클라우드 복원력을 개선하기 위한 보안 애플리케이션 아키텍처 원칙
점점 더 많은 앱이 클라우드로 이동함에 따라, 안전한 애플리케이션 아키텍처가 그 어느 때보다 중요해졌습니다. 사용자 환경에서 안전한 클라우드 복원력을 강화하는 데 도움이 되는 세 가지 클라우드 아키텍처 원칙에 대해 알아보세요.
기업이 앱을 클라우드로 이전하는 데는 비용 절감, 빠른 배포, 더 나은 복원력, 더 큰 탄력성 등 여러 가지 이유가 있습니다. 이러한 사실을 알고 있는 전 세계 기업은 포트폴리오에 있는 다양하고 매우 다양한 앱에 가장 적합한 멀티 클라우드 배포를 채택하고 있습니다. 여기에는 일반적으로 MS Exchange, SAP 등의 모든 기존 애플리케이션과 맞춤형 사내 앱이 포함됩니다.
클라우드에 앱을 배포할 때 고려해야 할 중요한 사항이 많지만 , 가장 중요한 두 가지는 보안과 유연성입니다. 결국, 이러한 고려사항은 밀접한 연관이 있는 것으로 드러났습니다. 특히 여러 클라우드 위치에 분산되어 있는 웹 애플리케이션을 보호하는 기능은 처음부터 아키텍처에 내장되어야 하며, 반드시 내장되어야 합니다. 그렇게 하면 모든 애플리케이션에서 일관된 보안 정책을 유지할 수 있으며 사용자(직원, 파트너, 고객 또는 이 모든 대상)가 원활한 경험을 즐길 수 있습니다. 이러한 일관성은 예상치 못한 어려움에 신속히 대응하거나 새로운 기회를 활용하기 위해 방향을 전환하는 것을 훨씬 더 쉽게 만들어 주는 일정 수준의 운영적 유연성과 회복성을 만들어냅니다.
John Wagnon이 최근 Lightboard Lesson 에서 지적했듯이, 클라우드 사용자는 실제로 자신의 책임이 어디에 있는지 알아야 합니다. 그는 "일반적으로 클라우드 운영자는 클라우드 의 보안을 책임지고, 사용자는 클라우드 내 보안을 책임진다"고 말했다. 안타깝게도 이러한 개념화는 많은 보안 문제를 해결하지 못한 채 남겨둡니다. 앱의 보안을 유지하려면 이러한 차이점을 메워야 합니다.
조직의 앱을 안전하고 탄력적으로 유지하기 위한 계획을 개발할 때 가장 먼저 염두에 두어야 할 세 가지 기능은 일관성, 제어, 민첩성입니다. 우리가 추천하는 접근 방식은 공항 보안과 유사합니다. 각 항공사가 각자 보안 검사를 실시하는 대신, 여행객은 통합 검사대에서 검사를 받은 후 게이트로 이동할 수 있습니다. 마찬가지로, 보안 클라우드 아키텍처는 특정 앱에 대한 액세스를 허용하기 전에 모든 트래픽을 균일한 보안 가상 사설 클라우드(VPC)를 통해 전달할 수 있습니다. 게이트 에이전트가 탑승 전에 좌석을 재할당하고 여행객의 티켓을 확인할 수 있는 것처럼, 각 앱은 추가 보안 기능과 역량으로 강화될 수 있습니다.
이와 같은 시나리오에서 보안 VPC는 부하 분산, WAF(및 기타 방화벽), 액세스 관리, 자격 증명 암호화, SSL 검사, DDoS 및 봇 보호, API 관리, 성능 관리 등 여러 중요하고 종종 리소스를 많이 소모하는 기능을 담당할 수 있습니다.
보안 VPC의 서비스는 서로 쉽게 통신할 수 있어 추가적인 이점을 창출합니다. 예를 들어, WAF가 공격을 가로채면 액세스 제어 서비스에 알려서 공격자를 차단할 수 있습니다.
보안 VPC의 모든 요소와 통신할 수 있는 기능을 통해 여러 공급업체에 대한 효과적인 검사가 가능해져 McAfee, FireEye, Palo Alto Networks 등의 검사 도구를 사용하는 조직의 갈등과 중복을 제거할 수 있습니다. SSL 검사를 위해 암호화되지 않은 트래픽은 추가 검사를 위해 검사 도구로 전달될 수 있습니다. 이 방법은 각 도구에서 동일한 트래픽을 복호화하고, 검사하고, 다시 암호화하는 것보다 효율적입니다.
안전한 클라우드 아키텍처를 구축하기 위한 이러한 접근 방식은 앱 개발자에게 높은 수준의 민첩성과 확장성을 제공하고, 팀 간의 마찰을 줄이고 협업을 개선하는 데 도움이 됩니다. 기준 표준은 보안 VPC에 배포되므로 최소한의 업데이트가 필요합니다. 개발자는 기본적인 기능에는 보안 VPC를 활용하면서 필요에 따라 앱 수준에서 보안을 더 추가할 수 있습니다. 마찬가지로, 네트워크 관리자는 각 환경(개발, 테스트, 프로덕션)에 대한 보안 서비스를 정의할 수 있습니다. 개발자가 사전 정의된 보안 기능 없이 앱을 실행하는 경우 VPC 수준에서 정의된 기본 범위가 제공됩니다.
코드에서 앱을 고객에게 제공하는 일은 그 어느 때보다 복잡해졌습니다. 모든 환경과 멀티 클라우드 아키텍처 전반에서 보안을 보장하는 동시에 프로세스를 단순화하기 위한 몇 가지 단계를 취할 수 있습니다. 모든 애플리케이션 트래픽에 대한 좋은 진입점을 설정하고 해당 지점을 통해 기본 수준의 보안 및 트래픽 관리를 제공하는 것부터 시작하세요. 여기서 애플리케이션 수준에서 추가 보안 서비스를 정의할 수 있는 유연성이 제공됩니다. 이러한 이중 단계 접근 방식은 일관성, 제어력, 민첩성을 유지하면서도 안정적인 보안을 제공합니다.