목록Cloud Security (6)
Hack3rSoltion의 클라우드 보안 이야기
오늘의 주제는 어쩌면 어려운 내용일 수 있습니다.클라우드 보안과 3rd Party 솔루션의 관계에 대해 얘기하려고 합니다.최근에 SECaaS를 제공하는 전문 보안업체를 만난 적이 있습니다.고객이 클라우드 보안에 대해 문의하면 대부분 솔루션으로 응대한다더군요.Google에서 '클라우드 보안'이라고 검색하면 무수히 많은 솔루션들이 출력됩니다.On-prem을 지원하던 보안 솔루션들이 클라우드에 최적화되어 판매되는 거죠.사용자 입장에서는 익숙한 솔루션을 사용할 수 있어서 매력적인 선택일 거라고 생각됩니다.이에 대해 저의 생각을 얘기해보겠습니다. 1. 3rd Party 솔루션은 클라우드 보안을 위한 하나의 도구일 뿐입니다.당연한 말입니다.이 말을 모르는 사람은 없을 것입니다.누구나 이렇게 생각할 것입니다.하지만 ..
SECaaS 포스팅에서 언급됐던 CSA(Cloud Security Alliance)에서 '클라우드 컴퓨팅에 대한 주요 위협 : 산업계 인사이트 보고서'를 발간했습니다.솔직히 CSA가 클라우드 보안업계에 얼마나 영향력이 있는지는 모르겠으나 실제 산업계 보안 담당자들의 설문조사를 바탕으로 작성한 보고서라고 하니 살펴볼 필요는 있을 것 같습니다.사실 on-prem과 크게 다르지 않은 결과이기는 하지만 클라우드의 특성을 반영한 여러분들만의 인사이트가 더해지면 좋을 것 같습니다. 1. 데이터 유출데이터 유출은 표적 공격의 주 목표이기도 하지만 단순한 인간의 실수, 애플리케이션 취약점 또는 잘못된 보안 관행의 결과일 수도 있다. 유출되는 데이터에는 개인 건강 정보, 금융 정보, 개인 식별 정보, 영업 비밀, 지적 ..
Cloud Security에 관심있는 분이라면 SECaaS라는 단어를 들어보셨을 겁니다.'SECURITY as a Service' 즉, '서비스로써의 보안'이라는 의미입니다.On-prem과 Cloud는 비슷한듯 하면서도 참으로 많이 다릅니다.특히 보안의 경우 사상은 비슷하지만 적용방식이 달라 보안담당자들을 많이 당황스럽게 하죠.최근에 Cloud로 마이그레이션이 많이 이루어지다 보니 보안에는 크게 신경을 쓰지 못하는 경우가 생깁니다.그런데 마이그레이션 이후 안정화를 하는 과정에서 보안 요구사항들이 하나둘씩 나오기 시작하죠.하지만 막연함과 당황스러움은 여전합니다.그래서 인력이나 전문성이 없는 사용자는 전문서비스를 받기 원할 겁니다.SECaaS는 이렇게 생겨납니다. Cloud Security Alliance에..
대답에 앞서 다른 질문을 던져보겠습니다.클라우드에서 모니터링은 얼마나 중요할까요?클라우드를 잘 구축해서 운영하는 게 중요한만큼 모니터링도 중요합니다.사실 클라우드를 잘 구축해서 운영한다는 말과 모니터링을 잘 한다는 말은 같은 의미라고 해도 무방하겠죠.이제 첫 질문으로 돌아가보겠습니다.클라우드에서도 보안관제가 필요할까요?앞서 모니터링이 중요하다는 대답을 기억한다면 이런 말도 맞는 말이라는 걸 어렵지 않게 알 수 있습니다.'보안' 모니터링도 중요하죠.보안 모니터링에 대응 프로세스가 더해지면 이게 곧 클라우드 보안관제가 됩니다.그렇습니다.클라우드에서도 보안관제는 필요하며 매우 중요한 모니터링 요소입니다. 그렇다면 정말 궁금한 질문에 대한 답을 찾아봅시다.1. 기존 IDC 보안관제처럼 클라우드 보안관제를 할 수..
제목을 CLOUD SECURITY라고 하였지만 사실 정확한 표현이라고 할 수는 없습니다.CLOUD SECURITY는 AWS, MS Azure, Goolge Cloud Flatform과 같은 cloud service provider의 역할이기 때문입니다.그렇다면 우리의 역할은 무엇이라고 불러야 할까요?CLOUD SERVICE SECURITY라고 하는 게 옳다고 봅니다.모든 CSP(Cloud Service Provider)는 책임공유모델(Shared Responsibility Model)을 제시하고 있습니다.정확히는 클라우드 보안을 세부 요소로 나누고 이에 대한 책임을 서로 나누어 가진다는 의미로 받아들이는 게 맞겠네요. 아래는 AWS의 책임공유모델입니다. CSP인 AWS는 물리적 서버와 네트워크, 제공하는..
저는 보안 업계에서 10 년 이상 종사해 왔습니다.보안 엔지니어로 시작해 솔루션 영업과 Project Manager를 거쳐 IT기업에서 보안사업기획을 담당하다 최근 몇 년간 클라우드 보안 주된 업무로 하게 되었습니다. 많은 기업에서 클라우드를 도입하고자 하지만 경험도 없고 자료도 뜬구름 잡는 것들만 잔뜩 있어 매우 혼란스러워 하십니다.특히, 보안담당자들이 더욱 그렇습니다.클라우드는 기존과 다른 접근방식을 요구하기 때문에 보안 관점에서도 어려움이 많다고 합니다. 저도 정리가 안 되는 저의 경험을 이 곳에 하나씩 풀어보며 클라우드 보안에 관심을 갖고 계신 많은 분들과 정보를 공유하고자 합니다.부디 많은 도움이 되기를 바랍니다. 질문이나 의견이 있다면 언제든지 hack3rsolution@gmail.com으로 ..