클라우드 네이티브 보안이란?

클라우드 네이티브 보안이란?

클라우드 네이티브 보안은 클라우드의 고유한 보안 문제를 위해 설계된 보안 관행 및 기술을 의미합니다. 클라우드 리소스들은 임시적이고 구성 가능하며 확장 가능하고 다양한 방식으로 서로 통합됩니다. 또한 많은 클라우드 서비스에서는 보안에 대한 책임을 고객에게서 클라우드 공급자에게로 넘깁니다. 일반적으로 클라우드를 이용하면 온프레미스 인프라와 관련된 전통적인 보안 위험이 감소하지만, 클라우드와 관련된 새로운 위험은 클라우드 네이티브 보안을 사용하여 관리해야 하는 경우가 많습니다.

클라우드 네이티브 보안은 온프레미스 인프라를 보호하기 위해 구축된 보안과 대비됩니다. 클라우드 네이티브 보안은 클라우드 애플리케이션의 기능, 서비스, API, 그리고(잠재적으로) 기본 하드웨어가 이동하는 경우에도 데이터 규제 준수 및 거버넌스를 지원하는 동시에 클라우드 기반 애플리케이션 인프라를 보호하도록 설계되었습니다.

클라우드 네이티브 보안이 중요한 이유는?

클라우드 애플리케이션은 끊임없이 변화합니다. 클라우드 기반 소프트웨어는 하드웨어를 추상화하므로 특정 서버, 컴퓨터, 데이터 센터, 로컬 네트워크를 보호하는 것은 클라우드 애플리케이션을 안전하게 유지하는 데 적합하지 않습니다.

주택 보안 시스템을 생각해 보세요. 보안에 민감한 주택 소유자는 집 문과 창문에 센서를 설치하여 무단 침입을 방지합니다. 그러나 집주인이 집을 개조하여 갑자기 창문을 더 많이 추가하고 문을 옮기면 보안 시스템을 재구성해야 합니다.

클라우드 애플리케이션은 끊임없이 개조되는 집과 같습니다. 정적이고 변하지 않는 아키텍처를 가정하는 구식 보안 시스템은 그다지 효과적이지 않으며 지속해서 수동으로 재구성해야 합니다. 하지만 클라우드 네이티브 보안은 모든 것이 항상 같은 위치에 있다는 가정에 따라 구축되지 않습니다. 대신 워크로드 및 ID를 보호하고 클라우드에서 트래픽 및 이벤트를 지속해서 모니터링하는 데 중점을 둡니다.

클라우드 네이티브 애플리케이션이란?

클라우드 네이티브 애플리케이션은 클라우드에 배포됩니다. 클라우드 네이티브 애플리케이션은 유연하고 확장성이 뛰어난 아키텍처를 갖추고 여러 위치에서 실행되는 경향이 있으므로 보안에 대한 경계 기반 접근 방식은 그다지 효과적이지 않은 경우가 많습니다. 따라서 클라우드 네이티브 보안이 필요합니다.

클라우드 기반 애플리케이션에는 여러 가지 아키텍처를 단독으로 또는 서로 조합하여 사용할 수 있습니다. 이들은 마이크로서비스, 서버리스 기능, 컨테이너 기반 백엔드 또는 이들 모두의 조합으로 구성될 수 있습니다.

이러한 모든 아키텍처의 공통점은 빈번한 변경과 확장, 그리고 온디맨드 컴퓨팅이라는 점입니다. 예를 들어 서버리스 백엔드를 구성하는 기능은 설정된 양의 컴퓨팅 성능으로 지속적으로 실행되는 대신 필요에 따라 실행되고 확장됩니다.

클라우드용으로 설계되지 않은 애플리케이션은 '모놀리식'인 경우가 많습니다. 이러한 애플리케이션은 하나의 독립 스택이며 업데이트를 하면 전체 애플리케이션에 적용됩니다. 반면 클라우드 네이티브 애플리케이션은 여러 부분으로 구성되어 있으며 API를 통해 연결되는 경우가 많습니다. 이들 부분은 서로 개별적으로 이동, 변경, 업데이트, 확장될 수 있습니다.

클라우드 네이티브 애플리케이션은 온프레미스의 현지화된 하드웨어 및 네트워크에서 제거된 여러 추상 계층이므로 방어할 '네트워크 경계'가 없습니다. 기존의 보안 조치는 명확하게 정의된 네트워크에서 위협을 차단하는 데 중점을 둡니다. 때때로 이러한 보안 조치는 클라우드를 방어하기 위해 채택되지만, 적합하지 않고 유연하게 확장할 수 없는 경우가 많습니다. 클라우드 네이티브 보안은 그 대신 클라우드 기반 아키텍처를 위해 특별히 구축되었습니다.

주요 클라우드 네이티브 애플리케이션 보안 위험은?

빠르게 확장되고 변화하는 인프라 때문에 애플리케이션의 공격면이 늘어날 수 있습니다. 주요 위협은 다음과 같습니다.

• API 보안 위험: 클라우드 네이티브 애플리케이션을 구성하는 기능, 컨테이너, 마이크로서비스는 API를 통해 서로 연결됩니다. API 보안 취약점으로 인해 데이터가 노출되거나 공격자에게 액세스 권한이 부여되거나 기타 여러 가지 방식으로 클라우드 네이티브 애플리케이션이 위험에 처할 수 있습니다.
• 잘못된 구성: 클라우드 배포 시 발생하는 설정 오류(잘못된 구성이라고 함)는 클라우드의 데이터에 큰 위험을 초래합니다. 클라우드 배포는 실수로 공용 인터넷에 노출되거나 잘못 구성되어 심각한 데이터 유출로 이어질 수 있습니다.
• 내부자 위협: 클라우드 데이터에 액세스할 수 있는 내부자가 실수로 또는 악의적으로 데이터를 편집, 복사, 삭제할 수 있습니다.
• 데이터 유출: 클라우드는 대부분의 클라우드 기반 애플리케이션에 내장된 방대한 수의 클라우드 서비스와 다중 테넌트 클라우드 인프라의 특성으로 인해 중요한 데이터의 무단 전송에 대한 많은 공격 벡터를 제공합니다.
• 가시성 부족: 클라우드 기반 애플리케이션은 외부 당사자가 소유하고 운영하는 인프라에 구축됩니다. 이렇게 하면 클라우드 네이티브 개발이 오버헤드가 훨씬 적다는 장점이 있지만, 단점은 데이터가 있는 위치, 워크로드가 실행 중인 위치, 데이터가 이동하는 위치에 대한 가시성이 부족하다는 것입니다. 또한 섀도우 IT 배포(승인되지 않은 서비스 또는 애플리케이션의 사용)가 모니터링되지 않으므로 큰 문제가 됩니다.
• 규제 준수 위험: 클라우드에서는 가시성이 부족하기 때문에 데이터가 이동하는 위치와 액세스 방법을 제어하기 어려울 수 있으며, 이로 인해 지역 데이터 규제를 준수하기가 어려울 수 있습니다.

클라우드 네이티브 보안의 구성 요소는?

• ID 및 액세스 관리(IAM): 이러한 기능은 엔터티가 누구인지 또는 무엇인지, 그리고 무엇을 할 수 있는지 확인합니다. 클라우드의 IAM은 사용자, 애플리케이션, 서버, API의 ID를 동일하게 확인해야 합니다. 그리고 이러한 모든 엔터티에 대한 액세스를 엄격하게 제어하고 모니터링해야 합니다. 한 사용자 또는 서비스가 손상되어 너무 많은 액세스 권한이 부여된 경우 대규모 유출로 이어질 수 있습니다. 최소 권한 원칙은 사람, 서비스, 장치에 너무 많은 액세스 권한이 주어지지 않도록 하는 데 도움이 될 수 있습니다.
• 워크로드 보안: 현대 보안에서 자명한 한 가지 사실은 위협이 애플리케이션 외부와 마찬가지로 애플리케이션 내부에서도 쉽게 존재할 수 있다는 것입니다. 워크로드 보안은 클라우드 워크로드(워크로드는 일정량의 컴퓨팅 성능을 사용하는 프로그램 또는 애플리케이션임) 내에서 위협을 찾는 관행입니다. 워크로드는 컨테이너에서 실행하는 것, 가상 머신에서 실행하는 것, 서버리스 기능으로 실행하는 것 등 클라우드의 다양한 추상 계층에서 실행됩니다. 워크로드 보안(예: CWPP에서 제공하는 보안)은 이러한 모든 다양한 환경에서 악성 코드와 알려진 취약점을 찾습니다.
• 웹 애플리케이션 및 API 보호(WAAP): 클라우드 네이티브 애플리케이션은 삽입 공격부터 분산 서비스 거부(DDoS) 공격에 이르기까지 애플리케이션 계층 공격으로부터 보호되어야 합니다. 거의 모든 최신 애플리케이션에 통합되는 API도 보호가 필요합니다. API가 여러 가지 공격에 취약하기 때문입니다.
• 네트워크 보안: 클라우드 네이티브 보안은 또한 모든 네트워크 트래픽을 분석하여 악의적 트래픽을 식별 및 완화하며 중요한 데이터가 보안 환경을 벗어나지 못하게 합니다.
• 코드형 인프라(IaC) 스캐닝: 코드형 인프라(IaC)는 수동 프로세스 대신 코드(스크립트)를 사용하여 클라우드 인프라를 관리하고 구성하는 접근 방식입니다. IaC 스캐닝은 이러한 스크립트 내에서 위협과 취약점을 찾습니다.
• 클라우드 보안 상태 관리(CSPM): CSPM은 자동화된 도구로, 클라우드 인프라에서 잘못된 보안 구성, 가능한 규제 준수 위반, 취약점을 스캔합니다.
• 데이터 보호: 조직에서는 데이터를 안전하게 유지하고 규제 준수를 유지하기 위한 단계로, 클라우드 네이티브 애플리케이션에 저장된 모든 데이터를 식별하고, 해당 데이터의 위치를 파악하며, 보호되는 것을 확인해야 합니다.
• 지속적인 모니터링 및 보고: 클라우드 애플리케이션 및 인프라는 위반 또는 취약점을 나타낼 수 있는 이상 징후를 감지할 수 있도록 지속해서 모니터링하고 기록해야 합니다. 모니터링을 하면 잘못된 보안 구성도 감지할 수 있습니다.

CNAPP란?

클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP)은 애플리케이션에 올인원 클라우드 보안 및 규제 준수를 제공하는 보안 솔루션 유형입니다. CNAPP는 개발자와 보안 팀에서 배포 후에만 문제를 발견하는 대신 개발 주기 초기에 위협과 결함을 식별하는 데 도움이 될 수 있습니다.

Cloudflare에서 클라우드 네이티브 애플리케이션을 보호하는 방법은?

Cloudflare에서는 클라우드 액세스 보안 브로커 (CASB) 및 WAAP 서비스를 통해 SaaS 및 클라우드 애플리케이션에 대한 심층적인 가시성을 제공하고, 잘못된 구성을 감지하며, 공격을 차단하고, 클라우드 애플리케이션 및 인프라의 데이터 노출을 방지하도록 지원합니다. Cloudflare 하이브리드 및 멀티 클라우드 환경 전반에 걸쳐 애플리케이션, API, 데이터를 보호하는 방법을 알아보세요.