클라우드로 마이그레이션하는 데 관련된 위협 및 취약점은 끊임없이 진화하고 있으며,여기에 나열된 것들은 결코 완전한 것이 아닙니다. 임무,시스템 및 데이터와 관련된 클라우드 채택과 관련된 다른 과제 및 위험을 고려하는 것이 중요합니다.
국립표준기술원 클라우드 모델은 클라우드 컴퓨팅의 정의 및 사용 및 배포 방법을 제공합니다.
클라우드 컴퓨팅의 특성 및 모델은 다음과 같습니다:
- 필수 특성:온디맨드 셀프 서비스,광범위한 네트워크 액세스,리소스 풀링,빠른 탄력성 및 측정된 서비스
- 서비스 모델:서비스로서의 소프트웨어,서비스로서의 플랫폼,서비스로서의 인프라
- 배포 모델: 사설 클라우드,커뮤니티 클라우드,퍼블릭 클라우드 및 하이브리드 클라우드
클라우드 컴퓨팅 위협,위험 및 취약점
클라우드 환경 높은 수준에서 기존 데이터 센터 환경과 동일한 위협을 경험합니다. 즉,클라우드 컴퓨팅은 소프트웨어를 실행하고 소프트웨어에는 취약점이 있으며 적들은 이러한 취약점을 악용하려고합니다. 그러나 기존 데이터 센터의 정보 기술 시스템과 달리 클라우드 컴퓨팅에서는 이러한 소프트웨어 취약점으로 인한 위험을 완화할 책임이 있습니다. 그 결과,소비자는 책임의 분열을 이해해야 하며,소비자들이 자신의 책임에 부합한다는 것을 신뢰해야 합니다. 우리의 문헌 검색 및 분석 노력을 바탕으로 다음과 같은 클라우드 고유 및 공유 클라우드/온-프레미스 취약점 및 위협 목록이 확인되었습니다. 아래 그림에서는 클라우드 컴퓨팅 플랫폼에 대한 위협 그림도 자세히 설명합니다.
클라우드-고유한 위협 및 위험
다음 취약점은 클라우드 컴퓨팅의 다섯 가지 특성을 구현한 결과입니다. 이러한 취약점은 클래식 데이터 센터에 존재하지 않습니다.
#1 소비자는 가시성과 통제력을 줄였습니다. 자산/운영을 클라우드로 전환할 때 조직은 이러한 자산/운영에 대한 가시성과 통제력을 상실합니다. 외부 클라우드 서비스를 사용하는 경우 일부 정책 및 인프라에 대한 책임이 보안 책임자로 이동합니다.
실제 책임 변화는 사용 된 클라우드 서비스 모델에 따라 달라 지므로 보안 모니터링 및 로깅과 관련된 기관의 패러다임 전환으로 이어집니다. 조직에서는 네트워크 기반 모니터링 및 로깅을 사용하지 않고 응용 프로그램,서비스,데이터 및 사용자에 대한 정보를 모니터링하고 분석해야 합니다.
#2 주문형 셀프 서비스는 무단 사용을 단순화합니다. 새로운 서비스를 쉽게 제공 할 수 있습니다. 클라우드의 온디맨드 셀프 서비스 프로비저닝 기능을 사용하면 조직의 직원이 동의 없이 기관의 서비스 제공자로부터 추가 서비스를 프로비저닝할 수 있습니다. 소프트웨어 사용 관행은 일반적으로 그림자 그것이라고 합니다.
비용 절감 및 제품 구현 용이성으로 인해 클라우드 서비스의 무단 사용 가능성이 증가합니다. 그러나 지식 없이 프로비저닝되거나 사용되는 서비스는 조직에 위험을 초래합니다. 승인되지 않은 클라우드 서비스를 사용하면 조직이 알지 못하는 리소스를 보호할 수 없기 때문에 맬웨어 감염 또는 데이터 유출이 증가할 수 있습니다. 또한 승인되지 않은 클라우드 서비스를 사용하면 조직의 가시성과 네트워크 및 데이터 제어 기능이 저하됩니다.
#3 인터넷 액세스 가능 관리가 손상될 수 있습니다. 클라우드 서비스를 관리하고 상호 작용하는 데 사용하는 응용 프로그램 프로그래밍 인터페이스 집합을 표시합니다. 조직에서는 자산과 사용자를 프로비저닝,관리,오케스트레이션 및 모니터링하기 위해 이러한 아피스를 사용합니다. 이러한 취약점에는 운영 체제,라이브러리 등의 취약점과 동일한 소프트웨어 취약점이 포함될 수 있습니다. 온프레미스 컴퓨팅을 위한 관리 서버와 달리 인터넷을 통해 액세스 할 수 있으므로 잠재적 인 악용에 더 광범위하게 노출됩니다.
위협 행위자가 관리 취약점을 찾습니다. 발견되면 이러한 취약점이 성공적인 공격으로 전환되고 조직 클라우드 자산이 손상 될 수 있습니다. 이를 통해 공격자는 조직 자산을 사용하여 다른 고객에 대한 추가 공격을 가할 수 있습니다.
#4 여러 테넌트 간의 분리가 실패합니다. 다중 테넌시를 지원하는 인프라,플랫폼 또는 응용 프로그램 내에서 시스템 및 소프트웨어 취약점을 악용하면 테넌트 간의 분리를 유지하지 못할 수 있습니다. 이 오류는 공격자가 한 조직의 리소스에서 다른 사용자 또는 조직의 자산 또는 데이터에 액세스하는 데 사용할 수 있습니다. 다중 테넌시는 공격 표면을 증가시켜 분리 컨트롤이 실패 할 경우 데이터 유출 가능성을 높입니다.이 공격은 응용 프로그램,하이퍼바이저 또는 하드웨어의 취약점을 악용하여 수행할 수 있습니다. 테넌트의 데이터에 대한 액세스 권한을 외부 공격자가 얻는 결과를 초래했습니다.
논리적 분리 실패에 기반한 공격에 대한 보고는 확인되지 않았지만 개념 증명 공격이 입증되었습니다.
#5 데이터 삭제가 완료되지 않았습니다. 데이터 삭제와 관련된 위협은 소비자가 클라우드에 데이터가 물리적으로 저장되는 위치에 대한 가시성을 줄이고 데이터의 안전한 삭제를 확인하는 기능이 감소했기 때문에 존재합니다. 이러한 위험은 데이터가 다중 테넌시 환경에서 인프라 스트럭처 내의 여러 저장 장치에 분산되어 있기 때문에 발생합니다. 또한 삭제 절차는 공급자마다 다를 수 있습니다. 조직에서는 데이터가 안전하게 삭제되었는지,나머지 데이터를 공격자가 사용할 수 없는지 확인할 수 없습니다. 이 위협은 기관이 더 많은 서비스를 사용함에 따라 증가합니다.
클라우드 및 온프레미스 위협 및 위험
다음은 조직이 해결해야 할 클라우드 및 온프레미스 데이터 센터 모두에 적용되는 위험입니다.
#6 자격 증명이 도난당했습니다. 공격자가 사용자의 클라우드 자격 증명에 대한 액세스 권한을 얻는 경우 공격자는 추가 리소스(자격 증명이 프로비저닝에 대한 액세스를 허용한 경우)를 프로비저닝하고 조직의 자산을 대상으로 지정하기 위해 서비스에 액세스할 수 있습니다. 공격자는 클라우드 컴퓨팅 리소스를 활용하여 조직의 관리자,동일한 보안 관리자를 사용하는 다른 조직 또는 보안 관리자의 관리자를 타겟팅할 수 있습니다. 공격자는 이러한 자격 증명을 사용하여 기관의 시스템 및 데이터에 액세스할 수 있습니다.
관리자 역할은 관리자 권한과 조직에 따라 다릅니다. 그러나 소비자의 관리자는 조직의 클라우드 구현에만 액세스할 수 있습니다. 기본적으로 관리자는 둘 이상의 고객에 대한 관리 권한을 가지며 여러 서비스를 지원합니다.
#7 벤더 잠금은 다른 벤더 잠금으로 이동하는 것을 복잡하게 만듭니다. 공급업체 잠금은 조직이 자산/작업을 한 공급망에서 다른 공급망으로 이동하는 것을 고려할 때 문제가 됩니다. 이 조직은 이동에 필요한 비용/노력/스케줄 시간이 비표준 데이터 형식,비표준 데이터 형식 및 단일 데이터 관리 시스템의 독점 도구 및 고유 한 데이터 관리에 대한 의존도와 같은 요인으로 인해 초기에 고려 된 것보다 훨씬 높다는 것을 발견합니다.
이 문제는 더 많은 책임을 지는 서비스 모델에서 증가합니다. 또한 서비스 제공업체가 더 많은 기능,서비스 또는 서비스 제공업체를 사용함에 따라 서비스 제공업체의 고유한 구현에 대한 노출이 증가하게 됩니다. 이러한 고유 구현은 기능을 다른 보안 요원으로 이동할 때 변경해야 합니다. 데이터 손실 또는 적시에 다른 데이터 손실 전송 될 수 없기 때문에 선택한 데이터 손실 사업,그것은 큰 문제가 된다.
#8 증가 된 복잡성은 직원 균주. 클라우드로 마이그레이션하면 작업이 복잡해질 수 있습니다. 클라우드에서 관리,통합 및 운영하려면 에이전시의 기존 직원이 새로운 모델을 배워야 할 수 있습니다. 또한,자산과 데이터를 클라우드로의 마이그레이션을 관리,통합 및 유지 관리할 수 있는 역량과 기술 수준을 갖추고 있어야 합니다.
클라우드에서 키 관리 및 암호화 서비스가 더욱 복잡해집니다. 클라우드 서비스를 로그 및 모니터링하는 데 사용할 수 있는 서비스,기술 및 도구는 일반적으로 클라우드 서비스에 따라 다르므로 복잡성이 더욱 증가합니다. 또한 복잡성을 추가하는 기술,정책 및 구현 방법으로 인해 하이브리드 클라우드 구현에 응급 위협/위험이있을 수 있습니다. 이러한 추가 복잡성으로 인해 기관의 클라우드 및 온프레미스 구현에서 보안 격차가 발생할 가능성이 높아집니다.
#9 내부자가 승인된 액세스를 남용합니다. 조직 또는 네트워크,시스템 및 데이터에 대한 권한 있는 액세스를 남용하는 직원 및 관리자와 같은 내부자는 정보를 손상시키거나 유출하도록 고유하게 배치됩니다.
내부자가 자원을 프로비저닝하거나 탐지를 위해 포렌식이 필요한 사악한 활동을 수행 할 수 있기 때문에 내부자를 사용할 때 영향이 더 심할 가능성이 큽니다. 클라우드 리소스에서는 이러한 포렌식 기능을 사용하지 못할 수 있습니다.
#10 저장된 데이터가 손실됩니다. 클라우드에 저장된 데이터는 악의적 인 공격 이외의 이유로 손실 될 수 있습니다. 클라우드 서비스 공급자가 실수로 데이터를 삭제하거나 화재 또는 지진과 같은 물리적 재앙으로 인해 고객 데이터가 영구적으로 손실될 수 있습니다. 데이터 손실을 피하는 부담은 공급자의 어깨에만 해당되지 않습니다. 고객이 클라우드에 업로드하기 전에 데이터를 암호화하지만 암호화 키를 분실하면 데이터가 손실됩니다. 또한 스토리지 모델을 잘못 이해하면 데이터가 손실될 수 있습니다. 기관 데이터 복구를 고려 하 고 그들의 신용 카드 취득 되 고,서비스 제공,변경 또는 파산 가능성에 대 한 준비를 해야 합니다.
이 위협은 기관이 더 많은 서비스를 사용함에 따라 증가합니다. 데이터 복구는 가용성/가동 시간 비율을 지정하기 때문에 기관에서 데이터를 복구하는 것보다 쉬울 수 있습니다. 이 비율은 기관이 최고 점수를 선택할 때 조사해야합니다.
#11 공급망이 손상되었습니다. 제 3 자(이하”회사”라 한다)는”회사”가”회사”의 인프라,운영 또는 유지보수 부분을 아웃소싱하는 경우,해당 제 3 자(이하”회사”라 한다)가”회사”와 계약을 맺은 요건을 충족하거나 지원하지 않을 수 있습니다. 조직에서는 규정 준수를 적용하는 방법을 평가하고 규정 준수가 자체 요구 사항을 제 3 자에게 전달하는지 확인해야 합니다. 요구 사항이 공급망에 부과되지 않으면 기관에 대한 위협이 증가합니다.
이러한 위협은 조직이 더 많은 네트워크 서비스를 사용함에 따라 증가하고 있으며 개별 네트워크 네트워크 및 공급망 정책에 따라 달라집니다.
#12 실사가 불충분하면 사이버 보안 위험이 증가합니다. 클라우드로 마이그레이션하는 조직은 종종 실사가 불충분합니다. 그들은 그렇게의 전체 범위를 이해하지 않고 클라우드로 데이터를 이동,보안 보안 대책에 의해 사용되는 보안 조치,및 보안 조치를 제공하기 위해 자신의 책임. 그들은 완전히 그 서비스를 확보해야하는 방법을 이해하지 않고 클라우드 서비스를 사용하는 결정을 내릴.
마무리하고 앞을 내다보는 것
보안을 위해 공유 책임 모델을 사용한다는 점을 기억하는 것이 중요합니다. 보안위원회는 보안의 일부 측면에 대한 책임을 수용합니다. 보안의 다른 측면은 보안 보안과 소비자 사이에 공유됩니다. 마지막으로,보안의 일부 측면은 소비자의 책임입니다. 효과적인 클라우드 보안은 모든 소비자 책임을 알고 충족시키는 데 달려 있습니다. 소비자가 책임을 이해하거나 충족하지 못하는 것은 클라우드 기반 시스템에서 보안 사고의 주요 원인입니다.
이 블로그 게시물에서 우리는 조직이 데이터와 자산을 클라우드로 마이그레이션하는 것을 고려할 때 직면하는 5 가지 클라우드 고유 위협과 7 가지 클라우드 및 온-프레미스 위협을 확인했습니다. 이 시리즈의 다음 게시물에서는 조직이 데이터와 애플리케이션을 클라우드로 안전하게 이동할 수 있도록 돕는 일련의 모범 사례를 살펴볼 것입니다.
추가 리소스
이 시리즈의 다음 게시물 인 클라우드 보안 모범 사례를 읽으십시오.
클라우드 컴퓨팅 보안에 대한 자세한 내용은 다음 사이트를 참조하십시오:
연방 위험 및 권한 관리 프로그램은 클라우드 제품 및 서비스에 대한 보안 평가,권한 부여 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 정부 차원의 프로그램입니다.
클라우드 보안 얼라이언스는 클라우드 컴퓨팅 내에서 보안 보증을 제공하기 위한 모범 사례의 사용을 촉진하고,클라우드 컴퓨팅의 사용에 대한 교육을 제공하여 다른 모든 형태의 컴퓨팅을 확보하기 위해 노력합니다.
유럽연합 네트워크 및 정보 보안 기관(에니사)의 클라우드 보안 페이지.