본문 바로가기
카테고리 없음

클라우드 보안 "책임 공유 모델" , "EKS 보안 책임 공유 모델" 개념 스터디

솔리! 2024. 7. 14. 01:23

책임 공유 모델 (Shared Responsibility Model, SRM)

고객의 데이터와 서비스를 안전하게 보호하기 위한 중요한 개념으로고객의 운영 부담을 경감할 수 있다. 클라우드 사용자의 책임과 클라우드 서비스 공급자(CSP)의 공동 책임이 있다.

 

 

CSP : 클라우드의 보안 - 모든 서비스를 실행하는 인프라를 보호, 이 인프라는 클라우드 서비스를 실행하는 물리적 시설, 유틸리티, 케이블, 하드웨어 

 

사용자 : 클라우드 내의 보안 - 네트워크 제어 수단, ID 및 액세스 관리, 애플리케이션 구성 설정, 데이터 등을 담당

 

사용자는 게스트 운영 체제(업데이트 및 보안 패치 포함) 및 다른 관련 애플리케이션 소프트웨어를 관리하고 보안 그룹 방화벽을 구성할 책임이 있다.

사용자의 책임이 사용되는 서비스, IT 환경에서 이러한 서비스의 통합, 그리고 관계 법규에 따라 달라지기 때문에 서비스를 선택할 때 신중하게 고려해야 한다. 클라우드 서비스 모델을 크게 3가지다.

  • 인프라 서비스(Infrastructure as a service, IaaS): CSP는 물리적 데이터센터, 물리적 네트워킹, 물리적 서버/호스팅을 책임진다.
  • 플랫폼 서비스(Platform as a service, PaaS): CSP는 예를 들어 운영체제의 패칭 및 유지 보수 등 더 많은 책임을 부담한다(패칭은 지금까지 사용자가 매우 힘들어하는 작업이고, 보안 사고가 발생하는 주요 이유 중 하나다).
  • 소프트웨어 서비스(Software as a service, SaaS): 사용자는 애플리케이션의 구성 설정 내에서만 변경을 할 수 있고, 그 밖의 모든 제어는 CSP가 담당한다. 지메일을 생각하면 이해하기 쉽다.

 

보안 담당자는 기업이 사용하는 서비스와 그 구현 및 아키텍처를 고민하는 시점부터 SRM에서 사용자가 어떤 책임을 부담하는지 확인해야 한다. 거의 모든 클라우드 데이터 관련 사고가 SRM의 사용자 부분에서 발생한다.

따라서 고객이 보안 책임 범위를 이해하고 필요한 조치를 명확하게 파악할 수 있도록 클라우드 공동 책임 모델을 안내할 필요성이 있다.

 

카카오클라우드 공동 책임 모델

EKS 보안 책임 공유 모델

Amazon EKS(Amazon Elastic Kubernetes Service)는 AWS에서 제공하는 완전 관리형 Kubernetes 서비스로, 클러스터 설정, 관리, 유지보수 등을 AWS가 대신하여 사용자는 애플리케이션 배포와 관리에 집중할 수 있다.

 

Amazon EKS에서의 보안 책임 공유 모델은 AWS와 사용자가 각각의 책임을 분명히 함으로써, 클라우드 인프라의 전반적인 보안을 강화할 수 있도록 한다.

 

 

AWS의 관리형 서비스인 EKS

AWS는 EKS에서 보안을 준수해야하는 이유로 ‘공유책임모델‘을 제시한다. PaaS서비스인 EKS에서, AWS는 EKS의 구성에 대한 보안을 책임지고, 사용자는 EKS 내부에 대한 보안 책임이 있다.

 

클러스터의 내부 보안에 대해서는 AWS는 책임을 지지 않는다. 그 예시로는 IAM 권한관리, 파드보안, 런타임 보안, 컨테이너 보안등이 해당한다. AWS의 영역인 컨트롤 플레인의 침해 사고라면 AWS의 책임이지만, 사용자의 영역인 EKS 클러스터 내부/워커노드는 사용자의 책임이다. 따라서 사용자는 클러스터 내부의 보안 조치를 위해 노력하여야 한다.

 

 

관리형 쿠버네티스 환경인 EKS에서 관리해야할 보안 영역은 아래와 같다.

 

Identity and Access Management – IAM 관리
Pod Security – 파드 보안
Runtime Security – 런타임 보안
Network Security – 네트워크 보안
Multi-tenancy – 멀티 테넌시
Detective Controls – 탐지 제어
Infrastructure Security – 인프라스트럭쳐 보안
Data Encryption and Secrets Management – 데이터 암호화 및 기밀값 관리
Regulatory Compliance – 법규 준수
Incident Response and Forensics – 사고 대응 및 분석
Image Security – 이미지 보안

 

 

 

*챗gpt의 설명 추가 

AWS의 책임 (보안 "클라우드 내부" 보안)

AWS는 클라우드 인프라의 보안 및 운영을 담당합니다. 여기에는 다음이 포함됩니다.

  1. 인프라 보안: AWS 데이터 센터의 물리적 보안, 하드웨어, 소프트웨어, 네트워크, 시설 관리.
  2. 운영 시스템: Amazon EKS를 지원하는 운영 체제 및 EKS 관리 인프라.
  3. 네트워크 제어: AWS 네트워크 및 그 보안 구성 요소, 데이터 암호화, 네트워크 모니터링.

 

사용자의 책임 (보안 "클라우드 내" 보안)

사용자는 AWS 클라우드 내에서 실행되는 애플리케이션의 보안을 담당합니다. 여기에는 다음이 포함됩니다.

  1. EKS 클러스터 구성:
    • Kubernetes 클러스터의 설정 및 구성.
    • Kubernetes API 서버 접근 제어.
    • RBAC(Role-Based Access Control) 구성.
    • 네트워크 정책 설정.
  2. 노드 보안:
    • 워커 노드의 운영 체제 및 보안 패치.
    • 컨테이너 런타임 보안.
    • IAM 역할 및 정책 설정.
  3. 애플리케이션 보안:
    • 애플리케이션 코드의 취약점 관리.
    • 애플리케이션 레벨의 네트워크 트래픽 보안.
    • 데이터 암호화(전송 중 및 저장 시).
  4. 데이터 보안:
    • 저장된 데이터의 암호화.
    • Secrets 관리 (예: AWS Secrets Manager, Kubernetes Secrets).
  5. 모니터링 및 로깅:
    • 클러스터 및 애플리케이션 모니터링.
    • 로깅 및 감사 로그 설정(AWS CloudTrail, Amazon CloudWatch).

 

 

출처

 

https://www.itworld.co.kr/news/197669

 

'책임 공유 모델', 클라우드 보안을 이해하는 출발점

지난해 클라우드 도입은 기업 사이에 원격 근무를 서둘러 지원하려는 노력으로 인해 가속화됐다. 그러나 이러한 급속한 도입과 성장에도 불구하고 기업

www.itworld.co.kr

 

 

https://www.logonme.net/tech/aews_w6/

 

AEWS) EKS Security - Log on Me

CloudNet@팀에서 진행하는 AWS EKS Workshop 실습 스터디 참가글입니다.

www.logonme.net

 

https://kakaocloud.com/introduction/security/cloud-shared-responsibility

 

카카오클라우드

카카오클라우드 (kakaocloud)

kakaocloud.com

 

 

 

https://aws.amazon.com/ko/compliance/shared-responsibility-model/

 

공동 책임 모델 – Amazon Web Services(AWS)

보안과 규정 준수는 AWS와 고객의 공동 책임입니다. 이 공유 모델은 AWS가 호스트 운영 체제 및 가상화 계층에서 서비스가 운영되는 시설의 물리적 보안에 이르기까지 구성 요소를 운영, 관리 및

aws.amazon.com

 

티스토리툴바