블로그

클라우드에서 운영 보안 개선

로리 맥비티 썸네일
로리 맥비티
2019년 6월 3일 게시

클라우드 운영 비용을 낮추려면 운영 관리 측면에서 보안 관행을 살펴보세요.

요즘 보안에 대한 관심은 대부분 애플리케이션 프로토콜과 애플리케이션 스택 자체의 취약성에 쏠려 있습니다. 대부분의 침해가 일반적인 플랫폼과 프레임워크의 취약점을 악용해 쉽게 공격할 수 있는 가능성이 높기 때문에 발생한다는 점을 고려하면 놀랄 일이 아닙니다.

하지만 기업 경영의 접근이 점차 쉬워지고 있다는 점을 무시해서는 안 됩니다. 앱을 퍼블릭 클라우드로 옮기면서 관리 트래픽을 쉬운 액세스에서 분리하는 것의 중요성에 대한 초점이 종종 흐려졌습니다. 회사 내에서는 쉬운 일이었습니다. 관리 네트워크에는 대중이 접근할 수 없었습니다. 우리는 그들을 라우팅이 불가능한 네트워크에 가두어두었고, 그 네트워크는 내부에서만 접근이 가능했습니다. 앱과 애플리케이션 서비스 인프라를 모두 클라우드로 이전함에 따라 운영자가 원격으로 작업하고 있으므로 공개적으로 접근 가능한 관리가 필요해졌습니다.

우리는 Telnet에서 SSH로 전환하고(따라잡아야 할 모든 IoT 기기를 제외하고) 올바른 비밀번호 생성 방식을 실천하고 있지만, 우리의 관행과 함께 클라우드 네이티브 보안을 더 잘 활용하는 방법을 반드시 살펴보지는 않았습니다.

클라우드 공급업체의 보안 서비스를 활용하면 클라우드에서 사업을 수행하는 데 드는 운영 비용에 엄청난 영향을 미칠 수 있습니다. 특히 애플리케이션 서비스 인프라를 관리할 경우 더욱 그렇습니다.

위협은 실제적이다

F5 Labs에서 가장 많이 공격받은 사용자 이름과 비밀번호에 대한 기사를 읽어보지 않으셨다면 꼭 읽어보세요. 이 글을 읽으면 SSH가 매우 구체적인 대상을 지정하는 서비스라는 것을 알 수 있습니다. 다른 어떤 것보다도 그렇습니다.

기사에서:

공격 규모에 따라 공격자는 더 많은 시간과 노력을 집중합니다. SSH 공격 다른 어떤 온라인 서비스보다. SSH를 통해 프로덕션 애플리케이션의 관리자 로그인에 무차별 대입 공격을 가하는 경우는 HTTP를 통해 애플리케이션 자체를 공격하는 경우(웹 애플리케이션의 취약점을 악용하려는 공격)보다 2.7배 더 많이 발생합니다.

왜 안 되겠어요? 애플리케이션 서비스 인프라에 대한 관리 제어를 통해 많은 권한을 얻을 수 있습니다. 여기에는 웹 애플리케이션에 쉽게 액세스할 수 없도록 하는 정책을 수정하는 기능도 포함됩니다. 쿠버네티스의 경우 자격 증명을 요구하지 않는다는 이유로 종종 표적이 되며, 다른 사람의 비용으로 리소스를 확보하기 위해 액세스가 필요합니다.

하지만 여러분은 보안에 능숙하며 인프라에 대한 모든 접근에 강력한 비밀번호가 필요합니다. SSH 비밀번호가 너무 강력해서 잠깐 멈추어서 비밀번호를 입력하는 것이 무슨 뜻인지 생각해 보아야 할 때가 있습니다. 언제나요.

이제 세기의 당연한 말을 하겠습니다. 강력한 비밀번호는 공격을 막지 못합니다. 그들은 단지 성공적인 공격을 완화시킬 뿐입니다. 누군가가 공격을 시작하는 것을 막을 수는 없습니다. 정말로 그럴 수 없어요. 당신은 그것이 성공하는 것을 감지하고 예방할 수 있을 뿐입니다.

하지만 그동안 그 공격은 실제로 운영 비용을 수반했습니다. 현명하게 보안을 실행하고 실패한 모든 시도가 기록되기 때문입니다. 모든. 하나의. 하나.

그리고 실패한 시도를 차단할 때마다 리소스가 소모됩니다. 대역폭. 저장. 계산하다.  

클라우드 네이티브 서비스를 사용하여 보안 관행을 강화하세요

모든 주요 클라우드 제공업체(아마 소규모 업체도 마찬가지일 것임)는 애플리케이션 서비스 인프라에 대한 관리 액세스를 잠그는 데 사용할 수 있는 기본적인 네트워크 보안 제어 기능을 제공합니다. AWS 보안 그룹(SG)Azure 네트워크 보안 그룹(NSG)은 방화벽과 거의 비슷하게 작동합니다. 즉, 인스턴스로 들어오고 나가는 트래픽을 필터링합니다. 관리 액세스의 경우 이는 보안 도구 상자에서 중요한 도구가 될 수 있습니다. 알려진 IP 주소(또는 지정된 범위)에만 액세스를 차단하면 인프라에 도달하는 공격 볼륨을 크게 줄일 수 있습니다. 이를 통해 컴퓨팅, 대역폭, 스토리지의 과도한 사용을 방지하여 비용을 절감할 수 있습니다.

이는 앱을 보호하고 모범 운영 방식을 실천하기 위해 클라우드에서 웹 애플리케이션 방화벽을 사용하도록 장려하는 원칙과 동일합니다. 의도는 과도한 양의 리소스를 소모하기 전에 공격을 막는 것입니다.  해당 공격이 실패하더라도 그러한 시도는 기업에 비용을 초래하거나 합법적 사용자의 가용성을 방해하는 자동 확장 이벤트를 강제로 발생시킬 가능성이 높습니다. 둘 다 바람직한 결과가 아닙니다.

일반적으로 공격의 근원에 가까이 다가가 공격을 차단할수록 보안이 강화되고 기업에 발생하는 비용도 줄어듭니다.

증강. 대체하지 마십시오.

보안 실무에 클라우드 네이티브 서비스를 사용하는 데 가장 중요한 것은 "증강"입니다. 강력한 SSH 암호를 사용하는 것이 좋습니다. 강력한 접근 제어와 결합하는 것이 더 좋습니다. 하지만 보안 그룹만을 위해 강력한 비밀번호 사용 관행을 포기해서는 안 됩니다. 두 가지를 함께 사용하면 보안을 보장하고 클라우드에서 비즈니스 수행 비용을 절감할 수 있습니다.