"클라우드", 좀더 구체적으로 "클라우드 컴퓨팅"은 인터넷을 통해 그리고 로컬 하드웨어의 제약에 구애 받지 않고 자원과 소프트웨어, 데이터베이스에 액세스하는 과정을 의미합니다. 이 기술은 인프라 관리의 일부 또는 대부분을 써드파티 호스팅 제공자에게 오프로드하여 운영을 확장할 때 유연성을 제공합니다.

가장 보편적이고 널리 채택된 클라우드 컴퓨팅 서비스는 다음과 같습니다.

• IaaS(서비스형 인프라): 하이브리드 접근 방식으로, 클라우드 제공자에 의존하여 서버, 하드웨어, 네트워킹, 가상화, 스토리지 요구사항을 관리하면서 온프레미스에서 데이터와 애플리케이션의 일부를 관리할 수 있습니다.
• PaaS(서비스형 플랫폼): 운영 체제, 소프트웨어 업데이트, 스토리지, 클라우드 내 지원 인프라를 자동으로 관리하는 맞춤형 애플리케이션 프레임워크를 제공하여 애플리케이션 개발과 제공을 간소화할 수 있도록 지원합니다.
• SaaS(서비스형 소프트웨어): 온라인으로 호스팅되는 클라우드 기반 소프트웨어로, 일반적으로 구독 서비스로 사용할 수 있습니다. 써드파티 공급업체는 데이터, 미들웨어, 서버, 스토리지와 같은 잠재적인 모든 기술적 문제를 관리하여 IT 리소스 지출을 최소화하고 유지보수와 지원 기능을 간소화합니다.

오늘날의 기업은 클라우드 기반 환경과 IaaS, PaaS, SaaS 컴퓨팅 모델로 점점 더 많이 전환하고 있습니다. 인프라 관리의 동적 특성, 특히 애플리케이션과 서비스의 확장으로 인해 기업이 부서의 리소스를 적절하게 조달할 때 여러 가지 문제가 발생할 수 있습니다. 조직은 이러한 서비스형(as-a-service) 모델을 통해 많은 시간이 소요되는 IT 관련 작업을 오프로드할 수 있습니다.

기업이 클라우드로 계속 마이그레이션함에 따라 데이터를 안전하게 유지하기 위한 보안 요구사항을 이해하는 것이 중요해졌습니다. 써드파티 클라우드 컴퓨팅 제공자가 이 인프라의 관리를 맡을 수도 있지만 데이터 자산 보안과 책임이 반드시 전가되는 것은 아닙니다.

기본적으로 대부분의 클라우드 제공사는 모범 보안 사례를 따르고 서버의 무결성을 보호하기 위한 적극적인 조치를 취합니다. 그럼에도 조직은 클라우드에서 실행되는 데이터, 애플리케이션, 워크로드를 보호할 때 자체적으로 고려해야 합니다.

디지털 환경이 계속 발전함에 따라 보안 위협은 더욱 고도화되었습니다. 이러한 위협은 데이터 액세스와 이동에 대한 조직의 전반적인 가시성 부족으로 인해 클라우드 컴퓨팅 제공사를 목표 대상으로 삼습니다. 클라우드 보안을 개선하기 위한 적극적인 조치를 취하지 않으면 기업은 저장된 위치에 관계없이 클라이언트 정보를 관리할 때 상당한 거버넌스 및 규정 준수 위험에 직면할 수 있습니다.

클라우드 보안은 기업의 규모에 관계없이 중요한 주제로 다뤄져야 합니다.  클라우드 인프라는 모든 산업과 여러 업종에서 현대 컴퓨팅의 거의 모든 측면을 지원합니다.

하지만, 성공적인 클라우드 채택을 위해서는 오늘날의 사이버 공격으로부터 보호해주는 올바른 대책을 마련되어야 합니다. 퍼블릭, 프라이빗 또는 하이브리드 클라우드 환경에서 운영하고 있는지 여부와 상관 없이, 클라우드 보안 솔루션과 우수 사례는 비즈니스 연속성을 보장할 때 반드시 필요한 요소입니다.

가시성 부족
대다수 클라우드 서비스가 기업 네트워크 외부에서 그리고 써드파티를 통해 액세스되기 때문에 데이터가 어떻게 액세스되고 누가 액세스하는지 추적하지 못할 수 있습니다.

멀티테넌시
퍼블릭 클라우드 환경에는 동일한 산하에 여러 클라이언트 인프라가 포함되어 있으므로, 악성 공격자가 타 비즈니스를 공격할 때 귀사의 호스팅 서비스는 부수적인 피해를 입고 손상될 수 있습니다.

액세스 관리 · 섀도우 IT
기업은 온프레미스 시스템 전반에서 액세스 지점을 성공적으로 관리하고 제한할 수 있지만 클라우드 환경에서는 이와 같은 수준의 제한을 관리하는 것이 쉽지 않습니다. BYOD(Bring Your Own Device) 정책을 배포하지 않고 모든 디바이스 또는 지리적 위치에서 클라우드 서비스에 대한 필터링되지 않은 액세스를 허용하지 않는 조직에는 위험할 수 있습니다.

준수
규제 준수 관리는 종종 퍼블릭 또는 하이브리드 클라우드 구현을 사용하는 기업에 혼란을 야기합니다. 데이터 개인정보 보호와 보안에 대한 전반적인 책임은 여전히 기업에 있으며, 이 구성 요소를 관리하기 위해 써드파티 솔루션에 지나치게 의존하면 엄청난 비용을 초래하는 규정 준수 문제로 이어질 수 있습니다.

구성 오류
잘못 구성된 자산은 2019년 위반 기록의 86%를 차지하여 부주의한 내부자가 클라우드 컴퓨팅 환경의 핵심 이슈로 떠올랐습니다. 잘못된 구성에는 기본 관리 암호를 그대로 두거나 적절한 개인정보 설정을 마련하지 않는 경우 등이 포함됩니다.

ID 및 액세스 관리(IAM)
ID 및 액세스 관리(IAM) 도구와 서비스를 통해 기업은 온프레미스 및 클라우드 기반 서비스 모두에 액세스를 시도하는 모든 사용자를 위해 정책 중심 시행 프로토콜을 구축할 수 있습니다. IAM의 핵심 기능은 모든 사용자에 디지털 ID를 생성하여 모든 데이터 상호작용 시 필요할 경우 능동적으로 모니터링하고 제한할 수 있도록 하는 것입니다.

데이터 손실 방지(DLP)
데이터 손실 방지(DLP) 서비스는 규제된 클라우드 데이터의 보안을 보장하기 위해 설계된 도구와 서비스를 제공합니다. 아울러, 교정 경고, 데이터 암호화, 기타 예방 조치를 조합하여 사용 중이거나 이동 중인 모든 저장된 데이터를 보호합니다.

SIEM(보안 정보 · 이벤트 관리)
SIEM(보안 정보 · 이벤트 관리)은 클라우드 기반 환경에서 위협 모니터링·탐지·대응을 자동화하는 포괄적인 보안 조정 솔루션을 제공합니다. SIEM 기술은 인공지능(AI) 기반 기술을 사용하여 로그 데이터를 여러 플랫폼과 디지털 자산 간에 상호 연관시켜 IT 팀이 잠재적인 위협에 신속하게 대처하는 동시에 네트워크 보안 프로토콜을 성공적으로 적용할 수 있도록 지원합니다.

비즈니스 연속성 · 재해 복구
조직이 온프레미스 및 클라우드 기반 인프라에 대해 시행하는 예방 조치와 상관없이 데이터 침해와 운영 중단은 여전히 발생할 수 있습니다. 기업은 새로 발견된 취약점이나 중대한 시스템 중단에 가능한 한 빨리 대응할 수 있어야 합니다. 재해 복구 솔루션은 클라우드 보안의 핵심이며 손실된 데이터를 신속하게 복구하고 정상적인 비즈니스 운영을 재개하는 데 필요한 도구와 서비스, 프로토콜을 조직에 제공합니다.

클라우드 보안에 접근하는 방법은 조직마다 다르며 여러 변수에 따라 달라질 수 있습니다. 그러나 미국 국립표준기술원(NIST)은 안전하고 지속 가능한 클라우드 컴퓨팅 프레임워크를 구축하기 위해 따를 수 있는 모범 사례 목록을 만들었습니다.

NIST는 모든 조직이 자체 보안 준비를 평가하고 적절한 예방 및 복구 보안 조치를 시스템에 적용하기 위해 필요한 단계를 만들었습니다. 이러한 원칙은 NIST의 사이버 보안 프레임워크의 다섯 가지 기둥인 '식별, 보호, 탐지, 대응, 복구'를 기반으로 합니다.

NIST의 사이버 보안 프레임워크 실행을 지원하는 클라우드 보안의 또 다른 신규 기술로는 CSPM(클라우드 보안 유지 관리)가 있습니다. 이 솔루션은 여러 클라우드 환경에서 흔히 볼 수 있는 결함인 잘못된 구성을 해결하도록 설계되었습니다.

기업이나 심지어 클라우드 제공자에 의해 잘못 구성된 클라우드 인프라는 조직의 공격 표면을 크게 증가시키는 몇 가지 취약점으로 이어질 수 있습니다. CSPM은 클라우드 보안의 핵심 구성 요소를 구성하고 배포하는 데 도움을 줌으로써 이러한 문제를 해결합니다. 여기에는 ID 및 액세스 관리(IAM), 규정 준수 관리, 트래픽 모니터링, 위협 대응, 위험 완화, 디지털 자산 관리가 포함됩니다.