서비스형 보안
서비스형 보안(Security as a service, SECaaS 또는 SaaS)은 총소유비용 면에서 대부분의 개인 고객이나 기업이 제공할 수 있는 것보다 더 비용 효율적인 구독에 기반을 둔, 서비스 제공자가 보안 서비스를 기업 인프라에 연동시키는 사업 모형이다.[1] SECaaS는 정보 보안 유형의 서비스에 적용되는 서비스형 소프트웨어 모델의 영향을 받으며 온프레미스(on-premises) 하드웨어를 요구하지 않으므로 상당한 경비를 없앨 수 있다[2][3]. 이 보안 서비스들에는 인증, 바이러스 검사 소프트웨어, 악성 소프트웨어 검사 소프트웨어/스파이웨어, 침입 방지, 모의 해킹시험(Penetration testing)[4], 보안 이벤트 관리 등이 포함되기도 한다.[5]
아웃소싱된 보안 라이선싱 및 제공은 수십억 달러 규모의 시장을 자랑한다.[6] SECaaS는 인터넷 보안 서비스를 사용자에게 제공하여 웹사이트를 침해하기 위해 지속적으로 접근 지점을 찾는 DDoS와 같은 온라인 위협 및 공격으로부터 보호한다.[7] 클라우드 컴퓨팅의 수요와 사용이 급증함에 따라, 사용자들은 새로운 액세스 포인트에서 인터넷에 접속함으로써 공격에 더욱 취약해진다. SECaaS는 가장 지속적인 온라인 위협에 대한 완충제 역할을 한다.[8]
SECaaS의 범주
[편집]클라우드 보안 연합 (CSA)은 안전한 클라우드 컴퓨팅을 정의하고 인식을 높이는 데 전념하는 조직이다. 이를 위해 CSA는 SECaaS 도구의 다음 범주를 정의하고 기업이 SECaaS를 구현하고 이해하는 데 도움이 되는 일련의 기술 및 구현 지침 문서를 만들었다.[9] 이러한 범주에는 다음이 포함된다:
- 비즈니스 연속성 및 재해 복구 (BCDR 또는 BC/DR)
- 지속적인 모니터링
- 데이터 손실 방지 (DLP)
- 이메일 보안
- 암호화
- 신원 관리 (IAM)
- 침입 관리
- 네트워크 보안
- 보안 평가
- 침투 테스트
- 보안 정보와 이벤트 관리 (SIEM)
- 취약점 스캐닝
- 웹 보안
SECaaS 모델
[편집]SECaaS는 일반적으로 여러 형태로 제공된다:
- 구독
- 사용된 서비스에 대한 지불
- 프리웨어, 일부 기능은 무료이며 추가 기능은 유료: 예시로는 아마존 웹 서비스, nmap.online, IBM 클라우드가 있다.
- 무료: 예시로는 클라우드브릭, CloudFlare, Incapsula가 있다.
장점
[편집]서비스형 보안은 다음과 같은 여러 이점을 제공한다.[10]
- 비용 절감: SECaaS는 온라인 비즈니스의 재정적 제약과 부담을 완화하고, 온프레미스 하드웨어 또는 막대한 예산 없이 보안 서비스를 통합한다. 클라우드 기반 보안 제품을 사용하면 값비싼 보안 전문가 및 분석가에 대한 필요성도 없어진다.[11]
- 일관되고 균일한 보호: SECaaS 서비스는 데이터베이스가 최신 보안 적용 범위를 제공하기 위해 지속적으로 업데이트되므로 지속적인 보호를 제공한다. 또한 별개의 인프라를 갖는 문제를 완화하고, 모든 요소를 하나의 관리 가능한 시스템으로 결합한다.
- 사용자 준수에 의존하지 않는 바이러스 정의의 지속적인 업데이트
- 일반적으로 조직 내에서 이용 가능한 것보다 뛰어난 보안 전문성
- 더 빠른 사용자 프로비저닝
- 로그 관리와 같은 관리 작업의 아웃소싱을 통해 시간과 비용을 절약하고 조직이 핵심 역량에 더 많은 시간을 할애할 수 있도록 함
- 보안 환경 및 진행 중인 활동에 대한 시야를 제공할 뿐만 아니라 일부 작업을 사내에서 관리할 수 있는 웹 인터페이스
과제
[편집]SECaaS는 많은 애플리케이션에 대해 안전하지 않게 만드는 여러 가지 결함을 가지고 있다. 각 개별 보안 서비스 요청은 '넷'을 통한 왕복 (설치 패키지는 제외)을 최소 한 번 추가하며, 해커가 대화를 가로챌 수 있는 네 가지 기회가 있다:
- 상향 전송 연결 지점
- 상향 수신 연결 지점
- 반환을 위한 전송 지점; 그리고
- 반환을 위한 수신 지점.
SECaaS는 모든 보안 처리를 균일하게 만들어 하나의 요청에 대한 보안 위반이 발생하면 모든 요청에 대한 보안이 깨지게 되며, 이는 가장 넓은 공격 표면이 될 수 있다. 또한 해커에게 보상 인센티브를 증가시키는데, 노력에 대한 보상 가치가 극적으로 증가하기 때문이다. 이 두 가지 요소는 국가/국가 지원 해커의 자원에 특히 맞춰져 있다.
SECaaS 시장의 가장 큰 과제는 표준 비클라우드 서비스에 대한 신뢰성과 우월성이라는 명성을 유지하는 것이다. SECaaS는 전체적으로 클라우드 시장의 주류가 된 것처럼 보인다.[12]
클라우드 기반 웹사이트 보안은 모든 비즈니스에 적합하지 않으며, 개별 요구 사항에 따라 특정 요구 사항을 적절히 평가해야 한다.[13] 최종 소비자에게 서비스를 제공하는 기업은 데이터를 느슨하게 두거나 해커 공격에 취약하게 둘 여유가 없다. SECaaS의 가장 중요한 부분은 기업을 교육하는 것이다. 자료가 기업의 가장 큰 자산이므로,[14] 회사 전체의 보안을 책임지는 것은 CIO와 CTO의 몫이다.
같이 보기
[편집]각주
[편집]- ↑ Olavsrud, Thor (2017년 4월 26일). “Security-as-a-service model gains traction”. 《cio.com》. 2017년 6월 22일에 원본 문서에서 보존된 문서. 2017년 6월 22일에 확인함.
- ↑ “Security as a Service”. 《techopedia》. 2017년 6월 10일에 확인함.
- ↑ Furfaro, A.; Garro, A.; Tundis, A. (2014년 10월 1일). “Towards Security as a Service (SecaaS): On the modeling of Security Services for Cloud Computing”. 《2014 International Carnahan Conference on Security Technology (ICCST)》: 1–6. doi:10.1109/CCST.2014.6986995. ISBN 978-1-4799-3530-7.
- ↑ “Penetration Testing as a Service”. 《PENTESTON》. 2018년 8월 22일에 원본 문서에서 보존된 문서. 2017년 6월 20일에 확인함.
- ↑ “Definition of Security as a Service”.
- ↑ “Security as a service really has become a no-brainer”. 2015년 9월 24일에 확인함.
- ↑ “cloudbric blog: Who's Behind DDoS Attacks and How Can You Protect Your Website?”. 《blog.cloudbric.com》. 2015년 9월 24일에 확인함.
- ↑ “Security-as-a-service, Cloud-Based on the Rise (Part 1)”. 2014년 8월 15일에 원본 문서에서 보존된 문서. 2015년 9월 21일에 확인함.
- ↑ Cloud Security Alliance. “Defined Categories of Security as a Service” (PDF). 《Cloud Security Alliance》. 2017년 6월 5일에 확인함.
- ↑ “cloudbric blog: The Newbie's Guide to Security as a Service (SECaaS)”. 《blog.cloudbric.com》. 2015년 9월 24일에 확인함.
- ↑ “The Cloud is Safe and Cost Effective for Critical Data Storage. No, Really. - Peak 10”. 2015년 9월 21일에 확인함.
- ↑ “Security as a service really has become a no-brainer”. 2015년 9월 24일에 확인함.
- ↑ “Cloud vs. Data Center: What's the difference?”. 2015년 9월 21일에 확인함.
- ↑ “Why Security as a Service [SECaaS] Will be the Biggest Asset for Any CIO or CTO Today”. 2016년 3월 22일에 확인함.
