우리가 하는 행위는 결과로 나타납니다. 마찬가지로 클라우드 서비스를 만드는 경험에 있어서도 클라우드 컴퓨팅에 대한 보안 사항을 이해하고 반영해야 안전한 서비스가 만들어 집니다. 이를 위해서 사내 네트워크 자산과 동일한 수준의 리스크 관리를 진행하고자 노력해야 합니다.

 

클라우드 서비스는 얼마나 안전한가?

 

"클라우드"가 간섭에서 자유롭다거나 데이터를 자동으로 보호한다고 말한다면 어떤 반응을 보이게 될까요? 

 

현실은 클라우드 컴퓨팅이 데이터를 더 안전하게 사용하기 위한 완전한 보장이 되지는 않습니다. 클라우드 서비스는 단지 만들어진 것이기 때문에 사내에 있는 데이터와 마찬가지로 위험평가 측면에서 적어도 같은 수준으로 접근해야 합니다.

서비스 업체가 보안을 위해 정확히 무엇을 하는지 끈질기게 질문할 필요가 있으며, 보안 정책과 진행 절차를 잘 살펴봐야 합니다. 업체의 책임이 무엇인지 회사를 보호하기 위한 정확한 계획이 무엇인지 명확히 해야 합니다.

 

보안 정책 - 클라우드 서비스 보안을 위한 질문

 

  • 어떤 종류의 클라우드 서비스를 사용하시겠습니까?
    단순히 파일을 저장하거나 소프트웨어 애플리케이션을 호스팅하거나 가상화 머신을 호스팅하는 데 클라우드를 사용하시겠습니까?
  • 이 서비스를 어떻게 구현할 것입니까?
    클라우드는 특정 요구 사항과 위험 허용 범위에 따라 공개적, 비공개적, 또는 반공개적으로 구현이 가능합니다.
  • 호스팅할 기능이나 데이터에 얼마나 민감합니까?
    클라우드는 "다른 사람의 컴퓨터"를 말하는 다른 표현 방법임을 잊지 말아야 합니다. 이 서비스 업체에 문제가 발생하거나 폐업을 하게 되면 얼마나 많은 리스크가 발생할지 수치화해야 합니다.
  • 이 기능에 누가 접근할 수 있습니까?
    최소한의 특권 원칙에 따라 일을 효율적으로 하기 위해 모든 사람이 클라우드에 접근할 필요는 없습니다.
  • 어떤 법률적 또는 규제 준수 요구사항을 고려해야 합니까?
    각 산업은 국가와 국제 데이터 보안 규정을 이해하기 어려운 언어와 독자적 관계를 맺고 있습니다. 예를 들어 소매업에서 잘 활용되는 것이 법률이나 금융업에는 해당되지 않을 수 있습니다.
  • 사용자에게 허용되는 사용 정책에 무엇이 포함되어야 합니까?
    훈련과 교육은 모범 사례를 보장하는데 매우 중요합니다. 사용자가 어떻게 안전하게 사용할 수 있는지 알 수 있도록 클라우드 서비스에 대해 명시적으로 설명해야 합니다.
  • 모범 사례를 준수하지 않으면 어떤 일이 발생합니까?
    이것은 클라우드 서비스 업체와 직원 모두에게 해당됩니다. 기존 서비스 수준 계약으로 서비스 업체에 대한 패널티가 발생할 가능성이 높을 것 같지만, 데이터 보호에 대한 책임이 충족되지 않을 때 어떤 일이 발생할 지 모두에게 명확히 해야 합니다.

 

이는 클라우드 서비스 업체와 사용자 모두에게 해당되지만, 전자에 대한 결과는 아마도 협상 또는 기존 서비스 레벨 계약일 공산이 큽니다. 누군가 데이터 보호의 책임을 다하지 못하면 일어날 수 있는 일을 모든 관계자들에게 분명히 알려야 합니다.

 

보안 절차

 

클라우드 서비스의 목적을 정의하고 나면 서비스 업체에 정책과 진행 절차 협의를 시작할 수 있습니다. 고려할 수 있는 주제 목록은 다음과 같습니다.

 

  • 서비스 업체에 정기적인 대외 보안 감사가 있습니까?
  • 업데이트 및 패치 정책은 무엇입니까?
  • 컴퓨터를 검사하는 안티 멀웨어 또는 침입 탐지 검사 제품이 있습니까?
  • 서비스에서 어떤 종류의 인증을 사용할 수 있습니까?
  • 사용자 계정의 ID와 접근 관리에 사용 가능한 제어 종류는 무엇입니까?
  • 클라우드나 스토리지 트래픽 암호화가 가능합니까?
  • 서버에 저장된 데이터와 관련된 지적 재산권을 어떻게 보호할 것입니까?
  • 사용할 수 있는 경보의 종류와 이벤트 보고서는 무엇입니까?
  • 고객 리소스는 어떻게 서로 구분되어 있습니까?
  • 얼마나 자주 백업을 만들고 테스트하며 저장합니까?
  • 사고 대응 정책을 수립했습니까?
  • 책임 있는 공개 정책을 가지고 있습니까?
  • 보안 사고가 발생 시 포렌식 분석을 허용하는 이벤트 로그가 있습니까?
  • 서버는 물리적으로 어느 나라에 있습니까?
  • 데이터 이동과 보존에 관한 정책은 무엇입니까?
  • 안전한 데이터 삭제나 폐기에 사용 가능한 옵션은 무엇입니까?

클라우드 서비스를 실행하기 전 위와 같은 보안 관련 질의응답 단계를 수행한다면 앞으로 문제가 될만한 부분을 쉽게 예측해 피해 갈 수 있습니다. 인터넷에 연결된 모든 장소에서 클라우드를 사용해 파일에 접근하고 서비스를 이용하는 것은 매우 효율적인 일입니다. 하지만 이는 환경에 새로운 위협을 발생시키는 위험 요소가 될 수 도 있으므로 주의가 필요합니다. 따라서 신뢰할 수 있는 업체의 클라우드 서비스 보안 정책 사항을 살펴볼 필요가 있습니다.

 

사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

SEMTLE

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,