다중 관할 환경에서의 멀티 클라우드 규제 준수
안개와 같은 클라우드: 불확실한 위험과 더욱 심화된 결과
클라우드가 제공하는 기회는 위험보다 훨씬 더 큽니다. 그리고 데이터가 저장, 액세스, 변경 또는 유출되어 조직이 점점 더 복잡해지는 데이터 보호 및 개인 정보 보호 규제 프레임워크를 준수하지 못하게 될 가능성으로 인해 많은 위험이 규제를 중심으로 발생합니다.
설상가상으로 많은 IT 및 보안 전문가들은 이러한 위험이 어디에 존재하는지에 대한 가시성조차 확��보하지 못하고 있습니다. 데이터와 워크로드가 멀티 클라우드 환경에 분산되어 있으면 가시성 확보가 더욱 어려워집니다. 클라우드는 잠복해 있는 규제 준수 위험을 가리는 안개처럼 되어가고 있습니다. 한편, 국제적인 조직에서 준수해야 하는 관할권 요건은 계속 증가하고 있습니다.
기존 보안 프레임워크가 이러한 규제 준수 위험을 관리하는 데 부적절한 것으로 입증됨에 따라 IT 팀과 규제 준수 책임자는 클라우드에서 위반 사항이 발생하기 전에 식별하고 완화할 수 있는 새로운 접근 방식이 필요합니다.
클라우드 규제 준수 문제
클라우드 호스팅 데이터가 노출될 경우, 조직은 고객 신뢰를 상실하고, 평판에 손상을 입으며, 규제 당국의 조사를 받게 됩니다. 최악의 시나리오에서, 조직에서 데이터를 보호하기 위한 합리적인 조치를 취하지 않았다고 규제 기관에서 판단할 경우 데이터 유출은 벌금으로 이어질 수 있습니다.
노출은 소셜 엔지니어링부터 부적절한 액세스 제어 및 노골적인 데이터 유출에 이르기까지 다양한 방식으로 발생합니다. 하지만 클라우드 데이터 노출을 방지�하는 데 있어 고유한 장애물과 과제가 있습니다. 특히 클라우드 공급자와 클라우드 고객이 보안에 대한 책임을 공유하므로 오구성은 큰 위험입니다.
의도치 않은 인적 오류, 특히 오구성은 클라우드 데이터에 대한 최고 위험 요소 중 하나입니다. 실수로 공용 인터넷에 노출된 채로 방치되거나 잘못 구성된 퍼블릭 클라우드 배포는 대규모 유출로 이어질 수 있습니다.
잘못된 클라우드 구성이 증가하고 있습니다. 더 많은 기업에서 클라우드 기반 서비스로 전환함에 따라 공격면이 확장되어 잘못 구성된 리소스로 인해 노출될 위험이 증가합니다.
오구성이 이미 영향을 미친 후에야 문제가 감지되는 경우가 많습니다. 이는 클라우드 보안 상태 관리(CSPM) 또는 클라우드 네이티브 애플리케이션 보호 플랫폼(CNAPP) 서비스 등 널리 사용되는 많은 유형의 클라우드 보안 솔루션이 사후에 증상을 식별하기 때문입니다.
사후에 감지하면 경고가 발생하는데, 수정하는 데 시간이 걸리므로 클라우드 리소스가 일시적으로 노출될 수 있습니다. 조직에서 오구성으로 인해 규제를 준수하지 않았거나 공격에 노출될 수 있다는 사실을 알게 되었을 때는 이미 늦을 수 있습니다.
클라우드에서 데이터 보안, 무결성 및 규제 준수를 보장하는 데에는 다음과 같은 다양한 다른 문제도 있습니다.
데이터 유출: 디지털 자산은 해당 자산이 클라우드에 있든 온프레미스에 있든 관계없이 악의적인 당사자에게 모든 방식의 공격 벡터를 제공합니다. 그러나 멀티클라우드 배포는 물리적 인프라가 조직의 직접적인 관할권 및 책임을 벗어나므로 추가적인 위협이 됩니다. 단순한 소셜 엔지니어링 공격부터 고도로 맞춤화된 취약점 익스플로잇에 이르기까지 공격자는 클라우드에서 데이터를 추출하는 다양한 방법을 사용합니다.
섀도우 클라우드 인프라: 조직은 종종 클라우드 인스턴스를 버리거나 잊어버리는 경우가 있습니다. 이와 같은 일은 조직의 이동, 변화, 확장, 역할과 책임의 조정에 따라 자연스럽게 나타납니다. 또한, 선의의 직원이 업무를 수행하기 위해 직접 처리하지만, 승인된 IT 절차의 범위를 벗어나는 경우에도 발생할 수 있습니다. 그 결과 원인 파악이 되지 않고 보안 정책으로 보호되지 않는 섀도 클라우드 인프라가 생성될 수 있습니다.
다중 테넌트: 퍼블릭 클라우드는 많은 조직에서 공유하며, 해당 클라우드 보안에 대한 책임은 클라우드 공급자와 해당 클라우드 고객에게 있습니다. 보안 경계를 적용하지 않으면 클라우드 호스팅 데이터가 실수로 다른 클라우드 테넌트와 공유될 수 있습니다.
이러한 클라우드 보안 문제는 지속될 수 있으며, 조직이 노출될 수 있습니다. 규제 준수, 재무 건전성, 조직의 전반적인 안전과 관련하여 위험 부담이 큽니다. EU의 일반 데이터 보호 규정(GDPR)에 따라 부과되는 벌금은 최대 2,000만 유로 또는 해당 기업의 전 세계 연간 수익의 4% 중 더 높은 금액에 달할 수 있습니다.
여러 관할권에 걸친 세계
각 관할권마다 자체 규제가 존재하기 때문에 보안 및 규제 준수가 더욱 복잡해집니다. 보안 및 개인 정보 보호 조치도 전 세계적으로 다양합니다. 주요 규제에는 다음이 포함됩니다.
GDPR 및 NIS2 지침은 EU 거주자 데이터에 대한 권한이 있습니다
디지털 개인 데이터 보호법(DPDP)은 인도의 개인 데이터를 규제합니다
개인 결제 데이터의 처리 방식을 관리하는 PCI DSS와 같은 업계 규정
모든 클라우드 인스턴스가 모든 관련 규제 프레임워크를 준수하는지 확인하는 작업은 수작업만으로는 거의 불가능합니다. 또한 조직에서 여러 클라우드 공급자에 걸쳐 멀티 클라우드 배포에 의존하는 경우 모든 데이터와 시스템에 대한 정기적인 감사 없이는 규제 준수를 입증하기가 어렵습니다. 이러한 시간 소모적인 작업은 조직에서 새로운 시장에 진입하려고 할 때 확장 및 비즈니스 개발에 방해가 될 수도 있습니다.
클라우드 보안 솔루션
비용이 많이 드는 오구성의 발생률을 줄이기 위해 조직은 거의 모든 클라우드 및 SaaS 활동이 발생하는 제어 지점인 API 호출을 보호하여 예방적 접근 방식을 취해야 합니다. 사전에 모든 구성 오류를 방지하는 것은 불가능하지만, 조직은 피해가 발생한 후에가 아니라 새로운 클라우드 인스턴스가 배포될 때 모든 API 호출을 인라인으로 검사할 수 있어야 합니다. 또한 팀은 오류를 찾고 완화하며 규제 준수를 자동화하여 번거로운 수동 단계를 추가하는 일이 없도록 해야 합니다.
클라우드 기반 보안 플랫폼은 에지에서 규칙 및 제어 설정을 통해 예방적 접근 방식을 구현하는 데 도움을 줄 수 있습니다.
Cloudflare에서는 보안 구성을 자동으로 평가하고 적용하여 고객을 위한 클라우드 보안 규제 준수를 간소화하고, 강력한 보안을 보장하고 가장 일반적인 규제 프레임워크를 준수하는 것을 지원합니다. Cloudflare에서는 클라우드 API 트래픽을 검사하여 조직에 향상된 가시성과 세부 제어 능력을 제공하며, 위험을 완화하고 클라우드 보안 상태를 관리하는 데 있어 사전 예방적 접근 방식을 지원합니다.
Cloudflare는 모든 지역 위치에서 제어 및 보호 장치를 제공하여 취약성을 유발하고 규제 준수를 저해할 수 있는 클라우드 오구성을 방지하도록 돕습니다. 또한 이러한 기능을 조직과 조직이 사용 중인 클라우드 사이에 인라인으로 배치함으로써 Cloudflare 플랫폼은 보안 및 성능 제어의 중앙 집중식 관리를 가능하게 합니다. 결과적으로 효율성을 개선하고 위험을 완화하면서 여러 관할 구역에 걸쳐 멀티 클라우드를 최대한 활용할 수 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
클라우드 컴퓨팅의 보안 및 규제 준수 위험
멀티 클라우드 인프라 사용 시 구성 오류가 발생하는 경우
여러 클라우드 및 여러 관할권에 걸쳐 데이터 규제 준수를 위한 잠재적 솔루션
관련 자료
이 주제에 관해 자세히 알아보세요.
애플리케이션 서비스 보호 및 연결의 3가지 과제 백서에서 클라우드 기반 애플리케이션 서비스를 보호하는 방법에 대해 자세히 알아보세요.