클라우드 보안 - 핵심

• 규정준수와 위험관리

- 사용자가 규정준수를 위해 올바른 판단을 내리기에 충분할 정도로 H/W 자산에 대한 물리적 보안과

적용하고 있는 보안 프로세스 등의 정보를 투명하게 공개할 필요가 있음

• 사용자 확인과 액세스 제어 (AuthN, AuthZ)

- Claims-based Identity는 서비스와 ID를 효과적으로 분리하여,

서로 다른 기술의 상호 운용을 가능하게 하며 필요 이상의 정보 노출을 방지할 수 있는 최신 기술과도

결합될 수 있음

• 서비스 무결성 (Integrity)

- 서비스 개발의 무결성

요구분석, 설계, 구현, 검증, 발매, 대응 -> 각 단계에 보안을 빈틈없이 결합하여 관리함

- 서비스 전달의 무결성

성능관리, 필요에 따른 네트워크 및 이미지 포렌식 수행 등을 위한 구체적인 계획

서비스 공급 중단을 대비한 고객 대응 연락처와 복구 프로세스 등

서비스 수준 협약 - 어떤 보안 모니터링과 감사 기능 제공, 비용이 얼마인지 정의함

- 종단점(Endpoint) 무결성

클라우드 서비스의 신뢰도를 높이기 위해서 온라인 ID 도용, 웹사이트 교차 스크립트 공격,

피싱 공격, 악의적인 소프트웨어 다운로드 등을 포함하는 위협으로부터 사용자를 보호하는

보안 활동이 요구됨

• 정보보호

- 민감한 정보를 공격자로 부터 보호 (클라우드 보안의 핵심)

- 정보의 권리 및 제어 권한이 공급자에게 이양된 경우 정보에 접근하기 위한 ID와 인증체계를

 누가 관리 하는지

- 백업 데이터는 어디에 보관하는지

- 데이터 암호화는 지원되는지

- 암호화로 인한 손실은 무엇인지 (구체적으로 특정 기능의 사용 불가 등)

- 서비스 가입을 취소할 때 사용자 데이터는 안전하게 폐기되는지 등