SaaS
- 클라우드 서비스 완성형
테넌트: 사용자 별로 격리된 환경인 테넌트 제공
- Application & data
- 보안
- 가용성
- 확장성
- 과금
클라우드 컴퓨팅 참조 아키텍처
클라우드 컴퓨팅 교차적 측면
- 감사 가능성 : 감사 가능성 지원 필요
- 클라우드 가용성 : 클라우드 컴퓨팅 서비스 이중화, VPC 이중화
- 거버넌스 : 컨설팅
- 상호운용성 : CSP에서 상호운용성 관점에서 제외되면 기능 제거
- 유지보수 및 버저닝
- 클라우드 성능
- 이식성
- 개인식별정보 보호 : csc와 csp 간의
- 회복력
- 가역성
- 규제 준수
- 클라우드 보안 : 국제 기준과 국내 기준
국제 기준: 정책, 조직, 접근통제, 공급망 관리
1, CSA
2, ISO/IEC 27017
3, ISO/IEC 27018
국내 기준
1, CSAP 기준 > 클라우드 보안 인증에 관한 고시
2, 공공기관: 국가 정보보안 기본 지침 사항
국가정보원 국가 클라우드컴퓨팅보안가이드
금융, 전자금융감독규정 제 14조의 2
- 서비스 수준 협약 : 품질에 대한 기준을 제시 해주어야 함
클라우드 서비스 고객 역할
- CSC입장에서 요구하면
클라우드 서비스 제공자 역할
- 클라우드 서비스 운영관리자
- 클라우드 서비스 배포관리자
- 클라우드 서비스 관리자
- 클라우드 서비스 비즈니스 관리자
- 고객 지원 및 관리 담당자
- 클라우드 간 제공자 (Inter-Cloud)
- 클라우드 서비스 보안 및 위험관리자
- 네트워크 제공자
클라우드 서비스 파트너(CSN) 역할
- 클라우드 서비스 개발자: 기업
- 클라우드 서비스 브로커
매니지드 서비스 제공자: 계약을 유지보수, 서비스 공급, 컨설팅, 비용 관리, 고객 관리, 마케팅
- 클라우드 서비스 감사자
클라우드 서비스 감사자는 제 3자 역할
규제 준수
1, 클라우드 컴퓨팅
2, 클라우드 컴퓨팅 서비스 보안인증서
3, 정보통신망법
4, 개인정보보호법
5, 개인정보의 안전성
7, 정보보안기본 지침
8, 전자금융감독규정
클라우드 아키텍처
- 리전 > vpc > 가용영역
아키텍처 구조
- IasS : 고객에게 서버, 스토리지, 네트워킹, 가상화 등과 같은 기본 인프라 리소스를 제공
- PaaS : 컨테이너에 대한 구조, EKS(elastic kubernates service)
- SaaS : 어플리케이션
*VPC
클라우드컴퓨팅서비스 프레임워크 및 기술
- 운영 우수성
- 보안
- 안정성
- 성능 효율성
- 비용 최적화
- 지속 가능성
https://wa.aws.amazon.com/wat.map.ko.html
Map of the AWS Well-Architected 프레임워크
wa.aws.amazon.com
아키텍처 수립
보안개념 및 모범사례 확인
1. AWS, AZURE, GCP 등에 관한 참조 아키텍처 확인
2, 유사사례, 모범사례(CSP에서 제공) 확인
*국내에는 없음..
1. 자격 증명 및 액세스 관리
- MFA (다 계층 인증)
ex) IAM 사용자 접속 > OTP 기반 > 생체 인식
*데이터 특성 고려
자격증명
- 사람에 의한 RRAC
- 시스템 > SaaS > s/w > 데이터에 대해서 암호 알고리즘, 인증키 등 설계
2. 탐지개념
- 애플리케이션에 접근하기 위한 위험 식별
- 위험 식별 후 대응체계 > 공격 탐지 후 차단, 삭제 고려
- 필요할 경우 원인분석
- 침해 사고 대응체계
ex) 시스템에서 SIEM
로그관리 시스템(cloud trail , 로그생성 저장, 탐지 추적 가능)
3. 인프라 보호
- IaaS 관련된 VMI > VPC, VM(VS) 에 대한 아키텍처 고려
- 가상방화벽 고려를 해야 함
ex) Internet gateway 룰셋 > subnet vpc
vm > guest os
4. 클라우드 인프라 구성
VPC
- public
- private subnet
- vmware server
VPC를 라우터 (Internet gateway) 를 통해서 인터넷
Subnet에 NACL을 배치
Security group 설정
5. 데이터보호
- 데이터 거버넌스
- 데이터 분류 체계 : 기밀 데이터, 중요 데이터, 대외비 데이터, 일반 데이터
- 클라우드 컴퓨팅 시스템에의한 접근통제
- 전송구간 암호화 (TLS, SSL, IPsec)
6. 사고 대응
- 완화히기 위한 프로세스 마련
aws 기반 클라우드 혁신 가치 사슬 모델
시작 > 확장 > 구상 > 조정
기본역량모델
- 비즈니스
- 인력
- 거버넌스
- 플랫폼
- 보안
- 운영
보안
incident : 문제 해결
problem : 조치해결 후 원인 분석까지
Cloud Native 구성요소
- 현대적 클라우드 기반 응용프로그램의 환경을 의미함
1. Container
2. DevOps
3. CI/CD(Continous Integration and Continus Development) : 지속적 통합 및 지속적 개발
4. MSA (Micro Service Architecture)
클라우드 거버넌스
- 기업과 기관에서 전략적 연계로 정책, 지침, 조직, 직무담당자가 있어야 함
- 프로세스는 각종 계정
보안 인증
자격 증명 및 액세스 관리
- IAM 정책
위협 탐지
- 네트워크 위반을 통한 위
취약성 관리
인프라 보호
데이터 보호
애플리케이션 보안
- SaaS 솔루션
- 소스코드 및 DevOps 프로세스 (설계, 코딩, 빌드, 테스트, deploy ... )
인시던트 대응