비디오: 🏃💨 Subway Surfers - Official Launch Trailer (십월 2024)
내년에는 퍼블릭 클라우드 서비스 제공 업체와 SaaS (Software-as-a-Service) 솔루션 공급 업체가 크게 성장할 것으로 예상됩니다. 우선, 마이크로 서비스 배포 및 블록 체인과 같은 새로운 기초 수준의 기술이 혁신을위한 미개척 수단을 제공하고 있습니다. 그러나 더 중요한 것은 아마도 가장 많은 CIO 인용 클라우드 채택 차단제 중 하나 (즉, 보안 및 데이터 안전성)가 마침내 기업 및 중소 기업의 배경으로 이동하는 것으로 보입니다.
분석가들은 엔터프라이즈 및 중간 규모의 세그먼트를 포함하여 오늘날 대부분의 비즈니스에 다양한 정도의 클라우드 배포가 있음에 동의하지만, 대규모 조직이 클라우드로의 주요 워크로드 이동 속도가 느리다는 데 동의합니다. 안전. 이는 이러한 조직이 마이그레이션 할 대량의 데이터 때문에뿐만 아니라 HIPAA (Health Insurance Portability and Accountability Act) 및 ISO 27001과 같은 엄격한 준수 및 규제 검사를 통과하는 것이 중요하기 때문에 이러한 고객에게 중요합니다. 사업을 할 수 있습니다. 이러한 CIO에게는 보안이 가장 중요하며 최근까지 클라우드를 대규모로 채택 할만큼 강력하지 않았습니다.
그러나 2017 년 애널리스트 예측에 따르면 모든 것이 바뀌고 있습니다. 클라우드 보안은 지난 반년 동안 매우 먼 길을 왔으며 많은 IT 전문가와 CIO가 동의하는 것 같습니다. 이는 분석가들이 2017 년에 엔터프라이즈 부문에서 클라우드 인프라 및 서비스를 훨씬 더 많이 활용할 것으로 예상하고 있음을 의미합니다.
저는 잘 알려진 관리 클라우드 공급 업체 인 Rackspace의 최고 보안 책임자 인 Brian Kelly와의 이메일 인터뷰를 통해 내년 클라우드 보안의 변화에 대해 알아보고 분석가의 예측에 동의했는지 확인했습니다.
PCMag: Rackspace가 데이터 안전 및 보안과 관련하여 고객 IT 직원의 역할과 역할을 정확히 어떻게 파악합니까?
Brian Kelly (BK): 고객이 클라우드에서 멀어지기보다는 보안으로 인해 클라우드에 온다는 직접적인 증거가 있습니다. 몇 가지 예외가 있지만 회사는보다 정교하고 지속적인 위협으로부터 조직을 효과적으로 방어 할 수있는 리소스와 기술을 보유하고 있지 않습니다. 마찬가지로 클라우드 제공 업체는 비즈니스의 미래가 효과적인 보안 관행을 통해 신뢰와 신뢰를 제공하는 데 달려 있음을 인식합니다. 클라우드 제공 업체의 보안 투자 증가에도 불구하고 조직 자산 보호는 항상 공동 책임입니다. 클라우드 공급자는 시설, 데이터 센터, 네트워크 및 가상 인프라의 보호를 직접 담당하지만 소비자는 운영 체제, 응용 프로그램, 데이터, 액세스 및 자격 증명을 보호해야 할 책임이 있습니다.
Forrester는이 공동 책임과 관련하여 "고르지 않은 핸드 셰이크"라는 용어를 만들었습니다. 어떤 측면에서 소비자는 데이터 보안에 대한 부담을지고 있다고 생각합니다. 이것은 몇 년 전에 사실이었을 것입니다. 그러나 우리는 악수의 균형을 목격하고 있습니다. 즉, 클라우드 공급자는 소비자가 보안에 대한 책임을 공유 할 수 있도록 더 많은 일을 할 수 있고해야합니다. 이는 단순히 호스팅 된 워크로드에 대한 가시성과 투명성을 높이고 제어 플레인에 액세스하거나 관리 형 보안 서비스를 제공하는 형태를 취할 수 있습니다. 소비자의 보안 책임은 절대 사라지지 않지만 클라우드 제공 업체는 더 많은 책임을 맡고 부가가치 관리 형 보안 솔루션을 제공하여 클라우드에서 양측이 안전하게 운영하는 데 필요한 신뢰를 구축 할 것입니다.
PCMag: 클라우드 기반 데이터 자체를 보호하기 위해 공급자가 제공하는 것 외에도 IT 전문가 및 비즈니스 고객에게 수행 할 수있는 작업에 대한 조언이 있습니까?
BK: 보안 영역 내에서 보안 모범 사례를 계속 구현해야합니다. 또한 보안 침해 범위를 제한하고, 워크로드 환경 (운영 체제, 컨테이너, 가상 LAN)이 올바르게 보안 및 패치되도록 엔드 포인트 및 네트워크 레벨 감지 및 응답 기술 (IDS / IPS, 멀웨어 탐지 및 차단)하고 계정 및 액세스를 적극적으로 관리합니다. 고객은 이러한 서비스와 기술을 클라우드 사용 계약에 포함시킬 수 있지만 그렇지 않은 경우 소비자는 자신의 측면에서 이러한 서비스와 기술을 사용해야합니다.
PCMag: 독자들이 묻는 주요 질문 중 하나는 지난 10 월 중국 IoT 벤더가 실수로 크게 기여한 사건과 유사한 대규모 사물 인터넷 (IoT) 기반 분산 서비스 거부 (DDoS) 공격에 대한 효과적인 방어에 관한 것입니다. 공격. 이러한 공격은 업스트림 인터넷 서비스 공급자 (ISP)와 함께 작동합니까? 그리고 한 고객이 시설 내 모든 사람을 쓰러 뜨리지 않도록 어떻게 공격을 유지합니까?
BK: DDoS 방어의 주요 목표는 공격을받을 때 가용성을 유지하는 것입니다. IoT의 DDoS 공격 기능은 잘 알려져 있으며 보안 모범 사례를 구현하고 지능형 DDoS 완화 시스템을 사용하여 성공적으로 완화 할 수 있습니다. 가장 큰 위협은 IoT의 공격 방법이 아니라 방대한 수의 취약한 인터넷 지원 장치입니다. 인터넷 위협에 노출되는 것을 제한하려면 네트워크를 잠 가야합니다. 네트워크 운영자는 모든 가능한 위협을 사전에 탐지하고이를 완화 할 수있는 가장 효과적인 기술을 파악하는 동시에 모든 네트워크 트래픽을 분석하고 분류 할 수있는 능력을 유지해야합니다.
강력한 DDoS 완화 전략에는 계층적이고 방어적인 접근 방식이 필요합니다. IoT 장치가 많기 때문에 소규모 네트워크에서는 IoT 공격을 완화하기가 어렵습니다. IoT 공격의 효과는 다양한 공격 경로를 생성하고 대규모의 대량 DDoS 트래픽을 생성 할 수있는 유연성입니다. IoT가 유능한 공격자의 손에 의해 생성 할 수있는 엄청난 양의 트래픽으로 인해 가장 강화 된 네트워크조차도 빠르게 압도 될 수 있습니다. 업스트림 ISP는 종종 소규모 네트워크 링크를 빠르게 포화시키는 이러한 대규모 공격을 처리하기 위해 더 나은 장비와 인력을 갖추고 있습니다. 또한 네트워크 운영의 규모와 이러한 공격을 완화하는 데 필요한 도구는 대부분의 조직에서 효과적으로 탐지하고 대응할 수 있습니다. 더 나은 솔루션은 이러한 규모의 네트워크를 이미 사용하고있는 클라우드 제공 업체의 업스트림 ISP에 이러한 작업을 아웃소싱하는 것입니다.
업스트림 ISP는 트래픽을 전환 할 수있는 다양한 인터넷 액세스 지점을 통해 많은 이점을 제공합니다. 또한 일반적으로 초기에 많은 DDoS 트래픽을 흡수 할 수있을만큼 충분한 데이터 파이프를 보유하고 있으며 트래픽을 다시 라우팅하는 응답 활동이 증가하고 있습니다. "상류"는 강을 따라있는 일련의 댐과 다소 유사하기 때문에 좋은 용어입니다. 홍수가 발생하는 동안 각 댐을 사용하여 댐에서 생성 된 각 호수의 물을 점진적으로 더 많이 포착하고 흐름을 측정하여 다운 스트림 홍수를 방지함으로써 하류의 주택을 보호 할 수 있습니다. 업스트림 ISP의 대역폭 및 액세스 포인트 다양성은 동일한 종류의 복원력을 제공합니다. 또한 인터넷 커뮤니티 전체에서 프로토콜을 활성화하여 활성화 할 수있는 소스에 가까운 DDoS 트래픽을 차단합니다.
다른 사고 대응 활동과 마찬가지로 계획, 준비 및 실습이 필수적입니다. 두 가지 공격이 정확히 같은 것은 아니므로 옵션과 상황을 예상 한 다음 계획하고 연습하는 것이 중요합니다. IoT 공격 시나리오의 경우 취약한 장치가 있는지 네트워크를 검색하고 수정 조치를 취하는 것이 포함됩니다. 또한 취약한 IoT 장치에 대한 네트워크 외부에서의 스캔을 금지해야합니다. 엄격한 액세스 제어 및 운영 체제 강화를 구현하고 다른 코드 버전, 네트워크 장치 및 응용 프로그램을 패치하는 절차를 개발하십시오.
전체 인포 그래픽을 보려면 이미지를 클릭하십시오. 이미지 크레디트: Twistlock
PCMag: 독자들이 우리에게 묻는 또 다른 질문은 컨테이너 보안에 관한 것입니다. 복잡한 공격 시스템을 포함 할 수있는 무기화 된 컨테이너에 대해 걱정하거나 아키텍처가 이와 같은 악용으로부터 보호한다고 생각하십니까?
BK: 새로 강조된 기술의 보안은 항상 강조되는 관심사입니다. 컨테이너는이 측면에서 고유하지 않습니다. 그러나 많은 보안 문제와 마찬가지로 장단점이 있습니다. 위험이 증가 할 수 있지만 제어 할 수있는 위험에 대한 효과적인 완화 전략이 있다고 생각합니다.
컨테이너는 기본적으로 매우 일시적이고 가벼운 가상화 운영 체제 환경입니다. 가상 머신은 별도의 물리적 서버보다 덜 안전합니까? 그들은 대부분의 경우입니다. 그러나 많은 기업에서는 가상화로 인한 비용 이점 (지출이 적고 관리가 쉽고 기계를 쉽게 재사용 할 수 있음)을보고 최대한 많은 위험을 완화하면서이를 활용하기로 선택합니다. 인텔은 심지어 자체 위험을 완화하는 데 도움이 될 수 있다는 것을 깨달았습니다.
컨테이너는 가상화의 초기 비용 절감 및 유연성을 더욱 높여줍니다. 또한 각 컨테이너와 호스트 운영 체제 사이에 매우 얇은 벽이 있기 때문에 더 위험합니다. 나는 격리에 대한 하드웨어 지원을 알지 못하기 때문에 모든 사람들을 온라인으로 유지하는 것은 커널에 달려 있습니다. 기업은 이러한 위험과 함께이 새로운 기술의 비용 및 유연성 이점을 평가해야합니다.
Linux 전문가들은 각 컨테이너가 호스트의 커널을 공유하기 때문에 KVM 및 Xen과 같은 기존 가상화 기술보다 훨씬 큰 익스플로잇 영역을 만듭니다. 따라서 공격자가 한 컨테이너에서 권한을 해킹하여 다른 컨테이너에 액세스하거나 다른 컨테이너 내의 조건에 영향을주는 새로운 공격의 가능성이 있습니다.
컨테이너 내부 보안 센서에는 아직 많은 방법이 없습니다. 내 생각에 시장의 영역은 성숙해야한다. 또한 컨테이너는 CPU에 내장 된 보안 기능 (예: Intel VT)을 사용하여 권한 수준에 따라 다른 링에서 코드를 실행할 수 없습니다.
결국 물리적 서버, 가상 머신 및 컨테이너에 대한 수많은 악용이 있습니다. 새로운 것은 항상 자랍니다. 에어 갭 기계도 이용됩니다. IT 전문가는 이러한 모든 수준에서 보안 침해에 대해 걱정해야합니다. 대부분의 방어는 이러한 모든 배포 유형에 대해 동일하지만 각각 별도의 보안 방어를 적용해야합니다.
호스팅 제공 업체는 Linux 보안 모듈 (예: SELinux 또는 AppArmor)을 사용하여 컨테이너를 격리해야하며 해당 시스템을 면밀히 모니터링해야합니다. 로컬 권한 에스컬레이션 악용을 피하기 위해 호스트 커널을 업데이트하는 것도 중요합니다. UID (고유 ID) 격리는 컨테이너의 루트 사용자가 실제로 호스트에서 루트가되는 것을 방지하므로 도움이됩니다.
PCMag: PCMag.com이 MSSP (Managed Security Service Providers)를 대규모로 비교하지 않은 한 가지 이유는 업계에서 해당 용어의 의미와 해당 공급자 클래스가 제공 할 수있는 것과 제공해야하는 것에 대해 혼동하기 때문입니다. Rackspace의 관리 형 보안 서비스를 분석 할 수 있습니까? 그것이하는 일, 다른 제공 업체와 다른 점, 독자가 그러한 서비스를 이용할 때 가입 한 내용에 대한 좋은 아이디어를 얻을 수 있도록 어디로 가야합니까?
BK: MSSP는 보안이 작동하지 않았다는 사실을 인정하고보다 정교하고 지속적인 적을 포함하는 오늘날의 위협 환경에서 전략과 운영을보다 효과적으로 조정해야합니다. Rackspace에서는 이러한 위협 변화를 인정하고이를 완화하는 데 필요한 새로운 기능을 개발했습니다. Rackspace Managed Security는 24/7/365 고급 탐지 및 응답 작업입니다. 환경을 성공적으로 해킹 한 후에도 공격이 발생할 때 회사를 공격으로부터 보호 할뿐만 아니라 비즈니스 영향을 최소화하도록 설계되었습니다.
이를 달성하기 위해 세 가지 방법으로 전략을 조정했습니다.
우리는 경계가 아닌 데이터에 중점을 둡니다. 공격에 효과적으로 대응하려면 목표는 비즈니스 영향을 최소화하는 것이어야합니다. 이를 위해서는 회사의 비즈니스와 우리가 보호하는 데이터 및 시스템의 상황에 대한 포괄적 인 이해가 필요합니다. 그래야만 정상적인 상태를 파악하고 공격을 이해하며 비즈니스에 미치는 영향을 최소화하는 방식으로 대응할 수 있습니다.
우리는 공격자가 네트워크에 진입했으며 숙련 된 분석가를 사용하여 공격을 시작했다고 가정합니다. 네트워크에서 일단 공격을 받으면 도구를 식별하기가 어렵습니다. 보안 도구의 경우 고급 공격자는 관리자가 정상적인 비즈니스 기능을 수행하는 것처럼 보이기 때문입니다. Google 분석가는 도구가 경고 할 수없는 활동 패턴을 적극적으로 검색합니다. 이러한 패턴은 공격자에게 영향을 미치는 발자국입니다.
당신이 공격을 받고 있다는 것만으로는 충분하지 않습니다. 공격이 발생할 때 대응하는 것이 중요합니다. 고객 보안 운영 센터는 "사전 승인 된 조치"포트폴리오를 사용하여 공격이 감지되는 즉시 공격에 대응합니다. 이것들은 본질적으로 우리가 시도했을 때 공격을 성공적으로 처리하기 위해 시도하고 테스트 한 책입니다. 고객은 이러한 런 북을보고 온 보딩 프로세스 중에 분석가를 승인합니다. 결과적으로 분석가는 더 이상 수동적 인 관찰자가 아니므로 공격자가 탐지 되 자마자 지속성이 달성되기 전과 비즈니스에 영향을 미치기 전에 공격자를 적극적으로 종료 할 수 있습니다. 이러한 공격에 대응하는 능력은 고객을 위해 보호하는 인프라를 관리하기 때문에 Rackspace에 고유합니다.
또한 규정 준수가 보안의 부산물이라는 것을 알게되었습니다. 우리는 고객이 충족시키는 데 도움이되는 규정 준수 요구 사항을 입증하고보고함으로써 보안 운영의 일부로 구현하는 엄격하고 모범 사례를 활용하는 팀을 보유하고 있습니다.
PCMag: Rackspace는 OpenStack의 큰 지지자이며, 실제로 명성있는 창립자입니다. 일부 IT 독자들은 이러한 개방형 플랫폼에 대한 보안 개발이 실제로 아마존 웹 서비스 (AWS) 또는 Microsoft Azure와 같은 폐쇄 형 시스템의 보안 개발보다 느리고 효과적이지 않은지에 대한 질문을했습니다. 많은 대규모 오픈 소스 프로젝트. 그것에 어떻게 반응합니까?
BK: 오픈 소스 소프트웨어를 사용하면 "버그"가 공개 커뮤니티에서 발견되고 공개 커뮤니티에서 수정됩니다. 보안 문제의 범위 나 영향을 숨길 방법이 없습니다. 독점 소프트웨어를 사용하면 소프트웨어 공급자가 취약점을 해결해야합니다. 6 개월 동안 취약점에 대해 아무 것도하지 않으면 어떻게됩니까? 연구원으로부터 보고서가 누락되면 어떻게합니까? 우리는 당신이 거대한 소프트웨어 보안 인 에이 블러라고 부르는 "너무 많은 요리사"를 모두 봅니다. 수백 명의 똑똑한 엔지니어가 종종 OpenStack과 같은 주요 오픈 소스 패키지의 각 부분을 살펴 보므로 결함이 균열을 극복하기가 매우 어렵습니다. 결함에 대한 논의와이를 고치기위한 옵션 평가는 공개적으로 이루어집니다. 개인 소프트웨어 패키지는 이러한 종류의 코드 레벨 별 분석을받을 수 없으며 수정 프로그램은 이러한 공개 심사를받지 않습니다.
또한 오픈 소스 소프트웨어를 사용하면 소프트웨어 스택 외부에서 완화 할 수 있습니다. 예를 들어 OpenStack 보안 문제가 나타나지만 클라우드 공급자가 취약점을 즉시 업그레이드하거나 패치 할 수없는 경우 다른 변경이 이루어질 수 있습니다. 기능이 일시적으로 비활성화되거나 사용자가 정책 파일을 통해 기능을 사용하지 못하게 될 수 있습니다. 장기 수정이 적용될 때까지 공격을 효과적으로 완화 할 수 있습니다. 폐쇄 소스 소프트웨어는 완화해야 할 사항을 파악하기 어렵 기 때문에 종종이를 허용하지 않습니다.
또한 오픈 소스 커뮤니티는 이러한 보안 취약점에 대한 지식을 빠르게 확산시킵니다. "이 문제가 나중에 발생하지 않도록하려면 어떻게해야합니까?" 신속하게 요청을 받고 공동 심의와 공개적으로 심의를 진행합니다.
PCMag: 이 인터뷰에 대한 원래의 질문으로 마무리합시다. 2017 년은 엔터프라이즈 클라우드 채택 측면에서 주로 또는 적어도 부분적으로 클라우드 제공자 보안에 대한 엔터프라이즈 승인으로 인해 "혁신적인"해가 될 것이라고 분석가들에 동의하십니까?
BK: 다른 클라우드 환경에 대해 논의하기 위해 잠시 뒤로 물러나겠습니다. 대부분의 질문은 퍼블릭 클라우드 시장을 가리 킵니다. 위에서 언급했듯이 Forrester 연구원들은 클라우드 공급자가 일련의 서비스를 제공한다는 점에서 클라우드 공급자와 소비자 간의 "불균일 한 핸드 셰이크"에 주목했지만 클라우드 소비자는 종종 보안, 백업, 복원력, 저는 클라우드 공급 업체에 합류 한 이후 클라우드 제공 업체가 소비자와보다 투명하게 핸드 셰이크를 해제해야한다고 주장했습니다. 오늘날의 퍼블릭 클라우드 환경보다 핸드 셰이크가 적은 곳은 없습니다.
그러나 프라이빗 클라우드 환경, 특히 소비자 자신의 클라우드 환경은 그러한 환상을 겪지 않습니다. 소비자는 구매 대상과 제공 업체가 제공하는 것에 대해 훨씬 더 명확합니다. 그러나 소비자가 구매 프로세스에 대한 기대를 높이고 클라우드 제공 업체가보다 완벽한 서비스와 투명성을 제공하기 위해 게임을 강화함에 따라 전통적인 데이터 센터에서 퍼블릭 클라우드 환경으로 워크로드를 이동시키는 데 대한 정서적, 위험 관련 장벽이 급격히 떨어지고 있습니다..
그러나 이것이 2017 년에 클라우드를 향한 발판이 될 것이라고는 생각하지 않습니다. 워크로드와 전체 데이터 센터를 이동하면 계획과 조직이 크게 변경됩니다. 데이터 센터에서 하드웨어를 업그레이드하는 것과는 다릅니다. 독자들이 Netflix 전환을 연구하도록 권장합니다. 클라우드로 전환하여 비즈니스를 혁신했지만 7 년의 노력이 필요했습니다. 첫째, 대부분의 앱을 리팩터링하고 다시 작성하여 클라우드에보다 효율적이고 더 잘 적응하도록했습니다.
또한 많은 소비자들이 하이브리드 클라우드 아키텍처를 시작점으로 사용하여 데이터 센터에서 프라이빗 클라우드를 채택하고 있습니다. 이것들은 가속하는 것 같습니다. 입양 곡선은 2017 년에 팔꿈치를 볼 수 있다고 생각하지만 팽창이 실제로 구축 되려면 몇 년이 걸릴 것입니다.
