150 likes | 537 Views
Cloud Computing Security Issues 클라우드 컴퓨팅 보안. 60072327 김진협 6 0112354 박은형 6 0072306 김균태. Contents 목차. 클라우드 컴퓨팅이란 ? What is cloud computing? 클라우드 컴퓨팅에 관한 보안 이슈 Cloud computing security issues 클라우드 컴퓨팅의 기초 및 배치 모델을 통해 본 구성 Cloud fundamental & deployment model
E N D
Cloud Computing Security Issues클라우드 컴퓨팅 보안 60072327 김진협 60112354 박은형 60072306 김균태
Contents목차 • 클라우드 컴퓨팅이란?What is cloud computing? • 클라우드 컴퓨팅에 관한 보안 이슈Cloud computing security issues • 클라우드 컴퓨팅의 기초 및 배치 모델을 통해 본 구성Cloud fundamental &deployment model • 클라우드 컴퓨팅의 보안적 문제Cloud computing security risks & issues • 결론Conclusions
What is cloud computing?클라우드 컴퓨팅이란? 2013 Norton Report – 클라우드 컴퓨팅 보안 언급
What is cloud computing?클라우드 컴퓨팅이란? • 인터넷(cloud) 기반의 컴퓨팅 기술 • Cloud : metaphor for the Internet • 과거에는 telephone network, 이후 추상적이고 복합적인 기반구조 에서의 Internet을 의미 • 최종사용자(End User)와 기업 모두에게 이익이 되는 가장 두드러지는 정보통신 기술 중 하나. • Enabling convenient, ubiquitous, on-demand network access를 위한 컴퓨터 구성 모델. • 기반 기술 :Parallel computing, distributed computing, grid computing, utility computing, outsourcing 연산 필요에 기반한 모든 것.
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud delivery & deployment model • Cloud 기술은 SOA(software oriented architecture)에 기초 • IaaS : Infrastructure as a Service(ex: Amazon EC2) • PaaS : plaform as a service(ex: GoogleAppEngine) • SaaS : software as a service(ex: Gmail, Google Docs) Cloud computing fundamental models (Delivery model) (http://en.wikipedia.org/wiki/Cloud_computing)
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud delivery & deployment model • Private Cloud • 오직 특정 구성원에게만 배치/유지/관리 권한 부여 • Public Cloud • Cloud 서비스 공급자로부터 상업적 목적 상에서 공개화 • 소비자가 적은 비용 부담으로 개발 또는 서비스 배치가 가능 • Community Cloud • Cloud의 기반구조가 공통의 필요 및 이익에 의한 다수 구성원들에 의해 공유 • Hybrid cloud • 두개 이상의 cloud들의 조합.
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud computing security risks & issues • 책임/권한의 이해부족 • 공급자의 잘못된 보안 제어 권한제한 • 서비스 간 다른 책임/권한에 대한 이해(ex: Iaas 와 SaaS간의 공급자/소비자 의 책임/권한 차이) • 데이터 보안에 관한 잠정적 문제 • 누가 생산 가능한가, 어디에 저장되어있는가, 누가 접근 및 수정 가능한가,파일 삭제시 어떠한 일이 생기는가,어떻게 백업 하는가, 어떻게 전송 되는가 등의 문제가 발생. • 기존 데이터 보안 생명주기에 비해훨씬 복잡해짐 데이터 보안 생명주기 소스
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud computing security risks & issues • 표준 부재 • 미성숙한 상태로 인해 많은 개발기준이 존재. • Cloud Security Alliance, European Network and Information Security Agency, Cloud Standards Customer Council, etc. • 이로 인해 보안 관리에 혼란이 발생 표준 확립 및 상호 정보 공유 필요 • 상호 운용에 따른 문제 • 기업은 부하(peak load) 요구에 큰 투자 없이도 이익 추구 가능 • Falls back(고장대치현재: 고장 시 일부 시스템만 정지) 발생 시 하드웨어 장비 안정화 없이 확장한 시스템 만큼 여유 자원이 부족/고갈 문제 발생
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud computing security risks & issues • 현실 적 시스템 다운 • 서비스 의존에 따라 고장 발생 시 많은 클라이언트에 영향 • 2012년 4월,Gmail 시스템 정지 :Gmail 서비스가1시간 가량에 따라 전체 사용자의 10%(350million,35억명)가 피해를 입음. • 악의적 내부 관계자 • 악의적 의도를 가진 관계자 또는 내부 관계자의 의도치 않은 실수로 인해 내부 데이터의 손실 및 유출에 따른 손해 발생.
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud computing security risks & issues • XML Signature 2008년 Amazon’s EC2 서비스에서취약점 발생.
Cloud computing security issues클라우드 컴퓨팅에 관한 보안 이슈- Cloud computing security risks & issues • Browser Security(SaaS) • 브라우저 스스로 인증을 위한 암호화된 XML 토큰 생산이 불가함에 third party의 기술을 이용. • MS passport :Slemko에 의해 보안 오류 발견.(페이지 redirect간에 공격자가 Kerberos token에 접근 가능) • browser –based authentication protocols는 Cloud보안에 안전하지 않음 (브라우저 자체 XML 이슈 불가 및 오로지 SOP 만을 통한 보안처리) • Flooding Attacks (IaaS) • Cloud Integrity and Binding Issues(PaaS)
Conclusions결론 • 클라우드 컴퓨팅 도입 전, 기업은 도입에 따른 사업적 이익 과 위험/손실 간의 충분한 평가/비교가 필요 • 클라우드 컴퓨팅의 보안 관련 표준 확립 필요 • 이해당사자(Stakeholders)의 충분한 보안 투자 필요 • 항시 백업 • 다양한 보안 위험 요소와 관련하여 잠재적 영향 및 실제 시나리오 들을 철저히 분석및 대비 • Web browsers 와 Web Service frameworks의 보안능력 강화.
References참조 • Cloud compution security issues • –Brasov ,Romania • Journal of Defense Resources Management, Vol.3, Issue2(5)/2012 • On technical Security Issues in Cloud Computing • MeikoJensem, JorgSchwenk • 2009 IEEE International Conference on Cloud Computing • Ahnlab안철수 연구소 • http://www.ahnlab.com/ • Bloter.net • http://www.bloter.net/ • Wikipedia • wikipedia.org