고객의 보안 요구 사항과 충족 방법

클라우드의 신뢰 구축

영원한 고민거리 01

거래를 무산시키는 상위 요인 01 - 액세스 제어 01

- 암호화 01

- 데이터 손실 방지 02

공동 책임 모델 02 - Amazon Web Services* 02

- Microsoft Azure* 02

보안 인프라 구축 03

결론 04

목차

고객이 원하는 것을 이해하고 우선시하는 것은 성공의 밑거름이 됩니다. 하지만, 이 간단한 진실을 놓치는 경우가 많은 것이 사실입니다. 인텔은 현재 많은 관심을 받고 있는 클라우드 보안 주제와 관련하여 클라우드 서비스 공급업체(CSP)에서 고객의 관점을 파악하도록 지원하고, CSP에서 현재 이러한 요구 사항과 기대를 얼마나 효율적으로 충족시키고 있는지 평가하며, 보안 및 신뢰 강화를 위해 수행해야 하는 다음 단계는 무엇인지 살펴보기 위해 이 간단한 전자 가이드를 개발했습니다.

1

그림 1: 고객이 가장 높은 가치를 두는 클라우드 보안 기능

87%

액세스 제어

83% 암호화

74% 데이터 손실 방지

클라우드 컴퓨팅의 인기는 갈수록 높아가고 있지만, 대부분의

경우 보안은 쉽게 해결하기 어려운 영역으로 남아 있습니다.

자사 애플리케이션을 클라우드로 이동하는 경우, 68%의 기업은

회사 보안 정책을 강제 적용할 수 없을 것이라는 두려움을 갖고

있으며1 61%는 더 이상 규정 요건을 준수하지 못하게 된다는 점을

걱정합니다1.

점점 더 많은 조직이 CRM, 회계 및 재무, 인사 관리 애플리케이션과

같은 기록 시스템을 클라우드로 마이그레이션하기 시작하면서

이러한 우려 사항은 향후 몇 년 동안 더욱 심화될 것으로 보입니다.

이러한 시스템은 일반적으로 직원, 고객, 공급망에 관한 가장

민감한 회사 데이터를 포함하고 있으므로 보안은 중요성이 훨씬

높은 안건이 될 것입니다.

영원한 고민거리거래를 무산시키는 상위 요인보안 및 규정 준수 측면에서 고객의 요구 사항을 충족시키고 있는지

여부를 평가하려면 먼저 고객이 어떤 보안 관련 역량에 가장 높은

가치를 두는지 파악해야 합니다(그림 1 참조).

- 액세스 제어

액세스 제어는 87%의 기업이 가장 중요한 클라우드 보안 기능으로

선택한 항목입니다1. 여기에는 사용자의 역할, 장치, 위치, 운영

체제에 따라 다양한 수준의 데이터 액세스 및 클라우드 서비스

기능의 적용이 포함됩니다.

기업은 기존 비밀번호 외에 SMS 코드, 전화 토큰과 같은 다단계

인증을 제공할 수 있는 클라우드 서비스를 찾습니다. 그 다음으로

많이 찾는 것은, 직원들이 한 번만 로그인하여 여러 도메인의

리소스를 액세스할 수 있도록 하는 통합 ID 관리 기능입니다.

익명 액세스 서비스뿐만 아니라 기업 디렉토리 또는 인증 공급업체에

대한 통합 기능을 제공하는 CSP도 유리한 위치를 점하고 있습니다.

이러한 요소들이 클라우드 제품군에 아직 포함되어 있지 않다면

지금이 재평가를 수행할 최적의 시기입니다.

- 암호화

데이터 암호화는 83%의 기업이 선택한 중요한 클라우드 보안

요소입니다1. 데이터베이스, 파일 시스템, 가상 머신 계층에 저장된

민감한 데이터가 암호화되어 있으면 승인되지 않은 관리자가

액세스하는 것을 제한할 수 있습니다. 기업은 클라우드 내에

보관되거나 클라우드로 이동하는 데이터의 암호화를 통해 전송

중인 데이터를 보호하는 CSP도 선호합니다. 예를 들어, 클라우드로

업로드하기 전에 고객이 제어하는 암호화 키를 사용하여 데이터를

암호화하면 공급업체를 비롯한 모든 제3자가 인식할 수 없게

됩니다.

2

책임

데이터 분류 및 책임

클라이언트 및 엔드포인트 보호

ID 및 액세스 관리

애플리케이션 수준 제어

네트워크 제어

호스트 인프라

물리적 보안

Cloud Customer 클라우드 공급자

온-프레미스 IaaS PaaS SaaS

클라우드 고객

그림 2: 다른 서비스 모델에서 Microsoft Azure* 공동 책임

거래를 무산시키는 상위 요인 - 계속

- 데이터 손실 방지

데이터 손실 방지는 74%의 기업이 중대한 클라우드 보안

기능으로 선택했습니다1. 특정 유형의 민감한 데이터가

클라우드로 업로드되거나 클라우드에서 제3자에게 공유되지

않도록 하는 것이 핵심입니다. 고객은 자신의 위험 수용

범위와 법률 또는 규제 의무와 호환되는지 확인하기 위해

데이터 손실 및 유출 알림 프로세스를 완벽히 파악하려고

합니다. 이 부분에서 아직 완전하게 투명성을 제공하지

못하고 있는 경우 지금이 시작할 적기입니다.

이러한 세 가지 중요한 기능을 확보하려는 기업의 노력은

클라우드 서비스 요청을 거부하는 이유에서 명확히 드러납니다.

이미 비교 대상 서비스가 있는 경우를 제외하고, 가장 일반적인

이유는 비중이 높은 순서대로 신뢰 부족(54%)1, 암호화 미적용

(46%)1, 데이터 손실 방지 미구현(44%)입니다1. 여러분의

성공은 이러한 영역에서 역량을 입증할 수 있는지 여부에 달려

있습니다.

그러나 일부 고객의 이해와는 달리 클라우드 서비스의 보안은

특히 하이브리드 클라우드 환경에서 전적으로 CSP의 책임이

아닙니다.

공동 책임 모델 - Amazon Web Services*

AWS(Amazon Web Services)는 고객의 운영 부담 완화를

특징으로 하는 공동 책임 모델2을 내세우는 서비스입니다. AWS

는 클라우드 보안(AWS 클라우드 서비스를 실행하는 하드웨어,

소프트웨어, 네트워크, 설비 보호)을 책임지는 반면 고객은

클라우드 내부 보안(업데이트 및 보안 패치를 비롯한 게스트 운영

체제, 기타 관련 애플리케이션 소프트웨어, AWS에서 제공하는

보안 그룹 방화벽 구성 관리)을 담당합니다. 고객의 책임 수준은

자신이 선택한 AWS 클라우드 서비스에 의해 결정됩니다. AWS

공동 책임 모델은 패치 관리, 구성 관리, 교육 및 인지 등 IT

관리로도 확장됩니다.

- Microsoft Azure*

Microsoft Azure의 클라우드 컴퓨팅 모델의 공동 책임3 에는

IaaS(Infrastructure-as-a-Service), PaaS(Platform-as-a-

Service), SaaS(Software-as-a-Service) 등 고객이 사용하는

클라우드 서비스 모델에 따른 책임 범위가 개괄적으로 소개되어

있습니다. IaaS의 경우 고객은 스토리지, 네트워킹, 컴퓨팅 등

핵심 인프라 보안을 책임집니다. 고객이 IaaS에서 PaaS, SaaS로

순차적으로 이동함에 따라 Microsoft Azure가 더 많은 책임을

맡게 됩니다(그림 2 참조).

신뢰할 수 있는 클라우드를 구축하려는 CSP는 보안 책임에 대한

접근 방식이 최대한 투명해질 수 있도록 공동 책임 모델을 고려하는

것이 좋습니다.

잠재적 보안 허점을 보완하기 위해, 몇몇 주요 서비스

공급업체들은 자사의 책임 한계, 고객의 책임 시작점, 일부

경우에 책임이 겹치는 부분을 명확히 정의하는 진술문을

발표했습니다.

3

보안 기반 인프라 구축컴퓨팅 스택의 개별 계층에만 집중하는 전략은 위에 설명된

고객의 보안 요구 사항을 완벽하게 충족할 수 없습니다. CSP

는 전체 신뢰 체인의 토대를 제공하는 하드웨어 기반 보안을

통해 중심부에서 바깥쪽으로 확대되는 신뢰 체인을 구축하도록

설계된 인프라를 개발해야 합니다.

인텔의 클라우드 플랫폼은 CSP가 보안 최적화 목표를

달성하도록 지원하는 심층 하드웨어 지원 솔루션을 제공합니다.

예를 들면, 다음과 같습니다.

- 인텔® 신뢰 실행 기술(인텔® TXT)과 인텔® 플랫폼 신뢰 기술

(인텔® PTT)을 통해 하드웨어에 근원을 둔 전체 플랫폼 신뢰

체인 구축. 이러한 기술들은 데이터 센터의 완벽한 파악,

모니터링 기능 향상, 고품질 서비스 제공 보장을 지원합니다.

- 수많은 소프트웨어 기반 공격을 방어하고 가상화된 워크로드

보안의 강력한 관리 지점을 제공하는 인텔® 클라우드 무결성

기술(인텔® CIT)로 우수한 능력이 입증된 구성만 실행.

또한 이 기술은 승인된 위치에서만 데이터 암호를 해독하는

지오펜싱을 지원하므로 고객이 해당 지역 내 데이터 주권

규정을 준수할 수 있도록 합니다.

- 보안 및 압축 가속 기능을 사용하는 애플리케이션은 인텔®

키 보호 기술 (인텔® KPT) 및 통합 인텔® QuickAssist

기술(인텔® QAT)을 통해 고성능 및 효율적인 작업 처리가

가능하므로 암호화 부담이 경감됩니다. 이러한 기술들은 추가

보안 기능으로 인해 코어에 과도한 요청이 몰리지 않도록

합니다.

- 인텔® AES-NI(인텔® AES New Instructions)로 데이터 센터

내부에서 이동하거나 수신 또는 송신되는 데이터 암호화.

인텔® AES-NI는 인텔® 제온® 프로세서 제품군과 인텔® 코어™

프로세서 제품군의 데이터 암호화 속도를 높여줍니다. 이전

AES 명령 집합에 비해 더욱 빠르고 경제적인 데이터 보호

기능과 향상된 보안을 제공할 뿐 아니라 이전에 암호화되지

않았던 영역에서 암호화를 폭넓게 활용하도록 지원합니다.

- 인텔, VMware, HyTrust 솔루션으로 신뢰 클라우드 인프라

구축. 이러한 결합형 솔루션은 신뢰 컴퓨팅 풀, 정확한 데이터

위치, 경계 제어, 더욱 스마트한 복호화, 증거 기반 규정 준수를

제공합니다.

- 마지막으로 분석용 인텔 솔루션을 활용하여 시스템의

경계를 유지합니다. 투명성과 제어 능력은 시스템의 보안을

모니터링하고 최적화하는 데 중요합니다.

4

1 The Cloud Balancing Act for IT: Between Promise and Peril, https://downloads.

cloudsecurityalliance.org/assets/partners/CSA_Skyhigh_Survey_-_Cloud_Balancing_

Act_01-16.pdf

2 AWS Shared Responsibility Model, https://aws.amazon.com/ko/compliance/

shared-responsibility-model/

3 Shared Responsibilities for Cloud Computing, https://gallery.technet.microsoft.

com/Shared-Responsibilities-81d0ff91

본 문서에 제공된 모든 정보는 사전 통지 없이 변경될 수 있습니다. 최신 인텔 제품 사양 및

로드맵을 확인하려면 인텔 담당자에게 문의하십시오.

인텔 기술의 특징과 이점은 시스템 구성에 따라 다르며 지원되는 하드웨어, 소프트웨어 또는

서비스 활성화가 필요할 수 있습니다. 성능은 시스템 구성에 따라 달라집니다.

어떠한 컴퓨터 시스템도 절대적으로 안전하지는 않습니다. 자세한 내용은 시스템 제조업체

또는 유통업체에 문의하거나 intel.co.kr/CSP를 참조하시기 바랍니다.

인텔, 인텔 로고, 제온 및 Optane은 미국 및/또는 기타 국가에서 인텔사 또는 그 자회사의

상표입니다.

*다른 이름과 브랜드는 해당 소유주의 자산입니다.

© Intel Corporation 0518/CAT/LH/PDF 337637-001KR

비즈니스 성공은 고객의 요구 사항 충족에 달려 있으며, 클라우드 서비스를 선택할 때

기업이 최우선으로 고려하는 사항은 신뢰입니다. 고객은 애플리케이션을 클라우드로

옮기고 나면, 계속해서 회사 보안 정책을 강제 적용하고 규정을 준수할 수 있는지 알고자

합니다.

다른 무엇보다도 액세스 제어, 암호화, 데이터 손실 방지 관점에서 클라우드 서비스

공급업체가 역량을 발휘할 수 있다는 확실한 증거를 원합니다. 그리고, 선택한 클라우드

서비스에 따라 어떤 보안 요소에 누가 책임이 있는지 알아야 합니다.

현재 이러한 요소 중 하나라도 클라우드 서비스 제품군에서 빠져 있으면 이를 신속히

해결하기 위한 조치를 취해야 합니다. 인텔의 보안 솔루션을 사용하면 하드웨어를 토대로

전체 신뢰 체인을 구축하여 고객의 보안 요구 사항을 충족할 수 있습니다.

클라우드 서비스 공급업체를 위한 인텔의 솔루션에 대해 자세히 알아보려면 intel.co.kr/

CSP를 방문하십시오.

결론