기업들이 운영을 지속적으로 디지털화함에 따라, 보안은 운영 및 개발 라이프사이클 이후에 적용되는 단계가 아닌 지속적인 과정이어야 한다는 점이 점점 더 분명해지고 있습니다. 특히 보안 아이디어와 관행을 포함한 보안 기술은 동시에 발전하고 있습니다. 조직들은 데이터가 확보된 후 이를 보호하는 것이 중요하다는 점을 잘 알고 있습니다.
끊임없이 변화하는 규제 환경 속에서 클라우드 보안의 다양한 측면을 탐색하면서 보안 표준을 따르는 것은 어려울 수 있습니다. 규제가 변경됨에 따라 규정 준수를 유지하는 것은 조직의 인프라가 복잡할수록 더 어려워집니다. 조직은 데이터 보안 요구와 클라우드의 적응성 사이에서 균형을 유지해야 합니다. 본 문서에서는 상위 15가지 클라우드 보안 원칙을 논의합니다.
클라우드 보안의 15가지 핵심 원칙
조직은 보안 절차에 대해 개방적이고 솔직하게 접근함으로써 클라우드 보안에 대한 접근 방식을 보다 효과적으로 계획할 수 있습니다. 클라우드 보안 로드맵을 구축하고 구현할 때는 다음과 같은 클라우드 보안 원칙을 고려해야 합니다. 이를 염두에 두면 조직이 클라우드 보안 플랫폼을 최대한 활용할 수 있습니다.
#1 전송 중인 데이터 보호.
클라우드 보안 원칙 목록의 첫 번째는 전송 중인 데이터 보호입니다. 사용자 데이터를 전송하는 네트워크는 강력한 도청 방지 및 변조 방지 안전 장치를 갖추어야 합니다. 조직은 네트워크 보호 및 암호화를 통해 이를 달성할 수 있습니다. 이를 통해 공격자의 데이터 접근 및 데이터 읽기를 차단할 수 있습니다.
#2 저장 중인 데이터 보호.
다음으로 준수해야 할 클라우드 보안 원칙은 저장 중인 데이터 보호입니다. 인프라에 접근 권한이 있는 무단 사용자가 데이터에 접근하지 못하도록 보장하는 것이 필수적입니다. 저장 매체가 무엇이든 사용자 데이터는 반드시 보호되어야 합니다. 적절한 보호 장치가 구현되지 않으면 우발적인 유출이나 데이터 손실이 위험할 수 있습니다.
#3 자산 보호 및 서비스 복원력
인증 정보, 구성 데이터, 파생 정보 및 로그는 종종 간과되는 데이터 유형입니다. 이러한 데이터도 적절하게 보호되어야 합니다.
데이터의 위치와 승인된 사용자를 알고 있으면 안심할 수 있습니다. 이는 상세 로그나 머신 러닝 모델도 예외는 아닙니다. 단, 민감한 정보가 의도적으로 제외되거나 제거된 경우는 예외입니다.
#4 고객 간 분리
분리 전략은 한 고객의 서비스가 다른 고객의 서비스(또는 데이터)에 접근하거나 영향을 미칠 수 없도록 보장합니다. 이는 클라우드 보안 원칙에서 따라야 할 중요한 단계입니다.
귀하는 클라우드 제공업체가 마련한 보안 조치에 의존하여 다음을 보장받습니다:
귀하의 데이터 접근 권한을 통제할 수 있으며, 다른 고객이 악성 코드를 사용하여 귀하의 계정에 접근하는 것을 막을 수 있을 만큼 서비스가 강력합니다.
#5 보안 거버넌스 프레임워크
거버넌스 프레임워크는 서비스 관리를 조정하고 안내하는 데 필수적입니다.
강력한 거버넌스 구조는 운영, 절차, 인적, 물리적, 기술적 통제가 서비스 전반에 걸쳐 유지되도록 보장합니다. 또한 서비스 변경, 기술 발전 및 새로운 위험의 출현에 적응할 수 있어야 합니다.
#6 운영 보안 강화
공격을 인식, 완화 또는 방지하기 위해서는 운영 및 관리가 매우 안전해야 합니다. 견고한 운영 보안은 복잡하고 긴 절차를 요구하지 않습니다. 변경 관리, 구성, 사전 모니터링, 사고 관리 및 취약점 관리가 중요한 요소입니다.
CNAPP 마켓 가이드#7 인력 보안 강화
서비스 제공업체의 직원들을 확인하고 제한하세요. 이는 클라우드 보안 원칙에서 따라야 할 중요한 단계입니다. 서비스 제공업체 직원이 귀사의 데이터와 시스템에 접근할 수 있는 경우, 그들의 신뢰성과 그들의 행동을 모니터링하고 제한하는 기술적 통제에 대해 충분한 확신을 가져야 합니다.
효과성을 위해 균형 잡힌 인력 통제가 필요합니다.
- 서비스 제공업체가 직원들에 대한 신뢰를 어떻게 구축하는지 보여줍니다.
- 서비스 제공업체 직원의 의도치 않거나 악의적인 침해 가능성과 영향을 줄이는 기술적 보호 장치
#8 개발 보안
클라우드 보안 원칙의 다음은 개발 보안입니다. 클라우드 서비스의 설계, 개발 및 배포는 보안 취약점을 최소화하고 완화해야 합니다.
클라우드 서비스가 안전하게 생성, 개발 및 배포되지 않으면 데이터 위험, 서비스 중단 또는 기타 범죄 행위를 용이하게 하는 보안 문제가 발생할 수 있습니다.
서비스의 개발 및 설계 과정 전반에 걸쳐 보안을 고려해야 합니다. 신규 기능 개발 전반에 걸쳐 잠재적 위협 평가와 효율적인 완화책 구축을 고려하십시오. 유용성, 비용, 보안 간의 균형이 필수적입니다.
#9 공급망 보안 강화.
제3자 공급망은 서비스가 주장하는 모든 보안 기준의 구현을 지원해야 합니다.
클라우드 서비스는 외부 출처의 상품 및 서비스에 의존합니다. 따라서 이 개념이 구현되지 않으면 공급망 침해로 인해 서비스 보안이 위협받고 다른 보안 원칙 적용에 방해가 될 수 있습니다.
#10 사용자 관리 보안
클라우드 보안 원칙 중 다음은 사용자 관리 보안입니다. 서비스 제공자는 사용자가 서비스를 안전하게 이용할 수 있도록 관리 도구를 제공해야 합니다.
서비스 제공자는 사용자가 서비스에 대한 접근을 안전하게 제어할 수 있는 도구를 제공하여, 데이터, 애플리케이션 및 리소스에 대한 무단 접근 및 변경을 방지해야 합니다.
역할 기반 접근 제어(RBAC, RBAC)과 마찬가지로, 접근 제어는 인간 또는 기계 신원에 적용되는 특정 권한을 기반으로 해야 합니다. 이 모델에서는 각 세부 권한 부여가 하나 이상의 리소스에 적용되며 역할(신원)에 부여됩니다. 이를 통해 의도된 기능을 수행하는 데 필요한 리소스에만 접근할 수 있는 역할을 생성할 수 있습니다.
복잡성 없이 역량을 강화하세요. 저희 클라우드 보안 플랫폼를 통해 가능합니다.
#11 승인된 신원 및 인증
인증 및 권한 부여된 사용자만 서비스 인터페이스에 접근할 수 있어야 합니다.
인증 및 권한 부여된 신원(사용자 또는 서비스 신원)만이 서비스와 데이터에 접근할 수 있어야 합니다.
원칙 9: 안전한 사용자 관리에 명시된 효과적인 접근 제어를 구현하려면, 접근을 수행하는 사람의 신원을 확인하는 데 사용되는 인증 프로세스를 신뢰할 수 있어야 합니다.
이러한 인터페이스에 대한 취약한 인증은 시스템에 대한 무단 접근을 허용하여 데이터 도난 또는 변조, 서비스 변경, 서비스 거부 공격으로 이어질 수 있습니다.
#12 외부 인터페이스 보호
모든 외부 또는 신뢰도가 낮은 서비스 인터페이스를 찾아 보호해야 합니다. 이는 클라우드 보안 원칙의 핵심 사항입니다.
방어 조치에는 애플리케이션 프로그래밍 인터페이스(API), 웹 콘솔, 명령줄 인터페이스(CLI), 직접 연결 서비스 등이 포함됩니다. 또한, 서비스에 대한 모든 인터페이스는 클라우드 서비스 위에 생성되며, 클라우드 공급자와 귀사가 서비스에 접근하기 위해 사용하는 관리 인터페이스도 포함됩니다.
공개된 인터페이스가 사적인 것(예: 관리 인터페이스)인 경우, 침해 시 영향이 더 클 수 있습니다. 다양한 방법으로 클라우드 서비스에 연결할 수 있으며, 이는 기업 시스템에 각기 다른 수준의 위험을 노출시킵니다.
#13 서비스 관리 보안
클라우드 서비스 공급자는 관리 시스템의 중요성을 인식해야 합니다.
공격자에게 높은 가치를 지닌다는 점을 염두에 두면서, 클라우드 공급자가 사용하는 관리 시스템의 설계, 배포 및 관리는 비즈니스 모범 사례를 준수해야 합니다.
클라우드 서비스 관리를 위해 공급자가 사용하는 고특권 시스템은 해당 서비스에 대한 접근 권한을 갖습니다. 이러한 시스템이 침해될 경우 보안 조치를 우회하여 방대한 양의 데이터를 도용하거나 변조할 수 있어 심각한 영향을 미칩니다.
#14 보안 경고 및 감사 정보 발행
클라우드 보안 원칙의 다음 단계는 보안 경고 및 감사 정보 발행입니다. 공급자는 서비스 및 저장된 데이터에 대한 사용자 접근을 추적하는 데 필요한 로그를 제공해야 합니다.
보안 문제를 인식하고 발생 시점 및 경로를 파악할 수 있는 지식을 보유해야 합니다.
서비스 사용 및 저장된 데이터와 관련된 사건을 조사하는 데 필요한 감사 정보가 제공되어야 합니다. 부적절하거나 악의적인 행위에 적시에 대응할 수 있는 능력은 접근 가능한 감사 정보의 종류에 직접적으로 좌우됩니다.
클라우드 제공업체는 요구 사항에 맞는 형식으로 보안 경보를 즉시 전달해야 합니다. 운영 담당자를 위한 서면 형식과 자동화된 분석을 위한 구조화된 기계 판독 가능 형식이 포함되어야 합니다.
실제 사건 발생을 기다리지 않고 경보 처리 과정을 정기적으로 테스트할 수 있도록, 클라우드 제공업체는 경보를 시뮬레이션하고 전송 가능한 모든 경보 유형을 기록할 수 있는 방법을 제공해야 합니다.
#15 서비스의 안전한 사용
클라우드 서비스 제공업체는 귀사가 데이터를 적절히 보호해야 하는 의무를 쉽게 이행할 수 있도록 해야 합니다.
공급자가 기본적으로 안전한 정책을 채택하더라도 클라우드 서비스를 직접 구성해야 합니다. 당사의 클라우드 서비스 안전 사용 가이드를 활용하여 공급자의 권장 사항이 귀사의 보안 요구 사항을 충족하는지 확인하십시오. 침투 테스트나 포괄적인 보안 검토의 일환으로 정기적으로 구성 상태를 감사하십시오.
결론
클라우드 보안은 다양한 어려움과 잠재적 성장 영역에 직면해 있으며, 보안 원칙은 기업이 이러한 격차를 해소하는 데 도움을 줄 수 있습니다. 모든 사용자와 기업은 클라우드 보안 환경의 위협을 충분히 이해하고 클라우드 보안 원칙을 준수해야 합니다. 조직이 클라우드 보안에 할당하는 자금과 노력은 사용자 편의성과 시장 출시 시간과 균형을 이루어야 합니다. 데모 요청하기 당사의 Singularity Cloud Security 플랫폼 데모를 요청하여 SentinelOne이 귀사에 어떻게 도움이 될 수 있는지 확인해 보십시오.
클라우드 보안 원칙 FAQ
클라우드 보안 원칙은 클라우드에서 데이터와 서비스를 안전하게 보호하는 데 도움이 되는 지침입니다. 여기에는 액세스 보호, 데이터 개인정보 보호 보장, 서비스 가용성 유지 방법이 포함됩니다. 이 원칙들은 일종의 안전 장치로 생각할 수 있습니다: 누가 리소스를 보거나 변경할 수 있는지 통제하고, 전송 중 및 저장된 데이터를 암호화하며, 백업을 설정하는 것이죠. 이러한 원칙들은 체계적으로 관리하고 침해 가능성을 줄이는 데 도움이 됩니다.
클라우드 보안 원칙은 무단 접근, 데이터 유출, 서비스 중단을 방지하기 때문에 중요합니다. 이러한 지침을 따르면 공격이 시작되기 전에 차단하고 문제가 발생했을 때 신속하게 복구할 수 있습니다.
또한 법적 및 업계 요구 사항을 충족하는 데 도움이 됩니다. 요약하자면, 클라우드 원칙은 추측에 시간을 낭비하지 않고 데이터, 서비스, 평판을 보호할 수 있는 명확한 방향을 제시합니다.
핵심 클라우드 보안 원칙은 다음과 같습니다:
- 최소 권한 원칙: 작업 수행에 필요한 최소한의 접근 권한만 부여합니다.
- 다층 방어: 여러 보안 통제 계층을 구축하여 한 계층이 실패해도 다른 계층이 보호할 수 있도록 합니다.
- 전역 암호화: 전송 중 및 저장된 데이터를 암호화하십시오.
- 공동 책임: 귀하와 공급자가 각각 보호해야 할 부분을 이해하십시오.
- 지속적 모니터링: 빠른 탐지 및 대응을 위한 활동 추적 및 기록.
SentinelOne은 최소 권한 적용, 자동화된 위협 탐지 및 실시간 대응을 제공함으로써 클라우드 보안 원칙에 부합합니다. Singularity XDR은 엔드포인트, 워크로드 및 클라우드 애플리케이션에 AI 기반 보호 기능을 적용하여 심층 방어 체계를 구축합니다.
통신을 암호화하고, 지속적인 모니터링을 위해 모든 이벤트를 기록하며, 주요 클라우드 공급자와 통합하여 공유 책임을 명확히 합니다. 또한 안전한 구성을 위한 규정 준수 검사를 자동화할 수 있습니다.
공유 책임이란 귀하와 클라우드 공급자가 각각 보안 의무를 지닌다는 의미입니다. 공급자는 물리적 데이터 센터, 네트워크 및 하이퍼바이저를 보호합니다. 사용자는 자신의 데이터, 애플리케이션, 신원 정보 및 구성 설정을 보호할 책임이 있습니다.
저장소 버킷을 잘못 구성하거나 패치 적용을 소홀히 할 경우, 공급자가 자체 측을 완벽히 차단하더라도 침해 사고가 발생할 수 있습니다. 이러한 경계를 명확히 인지함으로써 전체 보안 태세에서 공백과 중복을 방지할 수 있습니다.
최소 권한 원칙을 적용하려면 먼저 누가 왜 접근 권한을 가지는지 감사하십시오. 불필요한 권한을 제거하고 개별 계정 대신 역할이나 그룹을 사용하십시오. 모든 곳에 다단계 인증을 설정하고 자격 증명을 정기적으로 교체하십시오.
신원 및 접근 관리 도구를 사용하여 누가 어디에서 로그인하는지 모니터링하십시오. 접근 권한 검토를 자동화하여 직원이 역할을 변경하거나 퇴사할 때 권한이 업데이트되도록 하십시오.
보안 구성을 통해 클라우드 리소스가 안전한 상태로 시작되도록 하여, 열린 포트나 기본 자격 증명을 방지합니다. Infrastructure-as-Code(IaC) 스캔은 배포 템플릿을 실제 환경에 적용하기 전에 잘못된 구성을 검사합니다.
이 두 가지를 함께 사용하면 공개적으로 노출된 스토리지 버킷이나 지나치게 관대한 정책과 같은 일반적인 실수를 방지할 수 있습니다. 이러한 검사를 자동화함으로써 오류를 조기에 발견하고 클라우드 환경을 일관되고 안전하게 유지할 수 있습니다.
먼저, 모든 클라우드 리소스의 로그와 메트릭을 보안 정보 및 이벤트 관리(SIEM) 시스템에 중앙 집중화하세요. 로그인 실패나 갑작스러운 트래픽 급증과 같은 비정상적인 행동에 대한 경보를 설정하세요. 자동화된 플레이북을 사용하여 위협을 즉시 차단하세요. 정기적인 훈련을 통해 사고 대응 계획을 테스트하십시오.
마지막으로, 사고를 검토하여 취약점을 찾아내고 통제 수단을 업데이트하여 각 대응이 조직을 더욱 강하게 만드십시오.
데이터 보호를 라이프사이클로 접근하십시오: 정보의 민감도에 따라 분류하고, 전송 중 및 저장 시 암호화하며, 백업은 격리된 오프사이트 위치에 보관하십시오. 중요 데이터에는 토큰화 또는 필드 수준 암호화를 적용하십시오. 역할 기반 접근 제어를 사용하여 데이터 조회 또는 수정 권한을 제한하십시오. 데이터 흐름과 보존 정책을 정기적으로 감사하여 유용한 수명이나 규정 준수 기간이 지난 데이터가 남아 있지 않도록 하십시오.
거버넌스와 컴플라이언스는 법적 준수 및 보안을 유지하기 위해 따르는 규칙을 설정합니다. 거버넌스는 변경 관리, 위험 평가, 보안 검토와 같은 프로세스를 정의합니다. 준수는 이러한 프로세스가 GDPR, HIPAA 또는 PCI DSS와 같은 표준을 충족하도록 보장합니다.
정책 코드(policy-as-code) 및 자동화된 감사를 사용하여 이를 일상 운영에 통합함으로써, 혁신 속도를 저하시키지 않으면서 책임성을 유지하고 벌금을 줄이며 고객의 신뢰를 유지할 수 있습니다.
