 다른 클라우드 서비스 공급자가 운영하는 둘 이상의 클라우드 서비스가 포함됩니다.
조직에서 사용하는 환경 유형 또는 환경 결합 유형에 상관없이, 클라우드 보안은 라우터, 전기 시스템, 데이터, 데이터 저장소, 데이터 서버, 애플리케이션, 소프트웨어, 운영 체제, 하드웨어를 포함하여 물리적 네트워크를 보호하게 되어 있습니다.
클라우드 보안이 중요한 이유는 무엇인가요?
클라우드는 온라인 생활의 중요한 부분이 되었습니다. 클라우드는 디지털 커뮤니케이션 및 작업을 더 편리하게 만들고 조직의 빠른 혁신에 박차를 가했습니다. 그러나 친구와 사진을 공유하거나, 동료와 새 제품에 대해 협업하거나, 정부에서 온라인 서비스를 제공할 때 데이터 자체가 저장되는 위치가 분명하지 않은 경우도 있습니다. 사람들은 데이터를 덜 안전한 위치로 무심코 옮길 수 있습니다. 인터넷에서 모든 것에 액세스할 수 있게 되면서 자산에 대한 무단 액세스 위험도 커지고 있습니다.
또한 사람들과 정부에게 데이터 개인 정보 보호가 점점 더 중요해지고 있습니다. GDPR(일반 데이터 보호 규정), HIPPA(Health Insurance Portability and Accountability Act)와 같은 규정은 조직이 정보를 투명하게 수집하고 데이터가 도난당하거나 오용되는 것을 방지하는 데 도움이 되는 정책을 만들 것을 요구합니다. 이러한 규정을 준수하지 않으면 엄청난 벌금을 내고 명성에 흠집이 날 수 있습니다.
경쟁력을 유지하기 위해 조직은 데이터와 시스템을 다음 위협으로부터 보호하면서 클라우드를 계속 사용하여 빠르게 처리하고 직원과 고객이 서비스에 손쉽게 액세스할 수 있도록 해야 합니다.
- 손상된 계정: 공격자는 흔히 피싱 캠페인을 이용하여 직원의 암호를 훔치고 시스템과 소중한 회사 자산에 대한 액세스 권한을 얻습니다.
- 하드웨어 및 소프트웨어 취약성: 조직에서 퍼블릭 클라우드를 사용하든 프라이빗 클라우드를 사용하든, 하드웨어와 소프트웨어에 패치를 적용하고 최신 상태로 유지하는 것이 중요합니다.
- 내부 위협: 사람의 실수는 보안 위반의 주요 요인입니다. 잘못된 구성은 공격자에게 좋은 기회가 될 수 있으며, 직원들은 종종 잘못된 링크를 클릭하거나 데이터를 보안이 취약한 위치로 무심코 옮깁니다.
- 클라우드 리소스의 가시성 부족: 이 클라우드 위험은 보안 취약성 및 위협을 탐지하고 이에 대응하기 어렵게 만들어 위반 및 데이터 손실이 발생하도록 할 수 있습니다.
- 위험 우선 순위 지정 부족: 보안 관리자가 클라우드 리소스를 파악하면 보안 태세를 개선하기 위한 권장 사항 수가 지나치게 늘어날 수 있습니다. 따라서 위험에 우선 순위를 지정하여 관리자가 보안에 가장 큰 영향력을 미치기 위해 집중해야 할 곳을 알도록 해야 합니다.
- 고위험 클라우드 사용 권한: 클라우드 서비스 및 ID의 급증으로 인해 고위험 클라우드 사용 권한 수가 늘어났고, 이에 따라 가능한 공격 표면이 확장됩니다. PCI(권한 크리프 인덱스) 메트릭은 권한에 따라 ID가 발생시킬 수 있는 손해를 측정합니다.
- 새로운 위협 환경: 클라우드 보안 위험은 끊임없이 진화합니다. 보안 위반 및 데이터 손실로부터 보호하려면 새로운 위협이 출현함에 따라 최신 상태를 유지하는 것이 중요합니다.
- 클라우드 네이티브 개발 및 보안 간 통합 부족: 보안 및 개발 팀은 앱이 클라우드에 배포되기 전에 협력하여 코드 문제를 파악하고 해결해야 합니다.
클라우드 보안은 어떻게 작동하나요?
클라우드 보안에 대한 책임은 클라우드 서비스 공급자와 그 고객이 함께 집니다. 책임은 제공되는 서비스 유형에 따라 다릅니다.
서비스 제공 인프라
이 모델에서 클라우드 서비스 공급자는 컴퓨팅, 네트워크, 주문형 저장소 리소스를 제공합니다. 공급자는 코어 컴퓨팅 서비스 보호를 책임집니다. 고객은 애플리케이션, 데이터, 런타임, 미들웨어, 운영 체제 자체를 포함하여 운영 체제 외의 모든 것을 보호해야 합니다.
Platform as a Service
또한 많은 공급자가 클라우드에서 완벽한 개발 및 배포 환경을 제공합니다. 이들은 코어 컴퓨팅 서비스 외에도 런타임, 미들웨어, 운영 체제 보호를 책임집니다. 고객은 애플리케이션, 데이터, 사용자 액세스, 최종 사용자 디바이스, 최종 사용자 네트워크를 보호해야 합니다.
Software as a Service
또한 조직은 Microsoft Office 365 또는 Google 드라이브와 같은 종량제 모델의 소프트웨어에 액세스할 수 있습니다. 이 모델에서도 고객은 데이터, 사용자, 디바이스에 대한 보안을 제공해야 합니다.
책임의 주체가 누구이든 관계없이 클라우드 보안에는 다음과 같은 4가지 주요 측면이 있습니다.
- 액세스 제한: 클라우드는 인터넷에서 모든 것에 액세스할 수 있도록 만들기 때문에 적합한 사람만 적절한 시간 동안 적절한 도구에 액세스할 수 있도록 하는 것이 매우 중요합니다.
- 데이터 보호: 조직은 데이터가 있는 위치를 파악하고 데이터 자체와 데이터가 호스트되는 인프라를 둘 다 보호하도록 적절한 제어 기능을 마련해야 합니다.
- 데이터 복구: 위반이 발생할 경우를 대비하여 적절한 백업 솔루션 및 데이터 복구 계획을 마련해 놓는 것이 중요합니다.
- 대응 계획: 조직이 공격당한 경우 영향을 줄이고 다른 시스템이 손상되는 것을 방지하는 계획이 필요합니다.
- 보안 시프트 레프트: 보안 및 개발 팀은 클라우드 네이티브 애플리케이션이 안전하게 시작되고 안전한 상태를 유지하도록 협력하여 코드 자체에 보안을 포함합니다.
- DevOps 보안 태세의 가시성 통합: 단일 창을 통해 여러 DevOps 플랫폼에 걸쳐 DevOps 보안 태세 인사이트를 표시하여 사각지대를 최소화합니다.
- 보안 팀이 새로운 위협에 계속 집중하도록 함: 코드의 클라우드 리소스 구성을 강화하여 프로덕션 환경에 도달하는 보안 문제를 줄입니다.
클라우드 보안 도구 유형
클라우드 보안 도구는 직원과 외부 위협의 취약성을 다룹니다. 클라우드 보안 도구는 개발 중에 발생하는 오류를 완화하고 권한 없는 사람이 중요한 데이터에 대한 액세스 권한을 얻는 위험을 줄입니다.
-
클라우드 보안 태세 관리
클라우드를 잘못 구성하는 일은 자주 발생하며 이에 따라 손상 기회가 생겨납니다. 이러한 많은 오류는 사람들이 클라우드 구성 및 애플리케이션 보안에 대한 책임이 고객에게 있다는 것을 이해하지 않기 때문에 발생합니다. 또한 환경이 복잡한 대규모 기업에서 실수가 발생하기가 쉽습니다.
클라우드 보안 태세 관리 솔루션은 위반으로 이어질 수 있는 구성 오류를 계속 찾아서 위험을 줄입니다. 프로세스를 자동화함으로써 이러한 솔루션은 수동 프로세스의 실수 위험을 줄이고 수천 개의 서비스와 계정이 있는 환경에 대한 가시성을 높입니다. 취약성이 검색되면 개발자가 안내되는 권장 사항에 따라 문제를 수정할 수 있습니다. 클라우드 보안 태세 관리는 환경에서 악의적인 활동이나 무단 액세스를 지속적으로 모니터링합니다.
-
클라우드 워크로드 보호 플랫폼
조직이 개발자가 더 빠르게 기능을 빌드하고 배포하는 데 도움이 되는 프로세스를 도입하면서 개발 중 보안 검사를 놓칠 위험이 더 늘었습니다. 클라우드 워크로드 보호 플랫폼은 클라우드의 애플리케이션에 필요한 컴퓨팅, 저장소, 네트워킹 기능을 보호합니다. 퍼블릭, 프라이빗 및 하이브리드 클라우드 환경에서 워크로드를 식별하고 취약성을 검사합니다. 취약성이 검색되면 솔루션은 취약성을 해결하기 위한 제어 기능을 제안합니다.
-
클라우드 액세스 보안 브로커
매우 쉽게 클라우드 서비스를 찾고 액세스할 수 있으므로 IT 팀이 조직에서 사용되는 모든 소프트웨어를 파악하기가 어려울 수 있습니다.
CASB(클라우드 액세스 보안 브로커)를 통해 IT 팀은 클라우드 앱 사용량을 파악하고 각 앱에 대한 위험을 평가합니다. 이러한 솔루션은 클라우드를 통해 데이터가 이동하는 방식을 보여 주는 도구를 통해 데이터를 보호하고 규정 준수 목표를 달성하는 데에도 도움이 됩니다. 조직은 또한 이러한 도구를 사용하여 사용자의 이상 행동을 탐지하고 위협을 교정할 수 있습니다.
-
ID 및 액세스
리소스에 대한 액세스 권한을 가지고 있는 사람을 관리하는 일은 클라우드에서 데이터를 보호하는 데 중요합니다. 조직은 직원, 계약자, 비즈니스 파트너가 현장에서 근무하든 원격으로 근무하든 상관없이 모두 올바른 액세스 권한을 가지고 있는지 확인할 수 있어야 합니다.
조직은 ID 및 액세스 솔루션을 사용하여 ID를 확인하고 중요한 리소스에 대한 액세스를 제한하며 다단계 인증 및 최소 권한 정책을 적용합니다.
-
클라우드 인프라 권한 관리
ID 및 액세스 관리는 사람들이 여러 클라우드에서 데이터에 액세스할 때 훨씬 더 복잡해집니다. 클라우드 인프라 권한 솔루션은 회사가 클라우드 플랫폼에서 어떤 ID가 어느 리소스에 액세스하는지 파악하는 데 유용합니다. 또한 IT 팀은 이러한 제품을 사용하여 최소 권한 액세스 및 기타 보안 정책을 적용합니다.
-
CNAPP(Cloud-Native Application Protection Platform)
포괄적인 CNAPP(Cloud-Native Application Protection Platform)는 보안 팀이 코드에서 클라우드까지 보안을 포함하는 데 도움을 줍니다. CNAPP는 개발부터 런타임까지 다중 클라우드 및 하이브리드 환경에서 클라우드 보안 위협을 방지 및 탐지하고 이에 대응하기 위한 규정 준수 및 보안 기능을 통합합니다.
-
통합 DevOps 보안 관리
DevOps의 보안 관리를 통합하면 클라우드 애플리케이션을 처음부터 안전하게 보호하는 데 도움이 됩니다. 보안 팀은 다중 파이프라인 보안을 통합, 강화, 관리하고 보안이 코드 자체에 포함되도록 보안을 시프트 레프트하며 단일 콘솔에서 코드-클라우드 보호를 지원할 수 있습니다.
클라우드 보안의 과제는 무엇인가요?
클라우드의 상호 연결성은 온라인에서 쉽게 일하고 상호 작용할 수 있도록 만들지만 보안 위험도 만듭니다. 보안 팀은 클라우드에서 다음과 같은 주요 과제를 해결하는 데 도움이 되는 솔루션이 필요합니다.
데이터에 대한 가시성 부족
조직의 생산성을 유지하기 위해 IT 팀은 직원, 비즈니스 파트너, 계약자에게 회사 자산과 정보에 액세스할 수 있도록 해야 합니다. 많은 사람이 원격으로 근무하거나 회사 네트워크 밖에서 작업하고 있으며, 대규모 기업에서는 권한 있는 사용자 목록이 계속 변하고 있습니다. 많은 사람이 다양한 퍼블릭 및 프라이빗 클라우드에서 여러 디바이스로 회사 리소스에 액세스하기 때문에 어떤 서비스가 사용 중이며 클라우드를 통해 데이터가 이동되는 방식을 모니터링하기는 어려울 수 있습니다. 기술팀은 데이터가 안전하지 않은 저장소 솔루션으로 이동되지 않도록 해야 하며, 적합하지 않은 사람이 중요한 정보에 액세스하는 것을 방지해야 합니다.
복잡한 환경
클라우드를 통해 인프라와 앱을 훨씬 더 쉽게 배포할 수 있게 되었습니다. 매우 많은 공급자와 서비스가 존재하므로 IT 팀은 각 제품 및 서비스의 요구 사항에 가장 잘 맞는 환경을 선택할 수 있습니다. 이로 인해 온-프레미스, 퍼블릭 및 프라이빗 클라우드에 걸쳐 환경이 복잡해졌습니다. 하이브리드 다중 클라우드 환경은 전체 에코시스템에서 작동하고 다른 위치에서 다른 자산에 액세스하는 사람을 보호하는 보안 솔루션이 필요합니다. 구성 오류가 발생할 가능성이 더 크며, 이는 이러한 복잡한 환경에서 수평으로 이동하는 위협을 모니터링하기 어렵게 만들 수 있습니다.
빠른 혁신
여러 요인의 결합을 통해 조직은 빠르게 혁신하고 새 제품을 빠르게 배포할 수 있었습니다. AI, 기계 학습, 사물 인터넷 기술을 활용해 비즈니스는 데이터를 더 효과적으로 수집하고 사용할 수 있었습니다. 클라우드 서비스 공급자는 회사가 고급 기술을 더 쉽게 사용할 수 있도록 만드는 로우 코드 및 코드 없는 서비스를 제공합니다. DevOps 프로세스는 개발 주기를 단축했습니다. 클라우드에 더 많은 인프라를 호스트하면서 많은 조직이 리소스를 리서치와 개발에 재분배했습니다. 빠른 혁신의 단점은 기술이 너무 빠르게 변해서 보안 기준을 누락하거나 간과하는 경우가 종종 발생한다는 점입니다.
규정 준수 및 거버넌스
주요 클라우드 서비스 공급자 대부분이 여러 가지 잘 알려진 규정 준수 승인 프로그램을 준수함에도 불구하고, 워크로드가 정부 및 내부 기준을 준수하도록 확인하는 일은 여전히 클라우드 고객의 책임입니다.
내부자 위협
IT 및 보안 팀은 승인된 액세스 권한을 사용하여 의도적이든 또는 의도적이지 않든 관계없이 피해를 일으킬 수 있는 직원으로부터 조직을 방어해야 합니다. 내부자 위협에는 잠재적 보안 인시던트로 이어질 수 있는 사람의 실수(예: 직원이 전자 메일 피싱 캠페인에 대응한 후 실수로 맬웨어를 설치하는 경우)가 포함됩니다. 다른 위협 유형은 도난 또는 사기와 같은 피해를 일으키려는 의도를 가진 악의적인 내부자(혼자 한 행동이든 또는 사이버 범죄 조직과의 협력에 의한 것이든)에 의해 발생합니다. 내부자는 이미 조직의 자산에 대한 액세스 권한을 갖고 있고 회사의 보안 조치에 익숙하므로 내부자 위험은 외부 위협보다 탐지하기가 어렵습니다.
클라우드 보안 구현
프로세스, 제어 기능 및 기술의 적절한 조합을 통해 클라우드 환경에 대한 사이버 공격 위험을 줄일 수 있습니다.
클라우드 워크로드 보호 플랫폼, 클라우드 인프라 권한 관리 및 클라우드 보안 태세 관리가 포함된 클라우드 네이티브 애플리케이션 플랫폼을 사용하면 오류를 줄이고 보안을 강화하며 효과적으로 액세스를 관리할 수 있습니다.
기술 투자를 지원하기 위해 직원이 피싱 캠페인과 기타 소셜 엔지니어링 기술을 인식하는 데 도움이 되는 정기적인 교육을 수행하세요. 악성 전자 메일 수신이 의심되는 경우 IT 팀에 쉽게 알릴 수 있도록 하세요. 피싱 시뮬레이션을 실행하여 프로그램의 효과를 모니터링하세요.
공격을 방지하고, 탐지하고, 대응하는 데 도움이 되는 프로세스를 개발하세요. 정기적으로 소프트웨어와 하드웨어에 패치를 적용하여 취약성을 줄이세요. 중요한 데이터를 암호화하고 강력한 암호 정책을 개발하여 계정 손상 위험을 줄이세요. 다단계 인증은 권한이 없는 사용자가 액세스 권한을 얻기가 매우 어렵게 만들며 암호 없는 기술은 사용하기가 더 간편하면서 기존 암호보다 안전합니다.
직원들이 사무실에서나 원격에서 근무할 수 있는 유연성을 제공하는 하이브리드 작업 모델을 도입함에 따라 조직은 사람, 디바이스, 앱과 데이터가 어디에 있든 안전하게 보호해 주는 새로운 보안 모델이 필요하게 되었습니다. 제로 트러스트 프레임워크는 네트워크 내부에서 온 요청을 포함하여 어떠한 액세스 요청도 더 이상 신뢰(트러스트)할 수 없다는 원칙에서 시작됩니다. 항상 보안이 침해되었다고 가정하고 모든 액세스 요청을 명시적으로 확인함으로써 위험을 낮추는 것입니다. 최소 권한 액세스를 사용하여 사용자에게 꼭 필요한 리소스에 대한 액세스만 제공하세요.
클라우드 보안 솔루션
클라우드는 새로운 보안 위험을 불러오지만, 적절한 클라우드 보안 솔루션, 프로세스 및 정책을 통해 위험을 상당히 줄일 수 있습니다. 다음 단계를 시작하세요.
- 조직에서 사용 중인 모든 클라우드 서비스 공급자를 파악하고 보안 및 개인 정보 보호에 관한 이들의 책임을 숙지합니다.
- 클라우드 액세스 보안 브로커 같은 도구에 투자하여 조직에서 사용하는 앱 및 데이터에 대한 가시성을 확보합니다.
- 클라우드 보안 태세 관리를 배포하여 구성 오류를 파악하고 수정합니다.
- 클라우드 워크로드 보호 플랫폼을 구현하여 개발 프로세스에 대한 보안을 구축합니다.
- 소프트웨어에 정기적으로 패치를 적용하고 직원 디바이스를 최신 상태로 유지하는 정책을 도입합니다.
- 교육 프로그램을 도입하여 직원들이 최신 위협 및 피싱 전략을 알고 있도록 합니다.
- 제로 트러스트 보안 전략을 구현하고 ID 및 액세스 관리를 사용하여 액세스를 관리하고 보호합니다.
- DevOps 파이프라인에서는 보안 시프트 레프트를 통해 클라우드 네이티브 애플리케이션이 안전하게 시작되고 안전한 상태를 유지하도록 코드 자체에 보안을 포함합니다.
Microsoft Security에 대한 자세한 정보
자주 묻는 질문
-
클라우드 보안에 대한 책임은 클라우드 서비스 공급자와 그 고객이 함께 집니다. 책임은 제공되는 서비스 유형에 따라 다릅니다.
서비스 제공 인프라. 이 모델에서 클라우드 서비스 공급자는 컴퓨팅, 네트워크, 주문형 저장소 리소스를 제공합니다. 공급자는 코어 컴퓨팅 서비스의 보안을 책임집니다. 고객은 운영 체제와 그 밖의 모든 것(애플리케이션, 데이터, 런타임, 미들웨어 포함)을 보호해야 합니다.
Platform as a Service. 또한 많은 공급자가 클라우드에서 완벽한 개발 및 배포 환경을 제공합니다. 이들은 코어 컴퓨팅 서비스 외에도 런타임, 미들웨어, 운영 체제 보호를 책임집니다. 고객은 애플리케이션, 데이터, 사용자 액세스, 최종 사용자 디바이스, 최종 사용자 네트워크를 보호해야 합니다.
Software as a Service. 또한 조직은 Microsoft Office 365 또는 Google 드라이브와 같은 종량제 모델의 소프트웨어에 액세스할 수 있습니다. 이 모델에서도 고객은 데이터, 사용자, 디바이스에 대한 보안을 제공해야 합니다.
-
회사는 네 가지 도구를 통해 클라우드의 리소스를 보호할 수 있습니다.
- 클라우드 워크로드 보호 플랫폼은 클라우드의 애플리케이션에 필요한 컴퓨팅, 저장소, 네트워킹 기능을 보호합니다. 퍼블릭, 프라이빗 및 하이브리드 클라우드 환경에서 워크로드를 식별하고 취약성을 검사합니다. 취약성이 검색되면 솔루션은 문제를 해결할 방법을 제안합니다.
- 클라우드 앱 보안 브로커를 통해 IT 팀은 클라우드 앱 사용량을 파악하고 각 앱에 대한 위험을 평가합니다. 이러한 솔루션은 클라우드를 통해 데이터가 이동하는 방식을 보여 주는 도구를 통해 데이터를 보호하고 규정 준수 목표를 달성하는 데에도 도움이 됩니다. 조직은 또한 클라우드 앱 보안 브로커를 사용하여 사용자의 이상 행동을 탐지하고 위협을 교정할 수 있습니다.
- 클라우드 보안 태세 관리 솔루션은 위반으로 이어질 수 있는 구성 오류를 계속 찾아서 위험을 줄입니다. 프로세스를 자동화함으로써 이러한 솔루션은 수동 프로세스의 실수 위험을 줄이고 수천 개의 서비스와 계정이 있는 환경에 대한 가시성을 높입니다. 취약성이 검색되면 이 솔루션은 개발자가 문제를 수정하는 데 도움이 되는 권장 사항을 안내합니다.
- ID 및 액세스 관리 솔루션은 ID를 관리하고 액세스 정책을 적용하는 도구를 제공합니다. 조직은 이 솔루션을 사용하여 중요한 리소스에 대한 액세스를 제한하고 다단계 인증 및 최소 권한 액세스를 적용합니다.
- CNAPP(Cloud-Native Application Protection Platform)는 보안 팀이 코드에서 클라우드까지 보안을 포함하는 데 도움을 줍니다. CNAPP는 개발부터 런타임까지 클라우드 보안 위협을 방지 및 탐지하고 이에 대응하기 위한 규정 준수 및 보안 기능을 통합합니다.
- 통합 DevOps 보안 관리를 통해 보안 팀은 다중 파이프라인 보안을 통합, 강화, 관리하고 보안이 코드 자체에 포함되도록 보안을 시프트 레프트하며 단일 콘솔에서 코드-클라우드 보호를 지원할 수 있습니다.
-
조직에서 클라우드를 보호하는 절차와 정책을 마련할 때 고려해야 할 영역은 다음 네 가지입니다.
- 액세스 제한: 클라우드는 인터넷에서 모든 것에 액세스할 수 있도록 만들기 때문에 적합한 사람만 적절한 시간 동안 적절한 도구에 액세스할 수 있도록 하는 것이 엄청 중요합니다.
- 데이터 보호: 조직은 데이터가 어디에 있는지 파악하고 데이터 자체와 데이터가 호스트되고 저장된 인프라를 둘 다 보호하도록 적절히 관리해야 합니다.
- 데이터 복구: 위반이 발생한 경우 적절한 백업 솔루션 및 데이터 복구 계획이 중요합니다.
- 대응 계획: 조직에서 위반이 발생한 경우 영향을 줄이고 다른 시스템이 손상되는 것을 방지하는 계획이 필요합니다.
- 보안 시프트 레프트: 보안 및 개발 팀은 클라우드 네이티브 애플리케이션이 안전하게 시작되고 안전한 상태를 유지하도록 협력하여 코드 자체에 보안을 포함합니다.
- DevOps 보안 태세의 가시성 통합: 단일 창을 통해 여러 DevOps 플랫폼에 걸쳐 DevOps 보안 태세 인사이트를 표시하여 사각지대를 최소화합니다.
- 보안 팀이 새로운 위협에 계속 집중하도록 함: 코드의 클라우드 리소스 구성을 강화하여 프로덕션 환경에 도달하는 보안 문제를 줄입니다.
-
조직은 다음과 같은 클라우드 위험을 주의해야 합니다.
- 계정 손상: 공격자는 종종 피싱 캠페인을 사용하여 직원의 암호를 훔치고 시스템과 소중한 회사 자산에 대한 액세스 권한을 얻습니다.
- 하드웨어 및 소프트웨어 취약성: 조직에서 퍼블릭 클라우드를 사용하든 프라이빗 클라우드를 사용하든, 하드웨어와 소프트웨어에 패치를 적용하고 최신 상태로 유지하는 것이 중요합니다.
- 내부 위협: 사람의 실수는 보안 위반의 주요 요인입니다. 잘못된 구성은 공격자에게 좋은 기회가 될 수 있습니다. 직원들은 종종 잘못된 링크를 클릭하거나 데이터를 보안이 취약한 위치로 무심코 옮깁니다.
- 클라우드 리소스의 가시성 부족: 이 클라우드 위험은 보안 취약성 및 위협을 탐지하고 이에 대응하기 어렵게 만들어 위반 및 데이터 손실이 발생하도록 할 수 있습니다.
- 위험 우선 순위 지정 부족: 보안 관리자가 클라우드 리소스를 파악하면 보안 태세를 개선하기 위한 권장 사항 수가 지나치게 늘어날 수 있습니다. 따라서 위험에 우선 순위를 지정하여 관리자가 보안에 가장 큰 영향력을 미치기 위해 집중해야 할 곳을 알도록 해야 합니다.
- 고위험 클라우드 사용 권한: 클라우드 서비스 및 ID의 급증으로 인해 고위험 클라우드 사용 권한 수가 늘어났고, 이에 따라 가능한 공격 표면이 확장됩니다. PCI(권한 크리프 인덱스) 메트릭은 권한에 따라 ID가 발생시킬 수 있는 손해를 측정합니다.
- 새로운 위협 환경: 클라우드 보안 위험은 끊임없이 진화합니다. 보안 위반 및 데이터 손실로부터 보호하려면 새로운 위협이 출현함에 따라 최신 상태를 유지하는 것이 중요합니다.
- 클라우드 네이티브 개발 및 보안 간 통합 부족: 보안 및 개발 팀은 앱이 클라우드에 배포되기 전에 협력하여 코드 문제를 파악하고 해결해야 합니다.
-
클라우드 보안이란 클라우드 기반 시스템 및 데이터 보호를 목표로 하는 기술, 절차, 정책 및 제어 기능을 말합니다. 클라우드 보안의 몇 가지 예는 다음과 같습니다.
- 조직에서 사용하는 앱 및 데이터를 파악하기 위한 클라우드 액세스 보안 브로커와 같은 도구
- 구성 오류를 파악하고 수정하기 위한 클라우드 보안 태세 관리
- 보안 및 개발 팀이 협력하여 코드 자체에 보안을 포함하는 데 사용할 수 있는 도구
- 개발 프로세스에 보안을 구축하기 위한 클라우드 워크로드 보호 플랫폼
- 소프트웨어를 정기적으로 패치하는 작업을 비롯하여 직원 디바이스를 최신 상태로 유지하기 위한 정책 구현
- 직원들이 최신 위협 및 피싱 전술을 인식할 수 있도록 하는 교육 프로그램 확립
-
클라우드 보안은 내부 및 외부 위협으로부터 클라우드 시스템 및 데이터를 보호하여 사이버 공격 위험을 줄입니다. 또한 클라우드 보안은 직원, 계약자, 비즈니스 파트너가 현장에서 근무하든 원격으로 근무하든 관계없이 리소스에 대한 액세스 권한을 갖는 사람을 제어하여 하이브리드 근무 모델을 지원합니다. 클라우드 보안이 데이터 개인 정보 보호를 향상하며 조직이 GDPR 및 HIPAA와 같은 규정을 준수하는 데 도움을 준다는 또 다른 이점도 있습니다. 이러한 규정을 준수하지 못하면 엄청난 벌금을 내고 명성에 흠집이 날 수 있습니다.
-
클라우드 보안의 모범 사례는 다음과 같은 조직의 기술, 프로세스 및 제어 기능을 포괄합니다.
- 클라우드 네이티브 애플리케이션 플랫폼에 오류를 줄이고 보안을 강화하며 효과적으로 액세스를 관리하기 위한 클라우드 워크로드 보호 플랫폼, 클라우드 인프라 권한 관리 및 클라우드 보안 태세 관리가 포함되어 있는지 확인합니다.
- 직원이 피싱 캠페인과 기타 소셜 엔지니어링 기술을 인식하는 데 도움이 되는 정기 교육을 시행합니다. 또한 중요한 데이터 암호화, 소프트웨어 및 하드웨어의 정기적인 패치, 강력한 암호 정책 개발을 비롯하여 공격을 방지 및 탐지하고 이에 대응하기 위한 프로세스를 구현합니다.
- 모든 액세스 요청을 명시적으로 확인하는 제로 트러스트 프레임워크를 채택합니다. 여기에는 최소 권한 액세스를 사용하여 사람들에게 꼭 필요한 리소스에 대한 액세스 권한만 제공한다는 원칙이 포함됩니다.
- DevOps 파이프라인에서 보안을 시프트 레프트하여 보안 및 개발 팀이 클라우드 네이티브 애플리케이션이 안전하게 시작되고 안전한 상태를 유지하도록 협력을 통해 코드 자체에 보안을 포함하도록 합니다.
Microsoft 팔로우