하나의 클라우드 서버를 사용하는 것이 좋다면 여러 개의 클라우드 서버를 사용하는 것이 더 좋지 않을까요?
이는 모범 사례로 멀티클라우드 인프라를 점점 더 많이 도입하고 있는 많은 대기업의 생각인 것 같습니다. 하버드 비즈니스 리뷰 설문조사, 에 따르면 응답자의 85%가 "조직에서 최소 2개의 클라우드를 사용하고 있으며, 그 중 1/4은 5개 이상의 클라우드를 사용하고 있다"고 답했습니다. Flexera의 2022 클라우드 현황 보고서 는 "멀티클라우드는 가장 인기 있는 클라우드 인프라로, 89%의 기업이 멀티클라우드를 사용하고 있습니다."라고 말합니다.
조직이 성능을 최적화하고 복원력을 보장하며 한 공급업체에 지나치게 의존하지 않도록 하기 위해 AWS, Azure, Google Cloud Platform 등 여러 클라우드 인프라를 조합하여 사용하면 실질적인 이점을 얻을 수 있습니다.
그러나 멀티클라우드 인프라는 기업이 주요 목표를 실현하는 데 도움이 될 수 있지만, 관리자에게는 새로운 과제를 안겨주기도 합니다.
이러한 문제는 기껏해야 비효율성과 노력 낭비를 초래할 수 있습니다. 최악의 경우, 여러 클라우드 환경에서 사용자, 권한, 액세스, 인증, 액세스 권한 취소를 관리하면 기업은 불필요한 위험에 노출되고 주요 보안 취약점이 발생할 수 있습니다.
클라우드 제공업체의 보안 기능이 이러한 문제를 해결하는 데 불충분한 경우가 너무 많습니다. 여러 클라우드 거버넌스 실패 사례를 연구하고 보안을 우선시하는 조직에 이를 해결할 수 있는 최선의 방법을 조언한 결과, 기업이 클라우드를 보호하고 제로 트러스트로 전환하는 데 도움이 되는 다음과 같은 모범 ID 거버넌스 사례를 정리했습니다.
멀티클라우드 환경의 성장과 그에 따른 클라우드 권한 확대 관리의 어려움으로 인해 리스크가 커지고 있습니다.
관리자는 이러한 문제가 처음부터 발생할 수 있음을 인식해야 합니다. IT 팀은 클라우드 제공업체의 복잡한 ID 및 액세스 관리(IAM) 환경이 온프레미스 사용 내역 및 액세스 권한과 일치하지 않는다는 사실을 알게 될 가능성이 높습니다. 바로 여기서 문제가 시작됩니다: 벤처비트 는 최근 "99%의 클라우드 보안 장애"가 제어 설정 오류로 인해 발생할 것이라는 가트너의 예측을 보도한 바 있습니다.
"멀티클라우드 구성이 복잡할수록 제로 트러스트 구현을 위한 지뢰밭이 될 수 있습니다."
이 네모난 동그란 구멍 문제는 관리자가 클라우드 제공업체의 다양한 사전 결정된 IAM 기능을 먼저 학습한 다음 이를 구성하고 관리하는 방법을 이해함으로써 바로 해결해야 하는 문제입니다.
조직이 멀티클라우드 환경으로 전환함에 따라 크게 세 가지 주요 ID 거버넌스 과제가 확대되고 있습니다. 이러한 문제는 조직의 기존 거버넌스 정책, 클라우드 제공업체의 정책 또는 이 둘의 조합으로 인해 발생할 수 있습니다:
- 우발적인 데이터 노출: 권한과 자산의 잘못된 구성으로 인해 비공개로 설정해야 할 리소스를 공개로 남겨두는 경우가 많습니다. Gartner는 또한 올해 기업의 절반이 "무의식적으로 또는 실수로 일부 애플리케이션, 네트워크 세그먼트, 스토리지 및 API를 퍼블릭에 직접 노출할 것이며, 이는 2018년의 1/4에서 증가한 수치"라고 예측했습니다.
- 과도한 권한: 한 환경에서 사용자 프로필이 오버프로비저닝되어 있고 동일한 프로필이 다른 환경으로 마이그레이션되면 이제 더 넓은 범위의 폭발 반경을 처리해야 합니다. 조직이 더 많은 클라우드 환경을 도입함에 따라 이 문제는 기하급수적으로 증가합니다. 오래된 아이디어이긴 하지만, 조직은 모든 사용자에게 자신의 역할을 수행하는 데 필요한 최소한의 권한만 부여하는 최소 권한으로 전환해야 합니다. 최소 권한은 단순히 사이버 보안을 강화하는 것뿐만 아니라 제로 트러스트 태세로 전환하기 위한 핵심 요소이기도 합니다.
- 취약하고 재활용된 비밀번호: 오버프로비저닝된 사용자가 한 환경에서 다른 환경으로 이동하는 것과 마찬가지로, 사용자는 동일한 비밀번호를 한 클라우드 테넌트에서 다른 클라우드 테넌트로 재활용하는 경우가 많습니다. 하나의 취약한 비밀번호를 여러 클라우드 환경에 액세스하는 데 사용하는 것은 더 큰 문제입니다. 기업은 가능하면 비밀번호 없는 인증을 사용하도록 노력해야 하며, 그 동안에는 최소한 비밀번호 교체를 의무화하고 MFA(다단계 인증) 프로세스를 추가해야 합니다.
업계가 이러한 새로운 과제에 대응하는 방법 중 하나는 서비스형 ID 클라우드 권한 문제를 관리하기 위한 새로운 프로세스인 CIEM(클라우드 인프라 권한 관리)입니다. CIEM은 클라우드 테넌트가 클라우드 권한 문제의 빈도와 영향을 증가시키는 구체적인 방법을 설명합니다.
CIEM은 CIAM(고객 ID 및 액세스 관리), XIAM(외부 ID 및 액세스 관리), EIAM(기업 ID 및 액세스 관리)과 같은 관련 거버넌스 프로그램에 합류하여 증가하는 사용자 유형과 각각 필요한 고유한 자격을 모두 설명하려고 시도합니다.
하지만 CIAM, XIAM, EIAM과 달리 CIEM은 권한을 관리하고 효과적인 권한 폐지를 보장하는 것 이상의 기능을 시도합니다. 또한 CIEM 솔루션은 현재 권한을 미리 보고, 효과적인 액세스 검토를 보장하며, 모든 유형의 다양한 사용자 권한이 의도된 용도와 일치하는지 확인하고, 권한이 회사 데이터, 정보 또는 시스템에 노출되는 것을 방지합니다.
클라우드 환경은 24시간 액세스할 수 있다는 점에서 퍼블릭 클라우드 환경의 위험이 온프레미스 환경보다 더 크기 때문에 보안 및 IT 팀은 CIEM으로 전환하고 있습니다. 이러한 위험은 조직이 여러 클라우드 환경을 통합함에 따라 기하급수적으로 증가합니다.
CIEM이 해결하는 또 다른 요구 사항은 퍼블릭 클라우드 환경의 비용 관리입니다. 퍼블릭 클라우드 리소스를 관리하던 직원이 회사를 떠날 경우 어떤 일이 발생할 수 있는지 생각해 보세요. 적절한 제어와 이중화가 이루어지지 않으면 정해진 시간 동안만 실행되도록 되어 있던 리소스가 관리할 소유자 없이 계속 리소스를 소비할 수 있습니다.
기업은 클라우드 리소스를 잊어버리면 더 많은 비용이 발생할 수 있습니다. 또한 전직 관리자가 이전 회사의 도메인으로 호스트를 만들고 고객을 피싱하여 정보를 유출하는 등 더 많은 취약성에 노출될 수 있습니다. 사기꾼이 브랜드를 사칭하여 비밀번호를 훔치는 것도 문제지만, 회사 내부에서 브랜드 도용이 발생하는 것은 훨씬 더 심각한 문제입니다.
마지막으로, 위협 행위자는 클라우드 제공업체 자체에 침입하여 해당 액세스 권한을 사용하여 클라이언트를 공격할 수 있습니다. 2021년 12월, 브라질 보건부 는 공격자들이 클라우드 제공업체의 인프라 환경에서 사용자 자격 증명을 훔쳤다고 밝혔습니다. 공격자들은 이러한 액세스 권한을 통해 국방부가 해당 공급업체에서 호스팅하던 자산을 파괴하고 ConecteSUS 앱을 통해 브라질 국민들이 팬데믹 기간 동안 예방 접종을 받지 못하는 것을 방지할 수 있습니다.
좋은 소식은 조직이 멀티클라우드 환경을 보호하기 위해 구현할 수 있는 거버넌스 모범 사례가 있다는 것입니다.
브라질 보건부의 위반 사례는 조직이 클라우드 제공업체의 자격을 관리하기 위해 별도의 IGA 환경을 유지하여 CIEM 및 EIAM 환경과 별도로 관리해야 한다는 것을 보여주었습니다.
별도의 IGA 환경은 사용자의 권한을 제어하는 데 필요한 데이터의 양과 복잡성을 더 잘 관리할 수 있습니다. 또한 침해 위험을 고려할 때 별도의 거버넌스 시스템을 유지하면 해커가 측면으로 이동하여 중요한 정보에 액세스하기가 더 어려워집니다.
완전히 별도의 환경을 설정하든 거버넌스 환경을 다른 데이터와 결합하든, 보안팀은 이러한 사용자가 고위험 인프라 도구 및 리소스에 액세스할 수 있으므로 액세스할 수 있는 모든 사용자를 권한 있는 계정으로 간주해야 합니다.
마찬가지로 보안팀은 CIEM 인스턴스를 관리하는 데 사용되는 시스템이 적절한 수준의 계층화된 보호를 받는지 확인해야 합니다. 여기에는 최소한 MFA(다단계 인증)가 포함되어야 합니다. 일반적으로 클라우드 제공업체는 특정 환경과 전체 클라우드 제공업체를 모두 보호하는 데 도움이 될 수 있는 MFA를 쉽게 포함할 수 있도록 합니다.
조직은 인증 요구 사항을 동적으로 변경하는 기능을 포함하여 제로 트러스트에 더 가까워지는 기능을 포함하는 것도 고려해야 하며, MFA는 CIEM 보안의 중요한 첫 단계이지만 이는 첫 단계일 뿐입니다.
스마트 보안 시스템은 사용자의 위치, 디바이스, 네트워크 및 기타 신호를 평가하여 실시간으로 위험을 조사하고 필요한 경우 액세스를 제한할 수 있습니다. 비밀번호 교체, 임시 권한 활성화, 세션 관리, 감사 등의 추가 조치를 통해 거버넌스 환경에 대한 보안을 강화할 수 있습니다.
보안팀은 이러한 신호를 사용하여 보안 이벤트 모니터링 도구에 정보를 제공하고 교육할 수 있습니다. 사용자의 행동에 대한 가시성을 통해 스마트 IAM 시스템은 어떤 이벤트가 예상되는지, 어떤 이벤트가 위험을 나타내는지 파악하는 방법을 학습할 수 있습니다.
시스템에서 문제를 감지하면 조직의 사고 대응팀은 액세스를 관리하는 모든 도구를 사용하여 악용된 계정을 차단할 수 있어야 합니다.
멀티클라우드 환경이 널리 사용되고 있기 때문에 조직은 특정 환경에 대해 개발 중인 보안이 다른 환경에도 확장될 수 있도록 해야 합니다.
조직에서 단일 클라우드 환경을 관리하는 데 사용하는 솔루션이 무엇이든 유사한 액세스 정책을 다른 공급업체로 내보낼 수 있어야 합니다. Azure에서 데이터베이스 관리자에게 할당된 권한은 AWS 환경을 관리할 때 동일한 사람에게 할당된 권한을 반영해야 합니다. 이렇게 하면 조직이 더 많은 클라우드 환경을 통합하면서 보안 설정을 확장할 수 있습니다.
많은 CIEM 시중 도구가 표준 프로필에 대해 이러한 매핑 기능을 제공하지만, 멀티클라우드 환경에서 사용자 지정 프로필을 확장할 수 있는 경우가 항상 있는 것은 아닙니다. 이러한 사용자 지정 프로필은 사용자 지정 프로필, 관리자 또는 기타 고위험군 사용자에 대해 추적하지 못할 수 있으므로 조직은 클라우드 환경마다 다른 사용자 기반에 대해 매핑 기능이 어떻게 작동하는지 이해해야 합니다.
