온프레미스 IaaS 배포: 가상 머신 보안 관리

온프레미스 인프라-서비스형 서비스(IaaS) 클라우드 컴퓨팅을 배포할 때는 광범위한 보안 고려사항이 필요하며, 이는 조직이 보안 모범 사례를 충족하는 것뿐만 아니라 규제 요건 준수도 고려해야 함을 의미합니다.

이 글에서는 가상 머신 인스턴스, 관리 플랫폼, 그리고 IaaS 구현을 지원하는 네트워크 및 스토리지 인프라를 어떻게 제어하는지 논의하겠습니다.

가상 머신 인스턴스

먼저, 운영체제와 가상 머신(VM)의 애플리케이션을 잠그고 인터넷 보안 센터(CIS)의 설정 지침과 같은 기존 규칙을 사용하여 적절히 구성해야 합니다. 적절한 VM 관리는 또한 더 견고하고 일관된 구성 관리 조치를 가능하게 합니다.

가상 머신 인스턴스에서 보안 구성을 생성하고 관리하는 핵심은 템플릿의 활용입니다. 관리자는 클라우드 컴퓨팅에서 모든 가상 머신을 초기화하기 위해 '골든 이미지'를 만드는 것이 현명합니다. 이 템플릿을 기준으로 설정하고, 모든 패치와 기타 업데이트가 적시에 적용되도록 엄격한 수정 통제를 도입해야 합니다.

많은 가상화 플랫폼은 가상 머신의 보안을 보장하기 위한 특정 제어를 제공합니다; 기업 사용자들은 이러한 기능을 충분히 활용해야 합니다. 예를 들어, VMware의 가상 머신 설정 설정은 가상 머신과 기본 하이퍼바이저 간의 복사 및 붙여넣기 작업을 제한하여, 민감한 데이터가 하이퍼바이저의 메모리와 클립보드로 복사되는 것을 방지하는 데 도움을 줍니다. 마이크로소프트 코퍼레이션과 Citrix 시스템 플랫폼 제품도 유사한 제한된 복사-붙여넣기 기능을 제공합니다. 다른 플랫폼들도 불필요한 기기를 비활성화하거나 로그 매개변수를 설정하는 등 기업이 돕는 기능을 제공합니다.

또한, 가상 머신 인스턴스를 보호할 때는 표준 데이터 분류 원칙에 따라 서로 다른 클라우드 컴퓨팅 영역에서 실행되는 가상 머신을 격리하는 것이 중요합니다. 가상 머신이 하드웨어 자원을 공유하기 때문에 동일한 클라우드 컴퓨팅 영역에서 실행하면 메모리 내 데이터 충돌이 발생할 수 있지만, 오늘날에는 이러한 충돌 확률이 매우 낮습니다.

관리 플랫폼

가상 환경을 안전하게 확보하는 두 번째 핵심은 가상 머신과 상호작용하고 사용 중인 기본 하이퍼바이저 시스템을 구성 및 모니터링하는 관리 플랫폼을 보호하는 것입니다.

VMware의 vCenter, Microsoft의 System Center Virtual Machine Manager(SCVMM), Citrix의 XenCenter와 같은 플랫폼들은 자체 온프레미스 보안 제어를 갖추고 있어 구현이 가능합니다. 예를 들어, Vcenter는 종종 Windows에 설치되어 시스템 권한이 있는 로컬 관리자 역할을 상속받지만, 설치 과정에서 관련 역할과 권한이 변경되지 않는 한 유지됩니다.

관리 도구의 경우, 관리 데이터베이스의 보안을 보장하는 것이 가장 중요하지만, 많은 제품들이 기본적으로 보안을 내장하지 않은 경우가 많습니다. 무엇보다도, 역할과 권한이 관리 플랫폼 내 다양한 운영 역할에 할당되어야 합니다. 많은 조직이 IaaS 클라우드 내에서 가상 머신 운영을 관리하는 가상화 팀이 있지만, 관리 콘솔에서 너무 많은 권한을 부여하지 않는 것이 핵심입니다. 전통적인 데이터 센터 환경처럼 저장소, 네트워킹, 시스템 관리 및 기타 팀에 권한을 부여하는 것을 권장합니다.

vCloud Director나 OpenStack과 같은 클라우드 관리 도구의 경우, 역할과 권한을 신중하게 할당해야 하며, 클라우드 가상 머신의 다양한 최종 사용자를 포함해야 합니다. 예를 들어, 개발팀은 업무용 가상 머신을 보유해야 하며, 이를 재무팀이 사용하는 가상 머신과 분리해야 합니다.

모든 관리 도구는 별도의 네트워크 세그먼트에 분리되어야 하며, 강력한 인증과 중앙집중식 사용자 모니터링을 구축할 수 있는 '점프 박스'나 HyTrust와 같은 전용 보안 프록시 플랫폼을 통해 시스템에 접근하도록 요구하는 것이 좋습니다.

네트워크 및 저장 인프라

IaaS 클라우드 컴퓨팅을 발전시키는 네트워크와 스토리지를 보호하는 것은 광범위한 과제이지만, 도입해야 할 일반적인 모범 사례들이 있습니다.

스토리지 환경의 경우, 다른 민감한 파일과 마찬가지로 가상 머신을 보호해야 한다는 점을 기억하세요. 일부 파일은 유효한 메모리 또는 메모리 스냅샷(사용자 자격 증명 및 기타 민감한 데이터가 포함될 수 있는 가장 민감한 스냅샷)을 저장하는 반면, 다른 파일들은 시스템의 전체 하드 드라이브를 나타냅니다. 두 경우 모두 파일에는 민감한 데이터가 포함되어 있습니다. 스토리지 환경에서 별도의 논리 유닛 번호(LUN)와 존/도메인이 서로 다른 민감도를 가진 시스템을 분리할 수 있는 것이 매우 중요합니다. 스토리지 영역 네트워크(SAN) 수준의 암호화가 가능하다면, 그 적용 여부를 고려해 보세요.

네트워크 측면에서는 개별 CIDR 세그먼트가 격리되어 가상 로컬 영역 네트워크(VLAN)와 접근 제어 하에 있도록 하는 것이 중요합니다. 가상 환경에서 세밀한 보안 통제가 필수라면, 기업은 가상 방화벽과 가상 침입 탐지 장치 사용을 고려할 수 있습니다. VMware의 vCloud 플랫폼 자체는 vShield 가상 보안 시설과 통합되어 있으며, 전통적인 네트워크 벤더의 다른 제품들도 제공됩니다. 또한, vMotion 네트워크와 같이 민감한 가상 머신 데이터가 평문으로 전송될 수 있는 네트워크 세그먼트도 고려해야 합니다. 이 VMware 환경에서는 평문 메모리 데이터가 한 하이퍼바이저에서 다른 하이퍼바이저로 전송되어 민감한 데이터가 유출에 취약해집니다.

결론

가상 환경이나 IaaS 프라이비시 클라우드 컴퓨팅을 보호하는 데 있어서, 이 세 영역의 통제는 빙산의 일각에 불과합니다. 자세한 내용은 VMware가 특정 제어 제어를 평가하는 심층 강화 실용 가이드 시리즈를 제공하며, OpenStack은 자사 웹사이트에서 보안 가이드를 제공합니다. 기본적인 관행을 따르면, 기업은 자체 IaaS 클라우드 컴퓨팅을 구축하고 자체 기준과 필요한 산업 요구사항을 충족할 수 있습니다.