여기에는 지금은 악명 높은 CloudPets 드라마가 포함되었는데, 이는 어린이와 부모 간의 음성 메시지(비공개로 추정)가 데이터베이스(MongoDB의 비보안 인스턴스)를 확보하거나 앱 아키텍처와 Amazon S3의 사용법을 이해할 만큼 똑똑한 사람이라면 누구나 공개적으로 접근할 수 있었던 사건이었습니다. 클라우드 펫은 S3를 사용하여 프로필 사진과 음성 기록을 저장하고 모든 종류의 보안을 해제하여 적절한 참조 정보가 있는 사람이라면 누구나 접근할 수 있도록 했습니다.
이제, 제가 CloudPets를 비난한다고 생각하지 않도록, RedLock CSI 팀이 최근 "Amazon Relational Database Service 및 Amazon RedShift와 같은 퍼블릭 클라우드 컴퓨팅 환경에서 데이터베이스의 82%가 암호화되지 않았다"는 사실을 발견했다는 점을 알려드리겠습니다.
[극적인 침묵]
또한, "해당 데이터베이스의 31%가 인터넷에서 인바운드 연결 요청을 수락했습니다."
2017년 1월의 첫 주에 27,000대 이상의 MongoDB 서버가 손상 되었다는 점도 언급하고 싶습니다. 이 사고와 관련하여 CloudPets가 자체적으로 보안 관행이 부족하여 입은 피해가 훨씬 더 큽니다. MongoDB의 블로그에서 첫 번째 공격이 공개되었을 때 언급했듯이 "이러한 공격은 MongoDB에 내장된 광범위한 보안 보호 기능으로 예방할 수 있습니다 . 이러한 기능을 올바르게 사용해야 하며 , 보안 설명서가 이를 수행하는 데 도움이 될 것입니다. [강조는 필자가 했습니다.]”
MongoDB가 안전하지 않은 것은 아니지만, 전혀 안전하지 않았습니다. 문제는 제품 자체에 있는 것이 아니라 클라우드를 통해 IoT와 모바일 앱을 소비자에게 제공하기 위해 서두르는 기업의 나쁜 관행에 있습니다.
데이터 센터(온프레미스)에는 방화벽과 같은 물리적 관문과 프로세스 및 승인과 같은 운영적 관문이 있는데, 소프트웨어가 세상에 공개되어 데이터를 제공하기 전에 이러한 관문을 통과해야 합니다. 클라우드는 설계상 물리적 게이트가 적고, 불행히도 종종 그렇게 나타나는데, 앱이 세상에 공개되기 전에 통과해야 하는 운영 게이트도 적습니다. 운영 게이트의 감소는 실제로 "불량 IT" 또는 "섀도우 IT"라는 개념이 사라진 곳입니다. 수개월이 아닌 수년에 걸친 프로젝트 일정과 긴 리드 타임에 좌절한 사업부 이해 관계자들은 원래 IT를 "해결하기" 위해 클라우드를 도입하기 시작했습니다. 그러나 그 말은 그들이 해당 애플리케이션의 보안과 성능을 보장하기 위해 마련된 운영상의 관문을 우회하고 있다는 것을 의미했습니다.
그건 클라우드의 문제가 아니라 클라우드를 도입하는 사람들에게 문제가 되는 거예요. "물리적 하드웨어를 프로비저닝하는 데 너무 오래 걸린다"는 말이 10년 동안 우리에게 주입된 것이 아니라, "IT 승인 프로세스를 거치는 데 너무 오래 걸린다"는 말이 경쟁자보다 먼저 지금 당장 시장에 진출하고자 하는 기업 이해 관계자들의 엉덩이를 정말 화나게 합니다.
2017년 Arxan/IBM이 후원한 모바일 및 IoT 보안 설문조사 에 응답한 사람들도 이를 뒷받침했습니다. 응답자들은 IoT 및 모바일 앱의 보안이 취약한 이유로 앱 개발 팀에 가해지는 압박을 꼽았습니다. 69%는 취약한 코드의 출처로 모바일 앱 개발을 서두르는 것을 꼽았고, 75%는 IoT 앱의 경우도 마찬가지라고 말했습니다.
동일한 압력이 처음에 사물을 유용하게 만드는 데이터베이스와 클라우드 스토리지를 설정하고 보호하는 데까지 확대됩니다. Cloud Pets의 전제는 장난감 자체에서 나온 것이 아니라, 장난감이 인터넷을 통해 데이터를 송수신할 수 있는 기능에 기반을 두고 있습니다. 즉, 성공 여부는 IoT 앱 중 하나가 크리스마스 출시일에 맞춰 클라우드에서 개발 및 배포를 서둘러 진행하는 데 달려 있다는 의미입니다.
개발자는 자신이 제공해야 할 애플리케이션의 보안을 담당하는 유일한 사람이 아닙니다. 해당 앱을 지원하는 클라우드 서비스(데이터베이스, 파일 공유 또는 일반적인 앱 서비스)를 프로비저닝하는 사람은 해당 앱을 보안하는 책임의 일부를 져야 합니다. 따라서 비현실적인 마감일을 주도하고 최종 납품을 위한 최소한의 운영 게이트를 장려하는 기업 이해관계자도 마찬가지여야 합니다.
그렇습니다. IT는 디지털 혁신을 수용하고 소비자에게 성공적이고 안전한 제품 제공으로 이어지는 운영 게이트를 간소화해야 합니다. 그러나 기업과 개발자는 클라우드에서 이러한 운영 관문을 계속 간단히 피할 수는 없으며, "기본" 구성에 의존하는 허술한 보안 관행으로 인해 소비자뿐만 아니라 기업 이해 관계자도 위험에 빠뜨릴 수 없습니다. 이는 제품 자체보다는 프로세스에 대한 문제입니다. 앱과 사용자를 예방 가능한 손상에 노출시키기 전에 정책이 배포되고 구성이 올바른지 확인하는 것입니다.
당혹스러운 사고를 피하려면 시장에 출시되기 전에 통과해야 하는 기본적인 운영 게이트를 정의(및 시행)하여 하늘에 기본적인 보안 지분을 두는 것부터 시작해야 합니다.
생산성과 수익을 모두 지원하는 앱의 퍼블릭 클라우드로의 마이그레이션 속도가 가속화되고 있기 때문에 조직에는 그 어느 때보다도 운영 게이트가 필요합니다. 그리고 이러한 마이그레이션 속도의 증가와 함께 공격자가 이를 악용할 수 있는 기회도 커집니다.