SK shieldus Rookies 16기
[SK shieldus Rookies 16기] 클라우드 기반 스마트 융합 보안 과정 교육 정리(53일차)
Challenge programmers
2024. 1. 17. 17:27
오늘 학습 주제
1. 클라우드 컴퓨팅 서비스 개념
2. 클라우드 컴퓨팅 서비스 아키텍처
클라우드 컴퓨팅 서비스 개념
- 클라우드 컴퓨팅 -
1. 국내외 클라우드 보안인증 지원 컨설팅
-국제기준:
CSA STAR
국제산업표준클라우드
CCM
ISO27017:2055
국제표준 클라우드 서비스 정보보안 경영시스템
ISO27018
- 국내기준:
CSAP
클라우드 컴퓨팅 서비스 보안 인증에 관한 고시
2. 클라우드 보안관리체계 수립
클라우드 거버넌스 > 정책, 지침 > 조직 > 프로세스 >>클라우드 보안 운영
3. 클라우드 보안 ISP/MP
4. 클라우드 보안 평가
국내와 국제로 분류
국내:CSAP(민간, 공공)
전자금융감독(금융)
국제: CSA CCM ISO27017
5. 클라우드 보안 아키텍처 컨설팅
6. 클라우드 보안 감사
7. 금융 클라우드 이용신고대응 보안컨설팅
8. 클라우드 취약점 분석 평가
9. 국가 클라우드 컴퓨팅 서비스 도입 보안 컨설팅
- 클라우드 컴퓨팅 개념 -
온디맨드로 서비스에 액세스
대규모 사전 투자 방지
필요에 따라 컴퓨팅 리소스를 프로비저닝
사용한 만큼만 비용을 지불
- 클라우드 기반 배포 -
애플리케이션의 모든 부분을 클라우드에서 실행
기존 애플리케이션을 클라우드로 마이그레이션
클라우드에서 새로운 애플리케이션 설계 및 구축
- 클라우드 컴퓨팅의 이점 -
| 가변 비용 | 초기 비용이 적다 (기술 리소스를 사용하기 전에 먼저 투자) 가변 비용 (사용한 만큼만 비용을 지불) |
| 비용 최적화 | 데이터 센터 운영 (On-Premise) 애플리케이션과 고객에 집중 (Off-Premise) |
| 용량 | 필요한 인프라 용량을 추정할 필요 X 필요에 따라 축소 및 확장 가능 |
| 규모의 경제 | 더 작은 규모 (내 사용량만을 기준으로 더 싼 요금을 지불) 규모의 경제 (집계된 고객 사용량으로 인한 이점) |
| 속도 및 민첩성 | 데이터 센터 (리소스 필요 시점과 리소스 확보 시점 간의 간격이 주(week) 단위) 클라우드 컴퓨팅 (리소스 필요 시점과 리소스 확보 시점 간의 간격이 분(min) 단위) |
| 단기간에 배포 | 애플리케이션을 전 세계에 빠르게 배포 CSP의 글로벌 인프라 사용 |
- 클라우드 컴퓨팅 서비스 용어 -
ISO/IEC 22123-1:2023에서 정의한 용어
| 기본 용어 | |
| CSP (Cloud Service Provider) 클라우드 서비스 제공자 |
정의된 인터페이스를 이용하여 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러 가지 능력을 제공하는 업체 |
| CSC (Cloud Service Customer) 클라우드서비스고객 |
정의된 인터페이스를 이용하여 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러 가지 능력을 이용할 목적으로 사업적 관계를 맺고 있는 당사자 |
| CSN (Cloud Service partNer) 클라우드서비스파트너(브로커) |
클라우드 서비스 제공자(CSP) 또는 클라우드 서비스 고객(CSC)의 활동을 지원하거나 보조하는 당사자 자원, 비용관리, 컨설팅 등의 지원을 포함 |
| CSD (Cloud Service Developer) 클라우서 서비스 개발자 |
클라우드 인프라 환경 상에서의 개발자 개인 및 기업 모두를 포함 |
| MSP (Managed Service Provider) 매니저 서비스 제공자 |
CSP의 역활을 대신하여 구축, 유지 보수, 비용처리, 고객 지원 등을 제공하는 업체 ex) 메가존클라우드, 네오텍, 마이크로소프트 등 |
| Cloud Computing | 셀프서비스 제공 및 주문형 관리가 이루어지며 공유가 가능하고 확장성과 탄력성이 있는 물리적 또는 가상적인 리소스 풀에 대한 네트워크 접근을 제공하는 패러다임 |
| Cloud Computing Service 클라우드컴퓨팅 서비스 |
정의된 인터페이스를 이용하여 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러 가지 능력 |
| 모델 | |
| Cloud Service Party Model 클라우드서비스 범주 모델 |
• 특징이 비슷한 클라우드 서비스 집단 • 클라우드서비스 범주 모델 : IaaS, PaaS, SaaS, NaaS, SECaaS, AIaaS 등 |
| Cloud Service Deployment Model 클라우드서비스 배치 모델 | • 물리적 또는 가상적 리소스에 대한 제어와 공유를 통해 조직할 수 있는 클라우드 컴퓨팅 방식 • 클라우드 배치 모델에는 커뮤니티 클라우드(Community Cloud), 하이브리드 클라우드(Hybrid Cloud), 사설 클라우드(Private Cloud) 및 공용 클라우드(Public Cloud) 등이 있다. |
| IaaS (Infrastructure as a Service) 인프라형 서비스 |
• 클라우드 서비스 고객(CSC)은 물리적 및 가상적 기초 리소스를 관리하거나 통제하지 않지만 가상적 리소스를 이용하는 운영체계, 저장장치 및 설치된 애플리케이션을 통제 • IaaS는 처리, 저장 또는 네트워킹 리소스를 클라우드 서비스 고객(CSC)이 제공받고 사용할 수 있는 클라우드 능력의 유형 • 가상머신 가상서버 VPC을 CSP 또는 클라우드 서비스 공급자가 제공 ※ 클라우드 서비스 공급자: |
| PaaS (Platform as a Service) 플랫폼형 서비스 |
PaaS는 클라우드 서비스 고객(CSC이 클라우드 서비스 제공자(CSP)가 지원하는 하나 또는 여러 개의 프로그래밍 언어와 하나 또는 여러 개의 실행 환경을 이용하여 고객이 생성하거나 획득한 애플리케이션을 설치, 관리, 실행할 수 있는 클라우드 능력 유형 |
| SaaS (Software as a Service) 소프트웨어형 서비스 |
• SaaS는 클라우드 서비스 제공자(CSP)가 클라우드 서비스 고객(CSC)에게 제공되는 애플리케이션 유형 • 클라우드 서비스 고객(CSC)은 자체 데이터 생성, 이용, 삭제처리 가능. |
| 성격 | |
| Cloud Service Customer Data 클라우드서비스 고객 데이터 |
• 법령 또는 기타 이유로, 또는 클라우드 서비스의 공개된 인터페이스를 통해 클라우드 서비스 고객이, 또는 고객을 대신하여 클라우드 서비스의 능력을 행사한 결과로서 클라우드 서비스에 투입되어 클라우드 서비스 고객의 통제 하에 있는 데이터 객체 클래스 • 클라우드에 생성된 데이터의 책임은 클라우드 서비스 고객 |
| Data Portability 데이터 이식성 |
• 데이터를 다시 입력할 필요 없이 한 시스템에서 다른 시스템으로 데이터를 쉽게 전송하는 능력 • 데이터 이식성에서는 데이터가 ‘쉽게’ 이동하는 점이 가장 중요 목표 시스템이 수락하는 양식과 정확히 일치하는 데이터를 소스 시스템이 제공하는 방식이 있을 수 있다 |
| Measured Service 종량제 서비스 |
사용량을 감시, 제어, 보고 및 청구할 수 있도록 클라우드 서비스(3.2.8)의 양을 측정하여 제공하는 서비스 |
| Multi-Tenancy(= Tenant) 멀티 테넌시(= 테넌트) |
복수의 테넌트(물리적, 가상적 1개의 리소스 집합에 대한 접근권을 공유하는 한 명 또는 다수의 클라우드 서비스 사용자) Saas형 기반에서 주로 사용하는 용어 |
| Reversibility 가역성 |
클라우드 서비스 고객(CSC)이 자신의 클라우드 서비스 고객 데이터와 애플리케이션 잔재물을 회수하고, 계약기간 이후에 계약에 명시된 클라우드 서비스 파생 데이터와 모든 클라우드 서비스 고객 데이터를 클라우드 서비스 제공자(CSP)가 삭제하는 과정 |
| 클라우드 모델 | |
| 공용(Public) 클라우드 |
• 특정 기업이나 사용자를 위한 서비스가 아닌 인터넷에 접속 가능한 모든 사용자를 위한 클라우드 서비스 모델 • 데이터나 기능, 서버 같은 자원은 각 서비스에서 사용자 별로 권한 관리가 되거나 격리 되어 서비스 사용자 간에는 전혀 간섭이 없다는 장점이 있다 |
| 사설(Private) 클라우드 |
• 제한된 네트워크 상에서 특정 기업이나 특정 사용자만을 대상으로 하는 클라우드 서비스의 자원과 데이터는 기업 내부에 저장 • 기업이 자원의 제어권을 갖고 있기에 보안성이 매우 뛰어나며, 개별 고객의 상황에 맞게 클라우드 기능을 커스터마이징 할 수 있다는 장점이 있다 |
| 커뮤니티(Community) 클라우드 |
• 중앙 집중식 클라우드 인프라가 필요한 경우 여러 고객이 커뮤니티에 속한 공동 프로젝트 및 애플리케이션에서 작업할 수 있도록 한다 • 커뮤니티 클라우드는 다양한 유형의 클라우드 솔루션에서 제공하는 서비스를 통합하여 비즈니스 부문의 특정 문제를 해결하는 분산 인프라이다 |
| 하이브리드(Hybrid) 클라우드 |
• 최소 2개의 클라우드 배치 모델(Public/Private/Community Cloud)을 이용하는 클라우드 배치 모델 • 이럴 경우 퍼블릭 클라우드의 유연성, 경제성, 신속성과 물리 서버의 보안성, 안정성 등을 함께 취할 수 있는 장점이 있다 |
| 클라우드 기능 | |
| 상호운용성 (Interoperability) |
둘 이상의 클라우드컴퓨팅 시스템 또는 애플리케이션이 정보를 교환하고 교환한 정보를 상호적으로 사용할 능력 |
| 클라우드 애플리케이션 이식성 (Cloud Application Portability) |
어떤 애플리케이션을 한 클라우드 서비스(정의된 인터페이스를 이용하여 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러 가지 능력)에서 다른 클라우드 서비스로 이적하는 능력 |
| 클라우드 감사자 (Cloud Auditor) |
클라우드 서비스(정의된 인터페이스를 이용하여 호출한 클라우드 컴퓨팅을 통해 제공되는 하나 또는 여러 가지 능력)의 제공과 사용에 대한 감사를 수행할 책임이 있는 클라우드 서비스 파트너(CSN) |
| DDaaS (Data Storage as a Service) 데이터 저장형 서비스 |
데이터 저장 및 관련 능력을 클라우드 서비스 고객(CSC)에게 제공하는 클라우드 서비스 범주 |
| NaaS (Network as a Service) 네트워크형 서비스 |
• 전송 연결성과 관련 네트워크 능력을 클라우드 서비스 고객(CSC)에게 제공하는 클라우드 서비스 범주 • 네트워크 서비스는 세 가지 클라우드 능력 유형(애플리케이션 능력 유형, 인프라 능력 유형, 플랫폼 능력 유형) 중 하나를 제공할 수 있다 |
| AIaaS (AI as a Service) 인공지능형 서비스 |
AI(Artificial Intelligence : 인공지능)형 서비스는 다양한 AI 기반 기능을 포함하여 클라우드 서비스 제공자(CSP)가 클라우드 서비스 고객(CSC)에 서비스 형태로 제공하는 인공지능 소프트웨어를 의미 |
| 클라우드 | |
| 멀티 클라우드 (Multi-Cloud) |
클라우드 서비스 고객(CSC)이 둘 이상의 클라우드 서비스 제공업체가 제공하는 퍼블릭 클라우드 서비스를 사용하는 클라우드 배포 모델 |
| 연합 클라우드 (Federated Cloud) |
클라우드 서비스 연합(페더레이션)의 구성원이 클라우드 서비스를 제공하는 클라우드 배포 모델 |
| 클라우드 서비스 연합 (Cloud Service Federation) |
클라우드 서비스를 제공하기 위해 합의된 정책, 프로세스 및 신뢰에 의해 결합된 둘 이상의 클라우드 서비스 제공업체 |
| 상호간 클라우드 (Inter-Cloud) |
클라우드 서비스 제공자(CSP)가 다른 클라우드 서비스 제공자가 제공하는 하나 이상의 클라우드 서비스를 사용하여 클라우드 서비스를 제공하는 클라우드 배포 모델 |
| 클라우드 서비스 이용자 (Cloud Service User) |
클라우드 서비스를 사용하는 클라우드 서비스 고객과 관련된 자연인 또는 이들을 대리하는 법인 |
| CCaaS (Contact Center as a Service) 서비스형 컨택 센터 |
• CCaaS(서비스형 컨택센터)는 기업이 고객 센터 제공업체의 소프트웨어를 활용할 수 있도록 하는 클라우드 기반 고객 경험 솔루션이고, AI 기반 CCaaS 솔루션도 있음. • CCaaS 모델을 통해 기업은 필요한 기술만 구매할 수 있으므로 내부 IT 지원의 필요성이 줄어드는 특징이 있음 |
클라우드 컴퓨팅 서비스 아키텍처
- 클라우드 인프라-
클라우드 서비스 제공자(CSP)를 통한 클라우드 인프라:
리전(Region)과 가용영역(Availability Zone)으로 구성
- 클라우드 컴퓨팅 모델 -
Resource Pooling: 클라우드 자원(Iaas 기반의 가상머신, VPC, OS, DB 등의 리소스를효율적으로 관리하고, 다양한 사용자 또는 서비스 간에 동적으로 할당하는 매커니즘
- 클라우드 컴퓨팅 논리적 모델 -
국제산업표준에서 제시한 모델
Infostructure:데이터 중심데이터 및 정보, DB, 파일 저장소 등의 컨텐츠
Applistructure:Software 서비스클라우드에 배포된 애플리케이션과 이를 구축하는데 사용된 기본 애플리케이션 서비스ex) 고객 콜센터, 인공 지능 분석 또는 알림 서비스 등의 서비스형 플랫폼
Metastructure:인프라 계층과 다른 계층간의 인터페이스를 제공하는 프로토콜 및 매커니즘클라우드 컴퓨팅 환경과 이용자의 On-Premise 정통 IT 환경 사이에 정의된 구성 및 관리
Infrastructure:컴퓨팅 시스템의 핵심 구성 요소인 컴퓨팅, 네트워크, 스토리지 등이 구축되는 기반
- 클라우드 12 계층 및 클라우드 서비스 범주 모델 영역 -
국제산업표준에서 제시한 모델
요즘은 SaaS가 대세
- IaaS 주요 특징 -
| IaaS 주요역할 | ▪ 가상 호스팅(VM Hosting)과 비슷하나 가상 호스팅 환경을 클라우드서비스 제공자 가 준비해 놓은 환경에서 선택할 수 있음 ▪ 일반적으로 적은 규모의 운영체제(OS)가 지원됨 ✓ 제공되는 운영체제의 보안강화 설정, 네트워크 설정, 환경 설정은 제공되지 않음 ▪ 클라우드서비스 고객(이용자)은 운영체제와 응용프로그램을 직접 관리해야 함 ▪ 관리측면에서 개발자와 인프라 관리자의 역할을 분담시킬 수 있음 |
| IaaS 장점 | ▪ 클라우드서비스 고객(이용자)은 가상 서버 하위의 클라우드 계층(Hypervisor) 이하 에 대해서는 고려할 필요가 없음 ▪ 클라우드서비스 제공자가 데이터센터, 네트워크 장비, 저장장치, Hypervisor까지 제공을 함 |
| IaaS 단점 | ▪ 클라우드서비스 고객은 가상 서버 하위의 클라우드 계층에 대해서 접근 및 통제를 할 수 없음 ▪ 가상 머신에 설치해야 할 Guest OS에 대한 모든 관리를 해야 함 ▪ 응용프로그램 개발 및 설치도 클라우드서비스 고객이 해야 함 |
하이퍼바이저:호스트 컴퓨터에서 다수의 가상머신을 실행하고 제어하는 플랫폼
호스트 OS:실물인 호스트 컴퓨터에 설치된 운영체제
- PaaS 주요 특징 -
| PaaS 주요역할 | ▪ 클라우드서비스 고객은 운영체제 이상 시스템 모니터링해야 함 ▪ 클라우드서비스 고객은 운영체제, 서버용 하드웨어, 네트워크 등을 고려할 필요가 없음 ▪ 클라우드서비스 고객은 응용프로그램 자체에만 집중할 수 있음. 즉 개발자는 빠르게 응용프로그램을 개발하고 서비스 가능하게 할 수 있음 ▪ IaaS와 같은 클라우드서비스 제공자는 VM를 제공하고, PaaS는 node.js, Java와 같은 Runtime을 미리 설치하고 거기에 소스코드를 올려서 운영하는 구조임 |
| PaaS 장점 | ▪ 이미 설치된 미들웨어 위에 응용프로그램 소스코드만 돌리면 되기 때문에 관리하기가 매우 편리한 모델임 ▪ 가장 이상적인 응용프로그램 플랫폼 관점의 클라우드서비스 모델로 국내외 업계에서 받아들여지고 있는 모델임 |
| PaaS 단점 | ▪ 클라우드서비스 고객은 운영체제 기반 위에서 응용프로그램을 개발할 수 있는다는 것이 장점이자 단점임 ▪ 기본적으로 응용프로그램과 플랫폼이 함께 제공됨으로 응용프로그램이 플랫폼에 종속되어 개발되기 때문에 다른 플랫폼으로의 이동이 어려울 수도 있음 ✓ 단, 클라우드서비스 제공자의 Stack을 종속으로 사용할 경우에 한함 ✓ Applicatoin Stack을 고객이 자체적으로 설치 적용할 경우 종속되지 않음 |
마이크로서비스 아키텍처:
클라우드 환경에 최적화된 응용 SW 설계기법
서비스 단위로 분할된 작은 응용 SW간의 연계를 통해 업무를 수행
다른 서비스에 미치는 영향을 최소화 하면서 개별 서비스 단위로 신속한 개발·배포 가능
데브옵스(DevOps):
기존의 개발과 운영팀이 분리되어 있던 개발운영 환경을파이프라인 기반의 빌드·테스트·배포 자동화 환경을 이용하여 통합 수행최근에는 보안도 합쳐 데브섹옵스(DevSecOps)로 사용
표준화된 런타임:
런타임[개발 언어, 서버, 프레임워크] 선택
↓
서비스[DB, 키/값, 메세징] 선택
↓
런타임 환경 완성
- SaaS 주요 특징 -
| SaaS 주요역할 | ▪ 클라우드서비스 제공자에서 제공하는 응용프로그램(예: ERP, Microsoft O365, Cloud HIS(Hospital Information System, 클라우드 재무관리 등)을 사용함으로써 클라우드서비스 고객은 별도의 부담없이 소프트웨어를 사용할 수 있음 ▪ 소비 관점에서 제공되는 IT방식의 서비스로 정리할 수 있음 ▪ 클라우드서비스 제공자에게 구독(클라우드 SaaS방식의 라이선스 계약) 방식으로 돈을 벌거나 트래픽 기반으로 수익을 얻을 수 있는 모델임 |
| SaaS 장점 | ▪ Public Cloud Service에 있는 소프트웨어를 웹 브라우저, 클라우드 클라이언트 소프트웨어 (예: Microsoft O 365: Word365, Outlook365, SharePoint 등)를 설치하여 사용하는 방식임 ▪ 클라우드서비스 고객은 별도의 소프트웨어 업데이트, 패치 등 최신으로 빠르게 제공받을 수 있음 ▪ 클라우드서비스 고객이 인터넷을 통해 접속 시 VPN, SSL 등 암호화된 데이터 통신을 할 수 있음 |
| SaaS 단점 | SaaS 특성상 클라우드서비스 제공자가 제공하는 소프트웨어, Package기반의 소프트웨어만을 사용할 수 있어, 고객사 업무 환경에 적합한 응용프로그램을 사용하는데는 일부 제한이 있음 |
마이크로서비스 아키텍처:
클라우드 환경에 최적화된 응용 SW 설계기법