클라우드 서비스, 얼마나 투명한 보안정책과 서비스를 제공하는가?
IT 환경에서, 특히 기업에서 사용하는 IT 환경에 있어서 효율성과 생산성 등 다양한 관전 포인트가 존재하고 있지만 무엇보다도 기업에서 중요하게 여기는 부분은 다름아닌 보안성이 아닐까 싶다. 기업 내부에서 만들어진 기업비밀이 담긴 전자문서들이나 각종 자료들에 대한 보안이 무엇보다 중요하게 여겨지고 있으며, 특히나 고객의 개인정보를 다루는 업무를 하는 기업 입장에서는 개인정보에 대한 보안 역시 중요한 관리 화두로 떠오르고 있는 중이다. 최근 언론을 통해서 다양한 기업 보안 이슈들이 붉어져나오고 있는 것도 그만큼 보안이 중요하다는 의미가 아닐까 싶다.
자료에 대한 보안 뿐만이 아니라 자료가 보관되어있는, 그리고 처리하는 서버에 대한 보안도 상당히 중요하다. 대기업의 경우 네트워크 인프라가 잘 갖춰진 자체 전산센터가 있어서 나름대로의 물리적인 보안을 진행하지만 그렇지 않은 경우에는 IDC에 서버를 두고 서비스를 하는 경우가 많다. 그래서 IDC에서 다양한 보안 솔루션을 이용하여 서버에 대한 보안을 진행하고 있다. 클라우드 서비스를 이용한다면 더욱 이 부분이 중요할 것이다. 자체적으로 프라이빗 클라우드를 구축해서 하는 경우라면 모르겠지만 IBM의 SoftLayer나 아마존, MS의 에저 서비스 등 퍼블릭 클라우드 기반의 프라이빗 클라우드를 구축해서 운영하는 기업이라면 무엇보다도 보안에 대한 부분이 중요한 이슈가 될 것으로 보인다. 오늘은 SoftLayer의 보안 부분에 대해서 이야기를 해볼까 한다.
하나의 예를 들어볼까 한다. 최근 아마존 클라우드를 이용하여 호스팅 사업을 하던 Code Space가 보안 사고로 인해 서비스를 접게 되었다. 원인은 아마존 포탈 로그인 접속 정보가 해커에게 넘어가 모든 데이터가 삭제되었기 때문인데 어떻게 해커에게 로그인 접속 정보가 넘어갔는지에 대해서는 밝혀지지 않았다고 한다. 보안에 대한 관리소홀이 원인이 아닐까 하는 예측을 해보겠지만 어찌되었던 이 사건은 보안에 대해서 제대로 신경쓰지 않으면 회사 하나가 날라갈 정도로 위협을 받을 수 있다는 것을 잘 보여주는 사례라 할 수 있다. 참고로 이 사건은 최근(2014년 6월)에 일어난 일이다.
이렇듯 보안에 대해서, 특히나 물리적인 보안과 네트워크 보안에 대해서 SoftLayer는 어떻게 대응하고 있을까? SoftLayer는 몇가지 레이어를 통해서 보안을 진행하고 있어서 다 열거하기가 어려울 듯 싶지만 대략 중요하다고 생각되는 부분을 정리해보면 아래와 같을 것이다.
- SoftLayer의 보안관리는 미국 연방정부의 정보 시스템에 정의된 보안 및 개인 정보 보호 컨트롤의 카탈로그인NIST 800-53 프레임워크에 기반을 둔 미국 정부 표준에 맞춰 조정됨. SoftLayer는 모든 데이터센터에 대한 SOC2 Type II 리포팅 컴플라이언스를 유지함(SOC2리포트는 보안, 가용성 및 프로세스 무결성을 다루는 컨트롤에 대한 감사임). SoftLayer의 데이터센터는 네트워크와 현장 보안에 대해 24×7 동안 모니터링 됨
- 보안은 (사람에 의한 오류가능성이 적은)자동화와 감사 컨트롤을 통해 유지되며 서버룸에 대한 접근은 허가 받은 직원만 가능하고, 모든 지역은 물리적인 침입으로부터 보호됨
- 고객들은 고객의 니즈를 맞추기위해 멀티레이어 보안 아키텍처를 만들 수 있으며 SoftLayer는 방화벽과 게이트웨이 어플라이언스 같은 네트워크 보안 장치와 몇 대의 온디맨드 서버를 제공함
- 각각의 물리적인 혹은 가상의 서버에 대한 세가지 네트워크 토폴로지를 통합하며 시스템, 애플리케이션, 데이터에 대한 보안 솔루션을 제공함. 고객들은 각자의 데이터 센터 시설에 하나의 혹은 다수의 VLANs을 가지고 있으며, 고객이 허가한 사용자와 서버만이 VLANs의 서버에 접근 가능함
- 하나의 애플리케이션을 하나의 고객에게만 제공하는 싱글 테넌트 자원을 제공하기 때문에 고객들은 서버에 대한 완벽한 통제와 투명성을 갖게 됨
위에서 언급한 내용 외에 보안에서 필요한 부분에 대해서 SoftLayer가 제공하는 보안성에 대해서는 아래와 같이 정리할 수 있을 듯 싶다.
- SoftLayer에서 컴퓨팅 자원을 삭제할 경우 모든 데이터는 미국방성(DoD)의 표준규격(5220.22-m)에 따라 지워짐
- DDoS 공격이 일어날 경우 자동화된 DDoS 완화 제어 시스템의 작동으로 전체 클라우드 인프라 성능의 무결성을 유지하며 공격받은 서버와 동일한 네트워크에 있는 다른 서버에 대한 안전한 보안을 진행함
- SoftLayer는 고객 환경을 세분화하기 위해 업계 표준인 VLANs과 스위치ACLs를 활용하며, 고객들은 자신의 계정 안에 추가적인 보안을 제공하면서도, 고객의 VLANs를 추가하거나 관리할 수 있음. ACLs는 스위치에 따라 모든 네트워크 패킷(데이터)를 허용하거나 거부할 수 있도록 구현되어 있음
- SoftLayer는 고객 환경을 추적하고 기록하는데 실패하거나 인증 시도를 포함하는 사용자 액세스(대상 IP가 보고서에 기록됨), 사용자들이 구현하거나 취소한 컴퓨팅 자원, 각각의 콜에 대한 APIs(API호출자, API 호출 및 기능 등), 고객 호스트의 트랙픽을 관찰하는 침입 방지 및 탐지 서비스 등을 기록함
- 매우 세분화된 ACLs를 가지고 있어 사용자 권한이 지원, 보안, 하드웨어를 포함하는 각기 다른 카테고리로 세분화할 수 있음. 또한, 고객에게 공공 및 프라이빗 네트워크에 대한 액세스를 제한 할 수 있는 기능을 제공하며, 심지어 고객은 특정 베어 메탈 또는 가상 서버에 대한 사용자 액세스도 제한 할 수 있음
- OS를 패치하는데 있어서 별도의 매니지드 서비스를 받지 않는 클라우드 서버의 경우 진행하지 않지만 고객의 필요에 따라 MSP(매니지드 서비스 파트너)를 통해 서비스를 받을 수 있으며 일단 한번 업데이트된 운영시스템이 고객의 서버에 구현되면, SoftLayer는 손대지 않음
- SoftLayer는 FISMA(연방정보보안관리법, 모든 연방정보 시스템이 따라야 하는 정보 보안을 관리하기 위한 프레임워크를 정의한 것)표준을 사용함
내용을 정리해보자면 SoftLayer는 다른 클라우드 서비스에 비해 다양한 보안 정책을 갖추고 있으며 그에 걸맞는 보안 서비스를 제공하고 있다는 것이다. 클라우드 서비스를 선택하는데 있어서 보안 부분에 대한 중요 포인트는 보안 사고가 그 서비스에서 얼마나 자주 일어나는가도 중요하겠지만 그것보다 기본적인 인프라와 네트워크에 대한 투명한 보안 정책, 그리고 그 정책을 잘 수행하기 위한 보안 서비스 및 프로세스가 얼마나 잘 갖춰져있는가가 더 중요한 포인트라고 보여지며 이에 대비하기 위해 SoftLayer는 위에서 열거한 다양한 보안 정책 및 표준을 지키기위해 노력하고 있다고 보여진다.
앞서 얘기했다시피 클라우드 서비스를 선택하는데 있어서, 특히나 기업형 IT 환경을 클라우드 서비스 위에 구축함에 있어서 보안성은 상당히 중요한 요소 중 하나다. 물론 시스템적으로 제공하는 보안성 만큼이나 운영하는 운영자가 지켜야 할 보안에 대한 인식도 중요하겠지만 말이다. 그런 면에서 봤을 때 SoftLayer는 시스템적인 부분에 있어서는 괜찮은 선택인 듯 싶다. 운영자의 보안 인식은 운영자의 몫으로 남겠지만 말이다.