Cloud & Platform
클라우드 보안 개념 정리
클라우드 보안 개념 정리 학습 내용을 정리한 백필 노트입니다.
이 글은 2025년 학습 기록을 블로그 형식으로 정리한 백필 노트입니다.
1. 정보보안
- 정보보안 개요:
- 정보보안의 정의와 중요성: 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)
- 관리적·기술적·물리적 보안 조치
- 보안 대책 3대 요소(암호화 정책, 접근제어 시스템, 출입통제)
- 관리적/기술적/물리적 조치 구체 사례
- 정보보안의 이점 및 미흡 시 결과
- 정보보안 발전 과정:
- 1960~70년대: 인터넷(ARPANET) 등장, 암호화 시작, 소셜 엔지니어링 공격 발생
- 1980~90년대: 해킹 본격화, 모리스 웜 사건, CERT 창설, 방화벽 개념 등장
- 2000년대: APT(지능형 지속 위협), DDoS 대두, 대규모 사이버전쟁
- 2010년대: 클라우드·AI 기반 보안, 제로 트러스트 모델 등장(“Never Trust, Always Verify”)
- 공격 유형:
- 행위 방식 기반: 소극적(스니핑, 감청), 적극적(DoS/DDoS, 데이터 변조, 세션 하이재킹 등)
- 기술적 기반: 악성 소프트웨어(바이러스, 웜, 트로이목마, 랜섬웨어, 스파이웨어, 루트킷 등)
- 사회공학 기반: 피싱, 스피어피싱, 스미싱, 프리텍스팅
- 네트워크 기반: DDoS, MIMT(중간자 공격), 스푸핑, 세션 하이재킹, 포트 스캐닝 등
- 취약점 기반: 제로데이, SQL 인젝션, XSS, CSRF, 버퍼 오버플로우, 인증 우회, 디렉터리 트래버설 등
- 주체 기반: 외부 공격자, 내부자 위협(악의적/비의도적/계정탈취), 스크립트 키디
- 환경 기반: 온프레미스, 클라우드 인프라, 컨테이너/쿠버네티스, 서버리스, 멀티클라우드, 엣지
2. 클라우드 서비스
- 클라우드 개요:
- 정의: 인터넷을 통해 IT 자원을 빌려 쓰는 서비스
- NIST 정의: 주문형 셀프서비스, 광범위한 네트워크 접근, 자원 공유, 신속 확장성, 사용량 기반 비용
- 서비스 모델: SaaS / PaaS / IaaS / FaaS
- 서비스 모델:
- SaaS: 완제품 소프트웨어 제공 (M365, Teams, Power BI 등)
- PaaS: 개발 플랫폼 제공 (App Service, Azure SQL DB, AKS 등)
- IaaS: 인프라 제공 (VM, VNet, Azure Storage 등)
- FaaS: 서버리스 환경 (Azure Functions)
- 장점: 비용 효율, 확장성, 재해 복구
- 단점: 보안 우려, 벤더 락인, 예기치 못한 비용
- 온프레미스 vs 클라우드:
- 온프레미스: 보안성과 통제력↑, 비용/운영 부담↑, 확장성↓
- 클라우드: 초기 비용↓, 확장성↑, 보안 통제 일부 위임
- 하이브리드 클라우드 활용 증가
- Azure 사례
- 고가용성: VMSS(자동 확장), Load Balancer(트래픽 분산)
- 워드프레스 이중화 구성 사례
- 책임 공유 모델
- 고객 책임: 정보·데이터, 기기, 계정·신원 관리
- 서비스 모델별 차이
- SaaS: 제공자가 대부분 책임
- IaaS: 고객이 OS/앱/네트워크 직접 관리
- PaaS: 중간 형태
- 클라우드 제공자 책임: 물리적 호스트, 네트워크, 데이터센터
3. 클라우드 시대의 가상화 이해
- 가상화 개념: 물리적 서버를 여러 VM으로 분리.
- 가상 머신(VM): OS 독립적 운영 가능하나 무겁고 리소스 소모 큼.
- 컨테이너(Container): 경량화, 이식성, 확장성 강점. Docker, Kubernetes 중심.
- 서버리스(Serverless): 이벤트 기반 실행, 비용 최적화.
4. 웹 애플리케이션 해킹 이해
- 웹 구성 요소: 클라이언트(브라우저), 서버, DB, 네트워크.
- 기본 해킹 요소: SQL Injection, XSS, CSRF, 파일 업로드 취약점, 세션 관리 취약점.
- 심화 해킹 요소: API 취약점 공격, 서버사이드 요청 위조(SSRF), 공급망 공격, 클라우드 관리 API 악용