클라우드 네이티브 보안이란 무엇인가요?

클라우드 네이티브 보안은 클라우드 환경에서 빌드 및 구축된 애플리케이션을 위해 특별히 설계된 일련의 보안 관행 및 기술을 의미합니다. 여기에는 네트워크 기반 보호에 의존하는 기존 보안 접근 방식에서 ID 및 액세스 관리, 컨테이너 보안 및 워크로드 보안, 지속적인 모니터링 및 대응을 강조하는 애플리케이션 중심 접근 방식으로 사고방식의 전환이 필요합니다.

클라우드 네이티브 보안 접근 방식에서는 보안이 사후에 추가되는 것이 아니라 처음부터 애플리케이션과 인프라에 내장됩니다. 이를 위해서는 자동화된 보안 제어, DevOps 프로세스, 클라우드 환경의 복잡하고 동적인 특성을 관리할 수 있는 숙련된 보안 전문가의 조합이 필요합니다. 클라우드 네이티브 보안의 목표는 클라우드 환경 고유의 위협과 취약성으로부터 보호하는 동시에 규정 및 표준 준수를 보장하는 것입니다.

클라우드 네이티브 보안 설명

클라우드 네이티브 기술은 모놀리식 애플리케이션 아키텍처의 복잡성을 없애고 최신 개발 파이프라인에 급격한 변화를 가져옴으로써 기존의 소프트웨어 개발 모델을 거의 쓸모없게 만들었습니다. 이 새로운 패러다임은 많은 이점을 제공하지만 새로운 도전과제를 제시하기도 합니다. 이 중 클라우드 네이티브 보안 문제만큼 고집스럽고 위험하거나 복잡한 문제는 거의 없습니다.

거의 모든 클라우드 네이티브 애플리케이션 보안 문제는 클라우드 네이티브 애플리케이션 자체의 특성에서 찾을 수 있습니다: 모놀리식 애플리케이션 아키텍처가 비교적 정적인 반면, 클라우드 네이티브 애플리케이션 아키텍처는 매우 동적입니다. 컨테이너와 서버리스 기능을 사용하면 클라우드 애플리케이션은 온프레미스와 오프프레미스 사이를 이동하고, 심지어 여러 클라우드 플랫폼을 오가며 끊임없이 축소 및 확장할 수 있습니다. 이로 인해 여러 가지 보안 문제가 발생합니다.

클라우드 네이티브 아키텍처 이해하기

마이크로서비스 아키텍처

마이크로서비스 아키텍처는 애플리케이션을 느슨하게 결합된 소규모의 서비스 모음으로 구성하는 소프트웨어 개발 접근 방식입니다. 각 마이크로서비스는 특정 비즈니스 기능을 담당하며 독립적으로 개발, 구축 및 확장할 수 있습니다. 이러한 모듈식 접근 방식을 통해 클라우드 네이티브 애플리케이션의 민첩성, 유연성, 복원력을 향상할 수 있습니다.

보안 관점에서 마이크로서비스 아키텍처는 서비스 간의 통신 보안, 데이터 무결성 보장, 여러 서비스에 걸쳐 흐르는 민감한 데이터 보호와 관련된 문제를 야기합니다.

컨테이너화

컨테이너화는 애플리케이션과 애플리케이션의 종속성을 컨테이너라는 가볍고 격리된 단위로 캡슐화하는 프로세스입니다. 컨테이너는 효율적이고 일관된 런타임 환경을 제공하여 애플리케이션이 다양한 인프라 플랫폼에서 일관되게 실행될 수 있도록 합니다. 또한 컨테이너는 이동성이 뛰어나 개발, 테스트, 프로덕션 등 서로 다른 환경 간에 애플리케이션을 쉽게 이동할 수 있습니다. 그러나 컨테이너화는 컨테이너 이미지 내의 취약성, 컨테이너 격리, 안전한 컨테이너 오케스트레이션의 필요성 등 새로운 보안 문제를 야기하기도 합니다.

Kubernetes를 사용한 오케스트레이션

Kubernetes는 컨테이너화된 애플리케이션의 구축, 확장 및 관리를 자동화하는 널리 채택된 컨테이너 오케스트레이션 플랫폼입니다. 컨테이너의 수명 주기를 관리하기 위한 강력한 프레임워크를 제공하고 애플리케이션의 원하는 상태가 유지되도록 보장합니다. 보안 관점에서 볼 때, Kubernetes는 클러스터 보안, 액세스 제어 및 모니터링과 관련된 과제를 안고 있습니다.

고정된 경계를 넘어서는 클라우드 네이티브

과거에는 애플리케이션 보안 팀이 고정된 경계를 만드는 하드웨어 방화벽을 통해 물리적 데이터 센터에서 실행되는 정해진 수의 서버만 보호하면 되었습니다. 이는 클라우드 네이티브 애플리케이션에서는 작동하지 않습니다. 보안 팀은 온프레미스와 오프프레미스, 여러 클라우드에서 모두 작동할 수 있고 하루는 수백만 개의 워크로드 인스턴스로 대규모로 확장되었다가 다음 날에는 수백 개로 축소될 수 있는 애플리케이션에 대해 정적 방화벽을 설정할 수 없습니다.

진단의 어려움

클라우드 네이티브 애플리케이션 아키텍처의 탄력성과 복잡성으로 인해 특정 보안 이상 징후나 사고의 원인을 신속하게 진단하기는 어렵습니다. 보안 팀은 위협을 진단하고 해결하는 속도가 위협을 해결하는 데 사용하는 특정 도구만큼이나 중요하기 때문에 이는 보안 팀에게 도전 과제입니다.

DevOps 속도 가속화

이제 애플리케이션의 다른 부분에 영향을 주지 않고 개별 서비스를 쉽게 오프라인으로 전환하고 수정 또는 교체할 수 있으므로 DevOps 팀은 과거보다 훨씬 더 자주 새 릴리스와 업데이트를 배포할 수 있습니다. 그러나 보안 팀이 과거에 사용하던 수동 프로비저닝 및 정책 관리 프로세스는 더 이상 최신 릴리스 주기를 따라잡을 수 없습니다.

클라우드 네이티브 보안의 핵심 요소

보다 효과적인 클라우드 네이티브 보안 솔루션을 구현하려면 보안, 운영 및 개발자 팀이 클라우드 네이티브 보안의 핵심 요소를이해해야 합니다. 여기에는 다음이 포함됩니다:

• 인벤토리 및 분류: 보안 운영 팀이 소프트웨어 스택 전반의 잠재적 취약성을 명확하게 파악하려면 모든 자산에 대한 정확한 인벤토리와 적절한 분류가 필수적입니다.
• 규정 준수 관리: 시스템은 업계 및/또는 법적 규정(예: 표준 구성, 보안 모범 사례, 신뢰할 수 있는 레지스트리 사용)을 일관되게 적용하도록 설계되어야 합니다.
• 네트워크 보안: 자산과 네트워크 트래픽의 보안을 보장하기 위한 조직의 전략과 프로비저닝에는 네트워크상의 모든 시스템과 정보의 기밀성, 무결성, 가용성을 유지하기 위해 모든 네트워크 트래픽 흐름에 대한 분석이 포함되어야 합니다.
• ID 및 액세스 관리(IAM) 보안: IAM 보안은 클라우드 리소스를 특정 개인으로 제한하는 관행입니다. 여기에는 액세스 거버넌스, 권한 모니터링 , 머신 러닝 기반의 사용자 엔터티 행동 분석(UEBA)과 같은 활동이 포함됩니다.
• 데이터 보안: 여기에는 데이터 분류, 데이터 손실 방지, 클라우드 스토리지에 대한 멀웨어 검사 등 저장된 데이터의 보안과 관련된 내용이 포함됩니다.
• 취약점 관리: 전체 애플리케이션 수명 주기에서 취약점을 식별하고 예방하려면 클라우드 환경의 모든 호스트, 이미지 및 기능을 지속적으로 모니터링해야 합니다.
• 워크로드 보안: 클라우드 인스턴스에 배치된 각 개별 업무 기능을 보호하면 워크로드 전반에 대한 가시성이 향상되며 취약성 검사 및 런타임 보안도 포함되어야 합니다.
• 자동화된 조사 및 대응: 보안 도구는 자동 수정 기능과 보안 운영 센터(SOC) 및 티켓팅과의 통합을 제공하는 것이 이상적이며, 필요에 따라 타사 도구도 제공해야 합니다.

클라우드 네이티브 보안 전략

최근 다양한 수준의 효과를 자랑하는 클라우드 네이티브 보안 전략이 등장했습니다. 여기에는 다음이 포함됩니다:

• 공유 책임 모델: In the 공유 책임 모델에서클라우드 공급자는 기본 인프라를 보호하고 고객은 자체 애플리케이션, 데이터 및 클라우드에 대한 액세스를 보호할 책임이 있으며, 이 개념은 다른 모든 최신 클라우드 네이티브 보안 전략의 기초를 형성합니다.
• 다계층 보안: 클라우드 서비스는 일반적으로 시설, 네트워크, 하드웨어, OS, 미들웨어, 애플리케이션, 사용자 등 7개의 계층으로 구성됩니다. 다계층 보안은 각 계층을 모니터링하여 위험을 식별하고 취약성을 완화합니다. 이 접근 방식에는 클라우드 인식 방화벽 및 엔드투엔드 암호화와 같은 여러 도구가 포함될 수 있습니다. 하지만 이렇게 서로 다른 도구를 관리하는 것은 번거로울 수 있습니다.
• 클라우드에 구애받지 않는 보안 플랫폼: 클라우드 네이티브 보안 요구 사항을 관리하는 가장 효과적인 전략인 이러한 플랫폼은 에코시스템 전반의 가시성을 제공하고(클라우드 공급업체 종속성을 줄임), 과중한 업무에 시달리는 보안 팀을 위해 알림과 도구를 간소화할 수 있습니다.

클라우드 네이티브 보안 FAQ