클라우드 워크로드 운용 시 도전과재와 보안 위협 해소
[데이터넷] 비용절감, 확장성 등 다양한 장점으로 인해 클라우드로의 이동이 빨라지면서 클라우드 워크로드 운용에 따른 보안 위협 해소를 위한 해결책 마련이 시급한 상황이다. 이에 엔트러스트(Entrust)는 클라우드 데이터 보호를 위해 암호화 및 암호키 관리의 중요성을 강조했다.
글로벌 정보보안 기업인 엔트러스트는 다양한 디지털 보안과 신원 인증 솔루션을 공급중으로, 마건일 엔트러스트코리아 차장은 <데이터넷TV> ‘제3회 클라우드 보안 인사이트 2021’ 온라인 컨퍼런스에서 ‘멀티 클라우드 환경에서의 암호화 및 암호키 관리 방안’을 주제로 가상화 및 클라우드 환경의 데이터 보호 도전 과제와 함께 이를 해결할 수 있는 멀티 클라우드 암호화 및 암호키 관리 전략을 제시했다.
마건일 차장은 “민감한 워크로드 보호, 보안 위협 및 안전하지 않은 환경설정 위험 경감, 자동화된 규제 관련 업무, 데이터 보호 및 개인정보 관련 규제 준수, 멀티 클라우드 사용 시 데이터 보호 등 비즈니스 측면에서 클라우드 환경으로의 이동은 여러 도전 과제와 리스크가 존재한다”며 “엔트러스트는 데이터 암호화, 멀티 클라우드 키 관리, 워크로드 보안 강화를 위한 다양한 솔루션을 공급하고 있다”고 설명했다.
클라우드와 같은 가상화 환경에서는 기존 물리적인 환경과는 다른 보안을 필요로 한다. 특히 암호화 시에는 퍼블릭, 프라이빗, 하이브리드 클라우드의 모든 특성을 고려해야 하고, 클라우드 특성에서 완전한 보안을 구현하려면 제어권과 내부자 위협 보호 해결책 확보가 반드시 필요하다.
마 차장은 “클라우드 환경에서의 암호화 및 암호키 관리의 핵심은 CSP로부터 암호키 또는 암호화 분리를 비롯해 암호 멀티테넌시, 무중단 암호화 및 비용 절감 등이다”며 “CSP로부터 암호키를 분리하거나 CSP 자체 암호화 사용 시에도 KMS BYOK(Bring Your Own Encryption Key), 써드파티 암호화 솔루션 사용이 가능해야 하고, 분리된 정책 관리자 및 암호화 사용자 간 격리를 구현하는 암호 멀티테넌시를 통해 제어권 확보는 물론 내부자 위협을 최소화하고 특정 CSP에 종속을 방지해야 한다”고 설명했다.
엔트러스트는 자동화된 워크로드 보안 정책 실행 및 규제 준수를 뒷받침하는 클라우드컨트롤(CloudControl)을 비롯해 데이터 암호화 및 멀티 클라우드 키 관리를 위해 데이터컨트롤(Datacontrol), 키컨트롤(keycontrol) 등 하드웨어가 아닌 가상머신 형태의 이미지로 제공되는 다양한 보안 플랫폼을 보유하고 있다. 특히 데이터컨트롤은 워크로드 암호화 및 멀티 클라우드 환경을 위한 통합 키 관리를 지원하고, 키컨트롤은 멀티 클라우드 환경을 위한 워크로드 암호화 키 관리를 지원해 CSP의 암호화 솔루션을 효율적으로 사용할 수 있다.
엔트러스트 데이터컨트롤은 모든 저장된 데이터를 보호한다. 온프레미스와 클라우드 지원을 통해 워크로드에 따른 정책을 설정할 수 있고, 하이퍼 컨버전스 및 저장소를 지원한다. 또한 워크로드의 부트에서 데이터까지 모든 스택 보호는 물론 워크로드의 포터블 정책을 언제나 보호될 수 있도록 보장하고, 엔트러스트 바운더리컨트롤과 클라우드컨트롤의 연계를 통한 자동화된 워크플로우 중심의 보안 및 규제 준수 수행, 인텔 AES-NI 연동을 통한 하드웨어 가속 암호화 등 수준 높은 보호를 제공한다.
매우 쉬운 관리방법을 제공하는 엔트러스트 키컨트롤은 확장성이 뛰어나 윈도우와 리눅스에 대한 무중단 리키(rekey) 관리 및 암호화를 지원한다. 또한 워크로드의 운용 환경에 관계없는 단일 인터페이스를 지원하고, KMIP(Key Management Interoperability Protocol) 클라이언트/서버와 사전 연동된 손쉬운 확장성 등이 특징이다.
키컨트롤은 엔트러스트 엔실드(nShield) 하드웨어보안모듈(HSM)과도 온프레미스 또는 서비스 형태로 통합돼 키 생성에 대해 FIPS 140-2 레벨3으로 인증된 소스를 제공해 클라우드 이전을 지원하고 신뢰도를 높일 수 있다. 또한 도입 및 적용 편의성, 엔터프라이즈 확장성, 자동화, 성능 향상을 고려해 설계돼 가상머신 및 암호화된 데이터 저장에 대한 암호키를 관리할 수 있다.
특히 보안 정책 수행 및 키 관리, 서버로부터 업데이트를 확인하는 핵심 구성 요소인 폴리시 에이전트(Policy Agent)는 커널 드라이버를 수정할 필요가 없다는 점에서 차별화된다. 투명한 암호화를 제공해 데이터 암호화 활성화를 위해 애플리케이션이나 운영체제 커널을 수정할 필요가 없는 것. 폴리시 에이전트는 디스크 레벨 암호화를 통한 데이터 보호, 부트·루트·스왑 파티션 암호화를 통한 완전한 시스템 보호, 권한이 있어야만 부팅이 가능한 부트 권한, 상시 보호를 위한 끊임없는 검증 정책, 보안을 강화하면서도 운용에 차질이 없는 무중단의 동적 리키 지원 등이 특징이다.
마 차장은 “기업은 워크로드를 클라우드로 옮기더라도 CSP에서 사용되는 암호키에 대한 제어권은 유지하기를 원한다”며 “엔트러스트 키컨트롤은 AWS나 애저에서 사용하는 BYOK는 물론 MYOK(Manage Your Own Keys) 지원을 추가해 CSP의 KMS가 아닌 사용자가 보유한 KMS를 통해 퍼브릭 클라우드에 사용되는 모든 키 라이프사이클을 모두 관리할 수 있다”고 설명했다.
