클라우드, 특히 클라우드 보안과 관련된 많은 대화에서 우리는 CSP, CSPM, EC2 와 같은 축약어, 너무 많은 보안 방법론, 컨셉 등으로 혼란스러울때가 많습니다. 이런 축약어들은 대부분 클라우드 보안 생태계에서 매우 중요 개념들입니다. 그러나 이런 개념들을 정확히 알고, 기억하고 빠르게 진화하는 개념들을 항상 최신버전으로 업데이트해서 적재적소에 활용하기란 매우 어려운 일입니다.
축약어, 새로운 개념, 용어….
이런 축약 용어들이 클라우드 분야에 많은 이유는 이런 용어들이 필요성과 함께 진화하기 때문입니다. 이렇게 용어가 난무하고 있는 상황에서도 모범 관행들이 만들어지고 공유되고 있습니다. 이번 블로그는 이런 용어와 개념의 홍수속에서 클라우드 보안을 강화하는 10가지 권고사항을 선별하였습니다.
방법1. 더 나은 클라우드 선택
클라우드 보안의 가장 어려운 점은 ‘시작’입니다. 많은 조직이 리소스 배분이나 보안팀의 필요 역량과 같은 기본적인 것들을 파악하는데 어려움을 경험합니다. 2022년 Osterman 의 클라우드 현황 설문 조사에 따르면 80%이상의 기업이 클라우드 자원을 보호하는데 필요한 전담팀이 부족한 것으로 나타났습니다. 클라우드 보안 담당자를 배정하는 것은 클라우드를 보호하는데 필요한 여러 단계 중 첫번째에 해당합니다.
보안팀의 역량 강화를 위해 다양한 공개된 교육 및 서티취득 과정들이 제공되고 있습니다. (CCSP, CCSK 등) 또, AWS와 같은 클라우드 업체들이 다양한 교육 프로그램을 제공합니다. 그러나 무엇보다 중요한 것은 보안팀이 하이브리드, 멀티 클라우드에 대한 기본적인 지식을 갖추는 것이 클라우드 인프라 보안 강화에 꼭 필요합니다.
방법2. 취약성에 덜 취약하기
작은 취약성일지라도 대규모 공격의 포문이 될 수 있습니다. IBM 데이터 침해 비용 보고서 2023에 따르면 2023년 글로벌 평균 데이터 공격 피해액은 약 4억4500만 달러였습니다. 클라우드 워크로드 보호 (Cloud workload protection, CWP) 역량은 멀티 클라우드 환경을 보호하고 공격을 막을 수 있습니다. CWP는 운영중인 클라우드 자원에 대한 우선순위와 일관된 거버넌스를 제공하여 조직을 취약하게 만드는 보안 위협을 발견하고 알려줍니다.
CWP 와 관련된 솔루션 중 Tenable Cloud Security 는 에이전트와 에이전트리스 방식 2가지를 지원합니다. 멀티 클라우드 환경과 OS 패키지, 애플리케이션과 라이브러리의 취약성을 보호합니다. 특히, 조치하지 않은 상태로 두면 위험한 조합 (toxic combination) 을 찾아내어 알려주고 해결방안을 제시합니다.
방법3. 감사 관리
보안 담당자는 월 평균 15시간을 보안 보고서를 작성하는데 투자한다고 합니다. 이 15시간에는 그러나 컴플라이언스가 전사로 전파하거나 컴플라이언스를 준수하지 못하는 배포나 장애를 해결하는 시간은 노력은 포함되어 있지 않습니다.
자신 있게 감사를 관리하려면 실행 중인 항목, 모든 클라우드에서 접근가능한 항목, 해당 상태가 업계 규정 준수 표준에 어떻게 매핑되는지에 대한 가시성이 필요합니다. 자주 업데이트되는 '통합 보안 상태'를 통해 문제 해결을 자동화하고 위험 수준 및 규정 준수 준수 여부에 따라 조치의 우선순위를 지정할 수 있습니다.
Tenable Cloud Security 의 CSPM (클라우드 보안 상태 관리) 기능을 통해 컴플라이언스 상태에 대한 보고를 자동화할 수 있습니다. 그 외에 원클릭 업계 표준 보고서, 직관적인 대시보드를 통해 직관적으로 보안 상태를 파악할 수 있습니다.
방법4. 클라우드 액세스에 대한 CIEM 접근방식 채택
효과적인 클라우드 인프라 및 권한 관리(CIEM)의 도입은 아이덴티티 보안을 강화합니다. 권한과 자격 관리는 복잡하게 얽혀있고 특정 자원이나 아이덴티티에 연결된 행위를 파악하는 것은 매우 어려운 일입니다. 절반 이상의 조직이 아이덴티티를 통한 리소스 접근과 부여된 권한 수준에 대한 가시성이 부족합니다.
방법5. Policy as code
PaC (Policy as code) 는 중요한 정책을 확장이 용이하며 애플리케이션 개발 생명주기 전체에 강제하도록 자동화합니다. 상위 레벨의 보안 정책을 정의하고 PaC로 작성하여 적용하면 빠른 속도의 클라우드 환경에서 정책이 일관되게 적용되고 있음을 확신할 수 있습니다. 보안팀의 업무가 증가될 수록 PaC 의 중요성이 점점 부상하고 있습니다.
방법6. MTTR 감소
MTTR (평균수리시간)은 클라우드 보안에서 가장 많이 이야기되는 메트릭입니다. 수정이 얼마나 빨리 이뤄지는지 속도도 중요하지만 클라우드 환경에 위협을 가하는 취약성들이 제대로 수정되는 것이 더 중요합니다.
만약 작은 비율의 취약성만 수정이 이뤄지고 있다면 최소한 수정되는 취약성이 현재 시스템에 가장 큰 위협을 가하는 것들로 선별되어야 할 것입니다. PaC 를 통해 보안 정책을 정의하고 자동화된 수정기능을 통해 보안팀에이 단순 작업에 집중하기보다 우선순위가 높은 심각하고 복잡한 취약성을 해결할 시간 여유를 가지게 됩니다.
또한, 보유하고 있는 티케팃, CI/CD 파이프라인, IaC와 기타 워크로드와 통합되어 자동으로 정책 생성 및 커스터마이징이 가능한 툴을 도입하는 것도 방법입니다.
방법7. 보안팀 역량 강화
로마가 하루아침에 만들어지지 않았듯이 안전한 클라우드 환경도 마찬가지입니다. 모든 클라우드 배포에는 개발자가 포진해 있습니다. 조사에 따르면 500명 이상의 개발자 혹은 데브옵스 엔지니어를 보유한 기업의 40%가 과도한 권한과 환경설정 오류와 취약성에 노출되어 있는 것으로 나타났습니다. 보안팀이 선제적으로 대응하기 위해서는 개발자의 워크플로우에 거버넌스를 강제하고 긍정적인 개발자 경험을 제공해야 합니다.
한 예로, 각 개발자는 개발을 위해 기본적인 권한이 설정되어야 합니다. 그러나 간혹 새로운 작업이나 긴급한 작업을 위해 다양한 클라우드 자원과 서비스에 상향된 권한으로 접속을 해야할 필요가 생깁니다. 워크플로우에 따른 일시적인 상향 접근 권한 예외 설정이 없이 최소권한 원칙만 적용이 되었다면 개발자의 생산성이 떨어지게 됩니다. 셀프 서비스, just-in-time 액세스 포탈 등의 기능, 이메일, 챗옵스 툴, 슬랙, 지라 등을 통해 최소권한 원칙을 유지하면서 사용자 경험 해소가 가능합니다.
방법8. 디폴트 환경설정 금지
쿠버네티스 클러스터는 보안팀에게는 종종 블랙홀처럼 느껴집니다. 적절한 툴 없이 리스크와 취약성을 검토할 효과적인 방법이 없습니다. 이런 가시성의 부족은 보안 사고로 이어집니다.
쿠버네티스 환경설정과 노드, 네임스페이스, 배포, 서버 및 서비스 계정을 포함한 리소스에 대한 가시성을 KSPM(Kubernetes Security Posture Management) 툴을 통해 확보할 수 있습니다. 쿠버네티스는 태생부터 보안이 아닌 개발속도에 중점을 두고 있어 개선된 리스크 분석과 환경설정관리가 아이덴티티와 액세스 관리 리스크에 반드시 필요합니다.
방법9. 내부 로그 살펴보기
데이터 수집의 간극, 클라우드 리소스와 연관 아이덴티티에 대한 제한적 인사이트, 불충분한 아키텍처 정보, 권한에 대한 가시성 부족 등의 이유로 장애 대응과 비정상적 동작에 대한 발견은 어려운 일입니다. 멀티 클라우드로 인해 더욱 악화되는 문제이기도 합니다.
지속적인 위험 분석을 통해 리소스별 ID 통찰력을 제공하는 풍부한 클라우드 제공자 로그 데이터가 필요합니다. 비정상적인 데이터 액세스, 예상치 못한 권한 수정 및 권한 상승과 같은 보안 통찰력과 네트워크 구성 설정에 대한 로깅 변경을 통해 클라우드 공급자 로그 데이터를 강화함으로써 신속한 이상 탐지 및 대응을 해야 합니다.
방법10. 통합된 보안툴. CNAPP 적용
CNAPP (클라우드 네이티브 애플리케이션 보호 플랫폼)은 이런 모든 보안 문제를 해결하는 통합된 보안 툴입니다. 이런 툴을 선정할 때 가장 주의할 점은 고유한 클라우드 환경에 맞게 확장할 수 있는 전략 수립을 지원하며, 통합 가능성입니다.
원문 링크: Level Up Your Cloud Security Strategy
참고 링크:
Osterman State of Cloud Security Maturity 2022
