암호화로 클라우드 구성 오류를 해결하는 방법

암호화로 클라우드 구성 오류를 해결하는 방법

클라우드 서비스 공급자(CSP)는 사용자가 데이터 개인 정보 보호 규정과 의무를 쉽고 간편하게 준수할 수 있도록 노력합니다. 그럼에도 불구하고 기술 분야에서 일하는 관련자라면 모두가 알고 있듯이 프로세스를 단순화하면 세분화된 컨트롤에 대한 액세스가 줄어듭니다. 반대로 세분화된 컨트롤에 대한 액세스를 허용하는 경우 컨트롤을 설정하는 사람이 전문가여야 올바르게 설정할 수 있습니다. 그리고 심지어 전문가도 실수를 범합니다. 따라서 어느 쪽을 선택하든 CSP 자체 또는 CSP 사용자에 의해 CSP의 암호화, 토큰화 또는 키 관리 체계가 잘못 구성될 가능성이 시간이 지남에 따라 매우 높습니다.

​

2021년 8월 26일, 위즈는 "코스모스 DB 기능의 일련의 결함"으로 인해 생긴 허점을 통해 "포춘 500대 기업을 포함한 수천 명의 마이크로소프트 애저 고객의 계정과 데이터베이스에 완전한 무제한 액세스"를 얻었다고 발표했습니다. 그들은 이 취약점을 #혼돈 DB라고 이름 지었습니다.

​

데이터베이스로 들어가는 관문은 마이크로소프트의 주피터 노트북으로 데이터 시각화와 맞춤형 보기가 가능했습니다. 2021년 2월, 모든 코스모스 DB에 자동으로 이 기능이 켜졌습니다.

​

Ars Technica는 다음과 같이 보고했습니다.

주피터 기능을 잘못 구성하면 권한 상승 악용이 발생합니다. 위즈에 따르면, 다른 코스모스 DB 고객의 기본 키와 다른 비밀에 접근하기 위해 이 악용이 악용될 수 있습니다.

​

코스모스 DB 인스턴스의 주요 키는 "게임 오버"입니다. 이는 해당 키에 속하는 전체 데이터베이스에 대한 전체 읽기, 쓰기 및 삭제 권한을 허용합니다. 위즈의 최고 기술 책임자 아미 러트왁(Ami Luttwak)은 이를 "상상할 수 있는 최악의 클라우드 취약성"이라고 설명하며, "이는 애저의 중앙 데이터베이스이며, 우리는 우리가 원하는 모든 고객 데이터베이스에 액세스할 수 있었습니다."라고 덧붙였습니다

공유 책임 모델

​

모든 클라우드 제공자가 말하는 공유 책임 모델은 클라우드 서비스 제공자와 고객 모두가 클라우드 보안의 특정 측면에 대한 소유권을 갖도록 요구합니다. 조직이 클라우드 서비스를 사용하든 여러 클라우드에 걸쳐 데이터를 저장하든 간에 각 제공자는 자신의 클라우드를 보호할 수 있습니다. 그럼에도 불구하고 이러한 환경에서 데이터의 보안을 책임집니다. 신뢰할 수 있고 규정을 준수하는 클라우드 환경을 운영하려면 조직이 데이터 거버넌스, 제어 및 소유권 문제를 해결할 수 있는 보안 기능을 제공해야 합니다.

​

한 전문가는 이렇게 조언합니다.

"잠재적인 보안 사고의 영향을 최소화하고 GDPR, PCI-DSS, HIPAA 또는 CCPA와 같은 민감한 데이터 보호, 보안 및 개인 정보 보호 규정을 최적화하려면 암호화를 채택해야 합니다." 하지만 암호화 및 토큰화는 암호화 키에 의존하며, 이러한 키가 민감한 데이터를 담당하는 조직에 의해 제어되고 보호되지 않는 한, 해당 조직은 위험에 처하게 됩니다."

​

자체 암호화(BYOE) 제공

​

클라우드에서 데이터를 보호하고 액세스를 완전히 제어할 수 있는 유일한 방법은 자신의 암호화(BYOE)를 클라우드로 가져오는 것입니다. 이것은 데이터를 클라우드로 보내기 전에 자신의 암호화를 수행하고 클라우드 외부 또는 조직이 제어하는 클라우드에서 키를 제어하는 것을 의미합니다.

​

코스모스DB 이야기를 다시 하자면, 내부 테스트 결과 탈레스의 BYOE는 코스모스DB/혼돈의 DB 취약성을 차단했을 것입니다. 이 취약성은 CSP의 암호화 프로세스의 일부로 생성된 암호화 키를 본질적으로 사용할 수 있는 코스모스DB 기본 키에 액세스할 수 있게 해주었기 때문에 작동했습니다. 탈레스 BYOE는 데이터가 클라우드로 전송되기 전에 암호화되어 CSP 암호화와는 별도로 CSP 고객의 손에 남아 있었을 것이므로 데이터를 보호했을 것입니다. 따라서 해커는 데이터를 해독하는 데 필요한 키에 액세스할 수 없었을 것입니다. 마이크로소프트는 이 특정 코스모스 DB 취약성을 해결했습니다.

​

Thales는 데이터를 보호하고 규정 준수에 신속하고 효과적으로 도달할 수 있는 고급 멀티 클라우드 BYOE(Bring Your Own Encryption) 도구를 제공합니다. 질문이 있으시면 데이터 보안 솔루션 전문가가 기꺼이 답변해 드리겠습니다.

​

탈레스 보안 솔루션 전문가에게 의논하기

​

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.