IT 보안, 어렵다. 간단한 일도 제대로 참을 수없는 일이지만, 어려운 일이기 때문에 더욱 어렵고 힘들다.

단지 서버 하나 운영하려고해도,해야 할 일이 너무 많다. 또한 최근에는 클라우드가 인기 다. 기업의 컴퓨팅 환경을 기업이 직접 관리하지 않기 때문에, 기존의 모든 보안 문제에서 자유로 워진 것이 있는가하면, 그렇지는 않다. 클라우드 서비스 제공자는 하드웨어 수준의 보안을 제공하지만, 응용 프로그램 및 데이터 보안은 여전 서비스 이용자의 역할이다. 그래서 최근 IT 보안의 핵심 정말 필수적인 핵심 만 간단하게 쓰려고하고있다. 물론 이것이 IT 보안의 전부는 아니다. 하지만이 정도만되면 IT 보안 사고의 90 % 정도는 가볍게 방지 할 수있다.

막을 수 있었던 사고 : WAF ?

보안 사고의 종류는 다양하다. 뉴스를 봐도 매일 다양한 사고가 끊임없이 일어나기 때문에. 수없이 많은 공격을 어떻게 일일이 막을 수 있는지, 그리고 처음부터 포기하는 것이 좋지 않을까 싶을 정도이다. 그러나 최근 발생한 보안 사고의 90 % 이상은 웹 응용 프로그램을 통해 일어난 사고이다. 사고의 종류는 다양하지만 그 시작은 웹 응용 프로그램, 특히 웹 콘텐츠 수준에서의 취약점으로부터 시작 후 다양한 종류의 사고로 이어진 것이다. 즉, 벌써 웹 애플리케이션 방화벽 (Web application firewall, WAF)도 가동하고 있으면 충분히 막을 수 있었던 사고가 대부분이다.

그럼에도 불구하고, 막지 못했다면? : 암호화

비록 사고는 반드시 발생한다. 이것은 매우 중요한 견해이며 인식이다. 잘 IT 보안이라는 것은 사고가 전혀 일어나지 않는다는 것을 전제로하는 것이라고 생각한다. 
그러나 그렇지 않다. 오히려 IT 보안 사고가 일어나는 것을 전제로 할 일이다. 무조건으로 완벽한 방어 수단을 가정한다면, 만일 사고가 발생하면 원상으로 회복 능력이 현저히 떨어 지므로 기업에서 가장 중요한 것이다 비즈니스의 연속성을 유지할 수 없다 . 따라서 사고 발생을 전제하면서 "문제는 회복력"이것이 최근의 IT 보안의 패러다임이다. 세상의 모든 방어망은 열릴 가능성이 있고, 모든 데이터는 유출 될 가능성을 가지고있다. 그것은 데이터라는 것이 당초의 본질이다. 따라서 데이터 유출을 막기 위해 최선을 다할 비록 동시에 데이터가 유출되는 사태에 대비해야한다. 그런 일이 일어 났을 때에도 최악의 상황, 즉 데이터 내용의 유출을 방지하는 방법은 데이터 암호화 뿐이다. 범죄자들이 데이터를 훔치는 것은 만약 성공한다고해도 데이터의 내용을 볼 수 없도록, 즉 훔친 데이터를 사용할 수 없도록해야만 피해를 최소화 할 수있다.

클라우드는 클라우드 : 클라우드 보안

클라우드 컴퓨팅에 대한 의심은 아직 완전히 사라지지 않는 것 같다. 클라우드는 아직 완성도 낮은 기술이며, 기존 시스템의 사용에 비해 쓸데없이 복잡한 것만으로 왠지 안전하지 않은 것 같다는 부정적인 편견이 여전히있다. 그러나 이것은 아직 클라우드를 사용한 적이없는 사람들의 오해 일뿐 실제로 클라우드를 도입하여 사용 해본 기업은 태도가 완전히 반대로 바뀌고 칭찬 말만한다. 특히 클라우드를 통해 새로운 애플리케이션 및 서비스 적용 시간은 이전과 비교할 수없는 정도로 단축되고 유지 보수 비용도 크게 절감 된 것으로 만족한다. 그리고 아직 클라우드로 전환하지 않은 기업은 이미 클라우드로 전환 한 기업의 비즈니스 속도를 따라 잡을 수 없을 것이라고 큰 소리로 말한다. 역시 지금의 시대는 클라우드이다.

그래서 최근에는 서버 등 전산 시스템을 직접 관리하지 않는 기업이 많다. 그리고 세계적으로 매우 유명하고 거대한 클라우드 회사가 대신 맡아 처리 해주기 때문에 보안 문제도 절대 없을 것이라고 믿고있다. 그러나 이것은 매우 심각한 오해이다. 클라우드 서비스 공급자 (공급자)는 하드웨어 및 네트워크 수준의 보안만을 제공한다. 응용 프로그램 및 데이터 보안에 대한 책임은 서비스 사용자의 몫이다. 이것은 검은 비밀도 아니고, 서비스 제품 설명서에 명확하게 적혀있는 사실이다. 그럼 도대체 무엇을 어떻게해야 할까. 예를 들어, 웹 애플리케이션의 보호를 위해 이전처럼 WAF 하드웨어를 직접 설치하여 운용 할 수 없을 때 어떻게하면 좋은 것일까.

클라우드는 클라우드에 방지한다. 클라우드 환경에 부합하는 클라우드 보안 시스템을 적용 할 수 있으며, 복잡한 설치 과정없이 단 몇 번의 클릭으로 기존의 하드웨어 WAF와 같은 클라우드 보안 서비스를 제공받을 수있다 .

시작 보안 : 클라우드 보안 서비스

매우 중요한 테마가 또 하나있다. 시작이다. 시작은 파괴적인 혁신과 아이디어를 통해 단기간에 초고속 성장을 지향하는 신생 기업이며, 대부분 자유로운 기업 문화를 자랑한다. 이는 곧 보안과 안전에별로 신경 쓰지 않을지도 모른다는 인식과 연결되어있다. 실제 시작에서 보안 사고가 끊임없이 일어나고있다. 사업 확장과 마케팅에 집중하고 있기 때문에 보안 문제를 생각할 시간이 없을지도 모른다. 그럼 다른 시작이 보안 사고 때문에 무너지는 모습을보고 겨우 보안 요구를 깨닫고도한다.

그러나 깨닫고 만있다.

그러나 규모가 작은 시작이 대기업 수준의 보안 시스템을 정비 할 방법이 없다는 호소도 무시할 수 없다. 대기업 수준의 보안 시스템은 돈이 너무 걸리는 일인데, 사업을 시작할 때부터 돈을 많이 가지고 시작은 거의 없기 때문. 그러나 방법은있다. 클라우드 시대이므로 IT 보안도 클라우드 서비스로 제공된다. 클라우드 서비스는 네트워크를 통해 컴퓨팅 환경과 기능을 제공하는 서비스이다. 기술적 인 용어로 말하면 '탄력적 주문형 가상 머신 "이며, 따라서 사용량에 따라 자원량이 증가하거나 감소하는 유연성을 가지고 있기 때문에 서비스를 사용한 양만큼 비용을 지불하면된다. 최근에는 기업 정보 보안의 가장 중요한 3 대 요소 인 웹 보안 데이터 암호화 및 인증 보안 모두 클라우드 서비스 형태로 제공되기 때문에 시작도 대기업 수준의 보안 역량을 가질 수 있다.

클라우드 시대의 보안 ?

요약하면,

- 사고는 대부분이 웹 애플리케이션에서 일어난다. WAF를 이용하여 방지하자. 
- 비록 사고가 발생할 경우 데이터 암호화를 통해 최악의 상황을 피한다. 
-IT 보안 시스템을 직접 운영 할 수없는 상황이라면, 클라우드 보안을 적용하자. 
- 비용 때문에 보안을 충분히 할 수없는 시작하면 클라우드 형 WAF 서비스를 사용하자. 
클라우드 시대의 보안, 이렇게하면된다.