클라우드 보안 아키텍쳐

 

 

 

앞으로 웹/앱 진단만으로는 나만의 무기를 만들기는 어려울 것 같아 작년부터 회사에서 클라우드 진단 가이드를 작성하고 있다. 아직까지 KISA 등에서 제대로 된 클라우드 가이드라고 할 수 있는 공식 문서가 없다고 판단하여 회사 스터디 모임 등을 참여하고 개인적으로 좀 더 포괄적으로 공부하고자 시작하였다.

 

우선 AWS와 같은 프로바이더를 보기 전에 클라우드 자체에 대해서 이해를 목적으로 공부를 해보았다. 클라우드 컴퓨팅의 개념과 아키텍쳐 등을 확인하면서, 클라우드를 보안진단을 하게 될 경우 생각해야 하는 내용을 정리해보니 아래와 같은 5개 도메인으로 나눠서 생각해보면 좋을 것으로 정리되었다.

 

1. 데이터 암호화

2. 백업 및 복원

3. 인증 및 권한

4. 인프라 기본 보안설정

5. 민감정보 관련 법규/컴플라이언스

 

 

또한 보안의 3대요소인 기밀성, 무결성, 가용성을 기준으로 현재까지 이해하고 있는 클라우드의 기능 또는 특징 등을 매칭시키며 마인드 맵을 그려보았다. 그리면서 보안 가이드로 사용할 보안 아키텍쳐를 좀 더 가시적으로 확인하고 싶었다.

 

 

 

클라우드관련 서적, 논문 등을 확인하면서 최종적으로 내가 그린 클라우드 보안 아키텍쳐는 이런 모습이다.

클라우드 전문가들이 보여주던 아키텍쳐는 내가 그리는 아키텍쳐와 조금은 상이하지만, 이를 기반으로 충분히 클라우드 보안 가이드를 작성할 수 있을 것이라 판단하였다.

 

사실 이 아키텍쳐가 틀렸을지 잘못되었을지는 잘 모르겠다. 새로운 영역에 대해 보안 가이드를 작성하기 위해 보안 아키텍쳐부터 수립해보는 것도 이번이 처음이라 스스로 많이 부족하다는 것을 깨달았다. 지식뿐만 아니라 경험도 아직은 많이 부족하기 때문에 분명 문제가 있는 아키텍쳐라 생각한다. 그나마 위안을 삼는 것은 아직 아무도 클라우드에 대한 보안 가이드를 출시하지는 않고 있다는 점이다. 앞으로 계속 클라우드를 공부하면서 지금까지 작성한 가이드도 버전업을 하다보면 아키텍쳐도 점점 발전할 것을 기대한다.

 

 

 

Fin