클라우드 컴퓨팅 개념 잡기
작성자 - 재감자숭클라우드 컴퓨팅이란?
1961년경 존 맥커시에 의해 유틸리티 컴퓨팅 환경에 대한 이야기가 나오기 시작하면서 대략적인 개념이 나오게 되었고, 2006년 클라우드 컴퓨팅이라는 용어가 Google사의 엔지니어인 '크리스토프 비시글리아(Christophe Bisciglia)'가 유휴 컴퓨팅 자원에 대한 활용제안을 통해 처음 사용하여, 구글 CEO 에릭 슈미츠가 공식적으로 발표하면서 클라우드 컴퓨팅의 개념이 세상에 나오게 되었다.
클라우드 컴퓨팅 정의
클라우드 컴퓨팅을 검색하게 되면 정보통신자원을 이용자의 요구나 수요 변화에 따라 정보통신망을 통해 유동적으로 이용할 수 있도록 하는 정보처리체계라고 나오는걸 알 수 있는데 클라우드 컴퓨팅의 정의는 다음과 같다.
- 카트너 보고서
확장 가능하고 탄력적인 IT 기능이 인터넷을 사용하는 외부의 고객들에게 서비스 형태로 제공되는 컴퓨팅 방식
- 포레스터 리서치
인터넷 기술을 통해 사용량에 따라 과금하거나 셀프서비스하는 방식으로 제공되는 표준화된 IT 기능
- NIST
클라우드 컴퓨팅은 컴퓨팅 자원에 언제 어디서나 필요에 따라 편리하게 네트워크를 통해 접근하는 기능을 제공하는 모델
인터넷 vs 클라우드
1. 여러 웹 기반 IT 자원에 대한 개방된 접근 허용 : 개인에게 속하며 제한된 접근을 허용한다.
2. 웹을 통해 게시된 콘텐츠 기반의 IT 자원 접근 : 백엔드 처리 기능과 이러한 기능에 대한 사용자 기반 접근이다.
3. 클라우드는 인터넷 프로코톨과 기술 기반으로 이뤄지지만 꼭 웹기반일 필요는 없다. IT 자원에 원격으로 접속할 수 있게 하는 방식의 프로토콜을 모두 사용할 수 있다.
클라우드 컴퓨팅은 이렇듯 인터넷을 통해 가상화된 컴퓨터의 IT 리소스를 제공하는것이다. 인터넷 기반 컴퓨팅의 일종으로 정보를 자신의 컴퓨터가 아닌 인터넷에 연결된 다른 컴퓨터로 처리하는 기술이 클라우드 컴퓨팅이다.
클라우드 컴퓨팅을 사용하는 이유
• 민첩성 - 서버 구매하여 인프라 설치 및 구성에 걸리는 시간 단축
• 탄력성 - 사용량을 미리 계산하여 오버 프로비저닝을 할 필요가 없음
• 경제성 - 데이터센터 유지 관리비가 들지 않음, 사용한 만큼만 비용 지불
다음과 같이 투자 절감과 비례되는 비용, 확작성 증대, 가용성과 신뢰성의 증대 등을 클라우드 컴퓨팅을 사용하는 이유로 들 수 있다.
클라우드 컴퓨팅의 위험과 고려사항
• 보안 취약성 증가
• 운영관리 제어의 축소
• 클라우드 제공자 사이의 제한된 이식성
• 다중 영역 규제와 법적 이슈
이때 클라우드와 관련된 법적 이슈는 무엇이 있을까?
클라우드 관련 법령( 클라우드컴퓨팅법 )
제21조: 해당 전산시설 등에 클라우드 컴퓨팅 서비스가 포함되는 것으로 본다.
제20조: 정부는 공공기관이 업무를 위하여 클라우드 컴퓨팅 서비스 제공자의 서비스를 이용할 수 있도록 노력하여야 한다.
클라우드 보안의 위협
▪ 기밀성, 무결성, 가용성
▪ 신뢰성 : 인증된 출처에서 제공됐음을 의미(부인 방지 포함)
▪ 위협, 취약성, 위험
▪ 위협 에이전트
- 공격을 수행하는 능력이 있어 위협을 부과하는 개체
▪ 클라우드 보안 위협은 내부적이나, 외부적으로, 사람이나 소프트웨어 프로그램에 의해 발생할 수 있음
위 그림은 취약성, 위협, 위험과 관련해 위협 에이전트가 수행하는 역할 그리고 보안 정책과 보안 메커니즘에 의해 구축된 안전 장치를 표현한 것이다.
트래픽 도청
• 클라우드로 또는 클라우드 내에서 전달되 는 데이터를 악성 서비스 에이전트가 불법 적인 정보 수집 목적으로 수동적으로 가로 채는 경우 발생한다.
• 공격의 목표는 클라우드 소비자와 클라우 드 제공자 사이 관계의 기밀성과 데이터의 기밀성을 직접적으로 누설하는 것
• 공격의 수동적 특성으로 인해 오랜 시간 동 안 탐지되지 않을 수 있다.
외부에 위치한 악성 서비스 에이전트는 클라우드 서비스 소비자가 클라우드 서비스에 보내는 메시지를 가로채서 트래픽 도청 공격을 수행한다. 서비스 에이전트는 원래의 결로를 따라 클라우드 서비스에 메시지를 보내기 전에 비인가된 복제본을 만든다.
악성 중개자
• 악성 서비스 에이전트가 메시지를 가로채 변경할 때 발생하며, 잠재적으로 메시지의 기밀성 또는 무결성을 누설한다.
• 메시지를 목적지에 전송하기 전에 메시지 에 악영향을 주는 데이터를 삽입할 수도 있다.
악성 서비스 에이전트는 클라우드 서비스 소비자가 가상 서버에서 제공하는 클라우드 서비스로 보내는 메시지를 가로채서 수정한다. 해로운 데이터가 메시지에 함께 포함되기 때문에 가상 서버는 손상을 입게 된다.
서비스 거부
• 복제된 메시지나 반복적인 통신 요청으로 클라우 드 서비스의 작업 부하가 인위적으로 증가한다.
• 반응을 저하시키고 성능을 무력화시키는 트래픽으 로 인해 네트워크에 과부하가 발생한다.
• 여러 클라우드 서비스 요청이 보내지면 각 요청은 메모리와 프로세싱 자원을 과도하게 소비되도록 설계한다.
클라우드 서비스 소비자가 가상서버에서 제공하는 클라우드 서비스에 여러 메시지를 보낸다. 이는 기반 물리 서버의 용량에 과부하를 가져오게 되고 가상 서버들의 정지를 일으킨다. 그 결과 다른 클라우드 서비스의 소비자가 서비스를 이용할 수 없게 된다.
불충분한 권한 부여
• 공격자에 대한 접근 권한이 잘못 주어지거나 너무 넓은 범위의 주체에게 권한을 부여한다.
• 약한 인증(weak authentication): 취약한 암호 또는 공유 계정을 사용하여 IT 자원을 보호할 때 발생할 수 있다.
클라우드 서비스 소비자에 의해 사용된 안전도가 낮은 비밀번호에 의해 공격자가 소유한 악성 클라우드 서비스 소비자는 클라우드 기반 가상 서버로의 접근을 얻기 위해 클라우드 서비스 소비자인척 하도록 보일 수 있다.
클라우드 컴퓨팅 제공 모델
• SaaS(Software as a Service) - 클라우드를 통해 서비스(응용프로그램) 제공
• PaaS(Platform as a Service) - 클라우드를 통해 서비스+플랫폼 제공
• IaaS(Infrastructure as a Service) - 클라우드를 통해 컴퓨팅 및 스토리지 서비스 제공
• NaaS(Networks as a Service) - 클라우드를 통해 가상 네트워크 제공
• DaaS (Desktop as a Service) - 클라우드를 통해 가상 데스크탑 제공
클라우드 컴퓨팅은 다음과 같이 소프트웨어, 플랫폼, 인프라, 네트워크, 데스크톱으로 구분되어 서비스를 제공한다.
IaaS
• IT 자원을 가상화하고 패키지화해 번들로 제공해 간단하게 런타임 선행을 확장하고, 인프라를 만들 수 있다.
• 클라우드 소비자가 원하는 클라우드 기반 환경과 고수준의 제어가 필요한 클라우드 소비자들이 사용할 수 있다.
PaaS
• 이미 배포 및 설정된 IT 자원으로 구성된, 미 리 정의된 사용할 준비가 돼 있는 환경
• 주문제작 애플리케이션의 전달 생명주기를 지원하기 위해 패키지화돼 있는 제품과 도구 로 구성된 미리 만들어진 환경
SaaS
• 공유되는 클라우드 서비스 형태의 제품이나 일반적인 유틸리티로 이용 가능한 소프트웨어 프로그램
• 재사용 가능한 클라우드 서비스를 다양한 클라우드 소 비자가 널리 이용
클라우드 배포 모델
• 소유권, 규모, 접근 방법에 의해 분류
- 퍼블릭 클라우드
• 제3자인 클라우드 제공자가 소유하고 공개적으로 접근 가능한 클라우드 환경
- 커뮤니티 클라우드
• 특정 커뮤니티의 클라우드 소비자에게만 접근이 허용
- 프라이빗 클라우드
• 하나의 조직이 소유
- 하이브리드 클라우드
• 두가지 이상의 클라우드 배포 모델로 구성된 클라우드 환경