데이터센터 및 클라우드 보안 — 혁명이 필요한 이유

Illumio CTO PJ Kirner의 블로그 시리즈를 소개합니다. 이 블로그에서는 데이터 센터 및 클라우드 보안에 대해 새로운 방식으로 생각하고 애플리케이션 환경 전반의 변화하는 요구 사항에 맞게 접근 방식을 재조정하는 데 도움이 되는 주요 개념을 다룹니다.

혁명이 일어나는 데에는 그럴만한 이유가 있습니다.이는 기대와 현실의 차이로 인해 억눌린 좌절감이 뒤따르면서 변화의 필요성이 대두되는 결과입니다.기존 방식은 더 이상 새로운 요구 사항에 부합하지 않으며 이러한 변화 외에는 다른 옵션이 없는 끓는점에 이르게 됩니다.

애플리케이션, 데이터 센터 및 클라우드의 발전으로 보안은 한계에 다다랐으며, 초크 포인트 및 네트워크 기반 접근 방식과 같은 기존 방식은 더 이상 애플리케이션 팀의 새로운 요구 사항에 맞지 않습니다.이러한 팀은 리소스 활용 및 애플리케이션 제공의 새로운 모델에 익숙해졌으며 되돌릴 수 없습니다.이제 보안에 혁명이 일어날 때입니다.

데이터 센터의 압력

지난 10년 반 동안 데이터 센터가 빠르게 발전하여 리소스를 더 잘 활용하고, 새로운 수준의 규모를 실현하고, 그 어느 때보다 빠르게 이동할 수 있게 되었습니다.애플리케이션이 거의 정적이고 모두 사설 데이터 센터에 있다고 가정하던 시대는 지났습니다.

새로운 수준의 소비, 규모 및 속도로 인해 보안 팀은 새로운 과제와 압박을 받고 있습니다.

• 가상화는 핵심 데이터 센터 리소스 (컴퓨팅, 네트워크, 스토리지) 를 추상화하여 워크로드의 이동성과 적응성을 높이는 동시에 애플리케이션의 확장성과 복원력을 높였습니다.
• 클라우드는 온디맨드의 탄력적인 환경을 만들어 온디맨드 인프라 요구 사항을 충족하여 소비를 더 쉽게 만들고 더 효율적으로 활용할 수 있게 했습니다.
• 컨테이너는 오늘날 환경에서 점점 더 보편화되고 있으며, 이를 통해 애플리케이션 및 서비스를 신속하게 개발, 구축 및 패키징할 수 있습니다.
  

어플리케이션으로부터의 압력

인프라는 진화와 혁신의 유일한 영역이 아닙니다.애플리케이션을 개발하고 제공하는 방식에서도 이와 비슷한 변화가 있었습니다.지속적 통합 및 지속적 전달 (CI/CD) 덕분에 SDLC (소프트웨어 전송 라이프사이클) 전반에 걸쳐 우리의 기대치가 달라졌습니다.이제 우리는 소프트웨어가 기존의 릴리스 기반 접근 방식보다 더 빠르고 유연하게 개발되고 제공될 것으로 기대합니다.

팀원들이 한 자리에 모여 예정된 출시 날짜에 대한 세부 사항을 계획할 수 있는 뚜렷한 출시 주기의 시대는 이제 지났습니다.매주, 어떤 경우에는 매일, 심지어 하루에도 몇 번씩 새 코드가 개발되어 프로덕션에 반영됩니다.

모놀리식 애플리케이션은 마이크로서비스 아키텍처로 대체되었습니다.애플리케이션 자체 및 관련 서비스 아키텍처도 더욱 복잡해지고 구성 요소도 더욱 연결되었습니다.애플리케이션은 환경 전반의 데이터와 서비스에 의존하기 때문에 과거 어느 때보다 동서 통신이 기하급수적으로 증가했습니다.

상호 연결이 많을수록 경로가 더 개방적이므로 방어해야 할 공격 표면이 커지고 비즈니스에 대한 위험도 커질 수 있습니다.또한 컨테이너의 일시적인 특성과 이러한 환경 전반의 연결성으로 인해 보안에 있어 완전히 새로운 문제가 발생합니다.

DevOps 운동은 개발자와 운영 팀을 한데 모아 애플리케이션 및 인프라 민첩성에 대한 이러한 요구를 충족시켰습니다.하지만 이러한 움직임이 시작된 1세대 이후로 보안은 전혀 문제가 되지 않았습니다.많은 사람들에게 보안에 대한 참여는 발전과 빠른 배포 철학을 저해하는 것으로 여겨졌으며, 경우에 따라서는 보안을 아예 우회하는 결과를 초래하기도 했습니다.

보안이 유지되지 못함

데이터 센터 인프라 및 애플리케이션의 발전으로 조직이 소프트웨어 중심이 되고 그 어느 때보다 빠르게 변화하는 추세가 가속화되었습니다.보안은 항상 중요했지만 조직이 비즈니스 운영을 위해 소프트웨어에 대한 의존도가 높아짐에 따라 비즈니스 위험을 최소화하기 위해 보안을 제대로 갖추는 것이 점점 더 중요해지고 있습니다.잘못하면 데이터 손실, 수익에 미치는 영향, 브랜드에 대한 지속적인 영향, 심지어 규정 준수와 관련된 불이익까지 초래할 수 있습니다.보안은 인프라 및 애플리케이션 전반에서 보아온 진화를 따라가지 못했습니다.

정책 적용을 위한 기존의 네트워크 기반 초크 포인트 솔루션은 비실용적일 뿐만 아니라 설계 및 배포가 완전히 불가능할 수 있습니다.애플리케이션이 여러 부분으로 이루어져 있고 때로는 데이터 센터, 심지어 클라우드로 분산되어 있기 때문에 정책을 일관되게 적용하는 것이 복잡하다는 것은 큰 문제가 될 수 있습니다.애플리케이션 인프라가 점점 더 역동적으로 변하고 있는 상황에서 이동 및 규모에 맞게 정책을 유지하는 것은 거의 불가능에 가까울 수 있습니다.

보안 발전의 목표 중 하나는 균형을 공격자의 우위에서 벗어나 방어자의 강점을 활용하는 것입니다.

심지어 공격자들도 최신 보안 접근 방식을 물리칠 수 있도록 진화했습니다.균형을 방어자에게 유리하게 옮기려면 위협에 대한 사후 대응에서 선제적으로 게임을 변화시켜 방어자에게 통제력을 되돌려주는 모델로 전환하는 모델이 필요합니다.이를 위해서는 새로운 방식으로 보안에 접근하고 애플리케이션 환경과 보호 방법에 대해 다르게 생각해야 합니다.

현재의 보안 접근 방식은 장애물은 아니더라도 진행 속도를 늦추는 장애물이 될 수 있습니다.기존 방식을 계속 따를 경우 개발 팀이 효율성을 유지하는 데 필요한 속도로 계속 발전하기 위해 보안을 우회할 방법을 모색할 위험이 있습니다.

효율성에 대한 이러한 필요성 때문에 보안을 재고하고 데이터 센터 전반의 발전에 맞게 보안을 조정해야 합니다.

최신 애플리케이션 환경을 위한 진화하는 보안

오늘날 대부분의 보안 솔루션은 상황이 느리게 움직이고 거의 정적이라는 오래된 가정에 기반을 두고 있지만 현실은 더 이상 사실이 아님을 알고 있습니다.

아직 완전한 영향을 느끼지는 못하더라도 비즈니스는 점점 더 소프트웨어에 의해 주도되고 있고, 애플리케이션은 더욱 빠르게 움직이고 있으며, 애플리케이션 환경은 점점 더 복잡해지고 이기종화되고 있습니다. 따라서 데이터 센터의 혁신이 요구되고 있습니다. 클라우드 보안.

가상화 및 IaaS와 같은 기술은 애플리케이션 요구 사항에 더 잘 맞도록 인프라를 추상화했습니다.보안도 비슷한 방식으로 생각해야 합니다.

애플리케이션 및 비즈니스 프로세스의 컨텍스트에서 워크로드를 파악하는 것이 위험을 이해하고 정책을 수립하는 가장 좋은 방법입니다.또한 조직 내 모든 팀이 이해할 수 있는 유일한 공통 언어이기도 합니다.애플리케이션 개발팀은 네트워크 컨텍스트 (IP 주소 및 포트) 에서 앱 환경을 고려하지 않습니다.그들은 애플리케이션의 구성 요소, 구성 요소가 어떻게 관련되어 있는지, 어떻게 함께 작동하는지 등의 맥락에서 이를 고려합니다.

자신의 프로세스, 관련 애플리케이션 및 서비스, 비즈니스 요구 사항을 해결하기 위해 이들 모두가 협력하는 방식에 대해 생각하는 비즈니스 프로세스 소유자도 마찬가지입니다.

이러한 관점의 전환은 기본이며 새로운 접근 방식의 문을 여는 첫 단계입니다.이는 여러 플랫폼과 위치에 분산되어 있고 요구에 따라 동적으로 이동하고 확장되는 최신 애플리케이션 환경에 맞게 조정되는 보안을 구축할 수 있는 유일한 방법입니다.

다음 글에서는 애플리케이션 중심 맵이 중요한 이유와 그것이 보안을 재고하고 발전시키는 토대가 되는 방법에 대해 설명하겠습니다.

편집자 주: 다음 게시물을 읽고, “보안을 발전시키려면 지도가 필요합니다.”