클라우드 공유 책임의 과제

클라우드 공유 책임의 과제 - 누가 키를 쥐고 있을까?

키 관리(보호된 정보를 해독하고 액세스할 수 있는 사람을 위한 키의 처리, 관리 및 저장)는 종종 간과되는 문제지만, 암호화의 중요한 요소입니다. 많은 조직이 해당 부분을 플랫폼더에 맡기거나 IT 인프라 전반에 걸쳐 하드웨어와 소프트웨어로 일관성 없이 저장했습니다. 중앙 집중식 제어 기능이 부족하면 암호화의 무결성이 위험해질 수 있습니다. 사실 키에 어떤 일이 발생하면 전체 데이터 세트가 도난 또는 손실될 수 있으며, 이에 대해 할 수 있는 일이 없기 때문에 암호화 자체보다 키 관리가 더 중요합니다.

​

주요 클라우드 업계 거물들이 이 기술에 뛰어들고 있다는 사실을 볼 때 핵심 경영진이 더욱 진지하게 임하고 있다는 신호입니다.

당연히 그렇습니다. 데이터를 제어할 수 있음을 입증하는 능력은 규정 준수 요구 사항을 충족하는 데 매우 중요합니다. 하지만 키에 대한 완전한 통제와 소유권이 없다면 어떻게 데이터를 실제로 소유할 수 있을까요?

​

운영 유연성, 비용 효율성 및 신속한 확장성을 위해 민감한 데이터 및 비즈니스 애플리케이션을 클라우드로 마이그레이션하는 조직이 날로 증가하고 있습니다. 마이크로소프트 애저, AWS, 오라클 클라우드 및 IBM 클라우드와 같은 단일 클라우드 서비스 공급자(CSP)에 대한 공급자의 록인을 방지하기 위해 많은 조직이 멀티 클라우드 환경에서 여러 CSP와 협력하기로 선택하고 있습니다.

​

클라우드에 저장되는 중요 데이터의 양이 증가함에 따라 사이버 공격 및 데이터 침해 가능성이 기하급수적으로 증가합니다. 대부분의 CSP가 기본 데이터 보호 기능을 제공하지만 "공유 책임 모델"은 비즈니스 및 고객의 중요한 데이터를 보호하는 궁극적인 책임은 조직에 있음을 나타냅니다. 클라우드에서 데이터를 보호해야 하는 공유 책임은 있지만 공유 책임은 없으며 중요한 데이터를 위태롭게 하는 잠재적인 보안 사고의 영향은 여전히 회사의 책임이며 GDPR, Schrems II 판결, PCI-DSS, HIPAA 또는 CCPA와 같은 관련 개인 정보 보호 규정을 준수하도록 보장하는 것이 회사의 책임입니다.

​

조직은 경계 보안 메커니즘에 점점 더 많은 투자를 하고 있지만, 사이버 공격이 발생할 경우 핵심 방어선 역할을 하는 암호화 기술에는 제대로 투자하지 못하고 있습니다. 이는 데이터 침해로 인해 조직이 수십억 달러의 손실을 입는 복잡한 사이버 공격의 사례가 계속 증가하고 있음을 통해 알 수 있습니다.

​

잠재적인 보안 사고의 영향을 최소화하고 민감한 데이터 보호를 최적화하기 위해 GDPR, PCI-DSS, HIPAA 또는 CCPA와 같은 보안 및 개인 정보 보호 규정은 암호화 채택을 의무화합니다.

​

그러나 민감한 데이터를 클라우드에서 암호화하는 것만으로는 충분하지 않습니다. 클라우드 보안 얼라이언스는 고객이 키 관리와 암호화 프로세스를 모두 제어할 수 있도록 클라우드에 정보를 저장하는 업계 모범 사례로 권장합니다. 데이터의 기밀성, 무결성 및 가용성에 대한 신뢰를 구축하려면 키 라이프사이클을 효과적으로 관리하고 암호화 민첩성을 유지하는 것이 가장 중요합니다.

​

이 정도로, EU 사이버 보안국(ENISA)은 클라이언트 측 암호화만이 제3자에 의한 무단 액세스의 위험을 완화하면서 고객에게 데이터에 대한 진정한 통제를 제공하는 유일한 방법이라고 지적합니다. NIST SP 800-144는 조직이 "중앙 주요 자료를 통제하고 클라우드 기반 애플리케이션을 위한 주요 관리 구성 요소를 구성해야 한다"고 덧붙였습니다

​

멀티 클라우드 데이터 보호에 대한 장벽

​

클라우드 보안 및 효율적인 키 관리와 관련하여 클라우드 플랫폼이 제공하는 잠재력을 최대한 활용하지 못하는 조직이 현재 직면하고 있는 5가지 주요 문제점을 나열하면 다음과 같습니다.

​

1. 보안 및 암호화 관행에 대한 가시성 부족. CSP가 암호화 관행 및 방식에 대한 가시성과 액세스를 제한적으로 제공함에 따라, 조직의 위험 관리 팀은 데이터 침해 시 영향력이 크기 때문에 중요하고 미션 크리티컬한 데이터를 클라우드에 저장하는 것을 꺼립니다.

​

2. 규정 준수 요구 사항 충족 보안 및 개인 정보 보호 규정은 개인 및 민감한 데이터의 기밀성과 무결성을 보장하기 위해 최첨단 관행을 사용하도록 의무화하므로 민첩성과 주요 관리에 대한 강력한 통제가 필요합니다. 이러한 통제의 부족은 큰 규제 처벌을 수반합니다.

​

3. 멀티 클라우드 환경에서 암호화 키를 관리합니다. 조직은 공급업체의 락인을 피하기 위해 멀티 클라우드 전략을 채택하고 있습니다. 클라우드 네이티브 암호화 및 키 관리 솔루션을 사용하는 것은 멀티 클라우드 채택의 장벽입니다.

​

4. 암호화 키의 관리. 조직이 클라우드 네이티브 암호화 서비스를 사용하기로 선택하면 해당 키는 공급자가 관리합니다. 키를 직접 제어하지 않으면 보안이나 암호화 사고가 발생할 경우 잠재적인 위험과 취약성이 발생합니다.

​

5. 멀티 클라우드 네이티브 보안 툴을 관리, 모니터링 및 배포합니다. 클라우드 네이티브 키 관리 서비스는 특히 여러 구독에 걸쳐 암호화 키의 라이프사이클을 자동화하는 기능을 제한적으로 제공하기 때문에 조직은 보안 요구 사항을 충족하기 위해 노동 집약적이고 오류가 발생하기 쉬운 수동 키 관리 프로세스를 구현해야 합니다.

​

클라우드 데이터 보호에 대한 올바른 접근 방식

​

멀티 클라우드 환경에서 적절한 보안 및 키 관리 관행이 부족하면 조직의 공격 표면만 증가하고 사이버 범죄자들은 점점 더 스마트해지고 정교해짐에 따라 이를 활용하고자 합니다. 다행히도 클라우드에서 데이터 보호를 최적화할 수 있는 BYOK(Bring Your Own Key), BYO(Bring You Own Encryption) 및 중앙 집중식 및 자동화된 키 라이프사이클 관리와 같은 업계 모범 사례가 많이 있습니다.

​

클라우드 제공업체는 "클라우드"의 보안을 책임지고, 조직은 "클라우드"의 데이터 보안을 책임지는 상황에서 모든 CISO는 다음과 같은 다섯 가지 관련 질문을 해야 합니다:

​

1. 클라우드 자산에 대한 강력한 보안 제어를 유지하려면 어떻게 해야 합니까?

​

2. 마이그레이션 후, 어떤 주요 관리 제어가 필요합니까?

​

3. 개인적이고 민감한 데이터 위험을 어떻게 관리합니까?

​

4. 감사를 어떻게 관리합니까?

​

5. 규정 준수를 충족하려면 어떻게 해야 합니까?

​

클라우드 공유 책임은 비즈니스 번영에 중요합니다. 이러한 질문에 대해 Thales의 멀티 클라우드 보안 솔루션은 일관된 답변을 제공합니다. 자세한 내용은 Thales 클라우드 데이터 보안 사이트를 참조하십시오.

​

클라우드 보안에 대한 더욱 자세한 내용이 궁금하시면 탈레스 전문가와 상담하십시오.

​

---

Thales DIS CPL소개

​

오늘날의 기업은 클라우드, 데이터, 소프트웨어를 활용하여 비즈니스의 중대한 결정을 내립니다. 전 세계 유수의 브랜드와 기업들이 클라우드와 데이터 센터에서 디바이스, 네트워크에 이르는 모든 곳에서 생성, 공유 및 저장되는 민감정보와 소프트웨어에 안전하게 접근하기 위해 탈레스의 솔루션을 활용합니다. 탈레스의 솔루션을 도입한 기업은 안정적으로 클라우드로 이전하면서도 확실하게 데이터 보안 규제를 준수할 수 있습니다. 현재, 매일 수백만 명의 소비자가 사용하는 서비스와 디바이스를 통해 탈레스의 고객들은 보다 큰비즈니스 가치를 창출하고 있습니다.

https://cpl.thalesgroup.com/ko

​

탈레스 소개

​

귀하의 데이터를 보호하는 기업들은 탈레스를 통해 자신들의 데이터를 보호합니다. 데이터 보안에 대해 중요한 결정을 내려야 하는 순간이 증가하고 있습니다. 암호화 전략을 수립하거나, 클라우드로 데이터를 이전하거나, 규제 준수 요구사항을 충족시켜야 하는 모든 순간에 탈레스를 믿고 찾아주십시오. 탈레스는 귀하의 안전한 디지털 트랜스포메이션을 지원합니다.