클라우드 보안으로 고민 중이신가요? 공동 책임 모델이 도움이 되는 방법

운영 요소를 클라우드로 전환하는 것은 비즈니스에 큰 진전이 될 수 있습니다. 이를 통해 기업은 애플리케이션과 서비스를 빠르게 확장할 수 있으며, 변화하는 시장 수요에 민첩하게 대응할 수 있도록 조직을 유연하게 유지할 수 있습니다.

그러나 클라우드 도입이 증가하면 데이터 보안 관리 책임이 누구에게 있는지에 대해 어느 정도 혼란을 가중시킬 수도 있습니다. 안타깝게도 많은 기업들은 고객 데이터가 자신의 손을 떠나면 그 데이터가 보호되는지 여부에 대해 책임이 없다고 가정합니다. 하지만 이는 위험한 가정입니다.

공동 책임 모델(SRM)은 디지털 환경 전반의 보안 책임에 대해 기업과 클라우드 공급자가 보다 명확한 경계를 그리는 데 도움을 주기 위해 도입되었습니다. 아래에서는 이 모델이 어떻게 구성되어 있으며 비즈니스의 보안 태세를 강화하는 데 어떻게 도움이 될 수 있는지 더 명확하게 설명하겠습니다.

공동 책임 모델(SRM)이란 무엇인가요?

기업들이 비즈니스 운영의 일부 또는 전체를 클라우드로 이전하기로 결정하는 데는 여러 이유가 있습니다. 서버와 데이터베이스 또는 기타 인프라 요소를 수동으로 구성하지 않아도 되면 기업은 간접비를 줄이고 내부 팀의 부담을 덜 수 있습니다. 그러나 기업들은 때때로 이러한 인프라의 ‘관리’를 이전하는 것이 그곳에 저장된 데이터에 대한 ‘책임’까지 이전하는 것을 의미하지는 않는다는 점을 잊어버립니다.

SRM은 클라우드 서비스 공급자(CSP)와 협력하는 기업 간의 책임을 구분합니다. 이는 본질적으로 보안의 어떤 측면이 각 당사자에게 속하는지, 그리고 관계의 각 측면에서 보안 조치가 어떻게 관리되고 구현되어야 하는지를 설명합니다.

“클라우드의” vs. “클라우드 내” 이해하기

SRM은 두 가지 핵심 용어인 ‘클라우드의(OF the Cloud)’와 ‘클라우드 내(IN the Cloud)’를 둘러싼 규정을 중심으로 구축됩니다.

클라우드의 요구 사항에 대해 이야기할 때, 우리는 CSP가 소유권을 가지는 것에 대해 말하는 것입니다. 이 경우 CSP를 아파트 단지의 집주인처럼 생각할 수 있습니다. 그들은 건물의 전반적인 보안을 책임지며, 여기에는 다양한 안전 가드레일, 안전한 게이트 및 출입 프로토콜, 그리고 배관 및 전기 시스템과 같은 주요 유틸리티가 제대로 작동하도록 보장하는 것이 포함됩니다.

클라우드 환경에서 이는 모든 네트워킹 장비를 설치 및 유지 관리하고 환경이 원활하게 실행되도록 기본적인 서비스 요구 사항을 해결하는 것을 의미합니다.

클라우드 고객으로서 귀하는 클라우드 내 요소에 대한 책임이 있습니다. 예를 들어, 건물의 세입자로서 실수로 문을 잠그지 않아 누군가가 개인 소지품을 훔쳐갔다면, 집주인은 반드시 책임을 질 필요는 없습니다.

정보를 클라우드에 저장하는 경우, 항상 이를 안전하게 보호할 어느 정도의 책임이 있습니다. 이것이 반드시 모든 책임이 귀하에게 있다는 것을 의미하지는 않지만, 여전히 신원 및 액세스 관리(IAM), 애플리케이션 보안, 네트워크 강화와 같은 것들에 대한 책임이 있습니다.

책임의 가변적 범위

대부분의 클라우드 환경과 CSP와의 관계의 역동적인 특성으로 인해, SRM은 가변적 범위로 운영되며, 책임은 구축된 작업 관계 유형에 따라 어느 정도 이동합니다. 아래는 세 가지 일반적인 클라우드 모델과 그들이 서로 어떻게 다른지에 대한 설명입니다:

• 인프라로서의 서비스(IaaS): 이 모델은 CSP가 특정 기본 클라우드 구성 요소를 보호할 책임이 있도록 합니다. 여기에는 물리적 데이터 센터, 서버, 스토리지 하드웨어 및 가상화 계층이 포함됩니다. 클라우드 고객은 그 위의 모든 것, 즉 게스트 운영 체제(OS) 보안, 모든 미들웨어 및 런타임 관리, 애플리케이션 코드 및 그 안에 포함된 데이터 보호에 대한 책임이 있습니다.
• 플랫폼으로서의 서비스(PaaS): 이 모델은 더 많은 책임을 CSP로 확장하며, CSP는 모든 운영 체제, 데이터베이스 시스템 또는 런타임 환경을 관리합니다. 또한 플랫폼 자체의 유지 관리도 담당합니다. 기업의 경우 이는 인프라 관리의 부담을 크게 줄이면서 애플리케이션 관리 및 보안에 더 집중할 수 있게 합니다.
• 소프트웨어로서의 서비스(SaaS): 이 모델은 클라우드 사용자에게 가장 직접 관리가 적은 형식으로, 인프라 책임 전체를 CSP에게 넘깁니다. 그러나 이는 보안 책임이 완전히 이전된다는 의미는 아닙니다. 클라우드 사용자는 여전히 관리자 수준에서 사용자 액세스, 권한 및 보안 설정을 관리할 책임이 있습니다.

SRM을 이해하는 것이 중요한 이유

모호함 제거

많은 조직이 클라우드 보안에 대한 가장 큰 위협이 사이버 공격자라고 걱정하지만, 클라우드 관계에서의 오해와 잘못된 이해도 문제가 됩니다.

CSP와 그 고객이 상대방이 특정 보안 작업을 처리하고 있다고 잘못 가정하면, 고객 데이터에 심각한 취약점이 발생할 수 있습니다. SRM에 대한 이해는 이러한 모호함을 제거하는 데 도움이 되어, 서비스 수준 계약(SLA)을 수립하고 상호 요구 사항을 이행할 때 양측에 더 많은 투명성을 제공합니다.

과도한 위임의 함정 피하기

클라우드 환경이 익숙하지 않은 많은 기업들은 클라우드에서의 책임이 어떻게 작동하는지 오해합니다. ‘서비스’에 대해 비용을 지불하기 때문에 종종 CSP가 비즈니스를 대신해 모든 것을 처리한다고 가정할 수 있습니다.

그러나 클라우드 보안에 관해서는, 특히 CSP가 설정한 관리적 보안 통제와 관련하여 과도한 위임의 함정에 빠지지 않기를 원할 것입니다. SRM은 이러한 책임을 올바른 관점에서 유지하고 기업이 데이터 보호 정책을 적극적으로 시행하는 데 참여하도록 돕습니다.

규정 준수 격차 메우기

보안 규정 준수 표준 이해는 클라우드 환경에 진입하는 기업들에게 때때로 불분명해질 수 있습니다. 모든 CSP가 특정 규정 준수 프레임워크를 따를 때 책임이 있지만, 클라우드 사용자도 이 영역에서 책임이 있습니다.

SRM은 인프라 관리와 관련된 CSP의 책임을 설명하는 동시에, 특히 고객 데이터의 저장 및 액세스와 관련하여 애플리케이션과 서비스가 어떻게 구축되고 실행되는지에 대해 클라우드 사용자에게 책임을 지게 합니다.

공동 책임 모델이 보안 태세 개선에 도움이 되는 방법

소유권을 명확히 하고 오해를 방지합니다

온프레미스 및 오프프레미스 환경 모두에서 모든 보안 작업에는 특정 보안 소유권이 명확하게 설정되어야 합니다. SRM은 누가 어떤 책임을 처리하는지에 대한 모든 애매모호한 영역을 제거하는 것을 훨씬 쉽게 만들며, 내부적으로 그리고 CSP와 함께 일관된 거버넌스를 개발할 수 있도록 합니다.

보안 준비 상태에 대한 공식 문서를 보유하면 연결된 애플리케이션 및 서비스 전반에서 악용될 수 있는 취약점의 수를 줄이고, 가정에 기반한 보안 계획을 제거하는 데 도움이 됩니다.

내부 보안 리소스를 최적화합니다

클라우드 공급자가 보안 인프라 관리에서 수행하는 역할을 이해하면 보안 팀이 비즈니스에 가장 중요한 영역에 집중할 수 있게 합니다.

이를 통해 서버 패치나 데이터베이스 관리와 같은 리소스 집약적인 프로세스를 CSP에 이관할 수 있어, 팀이 애플리케이션 코딩 보안, 새로운 사용자 액세스 정책 설계 및 구현에 더 집중할 수 있습니다.

데이터와 신원의 중심성을 강화합니다

클라우드 인프라 구성 요소는 데이터 유출 사고 시 항상 교체될 수 있지만, 귀하의 재정적 안정성과 비즈니스 평판은 동일한 사건 동안 돌이킬 수 없는 손상을 입을 수 있습니다.

SRM을 적용하면 비즈니스가 보안 유지를 위해 CSP에 덜 의존하고, 조직의 관리자 및 기타 주요 이해관계자에게 적용할 수 있는 중요한 보안 원칙을 개발하는 데 더 많은 시간을 할애할 수 있게 합니다.

보안 우선 구성을 의무화합니다

대부분의 새로운 클라우드 서비스는 클라우드 보안을 위한 여러 구성 가능한 설정을 제공합니다. 그러나 클라우드 구성 취약점에 대한 인식 부족은 미래에 상당한 보안 위험으로 이어질 수 있습니다.

SRM은 비즈니스가 보안 우선 구성을 집중하게 하여, 속도와 편의성보다 산업 규정 준수를 우선시합니다. 많은 보안 프레임워크가 이제 SRM 정책을 중심으로 구축되어, 새로운 가상 머신 또는 데이터베이스 구성이 배포 전에 엄격한 요구 사항을 충족하도록 보장합니다.

또한, 외부 침투 테스트 서비스는 SRM의 요구 사항을 이해하면서 비즈니스가 관련 책임을 어떻게 이행하고 있는지 확인하기 위해 능동적 취약점 평가를 실행하도록 설계되었습니다. 이러한 서비스를 활용하면 조직이 보안 그룹, IAM 정책 및 데이터 암호화 방법을 스트레스 테스트하여 업계 최고 표준을 충족하는지 확인할 수 있습니다.

감사 로깅을 통해 가시성을 높입니다

SRM은 일반적으로 클라우드 공급자와 그 고객 간의 협력과 투명성을 수반하기 때문에, 모든 사람이 자신의 보안 강화 효과에 대해 더 잘 인식하도록 유지하는 데 도움이 됩니다.

보안 감사 및 능동적 모니터링은 CSP와 클라우드 고객 모두에게 SRM 정책을 시행하는 데 필수적인 요소입니다. 이제 비즈니스가 클라우드 보안의 전반적인 강도를 모니터링하고 새로운 보안 위험에 빠르고 효과적으로 대응할 수 있는 많은 클라우드 네이티브 및 타사 도구가 있습니다.

이 모든 것은 모든 사람을 위한 보다 사전 예방적인 보안 계획을 의미하며, 발생하는 보안 사고의 수를 줄이고 데이터 노출 위험을 감소시키는 데 도움이 됩니다.

클라우드 보안을 최우선 과제로 삼으세요

비즈니스가 성장함에 따라 공동 책임 모델을 전략의 핵심 부분으로 취급하는 것이 중요합니다.

클라우드 보안에서 귀하의 역할을 이해하고 인정하면 책임에 대한 위험한 가정을 피하고, 모든 디지털 공격 표면을 보호하는 데 보다 적극적으로 참여하는 데 도움이 됩니다.