클라우드-네이티브 보안: 기업의 위험 감소

엔터프라이즈 시스템과 데이터를 위협하는 보안 문제는 무엇보다 중요해졌습니다. 공용 클라우드 제공자가 채택한 접근 방식을 비롯한 기존의 접근 방식은 아직도 근본 원인을 막아내려는 것이 아니라 공격 징후가 나타나면 처치하는 방식의 사후 반응적 전략을 사용하고 있습니다. 클라우드 네이티브 애플리케이션에 밀려드는 인기는 모든 상상 가능한 방식으로 사회 통념에 도전했습니다. 스택의 여기저기, 인프라스트럭처에서 애플리케이션 개발까지, 기존의 방식과 좀더 현대적인 클라우드 네이티브 접근 방식 간에는 선명한 대비가 있습니다. 성공하는 패턴과 진행에 있어서 거의 대부분 의견이 일치하는 요인으로는 DevOps 문화, 지속적인 전달, 마이크로서비스 아키텍처가 있습니다. 우리는 왜 클라우드 네이티브 시대를 위해 보안을 바꾸지 못했을까요? 새롭고 참신한 아이디어는 없습니까? 클라우드 네이티브 보안 이면의 혁신은 엔터프라이즈 위험을 줄이는 변형 방식입니다.


클라우드 네이티브 엔터프라이즈 보안이란?

클라우드 네이티브 보안은 효과적인 엔터프라이즈 보안입니다. 클라우드 네이티브 보안에는 다음과 같이 3가지 원칙이 있습니다.

수리 (Repair)

업데이트가 가능한 즉시 손상되기 쉬운 소프트웨어를 수리합니다.

재포장 (Repave)

확인된 양호한 상태에서 서버와 애플리케이션을 재포장합니다. 자주 실행하십시오.

회전 (Rotate)

사용자 인증 정보를 자주 회전시켜 단기간 동안만 사용할 수 있게 하십시오.

위의 수리 (Repair), 재포장 (Repave), 회전 (Rotate)은 3 "R" 보안으로 알려져 있습니다.





이처럼 보안에 대한 새로운 접근 방식이 매우 절실합니다. 현재의 보안 전통을 타파해야 하는 까닭을 이해하려면 Symantec 2016 인터넷 위협 보고서 (Symantec 2016 Internet Threat Report)에 실린 좀 무서운 실화를 참조하십시오. 다음은 다소 걱정스러운 2015년 통계자료입니다.

매주 새로운 제로데이 취약성이 발견됩니다

5억 명의 개인 레코드가 도난 또는 분실되었습니다

75%의 웹 사이트가 취약한 것으로 드러났습니다

스피어 피싱 캠페인 목표의 직원이 55% 증가했습니다

랜섬웨어가 35% 증가했습니다

위협의 양은 기하급수적으로 증가하고 있고 공격은 하루가 다르게 빨라지고 있지만 데이터 센터를 대혼란에 빠뜨릴 위협의 종류는 다음과 같이 상대적으로 단순합니다.

멀웨어

멀웨어는 악의적 의도를 가진 바이러스, 트로이 목마, 원, 스파이웨어, 기타 프로그램들을 통칭하는 용어입니다.

지능적 지속 공격

공격자가 네트워크에 액세스하고 오랫동안 감지되지 않은 상태로 네트워크에 머물면서 저지르는 파괴 행위들이 있습니다. 감지되지 않고 오래 버틸수록 더 많은 데이터가 위험에 노출됩니다.

사용자 인증 정보 유출

사용자 인증 정보는 정보나 다른 리소스에 대한 액세스를 제어합니다. 조직이 중요 시스템에 대한 직원의 사용자 인증 정보에 아무리 무거운 제재를 가해도 언제나 유출되곤 합니다.


왜 클라우드 네이티브 엔터프라이즈 보안인가?

데이터 센터 보안의 붕괴

현재 기존의 엔터프라이즈 보안은 천천히 쓰러져 가고 있습니다. 어떠한 요청에도 대답은 한결같이 “아니오"입니다. 모든 변경은 잠재적으로 위험 징후이므로 모든 레벨에서 변경에 반대합니다. 애플리케이셔 개발과 운영에 대한 이러한 접근 방식과는 대조적으로 이젲 이들 그룹은 (대략 “DevOps”라고 부르는) 새로운 방식으로 새로운 코드를 더 신속하게 제공하기 위해 협업하고 있습니다. 또한 일관되게, 좀더 정교하게 지속적으로 진화되는 위협으로 인해 팀은 클라우드 네이티브 시대의 접근 방식을 재고해야 합니다.

그 어느 때보다 빠르게 진화하는 위협

멀웨어와 지능적 지속 공격이 급증하고 있습니다. 악의적인 프로그램을 만들어 거저나 다름없이 배포합니다. 매일같이 수백 가지의 새로운 위협들이 엔터프라이즈 시스템에 침투합니다. 기존의 보안 조치는 그만큼 빠르게 진화할 수 없습니다. 클라우드 네이티브 접근 방식은 외부 경계와 내부 시스템을 모두 보호합니다.

사용자 인증 정보 유출은 경감할 수 있습니다.

사용자 인증 정보는 언제라도 유출되겠지만 그렇다고 시스템 관리자가 마냥 앉아서 사건이 터지기만 기다리고 있을 수는 없습니다. 해커가 취약성을 발견하기에 충분하게끔 사용자 인증 정보의 수명을 수주 또는 수개월씩 두지 말고 몇 시간 또는 단 15분 정도로 변경할 수 있습니다. 클라우드 네이티브 보안 접근 방식은 신속하게 유출된 사용자 인증 정보를 무력화시키도록 돕습니다.


기업은 직면한 보안 문제를 실질적으로 평가하고 현재의 보안 접근 방식이 충분하지 않은 이유를 이해해야 합니다.

의도적이지는 않지만 패치 적용으로 인해 시스템이 위험한걸까요?

공급업체는 지속적으로 패치를 릴리스하는데, 정말 굉장합니다! 그렇지만 현실적으로 일반 기업에서는 수년동안 수천 대의 서버를 확충합니다. 각각의 서버에는 다양한 소프트웨어 패키지가 로드됩니다. 이들 시스템에 정기적으로 (그리고 신속하게) 패치를 공급하려는 노력 자체가 상상하기 어려운 일입니다. 그러니 어떻게 되겠습니까? 시스템 관리자는 실용적 노선을 취합니다. 심사를 하죠. 그래서 실상 시스템에는 의도적으로 패치가 제공되지 않게됩니다. 프로세스는 끝난겁니다.

조직, 프로세스, 도구는 위협을 예방하기 위해서가 아니고 위협에 반응하기 위해서 설계된걸까요?

공격을 감지하게 되면 이미 너무 늦습니다. 나아가 위반을 찾는 것은 시작에 불과합니다. 이제 바로 잡아야 합니다.

여러분의 보안업체는 점진적인 개선만을 제공하고 있습니까?

클라우드 네이티브 시대의 대형 공급업체들은 확실히 십수년 전의 시장지배적 공급업체들과는 다릅니다만 과연 보안 분야의 혁명적인 공급업체들은 어디있는 것일까요? 기업 수요자들과 보안 공급업체들은 아직도 닷컴 시대와 같은 제품에 대해 같은 이야기를 나누고 있습니다. 이제 제품은 "서비스로서" 제공되고 온-프레미스 개인 클라우드에 추가되거나 공개 클라우드의 가상 애플리케이션으로 제공될 수 있습니다. 서비스로서의 인프라스트럭처, Agile 개발이나 마크로서비스와 비교한다면 엔터프라이즈 IT 분야에서는 세상이 뒤집어질 만큼의 놀라운 진보입니다.

프로덕션 시스템 업데이트가 자주 중단됩니까?

신규 소프트웨어로 프로덕션에 들어가려면 몇 개월은 걸립니다. 고통스럽고 고된 과정이며 일단 새로 온라인 상태가 되면 어느 누구도 변경하려 들지 않습니다. 왜 그럴까요? 망가질까봐 그렇습니다. 그건 안됩니다. 그리고 설상가상으로 정적 환경은 참으로 공격받기 좋습니다. 오늘날 프로덕션 시스템 관리 방식은 공격자에게 더 없이 좋습니다. 불행히도 사이버 범죄자들도 이 사실을 알고 있습니다.

이런 점들이 모두 “천천히 하면 덜 위험하다.”는 식의 사고방식처럼 더 큰 문제의 증상들입니다. 실제로는 그 반대인데도 말입니다. 시스템 변경이 빠를수록 공격자들이 침투하기 어렵습니다. 이것이 클라우드 네이티브 보안의 핵심 아이디어입니다.



차이점 비교: 클라우드 네이티브 보안 vs 기존의 엔터프라이즈 보안
클라우드 네이티브 보안
기존의 엔터프라이즈 보안
자동화. 시스템을 신속하게 업데이트할 수 있으면 위협이 경감됩니다. 자동화와 변경 불가 인프라스트럭처 적용으로 고유한 (그래서 문제많은) 보안 구성의 시스템을 제거할 수 있습니다. 모니터링과 계측. 시스템 변경은 멀웨어의 신호라고 보기때문에 대규모 투자는 데이터 센터 변경 감지용입니다.
자동 관리. 멀웨어는 취약한 소프트웨어와 정적이고 변화없는 시스템을 좋아합니다. 시스템 상태를 적극적으로 변경하여 멀웨어가 생존할 조건을 없애는 것이 급선무입니다. 사후 대응적. 위협을 신속하게 감지하는 것이 최우선입니다. 다음으로 취약성이 확인되면 위협 경감 조치를 실행하게 됩니다.
초기화를 통한 패치. 사용 가능해지는 즉시 패치를 적용합니다. 자동화와 변경 불가 인프라스트럭처 개념을 사용하여 최신 패치가 포함된 새로운 "골든" 이미지가 데이터 센터에 적용됩니다. 점증적 패치. 패치는 시스템에 점증적로 적용되며 각각은 내부 팀에서 승인합니다. 운영체제와 미들웨어용 패치는 심사후 적용됩니다.
변화 촉진. 조직은 시스템 변경이 빠를수록 멀웨어 생존이 어렵다고 믿습니다. 변화 저항. 변경 속도를 느리게 가는 것이 기업에 안전하다고 믿습니다.



위협으로 인해 고심하고 계신다면 염두에 두십시오.

좀더 빠른 행보를 통해 기업을 좀더 안전한 상태로 만들고자 하는 생각은 새롭지만 입증된 방식입니다. 은행 및 소매업체, 통신업체, 자동차 제조사에 이르기까지 세계 최대의 기업들 상당수가 현재 클라우드 네이티브 클라우드 네이티브 개발 및 운영에서 몇몇 개념을 차용해온 클라우드 네이티브 보안에 의존하고 있습니다.

다음과 같은 세가지 유형의 위협과 근본 원인을 감안했을 때 이들을 대적할 수단으로 실용적인 3 R 접근 방식이 있습니다.



위협
근본 원인
Cloud-Native Mitigation Approach
멀웨어 지능적 지속 공격 업데이트가 가능한 즉시 손상되기 쉬운 소프트웨어를 수리합니다.
지능적 지속 공격 네트워크 내부에 자라나려면 시간이 필요합니다. APT는 변경이 점진적으로 진행되는 환경에서 자랍니다. 시스템은 결코 양호했던 최근 상태로 회복되지 않습니다. 서버와 애플리케이션을 알려진 정상 상태로 재포장하여 공격 발생 가능 시간을 줄입니다.
사용자 인증 정보 유출 사용자 인증 정보는 거의 회전되지 않습니다. 그러므로 공격자들은 사용자 인증 정보를 발견할 경우 오랫동안 유효한 상태로 유용하게 남아 있기 쉽상입니다. 사용자 인증 정보를 자주 회전시켜 단기간 동안만 사용할 수 있게 합니다.



클라우드 네이티브 보안과 Pivotal

다음은 Pivotal이 조직들의 3 R 모델 적용을 도운 방법입니다.

기업들은 Pivotal Operations Manager를 사용해 애플리케이션을 중지시키지 않고도 데이터 센터의 모든 가상 머신 (VM)을 매 2~3시간 단위의 알려진 정상 상태로 재포장할 수 있습니다. Concourse같은 지속적인 통합 도구의 애플리케이션을 배포할 수 있으며, 애플리케이션 컨테이너도 2~3 시간마다 재포장할 수 있습니다.
조직은 패치 가능한 시간 내에 취약한 운영체제와 애플리케이션 스택을 지속적으로 수리할 수 있습니다. 이것은 운영자들의 전통적인 골든 이미지 사용을 변형시킨 것입니다. Pivotal은 이를 “줄기세포”라고 부릅니다. 우리는 Pivotal Cloud Foundry 고객용 최신 OS 패치로 줄기세포를 업데이트합니다. 그러면 관리자는 그들 환경에 맞춰 새 이미지를 롤아웃합니다. Pivotal은 애플리케이션 스택에는 빌드팩을 사용해 런타임과 프레임워크 사용을 최신으로 유지합니다.
현대적 시스템에서는 수십개의 개별 사용자 인증 정보를 포함할 수 있으므로 기업들에게는 매우 벅찬 작업이겠지만 그래도 시스템의 사용자 인증 정보를 2~3분 또는 2~3 시간마다 회전시켜야 합니다. 오늘날 Pivotal 고객들은 Pivotal이 자동화된 사용자 인증 정보 관리에서 하듯이 다단계 인증을 거치는 ID 관리 시스템을 사용해 시스템 안전을 보호합니다.

뿐만 아니라 Pivotal은 다음과 같은 업계 표준과 보안 요구 사항도 준수합니다.

PCI 규정 준수는 Pivotal Cloud Foundry와 함께 개선될 수 있습니다. 특히 선택적으로 IPsec 애드온 모듈을 사용할 경우 팀은 OSI 모델의 네트워크 계층에 보안을 추가하여 IPsec을 strongSwan 구현하게 됩니다. IPsec 애드온은 각 BOSH 배포 VM에 strongSwan 작업을 제공합니다. IPsec은 호스트-호스트, 보안 게이트웨이-보안 게이트웨이, 보안 게이트웨이-호스트 간의 IP 데이터 흐름을 암호화합니다. 악의적인 행위자가 방화벽을 위반하고, 나아가 PCI 규정 준수도 위반할 경우 IPsec 애드온 모듈은 Cloud Foundry 배포 내에서 네트워크 트래픽의 보안을 지키고 내부 시스템을 보호합니다.
싱글 사인온 (SSO)은 Pivotal Cloud Foundry의 애플리케이션과 API에 안전하게 액세스하기 위한 일체형 솔루션입니다. SSO 서비스는 기본 인증, 통합 SSO, 권한 부여를 지원합니다. 운영자는 기본 인증과 통합 SSO을 구성할 수 있습니다. 예를 들어 SAML을 구성해 애플리케이션 사용자들의 ID를 검증합니다. 인증후 SSO 서비스는 OAuth 2.0을 사용해 리소스나 API를 안전하게 보호합니다.
Pivotal Cloud Foundry는 역할 기반 액세스 제어 (RBAC) 시스템을 사용해 조직이나 특정 영역 범위 내에서의 역할에 적합하도록 탄력적인 런타임 사용자 권한을 부여합니다.


Pivotal 적용 사례
한 대형 투자은행은 Pivotal의 정기적인 줄기세포 업데이트를 통해 그들 환경에서 일상적으로 CVE를 삭제합니다.
모든 Pivotal Web Services 고객들은 Pivotal이 패치하고 엄격하게 테스트하는 런타임 빌드팩을 사용해 애플리케이션을 시작합니다. 2개의 최신 버전을 사용할 수 있으며 이전 (또는 좀더 취약한) 버전의 사용을 예방합니다.
한 자동차 제조사는 Pivotal Cloud Foundry의 역할 및 권한을 사용해 수십개의 팀과 수백개의 마이크로서비스에 대한 액세스를 세분화합니다.



Pivotal Cloud Foundry
완전 자동화된 셀프 서비스 배포 실시


Pivotal Web Services
The agile platform for the agile team powered by Cloud Foundry


IPsec Add-On for PCF
Authentication & encryption at the IP layer to secure network communications between VMs


클라우드 네이티브 보안 관련 추가 리소스 보기

전체 리소스 보기

Get started with Cloud-Native Security
클라우드 네이티브 플랫폼으로 규정 준수와 보안 도움

자세한 정보

Pivotal Cloud Foundry 애플리케이션용 엔터프라이즈 싱글 사인온

자세한 정보

Build software people love at SpringOne Platform

자세한 정보

Read Next
플랫폼 재구성