보안 전문가들이 본 2017년 클라우드, "데이터의 피난처가 될까"

Ryan Francis | CSO
[2017.01.06.]

보안에 대한 우려가 퍼블릭 클라우드 도입의 가장 큰 걸림돌이었던 때가 있었다. 그러나 2017년부터는 더 이상 아니다.

에비던트 아이오(Evident.io) CEO 팀 프렌더개스트에 따르면, 퍼블릭 클라우드의 보안이 견고하다는 인식이 점차 확산되면서 기업의 주요 관심사도 보안에서 컴플라이언스로 옮겨가고 있다. 클라우드로 전환하는 기업들은 안전하게, 규정에 맞는 방식으로 업무를 처리하고 있음을 입증할 수 있어야 하기 때문이다.

프렌더개스트는 "PCI, HIPAA, NIST-800 53 또는 내부 컴플라이언스 표준 등 조직은 클라우드에서 일어나는 빠른 변화 속에서도 컴플라이언스를 유지할 수 있음을 입증해야 한다"면서, "이를 위해서는 손쉽게 측정하고 보고할 수 있게 해주는 보안 및 컴플라이언스 자동화 솔루션을 도입해야 한다"고 말했다.

프로텍트와이즈(ProtectWise) CEO이자 공동 창업자인 스콧 체이신은 클라우드 덕분에 보안은 유틸리티가 될 것이라며 "2017년에는 더 많은 기업 보안 조직이 클라우드를 사용해 가시성을 높이고 지속적인 분석 처리를 하게 될 것"이라고 말했다.

<중략>

공격의 대상이 될 IaaS

워치가드(Watchguard) CTO 코리 나크라이너는 "공격자들이 서비스 형태의 인프라(IaaS)를 공격 플랫폼과 공격 표면, 두 가지 모두로 이용할 것"이라고 경고했다.

오피스 365, 세일즈포스, 드롭박스와 같은 서비스 형태의 소프트웨어(SaaS)든 아마존 AWS, 마이크로소프트 애저와 같은 퍼블릭 서비스 형태의 인프라(IaaS) 플랫폼이든 모든 규모의 기업들이 지난 5년 동안 클라우드 서비스를 도입해왔다.

특히 퍼블릭 IaaS는 중소 기업들 사이에서도 빠르게 성장하고 있다. 라이트스케일(RightScale)의 2016 클라우드 현황 보고서에 따르면, 중소기업의 71%가 AWS 또는 애저에서 하나 이상의 애플리케이션을 운용하고 있다. 그러나 나크라이너는 "이런 플랫폼을 도입하는 기업이 많아질수록 클라우드는 사이버범죄자들의 더 큰 목표물이 된다"고 말했다.

<중략>

클라우드 전환시 기업들이 확인해야 할 것

기업은 클라우드 제공업체 계약을 면밀하게 검토해 데이터 라이프사이클 전반에 걸쳐 데이터 및 액세스 관리를 위한 프로세스가 있는지 확인해야 한다.

예를 들어 제공업체 또는 다른 계약 업체와의 비즈니스가 완료되면 데이터 또는 데이터에 대한 계약 업체의 액세스 권한은 어떻게 처리되는가? 블랙은 "액세스를 어떻게 관리하는가? 데이터를 어떻게 제공하고 어떻게 저장하는가?와 같은 질문을 던져야 한다"고 말했다.

에퀴닉스(Equinix) CIO 밀린드 와글은 "멀티 클라우드 수요로 인해 정보보안 담당자들이 바빠질 것"이라면서 "2017년은 기존 기업 데이터센터가 구내, 코로케이션, 클라우드 기반 환경의 다양한 조합으로 성숙해지는 시기가 될 것"이라고 말했다.

게다가 글로벌 고객과 직원을 지원하기 위한 지리적으로 분산된 인프라에 대한 수요가 증가하면서 상황은 더욱 복잡해진다. 이런 추세에 대처하기 위해 CIO와 CSO는 올바른 멀티 클라우드 아키텍처를 구축해야 할 뿐만 아니라 이 아키텍처를 지속적으로 분산시키고 다듬고 서비스하고 보호해야 한다.

<중략>

백업 솔루션

아피리오의 와인스타인은 CISO가 데스크톱 및 노트북에서 발생하는 보안 위험을 최소화하기 위해 저장 장치로서 데스크톱과 노트북에 대한 사용자의 의존도를 낮추게 될 것이라고 말했다.

사용자가 하드 드라이브가 아닌 클라우드에 손쉽게 데이터를 저장할 수 있도록 하는 워크플로우가 설계될 것이다. 사용자 쓰기가 가능한 하드 드라이브 부분을 사용자 세션 간에 지워지는 단기적 스토리지로 취급하는 크롬북의 사례를 따르는 노트북 개발업체가 증가할 것이다.

<중략>

그 외의 예측

- 아피리오 CEO 와인스타인의 예상

이중 요소 인증(2FA)이 클라우드 앱의 필수 기능이 된다. 개발업체는 옥타(Okta), ADFS와 같은 주요 클라우드 ID 제공업체에 네이티브 이중요소 인증 기능과 SAML 지원 통합을 제공해야 할 것이다.

<중략>

- 트위스트록(Twistlock)의 CEO이자 공동 창업자 벤 번스타인의 예상

클라우드 네이티브 시스템이 제로 트러스트(zero trust) 네트워크를 유도한다. 더 많은 클라우드 네이티브 애플리케이션과 시스템이 나올수록 경계 기반 보안 보호는 끔찍한 일이 될 것이다.

또한 보호 기능이 클라우드 네이티브 형태로 데이터 및 애플리케이션과 함께 이동하는 제로 트러스트 보안 모델이 더 부상할 것이다.

기사 상세 내용 보기_클릭