CSP 3사의 보안 솔루션 비교(액세스 제어)

보안 전문가는 일반적으로 클라우드 공급업체를 평가할 때 고려해야 할 가장 중요한 사항으로 다음 세가지 꼽습니다.

 

1. 물리적 보안 – 데이터 센터 보호

2. 기술/인프라 보안 – 네트워크 트래픽 모니터링 및 취약점 패치

3. 데이터 및 액세스 제어 – 데이터에 대한 보안과 서비스에 액세스할 수 있는 사람을 제어합니다.

 

처음 두 가지 요소는 공급업체가 완전히 통제하고 실제 보안사고에서 낮은 비중을 차지하고 있습니다. 세 회사 모두 물리적 보안과 기술적 보안을 위해 수백 개의 엄격한 보안 프로토콜을 가지고 있는 것으로 알려져 있습니다.

 

반면에 데이터 및 액세스 제어는 공급업체가 제공하는 서비스에 포함되어 있기는 하지만, 고객에게 많은 권한이 주어지는 만큼 고객의 책임도 큰 요소입니다. 대부분의 보안 사고도 이 데이터 액세스 제어 부분에서 발생하고 있습니다.

 

이번 주 주제로는 CSP 3사의 데이터 및 액세스 제어 솔루션에 대한 정보와 함께 3사의 보안 철학을 비교해보도록 하겠습니다.  

첫번째로 AWS 입니다.

AWS는 가장 성숙한 클라우드 제공업체라는 이점이 있으며 이에 따라 문서, 지식 및 숙련된 전문가들이 많습니다. AWS는 인프라 보안을 위한 기능은 다음과 같습니다.

 

1. 고객이 개별 인스턴스 및 애플리케이션에 액세스할 수 있도록 하는 Amazon Virtual Private Cloud(VPC)에 내장된 레이어 3, 4 및 7의 네트워크 방화벽

2. 서비스 거부 공격(DoS) 완화

3. AWS 시설 간의 모든 트래픽에 대한 기본 암호화

 

AWS는 Kinesis Streams, SQS 대기열 및 AWS Lambda 함수와 같은 서버리스 서비스를 사용하여 조직에 다양한 플랫폼과 프로그래밍 언어 중에서 선택할 수 있는 기회를 제공하고 있습니다.

 

AWS은 가장 오래되고 가장 성숙한 클라우드 서비스 제공업체이기 때문에 과거에 더 광범위한 문제를 경험했으며 이에 대한 솔루션을 찾았습니다. Amazon은 보안 그룹(방화벽) 및 세분화된 IAM을 통한 격리와 AWS Inspector를 통한 취약성 평가, API 활동 모니터링, Guard Duty를 통한 위협 인텔리전스 및 데이터 손실 방지를 제공하고 있습니다.

 

AWS IAM은 AWS 리소스에 대한 액세스를 안전하게 제어할 수 있는 웹 서비스입니다. AWS 사용자 및 그룹을 만들고 관리하며 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. 여기서 사용자는 사람이 될 수도 있고 EC2등을 포함한 AWS의 서비스가 될 수도 있습니다. 따라서 AWS IAM은 사람이나 AWS에 대한 모든 인증과 권한을 관리하는 보안 서비스입니다.

AWS IAM 다양한 기능들을 Best practice 기준으로 설명해드리겠습니다.

1. 루트 계정을 사용하지 않는 것
2. IAM 사용자를 사용하면, 특정 서비스 및 관련 리소스에 액세스하는 특정 사용자에게 정책을 좀 더 쉽게 할당할 수 있습니다.
3. 사용자는 그룹으로 권한을 관리할 수 있으며 그룹에 권한을 부여하면 사용자는 그룹의 권한을 그대로 상속받습니다.
4. 사용자에게 필요한 최소한의 권한만 부여합니다. 과도한 권한은 곧 보안사고로 이어질 수 있다는 것을 명시해야 합니다.
5. AWS IAM 콘솔화면 내에서 암호정책을 설정, 되도록 설정할 수 있는 모든 정책을 활성화하여 암호를 강력하게 관리해야 합니다.
6. 권한 있는 사용자에 대해서는 MFA를 활성화 해야 합니다.

등, IAM에는 보안을 위한 많은 기능들이 있습니다. AWS 리소스들을 안전하게 관리하기 위해서 이러한 IAM 기능들을 잘 활용해야합니다.

두 번째로는 Azure 입니다.

Azure는 클라우드 공급자로서 AWS에 비해서는 후발주자 이지만, 이미 Microsoft의 제품을 사용하는 많은 조직에서 Azure를 선호합니다.

또한 그런 연장선에서, Azure의 액세스 제어 솔루션은  Windows의 Active Directory를 바탕으로 한 Azure Active Directory서비스입니다. IAM 서비스도 이 안에 포함되어 있습니다.

Active Directory의 기능을 보면 Azure가 가진 제로 트러스트의 보안적 철학을 충족하는 다음과 같은 보안적 특징이 있습니다.

 

1. 임시 액세스 패스 기능으로 조건부 접근을 통해 접근하는 사용자가 권한을 가진 기간마저 제한적으로 한정시킵니다.
2. 여러 서비스를 한번의 로그인으로 접근 할 수 있도록 사용자의 편이성을 증대시킴과 동시에 보안에 중요한 가시성의 향상 시킵니다.
3. 엔드포인트 매니저를 통해서 서비스에 접근하는 디바이스의 무결성을 검증하는 절차를 거쳐 여러 위험으로 부터 차단합니다.

 

Azure와는 다르게 AWS와 GCP에서는 IAM service 모든 기능이 무료로 제공됩니다.

 

하지만 Azure는 subscription, 즉 구독 단위로 주로 리소스를 관리하는데, 이 구독에는 Tiering, 즉 계층이 있습니다. 이 계층화는 보안의 계층화로도 이어져서 더 높은 Tiering 을 사용하면 비용을 더 내는만큼 더 강하고 세부적인 보안 서비스 제공합니다.

 

이 Tiering에서나는 차이는 단순히 기능의 차이만이 아니라 User의 숫자같은 리소스 상한선도 달라지게 됩니다.

 

AWS와 GCP는 Quota와 Limit이라는 개념으로 리소스의 할당량에 대한 증가가 가능하지만

Azure는 리소스에 대한 한계치가 고정되어 있어 더 많은 리소스를 사용하기 위해서는 더 높은 tiering의 사용이 필요합니다.

 

이 차이는 리소스를 관리 및 접근하는 개념의 차이에서 나온다고 할 수 있습니다.

 

Azure에서 사용하는 Subscription은 실제 리소스들이 속한 리소스 그룹보다 상위 계층으로 

구독을 통해서 하위 리소스 그룹들과 그 그룹들에 속한 리소스들이 관리됩니다. 또한 resource manager를 통해서 상위 계층 level에서 하위 리소스 그룹에 대한 리소스를 직접 생성 및 관리 할 수 있습니다.

반면 AWS는 Account, GCP는 Project 단위에서 리소스를 관리, 제어합니다.

다른 두 CSP사들도 Project의 상위개념인 계층적 구조(GCP : Folder & Organization)이 존재하지만, IAM적인 리소스에 대한 권한에 대한 제어가 주 개념이지, 해당 리소스를 상위 계층에서 직접적으로 구성하거나 하지는 않습니다

 

즉, Azure에서 User, 사용자는 Windows에서 계정 권한 관리를 위해 사용하던 Active Directory의 object로 취급하고 총 object 숫자를 관리하는 방식으로 Windows 방식을 사용하고 결제와 관련해서 리소스에 대한 사용량에 대한 청구 방식에 더하여 매달 구독형 요금을 받고 추가적인 서비스를 제공합니다.

 

위의 결제 방식에서 AWS와 GCP는 클라우드 인프라 중심적인 방향성을 가지고 있다면 Azure는 Windows의 시스템을 본따서 사용자 중심적인 방향으로 클라우드를 운영하고 있다고 볼 수 있습니다.

 

 

세 번째로는 GCP 입니다.

Google은 클라우드 인프라를 통한 애플리케이션 실행한다는 자체를 강조하여, 고객도 동일한 Google의 보안 품질을 얻는 것을 가장 중요하다고 생각합니다. 이에 따라, Google은 세가지의 특징을 중요하게 여깁니다.

1. 클라우드 규정 준수 - 규제 및 정책 목표를 달성하는 데 도움이 되도록 보안, 개인정보 보호 및 규정 준수 제어에 대한 독립적인 검증을 거칩니다.
2. 데이터 프라이버시 - Google Cloud Platform 고객의 개인정보를 보호하는 것이 최우선 과제이며 보안 및 개인정보 보호 관행을 안내하는 기업 개인정보 보호 약정에 성문화되어 있습니다.
3. 투명도 - 조건 및 데이터 보호 계약에 따라서만 데이터를 처리하고 정부 요청에 응답하는 정책을 명확하게 설명합니다.

이렇게 GCP Bigquery, Cloud Storage 등의 인프라를 사용하다 보면, 여러 데이터가 무단 노출될 위험이 있습니다. 이러한 위험을 방지하기 위해서 VPC Service Control을 사용할 수 있습니다.

 

• 위 그림은 VPC Service Control을 이용해 프로젝트와 Cloud Storage 버킷 사이에 통신을 허용하지만, 그 외 나머지 Project, Resource, Client 등은 차단 시키는 예시입니다. 
• 이렇듯, data 유출의 위험을 방지하기 위해 원하지 않는 통신을 차단시켜 Cloud 보안의 중요한 역할을 하는 서비스입니다.

 

VPC Service Control을 사용하면 다음과 같은 이점이 있습니다

1. 명시적으로 지정한 서비스의 리소스 및 데이터를 보호하는 경계선을 생성할 수 있습니다.
2. gsutil cp 또는 bq mk와 같은 서비스 작업을 사용하여 경계 외부에 있는 승인되지 않은 리소스에 데이터를 복사할 수 없습니다.
3. 승인된 VPC 네트워크의 비공개 액세스 만 허용하여 OAuth 사용자 인증 정보 또는 서비스 계정 사용자 인증 정보의 도용을 방지합니다.
4. 네트워크 내 클라이언트가 경계 외부의 Google 관리형 서비스 리소스에 액세스하지 못하게 하여 네트워크 이그레스 제어를 보완 합니다.

이번에는 CSP 3사의 보안 솔루션, 그 중에도 데이터 및 액세스 제어에 대한 솔루션에 대해 비교해보았습니다.

다음에는 저희 베스핀 글로벌의 보안 솔루션 “OpsNow Security”에 대해 알아보겠습니다.

 

 

See you later!

 

 

 

 

참고자료

https://acloudguru.com/blog/engineering/comparing-aws-azure-and-google-cloud-iam-services

https://www.datanet.co.kr/news/articleView.html?idxno=160684

https://disruptops.com/aws-vs-azure-vs-gcp-a-security-pros-quick-cloud-comparison/

https://www.metarouter.io/blog-posts/a-closer-look-at-cloud-security-aws-vs-azure-vs-gcp

https://hack3rsolution.tistory.com/13

https://acloudguru.com/blog/engineering/comparing-aws-azure-and-google-cloud-iam-services

https://cloud.google.com/vpc-service-controls/docs/overview?hl=ko