Shared Responsibility Model

제목을 CLOUD SECURITY라고 하였지만 사실 정확한 표현이라고 할 수는 없습니다.

CLOUD SECURITY는 AWS, MS Azure, Goolge Cloud Flatform과 같은 cloud service provider의 역할이기 때문입니다.

그렇다면 우리의 역할은 무엇이라고 불러야 할까요?

CLOUD SERVICE SECURITY라고 하는 게 옳다고 봅니다.

모든 CSP(Cloud Service Provider)는 책임공유모델(Shared Responsibility Model)을 제시하고 있습니다.

정확히는 클라우드 보안을 세부 요소로 나누고 이에 대한 책임을 서로 나누어 가진다는 의미로 받아들이는 게 맞겠네요.

아래는 AWS의 책임공유모델입니다.

CSP인 AWS는 물리적 서버와 네트워크, 제공하는 다양한 서비스에 대한 책임을 가집니다.

고객은 클라우드에 있는 데이터와 구성, 운영 및 관리에 대한 책임을 집니다.

어쩌면 당연할 수 있는 이 책임공유모델은 고객의 입장에서 몇 가지 중요한 의미를 갖습니다.

1. 책임 분산

  - 클라우드는 고객이 직접 물리적 환경을 제어할 수 없기 때문에 이에 대한 보안책임은 CSP에 전가해야 한다.

2. IT 규제 준수

  - 어쩌면 On-prem 환경에서 완벽하게 수행할 수 없었던 물리보안을 AWS에게 맡길 수 있다.

3. 비즈니스에 집중

  - 따라서 효율적인 서비스 구성과 운영/관리에 역량을 집중할 수 있다.

물론 단점도 존재합니다.

공유책임모델로도 경계가 명확하지 않은 이슈가 발생할 경우 누가 책임을 질 것인가에 대한 문제가 있습니다.

흔치 않은 케이스라고는 하지만 계약검토부터 기술적 검토까지 책임자를 가리는데 많은 비용이 발생합니다.

고객은 이런 상황에 대비하기 위해 계약서 명문화, 상세한 SLA, 공유책임모델에 대한 다각도 리뷰 등을 수행해야 할 것입니다.