[SK shieldus Rookies 16기][클라우드 보안 컨설팅 실무] 클라우드컴퓨팅서비스 개요와 기초

알아두면 좋은 용어

• CCE(Common Configuration Enumeration) :
  사용자에게 허용된 권한 이상의 동작을 허용하거나 범위 이상의 정보 열람, 변조, 유출 등을 가능하게 하는 시스템 설정 상의 취약점
  
  
• CVE(Common Vulnerabilities and Exposures) :
  • 컴퓨터 하드웨어 또는 소프트웨어 결합이나 체계, 설계상의 취약점
  • 공개적으로 알려진 보안 취약점에 대한 공통 식별자 목록으로 표준화된 CVE 항목은 서비스 적용 범위를 평가할 수 있는 기준 제공

1. 클라우드 보안 컨설팅 분야

1. 국내외 클라우드 보안 인증지원 컨설팅
2. 클라우드 보안관리체계 수립
3. 클라우드 보안 SP/MP
4. 클라우드 보안평가
5. 클라우드 보안 아키텍처 컨설팅
6. 클라우드 보안감사
7. 금융 클라우드 이용신고대응 보안컨설팅 ⇒ 전자금융감독규정 제14조의2제5항
8. 클라우드 취약점 분석 및 평가
9. 국가 클라우드컴퓨팅서비스 도입 보안컨설팅

2. 온프레미스(On-premise)

2.1. 정의

• IT서비스를 운영하는 회사가 자체적으로 보유한 공간에 물리적으로 하드웨어 장비를 가지고 직접 운영하는 방식. 클라우드 컴퓨팅 기술이 나오기 전 사용하던 일반적인 인프라 구축 방법

3. 클라우드컴퓨팅서비스(Cloud Computing Service)

3.1. 정의

• 온디맨드로 서비스에 엑세스
• 대규모 사전 투자방지
• 필요에 따라 컴퓨팅 리소스를 프로비저닝
• 사용한 만큼만 비용을 지불

3.2. 이점

1. 클라우드 기반 배포
   • 애플리케이션의 모든 부분을 클라우드에서 실행
   • 기존 애플리케이션을 클라우드로 마이그레이션
     • 온프레미스 → 오프프레미스
   • 클라우드에서 새로운 애플리케이션 설계 및 구축 가능
2. 가변 비용
3. 비용 최적화
4. 필요에 따른 용량 축소(Scale in) 및 확장(Scale out) 가능
5. 속도 및 민첩성
   • 데이터센터 : 리소스 필요 시점과 리소스 확보 시점 간의 간격이 주 단위
   • 클라우드 컴퓨팅 : 리소스 필요 시점과 리소스 확보 시점 간의 간격이 분 단위
6. 빠른 배포 가능

3.3. 용어

ISO/IEC 22123-1:2023(국제표준 클라우드컴퓨팅 용어)에서 정의한 용어

• 클라우드 서비스 제공자 (CSP : Cloud Service Provider) :
  • 클라우드 서비스를 제공하는 업체
• 클라우드 서비스 고객(CSC : Cloud Service Customer) :
  • 클라우드 서비스를 호출하여 이용하는 고객
• 클라우드 서비스 파트너/브로커(CSN : Cloud Service partNer) :
  • 클라우드 서비스 제공자(CSP) 또는 고객(CSC)의 활동을 지원하거나 보조
• 클라우드 컴퓨팅(Cloud Computing) :
  • 셀프서비스 및 주문형 관리, 공유 가능한 확장성과 탄력성 있는 물리적 또는 가상적인 리소스 풀에 대한 네트워크 접근을 제공하는 패러다임
• 클라우드 컴퓨팅 서비스(Cloud Computing Service) :
  • 사용자가 정의된 인터페이스를 통해 필요한 컴퓨팅 리소스를 유연하게 호출하고, 이를 네트워크를 통해 원격으로 이용할 수 있는 서비스
• 클라우드 서비스 범주모델(Cloud Service Party Model) :
  • 클라우드 컴퓨팅 서비스를 제공하는 방식을 분류한 것
    1. IaaS (Infrastructure as a Service)
    2. PaaS (Platform as a Service)
    3. SaaS (Software as a Service)
    4. NaaS (Network as a Service)
    5. SECaaS (Security as a Service)
    6. AlaaS (Artificial Intelligence as a Service) 등
• 클라우드 서비스 배치모델(Cloud Service Deployment Model) :
  • 클라우드 인프라의 위치와 운영에 따라 분류한 것
    1. 공용(Public) 클라우드
    2. 사설(Private) 클라우드
    3. 커뮤니티(Community) 클라우드
    4. 하이브리드(Hybrid) 클라우드
• 인프라형 서비스(IaaS : Infrastructure as a Service) :
  • 고객은 물리적이나 가상적인 기본 리소스를 직접 관리하지 않지만, 가상 리소스를 활용하여 운영 체제, 저장 장치, 그리고 애플리케이션을 통제
• 플랫폼형 서비스(PaaS : Platform as a Service) :
  • 고객은 지원하는 프로그래밍 언어와 실행 환경을 활용하여 애플리케이션을 생성하고 관리하며 실행할 수 있는 클라우드 능력 유형
• 소프트웨어형 서비스(SaaS : Software as a Service) :
  • 클라우드 서비스 제공자가 고객에게 제공하는 애플리케이션 유형
  • 고객은 자체 데이터를 생성, 이용, 삭제 가능
• 클라우드 서비스 고객 데이터(Cloud Service Customer Data) :
  • 법령, 인터페이스를 통한 능력 행사 결과로 클라우드 서비스에 투입된 데이터 객체 클래스
  • 고객 통제 하에 있는 데이터 객체 클래스
• 데이터 이식성(Data Portability) :
  • 시스템 간에 데이터를 손쉽게 전송하는 능력
  • 소스 시스템과 목표 시스템 간의 양식 일치가 중요
• 종량제 서비스(Measured Service) :
  • 클라우드 서비스 사용량을 측정하여 감시, 제어, 보고, 청구하는 서비스
• 멀티 테넌시 or 테넌트(Multi-Tenancy(=Tenant) :
  • 여러 클라우드 서비스 사용자가 공유된 11개의 물리적 또는 가상적인 리소스 집합에 접근하는 것을 의미
  • SaaS형 서비스에서 많이 사용하는 용어
• 가역성(Reversibility) :
  • 클라우드 서비스 고객은 자신의 데이터와 애플리케이션을 회수하며, 계약 종료 후 클라우드 서비스 제공자가 명시된 데이터를 모두 삭제
• 공용(Public) 클라우드 :
  • 인터넷에 접속 가능한 모든 사용자를 대상으로 하는 클라우드 서비스 모델
  • 각 서비스는 사용자 간에 권한을 격리하여 간섭 X
• 사설(Private) 클라우드 :
  • 제한된 네트워크에서 특정 기업이나 사용자를 대상으로 하는 클라우드 서비스 모델
  • 자원과 데이터는 해당 기업 내부에 저장되고 기업은 자원의 제어 권한을 갖음
  • 높은 보안성과 개별화된 클라우드 기능 커스터마이징이 가능
• 커뮤니티(Community) 클라우드 :
  • 커뮤니티 클라우드는 여러 고객이 공동 프로젝트나 애플리케이션에서 협업할 수 있도록 중앙 집중식 클라우드 인프라를 공유하는 모델
  • 다양한 클라우드 솔루션을 통합하여 비즈니스 부문의 특정 문제를 해결하는 분산 인프라를 제공
• 하이브리드(Hybrid) 클라우드 :
  • 22개의 클라우드 배치 모델(Public/Private/Community 또는 On-premise/Off-premise)을 이용하는 모델
  • 퍼블릭 클라우드의 유연성, 경제성, 신속성과 물리 서버의 보안성, 안정성을 동시에 활용할 수 있는 장점 有
• 상호운용성(Interoperability) :
  • 둘 이상의 클라우드 컴퓨팅 시스템 또는 애플리케이션이 정보를 교환하고 상호적으로 사용하는 능력
• 클라우드 애플리케이션 이식성(Cloud Application Portability) :
  • 애플리케이션이 클라우드 컴퓨팅을 통해 제공되는 능력을 다른 클라우드 서비스로 이적하는 능력
• 클라우드 감사자(Cloud Auditor) :
  • 클라우드 서비스 정의된 인터페이스를 통해 호출한 능력의 제공과 사용에 대한 감사 책임을 수행하는 역할을 하는 클라우드 서비스 파트너(CSN)
• 데이터저장형 서비스(DDaaS : Data Storage as a Service) :
  • 클라우드 서비스 범주 중 데이터 저장 및 관련 능력을 클라우드 서비스 고객에게 제공
• 네트워크형 서비스(NaaS : Network as a Service) :
  • 클라우드 서비스 범주
  • 전송 연결성과 관련된 네트워크 능력을 클라우드 서비스 고객에게 제공
  • 네트워크 서비스는 애플리케이션, 인프라, 플랫폼 능력 중 하나를 제공
• 인공지능형 서비스(AIaaS : AI as a Service) :
  • 클라우드 서비스 제공자(CSP)가 클라우드 서비스 고객(CSC)에게 다양한 AI 기반 기능을 포함한 인공지능 소프트웨어를 서비스 형태로 제공하는 것을 의미
• 멀티클라우드(Multi Cloud) :
  • 클라우드 서비스 고객(CSC)이 둘 이상의 클라우드 서비스 제공 업체의 퍼블릭 클라우드 서비스를 사용하는 배포 모델
• 연합클라우드(Federated Cloud) :
  • 클라우드 서비스 연합(Federation)은 클라우드 서비스를 제공하는 클라우드 배포 모델
• 클라우드서비스연합(Cloud Service Federation) :
  • 클라우드 서비스를 제공하기 위해 합의된 정책, 프로세스 및 신뢰에 의해 결합된 두 개 이상의 클라우드 서비스 제공 업체를 나타내는 클라우드 서비스 연합
• 상호간클라우드(Inter Cloud) :
  • 클라우드 서비스 제공자(CSP)가 다른 클라우드 서비스 제공자가 제공하는 하나 이상의 클라우드 서비스를 활용하여 서비스를 제공하는 클라우드 배포 모델
• 클라우드 서비스 이용자(Cloud Service User) :
  • 클라우드 서비스를 사용하는 클라우드 서비스 고객과 관련된 자연인 또는 이들을 대리하는 법인
• 서비스형 컨택센터(CCaaS : Contact Center as a Service) :
  • 클라우드 기반 고객 경험 솔루션
  • AI 기반 솔루션도 제공 가능
  • 기업은 외부 제공 업체의 소프트웨어를 활용하여 필요한 기술만 선택할 수 있어 내부 IT 지원의 필요성이 감소

4. 클라우드컴퓨팅서비스 기초

4.1. 클라우드컴퓨팅서비스 인프라 구성

클라우드 컴퓨팅 인프라 구성요소 = 클라우드 서비스 제공자(CSP) + 리전(Region) + VPC + 가용영역(AZ)

4.2. ISO/IEC 22123-3 기반의 클라우드 컴퓨팅 정의된 모델

• 필수 특성
  1. Broad Network Access (광범위한 네트워크 접근성) :
     • 네트워크를 통해 모든 리소스 접근 및 사용할 수 있음
  2. Rapid Elasticity (신속한 탄력성) :
     • 리소스 풀을 통해 리소스를 자동으로 확장/축소할 수 있음
  3. Measured Service (측정 가능한 서비스) :
     • 리소스의 사용량이 측정, 모니터링되며 사용량에 따라 과금이 이루어짐
  4. On-Demand Self-Service (주문형 셀프서비스) :
     • CSC가 CSP 개입 없이 원하는 시점에 필요한 서비스를 이용 가능
  5. Resource Pooling (자원 공유) :
     • 리소스는 다중-임대(multi-tenant)방식으로 다중 사용자에게 제공되기 위해 풀(Pool) 형태로 유지 및 풀링 가능

4.3. 클라우드 컴퓨팅 논리적 모델

1. Infostructure :
   • 데이터 및 정보. 데이터베이스, 파일 저장소 등의 콘텐츠
2. Applistructure :
   • 클라우드에 배포된 애플리케이션과 해당 애플리케이션을 구축하는 데 사용된 기본 애플리케이션 서비스는 서비스형 플랫폼 기능을 포함 (ex. 고객 콜센터, 인공 지능 분석, 알림 서비스 등)
3. Merastructure :
   • 인프라 계층과 다른 계층 간의 인터페이스를 제공하는 프로토콜 및 메커니즘
   • 클라우드 컴퓨팅 환경과 이용자의 On-Premise 정통 IT 환경 사이에 정의된 구성 및 관리
4. Infrastructure :
   • 컴퓨팅 시스템의 핵심 구성 요소 : 컴퓨팅, 네트워크, 스토리지

4.4. 클라우드 12계층

1. 물리적 부대설비 / 데이터 센터 :
   • 컴퓨팅 시스템 및 관련 하드웨어 장비를 저장하는 물리적 위치
   • 서버, 데이터 스토리지 드라이브, 네트워크 장비와 같이 IT 시스템에 필요한 컴퓨팅 인프라가 포함
2. 네트워크 :
   • 데이터 센터 내의 서버와 외부 세계 사이의 통신을 가능케 해줌
   • 데이터 전송, 사용자 접속, 서비스 제공 등에 필수적
3. 데이터 스토리지 :
   • 사용자가 필요에 따라 데이터를 저장하고 검색할 수 있는 공간 제공
   • 파일 저장, 데이터베이스 관리, 백업 및 복구 등에 사용
4. 프로세싱 및 메모리 :
   • 애플리케이션 실행, 데이터 처리, 가상화 작업 등에 사용
5. 하이퍼바이저 :
   • 물리적 서버의 리소스를 가상화하여 여러 가상 머신을 생성, 관리하는 소프트웨어 또는 하드웨어
6. 가상 네트워크 인프라스트럭처 :
   • 물리적 네트워크 리소스를 가상화하여 보안성, 확장성, 효율성을 높임
   • VPN은 이런 가상 네트워크를 안전하게 연결하는데 사용
7. 가상머신 (Virtual Machines) :
   • 하이퍼바이저에 의해 생성
   • 각각의 가상머신은 독립적인 운영체제와 애플리케이션 실행 가능
8. 운영 체제 (OS) :
   • 가상머신에서 실행
   • 하드웨어 리소스를 관리하고 사용자와 시스템 간의 인터페이스 제공
9. 솔루션 스택 (Programming Languages) :
   • 특정 프로그래밍 언어, 라이브러리, 서비스 등을 포함하여 개발자가 애플리케이션과 서비스를 개발하고 배포할 수 있음
10. 응용 프로그램 :
    • 클라우드 환경에서 실행되는 소프트웨어 프로그램
    • 웹 서비스, 데이터베이스 애플리케이션, AI, 머신러닝 모델 등 다양한 형태
11. 인터페이스 (APIs, GUIs) :
    • 사용자와 시스템 간의 상호작용을 지원
12. 데이터 :
    • 클라우드 환경에서 생성, 처리, 저장되는 정보

4.5. 클라우드 서비스 범주 모델 영역

• IaaS(Infrastructure as a Service) :
  • 역할 :
    1. 가상 호스팅
    2. 운영체제 제공 ⇒ 보안 강화 설정, 네트워크 설정, 환경설정은 제공 X
    3. 사용자(CSC)가 직접 운영체제 및 응용 프로그램 관리
    4. 개발자와 인프라 관리자 간의 역할 분담
  • 장점 :
    1. 하드웨어 관리 간소화
    2. 완전한 인프라 제공(데이터 센터, 네트워크 장비, 저장장치, 하이퍼바이저)
  • 단점 :
    1. 제한된 인프라 접근과 통제
    2. 사용자(CSC)가 게스트 OS 대한 모든 관리
    3. 사용자(CSC)가 응용 프로그램 개발 및 설치
• PaaS(Platform as a Service) :
  • 역할 :
    1. 사용자(CSC)는 시스템 모니터링만 관리 ⇒ 운영체제, 서버용 하드웨어, 네트워크 등과 같은 기본 인프라 관리는 클라우드 서비스 제공자(CSP)가 관리
    2. 응용 프로그램 개발에 집중 가능
  • 장점 :
    1. 오토 스케일링 및 관리 제공
    2. 가장 이상적인 응용 프로그램 플랫폼
  • 단점 :
    1. 플랫폼 종속성 ⇒ 다른 플랫폼 이동 어려움, 스택을 종속으로 사용하면 다른 환경에서 실행 어려움
    2. 자체 스택 사용의 한계 ⇒ 종속되지 않으려면 자체 플랫폼과 스택 설치 및 적용해야하지만 PaaS의 장점을 제대로 활용하지 못할 수도 있음.
  • 특징 :
    1. 마이크로 아키텍처(MSA)는 클라우드 환경에 최적화된 응용SW설계 기법
    2. DevOps를 통한 클라우드 응용 소프트웨어 개발 및 운영 환경 제공
    3. 표준화된 런타임 제공

💡 DevOps란? 기존에는 개발과 운영팀이 분리되어 있었고, 다수의 개발과 운영 공정을 수작업으로 수행했지만 DevOps는 파이프라인 기반의 빌드, 테스트, 배포 자동화 환경을 이용하여 DevOps팀에서 응용SW의 개발과 운영 모두 수행

• SaaS(Software as a Service) :
  • 역할 :
    1. 서비스 제공자(CSP)가 응용 프로그램 제공 및 사용 가능
    2. 소비자 관점에서 제공되는 IT 방식의 서비스
    3. 서비스 제공자(CSP)에게 구독 방식으로 수익 얻을 수 있음
  • 장점 :
    1. 퍼블릭 클라우드 서비스에 있는 소프트웨어를 웹 브라우저나 클라우드 클라이언트 소프트웨어를 통해 사용 가능
    2. 서비스 제공자(CSP)가 자동으로 최신 소프트웨어 제공 및 사용 가능
    3. 암호화된 데이터 통신 가능(VPN, SSL)
  • 단점 :
    • SaaS 특성상 서비스 제공자(CSP)가 제공하는 소프트웨어나 패키지 기반의 소프트웨어만 사용 가능
  • 특징 :
    • 테넌트 : SaaS의 단위, 사용자 별로 격리된 환경인 테넌트 제공
    • 애플리케이션과 데이터
    • 보안
    • 가용성
    • 확장성
    • 과금

💡 테넌트란? Tenant는 임차인이라는 뜻을 가지고 있습니다. 자신의 건물이 아닌, 다른 건물을 빌려서 사용하는 주체입니다. SaaS 에서도 이와 동일하게 생각하시면 됩니다. 자신의 자원이 아닌 서비스 제공자의 클라우드 자원을 빌려서 서비스를 이용하는 주체가 Tenant 입니다. 즉, 짧게 요약하면 서비스 제공자의 클라우드 리소스를 사용하는 자
출처: https://maily.so/saascenter/posts/de82fda4

4.6. ISO/IEC 22123-3:2023 기반의 클라우드 컴퓨팅 참조 아키텍처

1) 클라우드 컴퓨팅 교차적(Cross-Cutting) 측면 13분야

1. 감사 가능성 (Auditability) :
   • 클라우드 서비스 사용과 관리에 대한 감사를 수행하는 능력, 로그 및 모니터링 시스템을 사용하여 활동 추적.
2. 클라우드 가용성 (Cloud Availability) :
   • 클라우드 서비스가 언제든지 사용 가능한 상태를 유지하는 능력, 지속적인 서비스 제공이 목표.
3. 거버넌스 (Governance) :
   • 클라우드 서비스의 운영과 관리에 대한 전반적인 통제와 지휘를 의미, 규정, 정책, 프로세스로 효과적 관리.
4. 상호운용성 (Interoperability) :
   • 서로 다른 클라우드 서비스 간에 데이터와 애플리케이션을 교환하고 사용하는 능력, 표준화된 형식과 프로토콜을 준수.
5. 유지보수 및 버저닝 (Maintenance and Versioning) :
   • 클라우드 서비스의 유지보수와 버전 관리 능력, 기능 추가, 버그 수정, 보안 업데이트를 체계적으로 관리.
6. 클라우드 성능 (Cloud Performance) :
   • 클라우드 서비스가 사용자의 요구를 충족하는 데 필요한 성능 유지, 응답 시간과 처리량을 확인.
7. 이식성 (Portability) :
   • 클라우드 서비스 간에 애플리케이션과 데이터를 쉽게 이동시킬 수 있는 유연성, 벤더 락인을 피하고 다양한 환경에서 사용 가능.
8. 개인식별정보 보호 (Personal Data Protection) :
   • 클라우드 서비스 사용자의 개인정보 보호 능력, 데이터 암호화, 접근 제어, 규정 준수 등.
9. 회복력 (Resilience) :
   • 클라우드 서비스가 장애 시 원래 상태로 신속히 복구하는 능력, 데이터 백업과 비상 복구 계획 수립.
10. 가역성 (Reversibility) :
    • 클라우드 서비스에서의 데이터 삭제나 중단 시 효과를 취소하는 능력, 안전한 이행 계획 제시.
11. 규제 준수 (Regulatory Compliance) :
    • 모든 법률과 규정을 준수하는 능력, 특히 데이터 보호와 개인정보 보안과 관련된 규제를 준수.
12. 클라우드 보안 (Cloud Security) :
    • 클라우드 서비스와 관련된 정보를 보호하는 능력, 암호화, 인증, 접근 제어 등으로 보안 유지.
13. 서비스 수준 협약 (SLA - Service Level Agreement) :
    • 서비스 제공자와 사용자 간의 계약으로 서비스 품질, 가용성 등을 명시, 사용자에게 서비스 기준과 의무 제시.

2) 사용자 측면(Aspect & User)

• 클라우드 서비스 고객(CSC) 역할 :
  • 클라우드 서비스 사용자(CSU)
  • 클라우드 서비스 관리자(Administrator)
  • 클라우드 서비스 비즈니스 관리자(Manager)
  • 클라우드 서비스 통합자(Integrator)
• 클라우드 서비스 제공자(CSP) 역할 :
  • 클라우드 서비스 운영 관리자
  • 클라우드 서비스 배포 관리자
  • 클라우드 서비스 관리자
  • 클라우드 서비스 비즈니스 관리자
  • 고객 지원 및 관리 담당자
  • 클라우드 간 제공자(Inter-Cloud)
  • 클라우드 서비스 보안 및 위험 관리자
    • ISO/IEC 27005 국제 표준 정보보안 위험관리 시스템을 통해 위험 식별
  • 네트워크 제공자
• 클라우드 서비스 파트너(CSN) 역할 :
  • 클라우드 서비스 개발자(Cloud Service Developer)
  • 클라우드 서비스 브로커(CSB)
  • 매니지드 서비스 제공자(Managed Service Provider)
  • 클라우드 서비스 감사자

5. Cloud Well Architected Framework 모범사례

• 운영 우수성
• 보안
• 안정성
• 성능 효율성
• 비용 최적화
• 지속가능성

1. 보안 :
   • 보안 원칙에는 클라우드 기술을 활용하여 보안을 강화하고 데이터, 시스템 및 자산을 보호하는 능력이 포함
   • 보안 모범 사례 및 관련 리소스 참조
   • 안전한 워크로드 운영 :
     • 워크로드를 안전하게 운영하려면 모든 보안 영역에 포괄적 모범 사례를 적용
     • AWS 및 업계 권장 사항 및 위협 인텔리전스를 최신 상태로 유지하면 위협 모델 및 제어 목표를 발전시키는 데 도움이 됨
     • 보안 프로세스, 테스트 및 검증을 자동화함으로써 보안 작업을 확장
2. 자격증명 및 액세스 관리 :
   • 사람에 의한 자격증명(RRAC)
   • 시스템 자체에 대한 자격증명(SaaS)
   • 자격 증명 공유 불가 X
3. 탐지 :
   • 위험 식별
4. 인프라 보호 :
   • 네트워크 리스소 보호 방법 :
     • 라우터, 스위치 등
   • 컴퓨팅 리소스 보호 방법 :
     • EC2 인스턴스, 컨테이너, AWS Lambda 함수, DB서비스, IoT 디바이스 등
5. 데이터 보호 :
   • 데이터 거버넌스
   • 데이터 분류체계
     • 기밀 데이터 : 암호화 대상(대칭키 기반)
     • 중요 데이터 : 암호화 대상(대칭키 기반)
     • 대외비 데이터
     • 일반 데이터
   • 네트워크 보안 프로토콜 SSL, IPSec, TLS 사용
   • 서드파티 솔루션 사용
6. 사고 대응
   • 침해공격에 대한 유형 파악
   • 침해공격에 대한 대응 수준 단계 고려
   • 클라우드 컴퓨팅 서비스 상에서 악성 코드를 차단/삭제/격리 여부 결정
   • 침해사고 대응 조직 및 프로세스 설계
   • 장애 예상
   • 사후 데이터를 어떻게 할 것인지 고려
   • 전자적 증거 확보 및 디지털 포렌식
   • 관계 기관에 신고 (검찰청, 경찰청, KISA)

6. Cloud Adoption Framework(CAP)

6.1. 클라우드 혁신 가치 사슬 모델

1. 구상
2. 조정
3. 시작
4. 확장

6.2. 일반적인 클라우드 기반 백업 방식 종류 및 백업 가능 대상

• 크로스-리전 백업 :
  • 다른 지역의 서버로 복사
  • 특정 지역에서 재해가 발생해도 데이터를 안전하게 보호 가능
• 크로스-계정 백업 :
  • 조직관리 서비스 등을 이용하여 다른 클라우드 계정으로 백업
  • 계정이 손상되거나 해킹당한 경우에도 데이터 보호 가능
• 증분 백업 :
  • 마지막 백업 이후 변경된 데이터만 복사
  • 스토리지 공간 효율적으로 사용 가능 및 백업 시간 ↓
• 연속 백업 및 지정 시간 복구(PTTR) :
  • 연속 백업 : 데이터가 변경될 때마다 실시간으로 백업
    • 데이터 손실 최소화, 언제든지 최신 상태 데이터 복원 가능
  • 지정 시간 복구(PTTR) : 과거 특정 시점의 상태로 데이터 복원
    • 실수로 데이터 삭제, 애플리케이션 오류로 인한 데이터 손상된 경우 복원 가능
  • 컴퓨팅, 블록 스토리지는 백업 지원 X
• 전체 백업 :
  • 모든 데이터를 복사
  • 데이터 복구 간단
  • 스토리지 공간 많이 차지, 백업시간 긺
  • 블록 스토리지, RDS 단일 인스턴스 백업 지원 X

6.3. AWS CAF 관점의 6가지 기본역량

1. 비지니스(Business) :
   • 전략관리
   • 포트폴리오 관리
   • 혁신 관리
   • 제품관리
   • 전략적 파트너쉽
   • 데이터 수익화
   • 비지니스 인사이트
   • 데이터 과학
2. 사람(People) :
   • 문화의 진화
   • 혁신적 리더십
   • 클라우드 숙련
   • 인력 혁신
   • 변화 가속화
   • 조직 설계
   • 조직 연계
3. 거버넌스(Governance) :
   • 프로그램 및 프로젝트 관리
   • 이익 관리
   • 위험 관리
   • 클라우드 재무관리
   • 애플리케이션 포트폴리오 관리
   • 데이터 거버넌스
   • 데이터 큐레이션
4. 플랫폼(Platform) :
   • 플랫폼 아키텍처
   • 데이터 아키텍처
   • 플랫폼 엔지니어링
   • 데이터 엔지니어링
   • 프로비저닝 및 오케스트레이션
   • 현대적 앱 개발
   • CI/CD
5. 보안(Security) :
   • 보안 거버넌스
     • 클라우드에 대한 거버넌스(서비스를 운영하기 위해 필요한 규칙, 정책, 권고사항 등을 정의한 것)
   • 보안 보증
     • Certification
   • 자격 증명 및 액세스 관리
     • IAM 계정 생성 및 인증방식
     • 암호 알고리즘, 암호화 방식 결정
     • IAM에 대한 정책 부여
   • 위협 탐지
     • ZTA(Zero Trust Architecture) 고려
   • 취약성 관리
     • CCCV
   • 인프라 보호
     • 테넌트 보안
   • 데이터 보호
   • 애플리케이션 보안
     • 소프트웨어 개발 과정 중 보안 취약성 탐지 및 해결
   • 인시던트 대응
     • 보안 인시던트에 효과적으로 대응하여 잠재적 피해 완화
6. 운영(Operation) :
   • 관측성
   • 이벤트 관리(AIOps)
   • 인시던트 및 문제 관리
     • 장애 원인이 사라지면 해결되는게 인시던트
     • 장애에 대한 조치 해결+원인분석까지 하면 문제
     • 둘다 케이스로 처리, 해결되면 case close
   • 변경 및 릴리즈 관리
   • 성능 및 용량 관리
   • 구성 관리
   • 패치 관리
   • 가용성 및 연속성 관리
   • 애플리케이션 관리

7. 클라우드 네이티브(Cloud Native)

7.1. 정의

• 현대적인 클라우드 기반 애플리케이션의 환경
• PaaS 서비스 환경에서 주로 사용

7.2. 클라우드 네이티브의 4가지 구성요소

1. Container : 애플리케이션과 종속성을 패키지화해서 실행환경에 대한 일관성 제공
2. DevOps : 애플리케이션 개발-운영 간의 협업 프로세스 자동화
3. CI/CD : 지속적인 통합/지속적인 개발
4. MSA(Microservices Architecture) : 애플리케이션을 독립적인 서비스로 분리하여 각 서비스가 독립적으로 배포 및 확장되게 함

7.3. 클라우드 네이티브 보안

클라우드 네이티브 보안은 계충화된 접근방식을 통해 소프트웨어 시스템을 심층적으로 방어한다.

• 클라우드 네이티브 보안의 4C :
  1. 클라우드(Cloud)
  2. 클러스터(Cluster)
  3. 컨테이너(Container)
  4. 코드(Code)
• 보안 방법 :
  • 제로 트러스트 아키텍처
  • 인터넷 노출 제어
  • 안전한 파일 저장
  • 최소 권한 원칙
  • 로그 데이터 마스킹
  • 자산관리
  • 계정권한 관리와 보안 설정
  • 단계별 보안
  • 클라우드 네이티브 보안 플랫폼(CNSP, Cloud Native Security Platform)