| 구글 업데이트 2 : 클라우드 HSM과 바이너리 인증 | 2018.08.21 |
클라우드 환경의 편이성과 안전성 높이는 새로운 서비스들
운영과 관련된 소요 낮춰주고 비대칭 암호화 알고리즘도 지원 시작 [보안뉴스 문가용 기자] 구글이 이번 주 몇 가지 클라우드 보안 업데이트를 발표했다. 클라우드 HSM(Cloud HSM)의 베타 버전이 나왔고, 구글 큐버네티스 엔진(Google Kubernetes Engine)을 위한 바이너리 인증을 도입했다.  [이미지 = iclickart] 클라우드 HSM이란 구글 클라우드 플랫폼(GCP) 사용자들에게 주는 또 하나의 보안 옵션으로, 중요 정보를 보호하고 규정 준수 문제를 해결하는 데 도움을 준다고 이일성(Il-Sung Lee) 제품 관리자가 블로그를 통해 소개했다. 사용자들이 FIPS 140-2 Level 3 인증을 받은 HSM에서 암호화 키를 호스팅하고 암호화 관련 업무를 실시함으로써 HSM 클러스터를 관리할 필요 없이 워크로드를 보호할 수 있게 된다고 한다. HSM 클러스터는 관리, 규모 조정, 업그레이드 등의 운영적인 소요가 높다. 클라우드 HSM은 보통의 클라우드 KMS API를 통해 관리할 수 있으며, 패치나 규모 조정, 클러스터링을 처리해준다고 한다. 시스템이 멈춰야 하는 시간(다운타임)을 추가로 늘릴 필요가 없는 것도 커다란 장점이라고 구글은 강조했다. 클라우드 HSM은 구글 클라우드의 키 관리 서비스(KMS)에 통합되므로 사용자들은 구글 컴퓨트 엔진(Google Compute Engine), 빅쿼리(BigQuery), 구글 클라우드 스토리지(Google Cloud Storage), 데이터프록(DataProc) 및 하드웨어로 보호되어 있는 암호화 키 기반 서비스 내에 데이터를 안전하게 저장할 수 있다. 컴플라이언스의 측면에서 사용자들은 암호화 키가 하드웨어 영역 내에서 생성되었는지를 확인할 수 있다. 이런 클라우드 HSM의 베타 서비스와 함께 구글은 클라우드 HSM과 클라우드 KMS에서 비대칭 키를 지원하겠다고 발표하기도 했다. 사용자들은 AES-256 알고리즘을 사용해 대칭 키 암호화를 하는 것에 더해, 다른 종류의 비대칭 키를 만들어 프로세스를 서명하거나 복호화할 수 있게 된다. 구글은 RSA 2048, RSA 3072, RSA 4096, EC P256, EC P384 키들로 서명할 수 있을 것이라고 설명했다. RSA 2048, 3072, 4096 키들은 데이터 블록들을 복호화하는 데 사용할 수 있다. 뿐만 아니라 구글은 큐버네티스 엔진을 위한 새로운 서비스, 바이너리 인증(Binary Authorization)의 베타 버전도 발표했다. 기업 내 보안을 담당하는 사람들이나 데브옵스 팀들이 생산 인프라 내에서 교환되는 콘텐츠를 신뢰할 수 있도록 해주는 장치라고 한다. 구글에 의하면 바이너리 인증은 큐버네티스 엔진의 API에 탑재된 콘테이너 보안 기능이라고 한다. 또한 정책 적용 여부를 확인함으로써 서명이 되거나 승인이 된 이미지들만 환경 내에서 사용되도록 하는 것이 주요 기능이자 목적이다. 바이너리 인증은 콘테이너화 된 마이크로서비스가 증가하는 시대에 굉장히 긴요하게 될 것이라고 구글은 설명한다. “수많은 기업들이 생산 체제 내에 수백~수천 명을 투입시키고 있고, 이들은 전부 귀중한 데이터를 다룹니다. 이 때 신원에 기반을 둔 제어 장치를 사용하는 것도 가능하지만(즉, 사람에 따라 데이터 접근권을 다르게 적용하는 것), 이는 인간의 운영적 지식에 대한 의존도가 높다. 생산 운영의 측면과 개개인의 역할을 이해하는 사람이 접근 권한을 부여해야 한다는 건데, 이는 확장성이 낮다는 의미가 된다. 그러니 유연하지 못하거나 대규모 네트워크 내에서는 큰 효과를 발휘하지 못한다. 그러한 점을 해결하기 위해 등장한 것이 바이너리 인증이다. 바이너리 인증은 세 가지 원칙 아래 작동한다. 1) 신용받는 코드만을 실행시킴으로써 예방 보안을 실천하고, 2) 개발에서 생산까지, 코드가 이동할 수 있는 경로를 하나로만 정해 거버넌스 문제를 간소화 하며, 3) CI/CD 툴들 간 상호호환성을 유지하기 위해 오픈소스를 사용한다는 것이다. 또한 구글은 “내부에서 사용해왔던 것”이라고 덧붙이기도 했다. 그렇다면 바이너리 인증은 어떤 식으로 작동할까? 1) 사용자가 원하는 CI/CD 단계에 통합되어 2) 이미지가 통과할 때 시그니처를 만든다. 그리고 3) 이 시그니처와 일치하지 않는 콘텐츠들을 전부 차단한다. 시그니처 기반 확인 과정을 거친다는 건데, 여기에 더해 바이너리 인증은 사용자가 이름 패턴을 사용해 이미지들에 대한 화이트리스팅 작업을 할 수 있게 해준다. “생산 환경을 취약하게 만드는 주요 요인 중에는 패치가 되지 않은 서드파티 소프트웨어가 있습니다. 사용자들이 일부 소프트웨어, 리포지토리, 경로 등을 화이트리스팅 하게 해줌으로써 조금이라도 공격 가능성을 낮출 수 있습니다.” 구글의 설명이다. 3줄 요약 1. 구글, 클라우드 시스템과 관련된 서비스 두 가지를 베타 버전으로 발표. 2. 클라우드 HSM은 구글 클라우드 플랫폼 사용자들이 운영 및 관리에 대한 소요 없이 데이터를 보호해주게 돕는 서비스. 3. 바이너리 인증은 생산을 위한 인프라 내 유통되는 여러 가지 콘텐츠를 신뢰하라 수 있도록 만들어주는 장치. [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
