클라우드 보안: Illumio를 통해 잘못된 가정을 보증으로 전환

우리 안에서 이전 블로그 게시물, 부적절한 클라우드 보안의 위험을 무시한 것이 실수인 이유를 개괄적으로 설명했습니다.그리고 많은 조직에서 비즈니스 지원을 위해 클라우드 서비스를 도입할 때 흔히 범하는 두 가지 잘못된 가정을 소개했습니다.

이 글에서는 세 가지 추가 가정과 그 힘을 쉽게 활용할 수 있는 방법을 살펴보겠습니다. 일루미오 클라우드시큐어 클라우드 네이티브 가시성과 제어를 개선합니다.

가정 #3: 클라우드 서비스는 인터넷으로부터 격리되어 있습니다.

고객이 투자를 최대한 활용할 수 있도록 클라우드 공급업체는 서비스형 인프라 (IaaS) 및 서비스형 플랫폼 (PaaS) 인프라 리소스를 제공합니다.여기에는 가상 머신, 컨테이너, 서버리스 함수 및 관리형 클라우드 데이터베이스가 포함될 수 있습니다.

하지만 이것들은 클라우드 서비스 기본적으로 인터넷에 열 수 있는 경우가 많습니다.따라서 보안 침해 가능성이 있는 보안 침해의 진입 지점이 될 수 있습니다.액세스를 제한하는 것은 클라우드 공급자가 아니라 고객의 책임입니다.클라우드는 기본적으로 “최소 권한”이 아니라는 점을 기억하십시오.대신 “초과 권한”으로 운영됩니다.즉, 서로 통신할 수 있는 리소스를 결정하고 나머지는 모두 차단해야 합니다.

클라우드에 있는 애플리케이션 및 애플리케이션과 통신하는 애플리케이션에 대한 가시성이 없다면 적절한 제어 없이 클라우드에서 중요한 리소스를 호스팅하고 있을 수 있습니다.이는 퍼블릭 클라우드에 내부 데이터 센터 리소스에 노출되는 워크로드 및 프로세스 함수가 있는 경우 특히 위험합니다.

양호한 상태를 보장하기 위해 클라우드 보안, 클라우드와 온프레미스 워크로드 간의 통신 경로를 이해해야 합니다.데이터 센터와 마찬가지로 인터넷에 무엇이 연결되어 있는지 정확히 알아야 합니다.그런 다음 이러한 연결이 해커나 맬웨어가 네트워크에 침입하는 경로가 되지 않도록 해야 합니다.

가정 #4: 클라우드 서비스 확장에는 제한이 없습니다.

보안 관점에서 보면 AWS 및 Microsoft Azure와 같은 퍼블릭 클라우드는 보안 관리를 위해 생성할 수 있는 세그먼트의 수를 제한합니다.이로 인해 클라우드 애플리케이션 및 데이터를 세밀하게 제어할 수 없습니다.

세분화에 대한 클라우드 공급자의 대답은 가상 네트워크 세그먼트입니다. Amazon의 경우 가상 사설 클라우드 (VPC), Microsoft의 경우 Azure 가상 네트워크 (VNet) 입니다.이러한 환경에서는 보안 그룹이 세그먼트 내부 및 외부에서 경계를 생성합니다.

그러나 가상 네트워크 세그먼트에 존재할 수 있는 보안 그룹의 수는 제한되어 있습니다.제한보다 많은 호스트가 필요한 경우 세그먼트에 여러 호스트를 사용해야 합니다.하지만 효율적으로 확장하려면 모든 세그먼트에 호스트가 하나만 있어야 합니다.

한 세그먼트에 호스트가 여러 개 있으면 관리가 더 복잡해지고 보안 위험이 커집니다.한 호스트가 침해되면 해당 호스트가 다른 호스트와 통신하여 감염되는 것을 원하지 않을 것입니다.규모를 확장하려면 클라우드 공급자가 액세스를 세분화하기 위해 제공하는 것 외에 추가적인 지원이 필요합니다.그렇지 않으면 조직이 기존 데이터 센터 세분화에서 겪었던 것과 동일한 문제에 직면하게 될 것입니다. 가시성이 떨어지고, 정책 관리가 복잡하며, 네트워크 구성 및 방화벽을 수동으로 “재연결”해야 하는 상황입니다.

가정 #5: 일단 워크로드를 보호하면 작업이 완료됩니다.

사람들이 생각할 때 워크로드 보안, 많은 사람들이 워크로드가 한 곳에 머물러 있다고 잘못 생각합니다.하지만 클라우드에서는 워크로드가 여러 퍼블릭 클라우드로 이동할 수 있으며, 각 클라우드에는 고유한 정책 모델이 있습니다.이러한 상황이 발생하면 보안 세그먼트가 동일한 보안 제어를 공유할 가능성은 거의 없습니다.보안 팀은 이러한 움직임을 지속적으로 모니터링하여 워크로드가 적절한 정책으로 보호되는지 확인해야 합니다.

클라우드의 모든 컴퓨팅 리소스, 서버리스 리소스 및 객체는 동적입니다.이러한 리소스와 클라우드 객체가 이동함에 따라 IP도 변경됩니다.퍼블릭 클라우드 내 위치가 변경될 수 있습니다.또한 여러 클라우드 제공업체 간에 이동할 수도 있습니다.심지어 “죽어” 있다가 다시 살아나다가 새 IP 주소를 얻게 될 수도 있습니다.

따라서 더 이상 기존 접근 방식으로는 정책을 작성할 수 없습니다.대신 클라우드 워크로드를 검사하여 애플리케이션 구성 요소가 서로 통신하는 방식을 파악하세요.애플리케이션 동작을 명확하게 파악한 후에는 적절한 적용 정책을 작성할 수 있습니다.

중요한 점은 모든 클라우드 애플리케이션이 거주 지역이나 사용하는 관련 리소스에 관계없이 기존 데이터 센터의 서버에서 실행되는 애플리케이션만큼 철저하게 보호되어야 한다는 것입니다.

보안은 클라우드의 주요 비즈니스 지원 요소입니다.

크고 작은 조직이 더 많은 워크로드를 클라우드로 이전하거나 고려하고 있는데, 그 동기는 무엇일까요?클라우드가 제공하는 속도, 유연성 및 규모.하지만 “고아”라고 불리는 보안은 클라우드로의 전환에 관한 논의에서 자주 언급되지 않는 경우가 많습니다.이유는 무엇일까요?보안은 비즈니스 액셀러레이터가 아니라 “비즈니스 복잡성 요소”로 간주되기 때문입니다.

그러나 보안 계획은 모든 클라우드 마이그레이션 작업의 일부여야 하며 나중에 고려하지 않아야 합니다.CloudSecure는 클라우드 네이티브 앱, 가상 머신, 컨테이너는 물론 서버리스, PaaS, IaaS 인프라를 지속적으로 모니터링하고 보호합니다.따라서 안심하고 클라우드를 도입할 수 있습니다.

멀티 클라우드 및 하이브리드 환경을 위한 더 강력한 보안을 구축하는 방법에 대해 자세히 알아보십시오.

• 데모를 보고 확인해 보세요 일루미오 클라우드시큐어의 작동.
• 더 읽어보기 제품 요약.
• 다운로드 제로 트러스트 네트워킹을 위한 가트너 하이프 사이클 2023.