반대자들이 주장하는 클라우드 컴퓨팅에 대한 주요 주장은 보안입니다. BYOE는 모든 클라우드 서비스의 보안을 보장합니다. 방법을 봅시다.
클라우드 컴퓨팅에서 데이터 소유자는 데이터를 직접 제어할 수 없으며 무단 액세스로부터 데이터를 안전하게 유지하기 위해 클라우드 서비스 제공업체에 의존해야 합니다. 클라우드에 있는 정보를 보호하기 위해 가장 일반적으로 받아 들여지는 솔루션은 암호화하는 것입니다.
데이터 암호화의 문제는 권한이 없는 사용자가 데이터에 액세스하는 것을 방지할 뿐만 아니라 합법적으로 권한이 부여된 사용자가 데이터를 사용하는 데 문제가 추가된다는 것입니다.
회사가 CSP(클라우드 서비스 공급자) 인프라에서 암호화된 형식으로 데이터를 호스팅한다고 가정합니다. 이 경우 사용자가 데이터 및 응용 프로그램을 사용하는 것을 어렵게 하거나 사용자 경험에 부정적인 영향을 미치지 않는 효과적인 형태의 암호 해독이 필요합니다.
많은 클라우드 제공업체는 고객에게 데이터를 암호화된 상태로 유지할 수 있는 옵션을 제공하여 승인된 사용자가 눈에 띄지 않고 투명하게 해독할 수 있는 도구를 제공합니다.
그러나 강력한 암호화 체계에는 암호화 키가 필요합니다. 그리고 데이터를 보유하고 있는 동일한 CSP에서 데이터 암호화를 수행하는 경우 암호화 키도 해당 CSP에서 보유합니다.
따라서 CSP의 고객은 CSP가 암호화 키를 완전히 안전하게 유지할 것이라고 신뢰할 수 없기 때문에 데이터를 완전히 제어할 수 없습니다. 이러한 키가 누출되면 데이터가 무단 액세스에 완전히 노출될 수 있습니다.
목차
BYOE가 필요한 이유
BYOE(bring your own encryption)는 BYOK(bring your own keys)라고도 하지만 상당히 새로운 개념이므로 회사마다 약어에 다른 의미를 부여할 수 있습니다.
BYOE는 클라우드 서비스 고객이 자체 암호화 도구를 사용하고 자체 암호화 키를 관리할 수 있도록 하는 클라우드 컴퓨팅에 특별히 맞춤화된 보안 모델입니다.
BYOE 모델에서 CSP의 고객은 클라우드에서 호스팅하는 애플리케이션과 함께 자체 암호화 소프트웨어의 가상화된 인스턴스를 배포합니다.
응용 프로그램은 모든 정보가 암호화 소프트웨어에 의해 처리되는 방식으로 구성됩니다. 이 소프트웨어는 데이터를 암호화하여 클라우드 서비스 제공자의 물리적 데이터 저장소에 암호문 형태로 저장합니다.
BYOE의 중요한 이점은 기업이 클라우드 서비스를 사용하여 데이터 및 애플리케이션을 호스팅하는 동시에 특정 산업의 규제 기관에서 부과하는 데이터 개인 정보 보호 기준을 준수할 수 있다는 것입니다. 멀티 테넌트, 타사 환경에서도 마찬가지입니다.
이 접근 방식을 통해 기업은 클라우드 서비스 공급자의 IT 인프라에 관계없이 요구 사항에 가장 적합한 암호화 기술을 사용할 수 있습니다.
BYOE의 이점
BYOE를 사용하여 얻을 수 있는 주요 이점은 다음과 같습니다.
- 타사 인프라에서 호스팅되는 데이터의 보안이 향상되었습니다.
- 알고리즘 및 키를 포함한 데이터 암호화의 전체 제어.
- 부가 가치로 모니터링 및 액세스 제어.
- 데이터 사용 경험에 영향을 미치지 않도록 투명한 암호화 및 암호 해독.
- 하드웨어 보안 모듈로 보안 강화 가능성.
일반적으로 정보를 암호화하면 위험으로부터 안전하다고 생각하지만 그렇지 않습니다. 암호화된 데이터의 보안 수준은 암호 해독에 사용된 키의 보안 수준만큼만 높습니다. 키가 노출되면 암호화되어 있어도 데이터가 노출됩니다.
BYOE는 암호화 키의 보안이 우연에 맡겨지는 것을 방지하고 보안이 제3자, 즉 귀하의 CSP에 의해 구현되는 것을 방지하는 방법입니다.
BYOE는 그렇지 않으면 위험한 위반이 발생할 수 있는 데이터 보호 체계에 대한 최종 잠금입니다. BYOE를 사용하면 CSP의 암호화 키가 손상되더라도 데이터는 손상되지 않습니다.
BYOE 작동 방식
BYOE 보안 체계에서는 CSP가 고객에게 자체 암호화 알고리즘과 암호화 키를 사용할 수 있는 옵션을 제공해야 합니다.
사용자 경험에 영향을 주지 않고 이 메커니즘을 사용하려면 CSP에서 호스팅하는 애플리케이션과 함께 암호화 소프트웨어의 가상화된 인스턴스를 배포해야 합니다.
BYOE 체계의 엔터프라이즈 응용 프로그램은 처리하는 모든 데이터가 암호화 응용 프로그램을 통과하도록 구성해야 합니다.
이 애플리케이션은 비즈니스 애플리케이션의 프런트 엔드와 백엔드 사이에 프록시 역할을 하므로 데이터가 암호화되지 않은 상태로 이동되거나 저장되지 않습니다.
비즈니스 애플리케이션의 백엔드가 CSP의 물리적 데이터 저장소에 데이터의 암호문 버전을 저장하는지 확인해야 합니다.
BYOE 대 기본 암호화
BYOE를 구현하는 아키텍처는 CSP에서 제공하는 기본 암호화 솔루션보다 데이터 보호에 대해 더 큰 확신을 제공합니다. 이는 정형 데이터베이스는 물론 비정형 파일 및 빅 데이터 환경을 보호하는 아키텍처를 사용하여 가능합니다.
확장을 사용하여 BYOE의 동급 최고의 솔루션을 사용하면 암호화 및 키 재입력 작업 중에도 데이터를 사용할 수 있습니다. 반면에 BYOE 솔루션을 사용하여 데이터 액세스를 모니터링하고 기록하는 것은 위협 탐지 및 차단을 예상하는 방법입니다.
하드웨어 가속 및 세분화된 액세스 제어 정책으로 강화된 고성능 AES 암호화를 부가 가치로 제공하는 BYOE 솔루션도 있습니다.
이러한 방식으로 특정 모니터링 도구에 의존할 필요 없이 누가, 언제, 어떤 프로세스를 통해 데이터에 액세스할 수 있는지 설정할 수 있습니다.
핵심 관리
자체 암호화 모듈을 사용하는 것 외에도 암호화 키를 관리하려면 EKM(암호화 키 관리) 소프트웨어가 필요합니다.
이 소프트웨어를 사용하면 IT 및 보안 관리자가 암호화 키에 대한 액세스를 관리할 수 있으므로 회사에서 자체 키를 더 쉽게 저장하고 제3자의 손에 넣지 못하도록 할 수 있습니다.
암호화할 데이터 유형에 따라 다양한 유형의 암호화 키가 있습니다. 진정으로 효과적이려면 선택한 EKM 소프트웨어가 모든 유형의 키를 처리할 수 있어야 합니다.
기업이 클라우드 시스템을 온프레미스 및 가상 시스템과 결합할 때 유연하고 효율적인 암호화 키 관리가 필수적입니다.
HSM으로 BYOE 강화
하드웨어 보안 모듈(HSM)은 최대한의 보안으로 신속하게 암호화 작업을 수행하는 데 사용되는 물리적 보안 장치입니다. 이러한 암호화 작업에는 암호화, 키 관리, 암호 해독 및 인증이 포함됩니다.
HSM은 최대의 신뢰와 견고성을 위해 설계되었으며 분류된 데이터를 보호하는 데 이상적입니다. PCI Express 카드, 이더넷 네트워크 인터페이스가 있는 독립형 장치 또는 단순히 외부 USB 장치로 배포할 수 있습니다.
보안을 극대화하도록 특별히 설계된 자체 운영 체제가 있으며 네트워크에 대한 액세스는 방화벽으로 보호됩니다.
BYOE와 함께 HSM을 사용하는 경우 HSM은 비즈니스 애플리케이션과 CSP의 스토리지 시스템 사이에서 프록시 역할을 맡아 필요한 모든 암호화 처리를 처리합니다.
암호화 작업에 HSM을 사용하면 이러한 작업으로 인해 애플리케이션의 정상적인 작동에 성가신 지연이 발생하지 않습니다. 또한 HSM을 사용하면 권한이 없는 사용자가 키 또는 암호화 알고리즘 관리를 방해할 가능성을 최소화할 수 있습니다.
표준을 찾아서
BYOE 보안 체계를 채택할 때 CSP가 무엇을 할 수 있는지 살펴보아야 합니다. 이 기사 전체에서 보았듯이 CSP의 인프라에서 데이터가 진정으로 안전하려면 CSP는 애플리케이션과 함께 자체 암호화 소프트웨어 또는 HSM을 설치할 수 있고 데이터가 CSP의 리포지토리에서 암호화되는지 확인해야 합니다. 귀하와 다른 누구도 암호화 키에 액세스할 수 없습니다.
조직의 온프레미스 보안 시스템을 확장하기 위해 최고의 클라우드 액세스 보안 브로커 솔루션을 탐색할 수도 있습니다.