블로그

보안을 "당신의" 또는 "서비스로서" 원하시나요?

로리 맥비티 썸네일
로리 맥비티
2015년 8월 3일 게시

최근까지 클라우드 컴퓨팅의 세계는 SaaS, PaaS, IaaS라는 주요 축으로 자리 잡았습니다. 하지만 클라우드 소비자들이 클라우드에 대한 이해와 사용에서 계속 성숙해짐에 따라, 특히 보안 분야에서 클라우드의 일부와 관리형 서비스의 일부에 대한 관심이 높아지고 있습니다. 이 블로그의 경우 "귀하를 위해"라고 부르겠습니다.* 

기존의 "서비스로서" 환경에서는 BIG-IP ASM(애플리케이션 방화벽)을 간단히 가져와서 클라우드 어딘가에 훌륭한 F5 Synthesis 서비스 패브릭을 설정하고 "서비스로서" 제공할 수 있습니다. 구조적 관점에서 보면, 애플리케이션 보안을 필요로 하는 앱에 가깝게, 즉 클라우드에 두는 것이 합리적입니다. 하지만 오늘날에는 여전히 클라우드에서 대안이 부족한 상황입니다. 클라우드에 호스팅된 앱은 설계부터 더 공개적이므로 데이터 센터에 호스팅된 앱보다 애플리케이션 보안이 더 필요합니다. 데이터 센터에 대한 요청을 클라우드로 다시 보내기 전에 스캔하고 정리하고 평가하도록 강제하는 것은 반드시 합리적이지 않습니다. 대부분의 데이터 센터가 클라우드 공급업체의 데이터 센터 옆의 인터넷 백본에서 바로 튀어나와 있지 않다는 점을 고려하면 이는 거대한 트롬본(혹은 헤어핀이라고도 할 수 있겠죠)과도 같습니다.

서비스 비누로 선호 2015

이러한 모델에 대한 선호도가 커지고 있다는 사실은 2015년 애플리케이션 제공 현황 보고서 에서 분명히 드러났으며, 특히 보안 서비스의 경우에 그렇습니다.

하지만 클라우드 기반 애플리케이션 보안 솔루션은 매우 중요합니다. 아마도 기업 데이터 센터보다 보호하려는 앱에 물리적, 위상적으로 더 가까울 것이고, 기존의 온프레미스 솔루션보다 클라우드 기반 앱을 더욱 보완하는 청구 모델을 제공할 것입니다.

하지만 문제는 이를 구성하고 테스트할 시간과 지식이 여전히 필요하다는 점이며, 중요한 점은 이를 최신 상태로 유지해야 한다는 점입니다.

이럴 때 "as a"가 정말로 "pain in the"로 바뀌죠. 이 작업을 수행하려면 보안을 이해하고 응용프로그램도 이해하는 사람의 지식과 기술이 필요합니다. 요즘과 같은 안보 불안 시대에는 어려울 수 있겠죠.

"as a"와 "at your"의 차이점은 주로 경영에 대한 책임과 참여에 관한 것입니다. "귀하에게 제공되는" 서비스에서는 단순히 소프트웨어나 솔루션을 구독하는 것이 아니라 해당 분야의 전문가가 해당 솔루션을 적극적으로 관리 하도록 구독하는 것입니다. 보안 분야에서 IT 전반에 걸친 기술 부족으로 인해 정보 보안이 특히 심각한 타격을 받는 거시 환경적 압박을 감안할 때, 보안 전문 지식을 구독하는 것은 확실히 큰 도움이 되며, 잠재적으로 경제적으로 유리하다는 점도 있습니다.

IT 기술 인력 부족이 만연해지고 있습니다. 고용할 수 있는 보안 인력이 전혀 없습니다. 지난 5년 동안 정보 보안 전문가의 실업률은 2% 미만(종종 0%)을 유지해 왔습니다. 보안 기술을 가진 사람들을 위한 촉박한 일자리 시장은 임금에 예측 가능한 영향을 미쳤습니다. 페이스케일(Payscale)에 따르면, 2014년에 모든 보안 아키텍트의 절반이 12만 달러 이상을 벌었습니다 . 이는 평균 소프트웨어 엔지니어보다 50% 더 많고, 면허 있는 간호사의 급여의 무려 300%에 달합니다. 보안 기술을 갖춘 사람들은 더 많은 급여를 받고, 스타트업으로 떠나거나, 더 나은 직함의 편안한 직장으로 옮겨가곤 합니다(헛기침). ESG의 Jon Oltsik은 2015년에 대한 그의 1순위 예측은 "사이버 보안 기술 부족으로 인한 광범위한 영향"이라고 썼습니다. – David Holmes, F5 보안 전문가, Dark Reading

클라우드의 비즈니스 및 운영 모델(멀티 테넌시, 추상화, 구독/유틸리티 기반 청구)을 관리형 서비스의 기존 이점과 결합함으로써 조직은 원하는 민첩성과 비용 절감 효과를 얻을 수 있습니다. 서비스를 구성하고 유지 관리하는 데 필요한 전문 지식을 제공하고 소비자의 협업과 적극적인 참여를 장려함으로써 "귀하의" 모델은 조직이 어디에서나 중요한 애플리케이션**을 보호하고 보안이 보장된다는 확신을 가질 수 있는 수단을 제공합니다. 

* 네, SayS로 줄여서 부른다는 걸 알고 있습니다. 아니, 그게 좋은지 잘 모르겠어요. 아니면 나쁘거나. 아마도 둘 다일 거예요.

** 애플리케이션 세계에서는 사실상 모든 애플리케이션이 해당되는 게 아닌가요? 지금 와서 그것을 수정하는 것은 거의 중복되는 것처럼 보입니다.