NCP

0. [NCP] 네이버 클라우드에서의 보안 – Introduce

안녕하세요. ManVSCloud 김수현입니다.

오늘은 국내 클라우드 Naver Cloud Platform에서의 보안을 간단히 소개해보는 포스팅을 작성해보려합니다.

포스트 코로나 시대, 즉 접촉없이 연결되는 언택트 시대가 Covid-19의 영향으로 예상보다 빠르게 일상생활의 트렌드를 바꾸어가고 있습니다.
온라인 교육, 화상 면접, 배달 서비스 등 시대에 맞게 비대면 서비스가 증가했으며
IT 분야 역시 이러한 변화로 인해 클라우드 서비스가 많이 사용되고 있습니다.

https://www.parkmycloud.com/blog/aws-vs-azure-vs-google-cloud-market-share/

전통적인 온프레미스 환경에서 클라우드로 변화하거나 온프레미스와 퍼블릭 클라우드를 함께 하이브리드 클라우드로 운영하시는 사용자들이 상당히 많아졌고 공공기관이나 금융기관 역시 이러한 클라우드 서비스에 대해 고려해보게 됩니다.

(네이버 클라우드 플랫폼 – 공공기관용)

(네이버 클라우드 플랫폼 – 금융기관용)

또한 국내 데이터가 해외 클라우드 서버에 저장되는 것부터 그런 데이터들이 보안 문제로 인해 유출되는 부분들까지 많은 고민이 될 것입니다.
네이버 클라우드에서는 국내 공공기관용으로 보안수준을 강화한 클라우드 서비스를 제공하고 금융기관과 핀테크 기업의 조건에 맞는 맞춤형 서비스를 제공하여 데이터를 국내에 저장하며 맞춤형 클라우드 서비스를 사용할 수 있어 더욱 신뢰성과 안정성이 있습니다.

CSA(Cloud Security Alliance) 자료에 따르면 클라우드 환경에서의 11가지 두드러진 위협/위험 및 취약점이 아래와 같이 존재한다고 말합니다.

  1. Data Breaches (데이터 침해)
  2. Misconfiguration and Inadequate Change Control (잘못된 구성 및 부적절한 변경 제어)
  3. Lack of Cloud Security Architecture and Strategy (클라우드 보안 아키텍처 및 전략 부족)
  4. Insufficient Identity, Credential, Access and Key Management (불충분한 ID, 자격증명, 액세스 및 키 관리)
  5. Account Hijacking (계정 하이젝킹)
  6. Insider Threat (내부자 위협)
  7. Insecure Interfaces and APIs (안전하지 않은 인터페이스 및 API)
  8. Weak Control Plane (약한 컨트롤 플레인)
  9. Metastructure and Applistructure Failures (메타 구조 및 애플리케이션 구조 오류)
  10. Limited Cloud Usage Visibility (제한된 클라우드 사용 가시성)
  11. Abuse and Nefarious Use of Cloud Services (클라우드 서비스의 남용 및 악의적인 사용)

위 보안 위협에 대한 자세한 내용은 아래 사이트에서 다운로드 받을 수 있으니
취약점에 대한 자세한 내용을 알고싶으신 경우 자료 참고하시면 좋을듯 합니다.

이런 보안 위협에 대한 대비는 앞으로 더욱 중요한 사항이 될 것으로 보입니다.


Naver Cloud – Security

네이버 클라우드를 사용하며 각 서비스들마다 어떤 보안 관리를 할 수 있을지 알아보겠습니다. 우선 네이버 클라우드 플랫폼을 사용하기 위해서는 해당 페이지로 로그인을 해야합니다.

여기서 사용하는 계정을 해킹 당한다면 상당히 크리티컬한 문제로 이어집니다.
때문에 네이버 클라우드에 접속하는 계정 보안은 아주 중요하다고 볼 수 있습니다.
두번째로 네트워크 보안입니다. VPC 플랫폼을 예로 VPC 생성 후 서비스 목적에 맞게 그리고 보안 요구 사항에 따라 네트워크를 분리 하는 것이 좋습니다. 세번째로 서버 보안입니다. 서버에 올라가는 OS의 취약점부터 해당 서버로 접근할 수 있는 접근 제한 등 각 서비스 포트별로 관리도 필요합니다.

DB 보안도 필수죠. DB의 경우 아무래도 데이터 유출이나 손실이 발생하면 상당히 곤란할 때가 많습니다. 인증, 기밀성, 무결성, 가용성을 유지하기 위해 다소 많은 고민을 해야합니다. 그 외에도 스토리지 보안과 모든 활동에 대한 감사 등 보다 안전한 서비스를 구성하기 위해서는 고려해야할 사항들이 다수 많이 존재합니다.

manvscloud – ncloud security

Compliance Guide

네이버 클라우드 플랫폼에서는 Compliance Guide가 무료로 제공됩니다.

Compliance Guide가 무엇이냐?! 서비스 설명에서는 아래와 같이 설명 하고 있습니다.

“Compliance Guide는 네이버 클라우드 플랫폼이 보유한 인증서와 관련 문서를 제공하여 고객이 보안 인증에 대응하는데 도움을 주며, 네이버 클라우드 플랫폼의 각 서비스 이용 시 어떤 통제 항목이 해결되는지, 고객이 추가로 수행하여야 하는 부분은 어떤 항목인지 등을 손쉽게 확인할 수 있도록 돕습니다.”

즉 보안 인증이나 규제에 대응에 필요한 사항을 쉽게 정리한 규정 준수 가이드입니다.

이 가이드를 통해 KISA ISMS-P 인증 심사나 PCI DSS와 같은 인증에 대한 대비를 보다 원활하게 진행할 수 있습니다.

▶ 네이버 클라우드 플랫폼의 책임이 되는 통제 규격
▶ 고객의 책임이 되는 통제 규격
▶ 네이버 클라우드 플랫폼과 고객의 공통 책임이 되는 통제규격

Coverage 기능에서는 책임 통제 규격에 대한 식별이 쉽도록 구분되어 있으며
명확한 구분으로 사용자가 담당해야할 부분에 대한 보안 통제를 확실히 알고 대응할 수 있습니다.

또한 Products 기능을 사용한다면 네이버 클라우드의 각각의 서비스가 지원하는 통제 규격과 적용해야 하는 통제 규격을 쉽게 알 수 있습니다.

위 사진을 보면 알 수 있다시피 상품 카테고리에서 Networking-VPC를 선택하면 VPC 제품에 대한 규격을 색깔로 구분해두어 VPC 상품은 이 부분을 지원하는구나 또는 어떤 통제 규격을 적용해야하구나를 자세히 알려줍니다.

또한 “정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어, 패키지 등) 변경에 대한 절차를 수립·이행 하고 있는가?”라는 내용에 마우스 커서를 올리면 해당 내용에 대한 통제를 구현하는데 이용되는 상품, 통제를 적용해야 하는 상품, 통제를 구현하는데 이용되는 상품을 알 수 있습니다.


마무리

6월 18일에 “[6월 Intermediate] 네이버클라우드플랫폼 보안 강화 교육” 이라는 주제로
네이버 클라우드 플랫폼에서 교육이 진행됩니다.

현재 아쉽게도 모집은 마감된 상태라 추가적인 신청이 불가능한 상태이므로
제가 해당 교육을 듣고난 후 추가적인 후기 포스팅을 남기고 제가 포스팅하고 있는 “네이버 클라우드에서의 보안” 주제에 빠진 부분을 추가 포스팅으로 채워볼 예정입니다.

다가오는 보안 교육 전에 먼저 “[NCP] 네이버 클라우드에서의 보안”이라는 주제로 포스팅을 진행하게 될 것이며 다음 포스팅은 앞서 간단히 소개된 계정, 네트워크, 서버, 데이터베이스, 스토리지, 감사, 이중화, 백업 등에서의 보안을 하나씩 자세히 다루어보는 내용으로 나누어 포스팅 됩니다.

이제는 클라우드, 인공지능(AI) 등 IT가 생활에 매우 가까워졌고 다양한 산업에 혁신을 만들며 산업 생태계를 주도하고 있습니다.
IT가 함께하는 세상이 찾아온만큼 보안에 대한 인식 역시 높아져야겠습니다.

긴 글 읽어주셔서 감사합니다.


Previous Post Next Post

You Might Also Like

2 Comments

  • Reply 가시다 5월 16, 2021 at 4:43 오후

    보안 분야에 종사하지 않아도 IT 어느 분야든 보안에 대한 인식과 학습이 필요하다고 생각하네요.

    NCP 가 아니더라고 핵심적인 기술은 모든 클라우드 온프레미스에서도 적용이 되니,

    예고하신 포스팅 글들이 기다려지네요. 글 잘 보았습니다 🙂

    • Reply manvscloud 5월 17, 2021 at 4:44 오전

      맞습니다! 보안이 점점 더 중요해지는 것같습니다.
      “세상에 완벽한 보안은 없다”라는 걸 배웠던 기억이 있네요.
      그만큼 철저한 대비도 필수라고 생각합니다.
      보안학과를 전공했는데 전… 학교 다닐 때 열심히 안한 거 같아요😂
      공부할 때마다 새롭네요

    Leave a Reply