주요 정보

• 교육 과정명 : 클라우드기반 스마트융합보안 과정 16기
• 교육 회차 정보 : '24. 01. 17. 클라우드 보안 컨설팅 실무 #01

학습 요약

• 클라우드컴퓨팅 서비스 및 보안과 아키텍처
• 클라우드컴퓨팅서비스 아키텍처 및 기초

참고 정보

• 클라우드컴퓨팅 회사가 중요한게 아니라 개인의 퍼포먼스, 역량이 중요하다.
• 개별 환경 모의해킹보다 CVE 위주로 학습해라

클라우드컴퓨팅 서비스 및 보안과 아키텍처

클라우드컴퓨팅서비스 개념 및 용어 정리

1. 국내외클라우드 보안인증 지원 컨설팅

• 국제 기준 : CSA(cloud security alliance) STAR(국제산업표준클라우드), IS027017(≒CSAP), ISO27018(≒PIA)

  • 국제표준 기술은 국내의 요건부족, 보안 검증되지 않은 부분은 국제표준 기술을 따른다.

• 국내 기준 : CSAP(Cloud Security Assurance Program), 클라우드컴퓨팅서비스 보안인증에 간한 고시 ('23. 1. 31 ~)

• 국내외 인증 참고사이트

• 클라우딩 컴퓨팅 법 제23조 2항
  

2. 클라우드 거버넌스(기업/기관 비지니스 전략적 목적 연계 및 보안 체계 마련)체계가 존재한다.
   정책, 지침
   조직, 프로세스
   관련한 내용을 컨설팅

3. 클라우드 보안 ISP(Information StInformation Strategy Planning) 그리고 마스터플랜

4. 클라우드 보안 평가

5. 클라우드 보안 아키텍처 컨설팅

6. 클라우드 보안감사

   • 국제기준
   • 국내기준
   • Certificate of Cloud Auditing Knowledge Study Guide

7. 금융 클라우드 이용신고대응 보안 컨설팅
   

8. 클라우드 취약점 분석, 평가

• CCE
• CVE (Common Vulnerabilities and Exposures), SW 제작사는 취약점을 CVE코드로 공개의무가 있다. 무료/상용 버전 툴을 사용해 점검해야 한다.

9. 국가 클라우드 컴퓨팅 서비스 도입 보안컨설팅

• 국가 정보보안기본지침 제41조(국정원)
  

보안성 검토, 클라우드 컴퓨터 중요도평가, 보안기준(국정원 정보보안기본지침)

클라우드 컴퓨팅 개념 및 도입 이점

클라우드 컴퓨팅 특징

1. 온디맨드 서비스 액세스
2. 대규모 사전 투자 방지 (공급자, 제공자가 제공하는 인프라 사용)
3. 필요에 따라 컴퓨팅 리소스 프로비저닝
4. 사용한 만큼만 비용 지불

CAPEX, Capital Expenditures: 자본적 지출

클라우드 기반 배포

• 애플리케이션의 모든 부분을 클라우드에서 실행 가능 (DevOps)
• 기존 애플리케이션을 클라우드 마이그레이션
• 클라우드에서 새로운 애플리케이션 설계 및 구축

클라우드 컴퓨팅 이점

1. 가변 비용 : 사용한 만큼만 지불한다.

• 온프레미스 환경에서는 초기비용(기술 리소스 사용 전 투자 필요)

2. 비용 최적화 : 데이터선터 운영 필요 없이 애플리케이션과 고객에 집중

• 온프레미스 환경은 데이터 센터 운영, 애플리케이션과 고객 집중에 투자 필요

3. 용량 : 가변적 인프라 용량 산정 가능

• 아키텍처 관점 설계 후 필요에 따라 Scale out or in

4. 규모의 경제 : 집계된 고객 사용량으로 비용 소요 이점
5. 속도 및 민첩성 : 리소스 필요 시점과 리소스 확보 시점 간 간격이 분 단위 (인프라, 애플리케이션 수정에서의 민첩성)

• 온프레미스 환경에서는 데이터 센터 운영으로 리소스 필요 시점과 리소스 확보 시점 간 간격이 주 단위로 이루어진다.

6. 빠른 배포 : CSP(클라우드서비스제공자)의 글로벌 인프라 사용, 애플리케이션 전 세계에 빠르게 배포

클라우드컴퓨팅서비스 용어

ISO/IEC 22123-1:2023 기준

• CSP(Cloud Service Provider) : 클라우드서비스제공자, 정의된 인터페이스 이용해 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러가지 능력을 제공하는 업체
• CSC(Cloud Service Customer) : 클라우드서비스고객, 정의된 인터페이스를 이용해 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러 가지 능력을 이용할 목적으로 사업적 관계를 맺고 있는 당사자
• CSN(Cloud Service partner) : 클라우드서비스파트너(브로커), CSP 또는 CSC의 활동을 지원하거나 보조하는 당사자

• CSP & MSP 가 뭘까?
• CSN과 MSP차이점은?
• CSN(Cloud Service PartNer, 클라우드서비스파트너, 브로커) : CSP, CSC 활동 지원 및 보조. 클라우드보안인증 컨설팅 업체,
  CSN 역할 분야 중, Cloud Service Developer, Cloud Service Broker, Managed Servcie Partner, Cloud Service Auditor 존재한다.
  이때, Cloud Service Broker, Managed Servcie Partner 역할과 MSP 역할이 동일한 것이다.
• MSP는 (Managed Service Partner) : 회사나 조직에 IT 서비스 제공 역할. IT 서비스 종류가 클라우컴퓨팅이라면, CSP 대신 클라우드컴퓨팅서비스 제공, 과금 처리, 고객 지원 및 관리, 기술지원, 클라우드 컴퓨팅 서비스 구축, 컨설팅 을 수행.
  결론 : MSP는 IT 보조 도우미, CSN: 클라우드서비스 도우미

• Cloud Computing : 샐프서비스 제공 및 주문형 관리가 이루어지며 공유가 가능하고 확장성과 탄력성이 있는 물리적 또는 가상적인 리소스 풀에 대한 네트워크 접근을 제공하는 패러다임.

• Cloud Computing Service : 정의된 인터페이스를 이용해 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러가지 능력

• Cloud Service Party Model : 클라우드서비스 범주 모델, 클라우드 서비스 집단( IaaS, PaaS, SaaS, NaaS, SECaaS, AIaaS)

• Cloud Service Deployment Model : 클라우드 서비스 모델, 물리적 또는 가상 리소스에 대한 제어와 공유를 조직할 수 있는 클라우드 컴퓨팅 방식 (커뮤니티 클라우드, 하이브리드 클라우드, 사설 클라우드, 공용 클라우드 존재)

• IaaS ((Infrastructure as a Service) : CSC는 물리적, 가상적 리소스를 관리 및 통제하지 않지만, 가상 리소스 이용하는 운영체계, 저장장치 및 설치된 애플리케이션을 통제한다.

• PaaS ( Platform as a Service) : CSP가 지원하는 CSC가 하나 또는 여러 개의 프로그래밍 언어와 하나 또는 여러개의 실행 환경을 이용해 고객이 생성하거나 획득한 앱을 설치, 관리, 실행할 수 있는 클라우드 능력

• SaaS(Software as a Service) : CSP가 CSC에게 제공하는 애플리케이션. CSC는 자체 데이터 생성, 이용, 삭제처리를 할 수 있다.

• Cloud Service Customer Date : 클라우드서비스 고객 데이터 : 법령 또는 기타 이유로, 클라우드 서비스로 공개된 인터페이스를 통해 CSC 또는 CSC를 대신해 클라우드 서비스의 능력을 행사한 결과. 클라우드 서비스에 투입되 CSC 통제 하의 데이터 객체 클래스

• Data Portalility : 데이터 이식성, 데이터를 다시 입력할 필요 없이 한 시스템에서 다른 시스템으로 데이터를 쉽게 전송하는 능력. 얼마나 쉽게 데이터가 이동하는지가 중요하다.

• Measured Service : 종량제 서비스, 사용량을 감시, 제어, 보고 및 청구할 수 있도록 클라우드 서비스 양을 측정해 제공하는 서비스

• Multi-Tenancy = Tenant : 멀티 테넌시(= 테넌트), 복수의 테넌트를 멀티 테넌시라고 한다. 테넌트란 물리적, 가상적 리소스 집합에 대한 접근권을 공유하는 한 명 또는 다수의 클라우드 서비스 사용자. (고객 접수 관리팀, SaaS 기반에서 많이 사용한다) (테넌트는 일종의 독립적인 프로그램)

• Reversibility : 가역성, CSC는 클라우드 서비스 고객 데이터, 애플리케이션 잔재물 회수, CSP는 계약 기간 이후 계약에 명시된 클라우드 서비스 파생 데이터와 클라우드 서비스 고객 데이터 삭제하는 과정
  

• 상호운용성 : Interoperability, 둘 이상의 클라우드 컴퓨팅 시스템 또는 애플리케이션이 정보를 교환하고 교환한 정보를 상호적으로 사용할 능력

• 클라우드 애프리케이션 이식성(Cloud Application Portability) : 클라우드 서비스에서 다른 클라우드 서비스로 애플리케이션을 이적하는 능력

• 클라우드 감사자(Cloud Auditor) : 클라우드 서비스의 제공과 사용에 대한 감사를 수행할 책임이 있는 클라우드 서비스 파트너(CSN)

• DDaaS(Data Storage as a Service): 데이터 저장 및 관련 능력을 CSC에게 제공하는 클라우드 서비스 범주

• NaaS(Network as a Service) : 전송 연결성과 관련된 네트워크 능력을 CSC에게 제공하는 클라우드 서비스 범주. 애플리케이션, 인프라, 플랫폼 능력 유형 중 하나를 CSC에게 제공
  
  NAS가 아니다!!!

• AIaaS(AI as a Service) : 인공지능형 서비스, 다양한 AI 기반 기능을 포함해 CSP가 CSC에게 서비스 형태로 제공하는 인공지능 소프트웨어를 의미한다.

• 멀티 클라우드 (Multi-Cloud) : CSC가 둘 이상의 클라우드 서비스 제공업체가 제공하는 퍼블릭 클라우드 서비스를 사용하는 클라우드 배포 모델
• 연합 클라우드 (Federated Cloud) : 클라우드 서비스 연합(Federated)의 구성원이 클라우드 서비스를 제공하는 클라우드 배포 모델
• 클라우드 서비스 연합 (Cloud Service Federated) : 클라우드 서비스를 제공하기 위해 합의된 정책, 프로세스 및 신뢰에 의해 결합된 둘 이상의 클라우드서비스 제공업체
• 상호간 클라우드(Inter-Cloud) : CSP가 다른 CSP에게 제공하는 하나 이상의 클라우드 서비스를 사용해 클라우드 서비스를 제공하는 클라우드 배포 모델
• 클라우드 서비스 이용자 (Cloud Service User) : 클라우드 서비스를 사용하는 클라우드 서비스 고객과 관련된 자연인 또는 이들을 대리하는 법인
• 서비스형 컨택 센터 CCaaS(Contact Center as a Service) : 고객 센터 제공업체의 소프트웨어를 활용할 수 있도록 하는 클라우드 기반 고객 경험 솔루션.

Cloud Service Deployment Model

클라우드 서비스 배치 모델
1. 공용 클라우드
- 특정 기업이나 사용자를 위한 서비스가 아닌 인터넷에 접속 가능한 모든 사용자를 위한 클라우드 서비스 모델
- 데이터나 기능, 서버같은 자원은 각 서비스에서 사용자 별로 권한 관리가 되거나 격리되어 서비스 사용자 간에는 전혀 간섭이 없다는 장점 보유

2. 사설 클라우드
   • 제한된 네트워크 상에서 특정 기업, 사용자만을 대상으로 하는 클라우드 서비스의 자원과 데이터는 기업 내부에 저장된다. 또한 기업이 자원의 제어권을 가지고 있다.
   • 뛰어난 보안성을 가진다.
     -개별 고객의 상황에 맞게 클라우드 기능을 커스터마이징 가능한 장점 보유.
3. 커뮤니티 클라우드
   • 중앙 집중식 클라우드 인프라가 필요한 경우 여러 고객이 커뮤니티에 속한 공동 프로젝트 및 애플리케이션에서 작업할 수 있도록 하는 것.
   • 다양한 유형의 클라우드 솔루션에서 제공하는 서비스를 통합해 비지니스 부문의 특정 문제를 해결하는 분산 인프라
4. 하이브리드 클라우드
   • 최소 2개의 클라우드 배치 모델을 이용하는 클라우드 배치 모델
   • 종류 : 온/오프 프레미스, 다른 종류의 배치모델 2개
   • 배치 모델의 여러 장점을 보유 가능

2. 클라우드컴퓨팅서비스 아키텍처 및 기초

CCRA(cloud computing reference architecture) : 클라우드컴퓨팅 참조 아키텍처
CSPM, 클라우드서비스 범주 모델 (IaaS, PaaS, SaaS, NaaS, SECaaS, AIaaS)

클라우드 인프라 개요

CSP를 통한 클라우드 인프라 : 리전, AZ로 구성

ISO/IEC 22123-3 기반 클라우드 컴퓨팅 정의 모델

필수 특성

클라우드 컴퓨팅에서 각 컴포넌트들은 필수적인 특성이다.

• Resource Pooling : CSP는 리소스를 추상화해 풀로 수집한다. 풀의 일부는 소비자에게 할당 가능하다.
• Broad Network Access: 광범위한 네트워크 접근은 물리적 접근 필요 없이 네트워크를 통해 모든 리소스 사용을 의미한다. 네트워크가 반드시 서비스의 일부일 필요가 없다.
• Rapid Elasticity : 빠른 탄력성을 통해 풀에서 사용하는 리소스를 자동으로 확장, 축소 가능. 리소스 소비와 수요 일치성 향상.
• Measured Service : 측정된 서비스는 소비자가 할당된 것만 사용하고 필요 시 요금을 부과하도록 하기 위해 제공되는 것을 측정한다.
• On-Demand Self-Service : 인력 관리자와 상의할 필요 없이 자체적으로 리소스 관리

클라우드 컴퓨팅 논리적 모델

클라우드 컴퓨팅의 논리적 모델을 4가지로 구분가능.

• Infostructre : 데이터 및 정보, DB, 파일 저장소 등의 콘텐츠
• Applistructre : 클라우드에 배포된 애플리케이션과 이를 구축하는데 사용된 기본 애플리케이션 서비스(고객 콜센터와 같은 서비스형 플랫폼 기능)
• Metastructure : 인프라 계층과 다른 계층 간 인터페이스를 제공하는 프로토콜 및 메커니즘
• Infrastructure : 컴퓨팅 시스템의 핵심 구성 요소(컴퓨팅, 네트워크, 스토리지, 등 모든것이 구축되는 기반)

SSRM

SSRM이란? Shared Security Responsibility Model 약자로, 공유 보안 책임모델의 약자로 안전 클라우드 서비스 목적으로 CSC와 CSP 책임 역할 구분한다.

SSRM 매트릭스(NHN 클라우드)

대표적인 클라우드서비스 모델 3가지를 클라우드 계층 12개로 구분.

아래 표는 SCP와 SCC의 책임영역을 SSRM 기준으로 구분한다. CSP 책임영역은 파란색, CSC 책임영역은 무색구분.

1차 모듈프로젝트에서 사용자/개발자 관점으로 각 SaaS/IaaS 생성
관점 기준으로 모델 선택 후 취약점 점검

SSRM 모델 준거성

'24. 1. 25 기준 국내 SSRM 준거성 없음.

Q. CSP/CSC 장애 발생시 준거성 부족으로 책임소재 구분하기 어려울 것 같다.
A.Database 클라우드 자원 Provisioning만 CSP 책임.
아래와 같은 보안 이슈 발생 시, 책임 구분 확인.

• Database 무결성 방지 기능에 오류 발생 : CSP 보안책임
• Database 암호화 적용 DB 생성, Table설정 접근통제 설정 : CSC 책임
  AWS기반 클라우드컴퓨팅서비스 이용 시 CSAP 인증 취득할 수 없습니다.
  국가기관 클라우드 정책에 따라 외국계가 IaaS 이상 CSAP 인증취득을 받기 어렵습니다.

클라우드 서비스 종류

IaaS

• IaaS 특징
  * 개발자, 인프라 관리자 역할 분담가능

PaaS

이상적인 애플리케이션 플랫폼 목적의 클라우드 서비스 모델로 사용된다.

• PaaS 특징

1. 표준화된 RunTime 환경 제공
   • PaaS에서 CSC는 가상머신에 Runtime(Java, node.js) 미리 설치 후 소스코드를 올려 배포해 운영한다.

SaaS

사용자 독립적 이용 가능한 애플리케이션 S/W 제공하는 클라우드 서비스이다.
SaaS CSC는 자신이 아닌 CSP 자원을 빌려 서비스를 이용한다. 이를 Terant(테넌트, 임차인)라고 한다.
SaaS 종류 : ERP, Microsoft Office 365, Cloud HIS.

SaaS 특징

• 사용자별 테넌트 사용
  * Application & Data : 사용자 독점 이용하는 애플리케이션 S/W 및 데이터 제공
  • 보안 : 테넌트 별 보안 정책 사용
    • CSC은 암호화 통신 사용 가능(VPN, SSL)
  • 가용성 : 테넌트 별 가용성 보장
  • 확장성 : 온디멘드 용량
  • 과금 : 사용량 측정 및 과금

아키텍처 구분
클라우드 인프라의 코어 구조로 결정.
만약 컨테이너가 없다면 SaaS.
컨테이너 : 단일 SW, 이용자 요청만큼 컨테이너를 탄력적으로 운영 가능.

클라우드 컴퓨팅 참조 아키텍처

• ISO/IEC 22123-3:2023 CCRA(Cloud Computing Reference Architecture)에 따른 클라우드 컴퓨팅 참조 아키텍처

클라우드 서비스 교차적(Cross-Cutting) 측면 13개 영역의 역할 그리고 CSC, CSP, CSN의 공통적 체계와 체계를 위해 수행해야하는 역할을 제시한다.

• 클라우드 거버넌스 : 클라우드컴퓨팅서비스 이용 기업, 기관 존재. 비지니스 목적이 존재한다. 전략적 연계를 마련하는 것.
  클라우드보안관리체계 수립, 클라우드 ISP, MP 수립 시 거버넌스도 목표 모델에서 제시 필요.

  1. 정책
  2. 조직
  3. 조직에 따른 역할과 책임
  4. 절차

• 유지보수 및 버저닝 : 문제 해결 필요성, 업무적 이유에 따른 시설 업그레이드 또는 확장의 이유로 발생 가능하다. 고객이 서비스를 사용 할 때 서비스 작동 방식에 유지보수 및 버저닝은 영향을 미친다.

• 클라우드 성능 : 서비스 가용성, 서비스 요청 완료 응답시간, 트랜잭션 처리속도, 대기시간, 데이터 처리속도, 데이터 스토리지 용량 등이 클라우드 성능 요소이다. 과금 모델에 따라 클라우드 서비스가 SLA 조건에 따라 리소스 사용 확장 가능한 능력 또한 클라우드 성능 측면이 될 수 있다.

Service Level Agreement 란?
서비스 수준 계약(SLA)은 공급업체가 고객에게 제공하기로 약속한 서비스 수준을 명시하는 아웃소싱 및 기술 공급업체 계약.

• 개인식별정보 보호 : CSP는 클라우드 서비스의 개인식별정보(PII, Personal Identification Information) 보호, 목표와 정당성있는 수집, 처리, 전달, 사용 및 폐기를 보장해야 한다.
  가. 관련 법률/고시 이해

  • 개인정보보호법('23. 9. 15 개정 시행)
  • 개인정보 안전성 확보조치('23. 9. 22 개정 시행)
  • 금융기관 : 금융회사 암호화 알고리즘 및 암호화 가이드(금융보안원 금융회사 회원사 대상 비공개 문서)
    나. 클라우드 기반 개인정보처리시스템 환경 분석 및 이해
  • 개인정보처리시스템 내 PII 조사
  • 관련 법률/규정 등에 의거해 개인식별정보 암호화 대상, 접근통제, 접근권한 등 적용여부 검토
  • 클라우드 기반 개인정보처리시스템 아키텍처 검토 : PII 처리 흐름 과정 분석(PII 수집, 저장, 이용/활용, 제3자 제공여부, 위탁관리, 파기(생명주기고려))
    다. 개인정보처리시스템에 대한 기술적/관리적 보호조치 적용
  • PII 처리 관련 통신구간
  • 개인정보취급자에 대한 IAM 사용자 계정 접근권한 적절성, 접근권한 기록(3년)
  • PII 법적 암호화 대상 여부 파악 및 적용
  • 클라우드 기반 개인정보처리시스템의 정보보호시스템 구성 여부(침입차단시스템, WAF, 개인정보 이상탐지 부문 등)
  • 개인정보취급자에 대한 IAM 계정 생성, 권한부여, 권한변경, 삭제 관련 승인 프로세스
  • 클라우드 기반 개인정보처리시스템에 대한 접속기록 여부 확인(최소 1년 이상 보관)

• 회복력 : 결함(비의도적, 의도적, 자연발생적) 직면 시 시스템 허용 가능한 수준의 서비스를 제공 및 유지하는 능력. 클라우드 서비스가 고장 및 복구 조치를 통해 연속가동 또는 예상 가능하며 검증 가능한 가동 정지에 이를 수 있는 일련의 모니터링, 예방 및 대응 프로세스를 말한다.

• 가역성(Reversibility) : CSC이 CSC 데이터 및 애플리케이션 아트팩트 반환하기 위한 프로세스 및 CSP가 CSC 데이터(게약서 명시된 게약 만료 이후 클라우드 서비스 파생 데이터 포함)을 삭제하기 위한 프로세스 (테넌트, 이미지, 가상자원(VPC, 등..) 반환)

• 규제 준수(Regulatory) : CSC, CSP 적용되는 법률 및 규제조항 이해해야 한다. 국내는 아래 5개 종류의 규제를 준수해야 한다.

  가. 클라우드 컴퓨팅법(제22조 상호 운용성, 제23조 신뢰성 향상)
  나. 클라우드컴퓨팅서비스 보안인증 관한 고시(별표 1~4, 별표 4: 공공기관 등이 이용하는 클라우드컴퓨팅서비스 보호조치)
  
  다. 정보통신망법 및 동법 시행령
  라. 개인정보보호법('23. 9. 15 일부개정기준)
  마. 개인정보의 안전성 확보조치 기준('23. 9. 22 일부개정)
  바. 국가 정보보안 기본지침(공공기관 대상)
  사. 전자금융감독규정
  금융회사(제 1,2 금융원)
  전자금융업자(금융기반 핀테크업체, PG)
  

• 클라우드 보안
  가. 국내 기준 : CSAP(클라우드보안인증에관한고시), 공공기관(국가정보보안기본지침 제 41조), 전자금융감독규정( 제14조의2 -> 클라우드컴퓨팅서비스 이용절차 등)
  나. 국제 기준
  정책, 조직, 공급망 관리, 데이터
  

• 서비스 수준 협약(Service Level and Service Level Agreement) : (예시)IaaS 에서 제공하는 성능, 품질적 측면, 응답속도, 가상 네트워크 접속 속도 등이 서비스 수준 협약에 존재 및 명시 그리고 보장되어야 한다.