Azure 클라우드 심층방어

심층방어를 이해하기에 앞서, 각 계층에 대한 이해가 필요하다. 클라우드 서비스 또는 호스팅 공급자가 소유하는 물리적 보안 계층, 인프라와 변경 제어에 대한 엑세스를 제어하는 신원 및 엑세스 계층, DDoS 보호 기능을 사용하여 최종 사용자에게 서비스 거부가 발생하기 전에 대규모 공격을 필터링하는 경계 계층, 구분 및 엑세스 제어를 통해 리소스 간의 통신을 제한하는 네트워크 계층, 가상 머신에 대한 엑세스를 보호하는 컴퓨팅 계층, 애플리케이션을 보호하고 보안 취약점을 제거하는 애플리케이션 계층, 보호해야 하는 비즈니스 및 고객 데이터에 대한 엑세스를 제어하는 데이터 계층이 있다.

 

그리고 이제 PaaS, IaaS, SaaS에 대한 이해가 있다면, 어느 부분에 대해 관심을 기울여야 할지에 대해 생각해볼 수 있을 것이다. 물리적 보안은 어떤 형태의 클라우드건, 우리가 관리할 게 없다. 데이터 센터 건물 자체가 어딨는지 조차도 모르니 말이다. 

 

신원 및 엑세스 제어의 경우, 솔루션으로 이해할 수 있다. Azure Active Directory(클라우드 환경에서의 계정에 대한 관리), Privileged Identity Management(PIM), 조건부 액세스 같은 것으로 말이다. 경계망 부분은 앞서 말했듯 디도스가 우선적으로 나오는데, 일단 디도스 방어의 경우 클라우드에서 무료로 제공한다. 옵션에 따라 비용이 추가될 수는 있지만 말이다. 방화벽의 경우, F5, CISCO 등의 각종 장비를 그대로 애저에서 만들어 사용할 수 있다 VM 형태로 제공되기 때문이다. 물론 애저 자체적으로 제공하는 Azure Firewall도 있고 말이다. 

 

네트워크 계층의 경우, 네트워크 보안 그룹, 애플리케이션 보안 그룹, 네트워크 마이크로 세분화 등의 기능으로 이해할 수 있다. 여기서 보안 그룹이라 함은, Source IP와 Destination IP, Source Port와 Destination Port, 프로토콜까지 5가지에 대한 조합을 자유자재로 하면서 제어를 할 수 있는 것으로 쉽게 이해할 수 있다.

 

컴퓨팅은 호스트 보안과 컨테이너 보안으로 설명할 수 있고, 애플리케이션의 경우 PaaS에서 제공하는 보안 옵션들을 기능으로 사용하는 개념이다. 마지막 데이터는 어찌보면 제일 중요한데, 관계형 데이터베이스에 대한 보호나 파일 형태의 일반 데이터에 대한 보호 서비스로 이해할 수 있다.

 

이렇게 각 계층에 대해 이해를 해서 IaaS, PaaS, SaaS에 따라 책임 영역을 아는 것도 중요하지만, 위협이 외부에서 발생하는지 내부에서 발생하는지도 구분하여 각 대책을 고민해야 할 것이다. 그러다 보면 제로 트러스트 개념을 언급하지 않을 수 없는데, 결국 쉽게 정리한다면, 항상 위반 사항이 발생하는 것을 가정하고 각각의 요청이 개방형 네트워크에서 발생한 것처럼 확인하는 것이다. 특히 암호 인증 강화에 대해 고민하는 것이 필요할 것이다.