클라우드 시장이 커져감에 따라 대형 CSP 3사의 점유율 역시 높아지고 있습니다. 많은 기업들이 클라우드를 도입하고 있는데, 21세기 들어 생겨난 신산업인만큼 기업에서는 기존에 없던 문제를 겪고 있습니다. 가령,
퍼블릭 클라우드를 사용하는데 장애 혹은 보안사고가 터진다면 ..?
이라던지. 장애 또는 피해를 입었을 때 어떤 상황에 누가 책임을 질 것인가 하는 질문에, AWS에서는 책임공유모델을 만들어 책임을 분명하게 했습니다.
책임공유모델은 퍼블릭 클라우드 사용 시 장애나 보안사고 등의 피해가 발생했을 때, AWS가 책임져야 할 부분과 고객이 책임져야 하는 부분을 나누어 놓은 모델입니다.
출처: AWS
책임을 가르는 기준은 생각보다 간단합니다. AWS 서비스 자체가 문제라면 AWS책임, 서비스는 정상적인데 이슈가 발생했다면 고객책임. 이것을 다르게 얘기하자면, 클라우드'의' 보안과 클라우드'에서의' 보안으로 나누어 볼 수 있습니다.
AWS는 클라우드의 보안에서 책임을 집니다. 클라우드의 서비스 및 리소스 제공에 있어서 장애가 생기거나 보안사고가 났을 때는 전적으로 AWS의 책임입니다.
고객은 클라우드에서의 보안에서 책임을 집니다. 고객이 선택하는 서비스에 따라서 책임의 영역이 달라지는데, EC2의 경우 보안그룹, NACL 등으로 보안을 설정해주어야 합니다. 또한 운영체제의 업데이트, 방화벽 등으로 보안을 구성해야 합니다. 이러한 영역은 고객이 신경써야 할 부분이기에 AWS에서 책임지지 않습니다.
출처: Stackscale
이것을 IaaS, PaaS, SaaS로 나눠서 볼 수도 있습니다.
IaaS에서는 고객이 컴퓨팅 리소스를 직접 제어하기 때문에 인프라에 장애가 생겼을 때 책임의 비중이 높다고 볼 수 있습니다. 고객이 모두 제어한 것일테니까요.
PaaS를 사용한다면, 플랫폼과 SaaS를 제어하는 과정에서 생긴 장애만 고객의 책임이 될 것입니다.
SaaS도 마찬가지로, 소프트웨어 단계에서의 장애만이 고객의 책임이며 플랫폼과 인프라 단계에서의 장애는 AWS의 책임이 될 것입니다.
실제 장애, 보안사고가 일어난다면 훨씬 복잡하겠지만 기본적인 룰은 이렇습니다. 모든 엔지니어 분들이 공동 책임 모델을 숙지해 클라우드를 야무지게 사용하길 바라며 글을 마치겠습니다.
참고문서: https://aws.amazon.com/ko/compliance/shared-responsibility-model/
