18장 클라우드 상의 보안
공개형 클라우드가 보안에 대한 접근법을 어떻게 가지는지 알아본다. 계정 관리, 객체 스토리지 보안, 암호화, 네트워크 보안을 비롯해 하둡에 특정한 보안에 대한 소개를 한다.
위협의 평가
위험 모델
환경적인 위험
- 악의적인 관리자
- 악의적인 테넌트
- 범죄자의 접근
- 플랫폼 취약성
위험의 완화
배포 시의 위험
- 사람의 실수
- 애플리케이션 디자인
위험의 완화
하둡을 위한 계정 프로바이더 옵션
옵션 A: 클라우드 전용 자체 ID 서비스
옵션 B: 클라우드 전용 공유 ID 서비스
옵션 C: 온프레미스 ID 서비스
객체 스토리지 보안과 하둡
계정 및 접근 관리
- 역할 기반 접근 제어(RBAC, Role-based Access Control)
- 사용자 기반 접근 제어(UBAC, User-based Access Control)
아마존 S3
- 자원 정책
- 사용자 정책
하둡 통합
GCP 클라우드 스토리지
- read-only
- read-write
- full-control
- cloud-platform.read-only
-
cloud-platform
- IAM 정책
- ACL
하둡 통합
마이크로소프트 애저
디스크 스토리지
블롭 스토리지
ADLS
- 서비스 계정 접근
- 사용자 계정 접근
하둡 통합
감사(Auditing)
유휴 시 데이터 암호화
암호화 키 요구사항
- 기밀성
- 고가용성
- 고품질
클라우드 환경에서의 암호화 옵션
- 옵션1: 온프레미스 키 저장
- 옵션2: 인클라우드 키 저장
- 옵션3: 로컬에서 생성한 키를 인클라우드에 저장(BYOK)
온프레미스 키 저장
클라우드 제공사를 통한 암호화
클라우드 키 관리 서비스
서버 측 클라이언트 측 암호화
BYOK
AWS의 암호화
- AWS KMS
- 인스턴스 스토리지
- EBS
- S3
마이크로소프트 애저의 암호화
- 키 볼트
- 애저 블롭 스토리지
- 관리형 디스크와 VHD
- 애저 데이터 레이트 스토리지
GCP의 암호화
- 클라우드 KMS
- 로컬 SSD
- 퍼시스턴트 디스크
- GCS
######
암호화 기능과 상호운용성 요약
클라우드 암호화에 대한 권장사항과 요약
- 온프레미스 키 저장
- 인클라우드 키 저장
- 로컬에서 생성한 키를 인클라우드에 저장(BYOK)
클라우드 상의 전송 중 데이터 암호화
- 클라우드 제공사는 전송 중 데이터를 어떻게 보호하는가?
- 어떤 클러스터 서비스에 전송 중 암호화가 필요한가?
- 클라우드 상의 서비스를 위한 인증서를 어떻게 관리할 것인가?
경제 제어와 방화벽
GCP
예제 구현
AWS
예제 구현
애저
- AllowVnetInBound
- AllowAzureLoadBalancerInBound
- DenyAllInBound
- AllowVnetOutBound
- AllowInternetOutBound
- DenyAllOutBound