시스템보안 - SECaas ( Security as a Service ), Saas, Iaas, Paas

다음 중 SECaaS에 대한 설명으로 적합하지 않은 것은?  3
① 클라우드 컴퓨팅 환경 하에서 인터넷을 통하여 보안서비스를 제공하는 것을 두고 SECaaS(Security as a Service)라고 한다.
② SECaaS는 Standalone으로 클라우드 기반 보안서비스를 제공하는 형태와 클라우드 서비스 제공업체가 자사의 고
객에게 보안기능을 제공하는 형태로 나뉠 수 있다
③SECaaS는 보안서비스를 ASP 형태로 공급한다는 측면에서 넓은 의미의 PaaS(Platform as a Service)로 볼 수 있다. 
④ SECaaS는 인증, 안티바이러스, 침입탐지, 모의침투, 고안 이벤트 관리 등의 다양한 보안 기능을 제공할 수 있다.

---

서비스로서의 보안 - SECaaS

클라우드 기반 보안 서비스 - Security as a Service 

 클라우드 컴퓨팅의 영향력이 꾸준히 커지면서, 보다 다양한 형태의 클라우드 서비스가 등장했다. 보안 업계에는 서비스로서의 보안(Security as a Service, SECaaS)이 대두됐다. 

SECaaS는 SaaS의 한 종류로, ‘클라우드 기반 보안’ 또는 ‘보안 클라우드’으로 불린다.

클라우드를 이용해 고객이 원하는 보안 서비스를 제공하는 것을 일컫는다.

 

목차

1. 비용 저렴하고 보안 관리 부담 줄어
2. 네트워크 보안부터 데이터 손실 방지까지
3. 시만텍, 맥아피, 지란지교 등 주력

클라우드 컴퓨팅은 인터넷에 연결된 서버 자원을 이용해 데이터를 저장하고 네트워크 및 콘텐츠 사용 등 IT 관련 서비스를 한번에 사용할 수 있는 컴퓨팅 환경을 말한다. 인터넷에 접속돼 있다면 사용자가 어디에 있든 상관없이 똑같은 경험을 누릴 수 있다.

전통적인 기업 컴퓨팅 환경에서는 기업 IT 담당자가 네트워크부터 애플리케이션까지 모든 자원을 관리해야 했다.

하지만 클라우드 환경에서는 필요한 부분만 골라서 사용하고 클라우드 컴퓨팅을 제공하는 업체에서 나머지를 관리해준다. 

클라우드 컴퓨팅을 사용하는 서비스 유형은 다음과 같다

 

Saas (Software as a Service)

소프트웨어를 웹에서 쓸 수 있는 서비스로서의 소트프웨어

 

Iaas (Infrastracture as a Service)

인프라 장비를 빌려 쓸 수 있는 서비스로서의 인프라스트럭처 

 

Paas (Platform as a Service)

플랫폼을 빌려주는 서비스로서의 플랫폼이 있다.

 

 

1. 비용 저렴하고 보안 관리 부담 줄어

SECaaS는 이서비스형 보안이다. 

SECaaS는 경제적 측면에서 봤을 때 비용이 저렴한 편이다.

클라우드의 장점과 마찬가지로, 사용한 만큼만 비용을 지불하면 된다. 보안 솔루션을 구축하려면 기본적으로 수백, 수천만 달러가 든다. SECaaS를 사용하면 온프레미스(On-premise, 직접 운영) 형태로 사용하던 보안 프로그램을 온디맨드(on-demand, 주문형) 형태로 사용하면서 비용 절감 효과가 커진다. 이는 보안 비용 부담이 상대적으로 큰 중소기업에 많은 도움이 될 수 있다.

SECaaS 서비스는 최신 보안 범위를 제공하기 위해 데이터베이스가 지속적으로 업데이트 된다. 따라서 별도의 인프라 없이도 문제를 완화하고 균일하고 일관된 보안을 유지할 수 있다. 또한 SECaaS 사업자로부터 서비스를 제공받는 것 외에 관리나 운영까지 지속적으로 받을 수 있어, 기존 보안 담당 인력을 배치하는 데 겪었던 어려움도 해소된다. 로그 관리나 경계 모니터링 같은 작업을 SECaaS로 맡겨 보안 업무를 간소화하고 핵심 역량에 더 많은 시간을 투자할 수 있는 이점도 있다.

2. 네트워크 보안부터 데이터 손실 방지까지

미국의 클라우드보안연합(Cloud Security Alliance, CSA)에서는 2016년 2월 기준 SECaaS를 12가지 영역으로 정의했다. 2011-2012년에는 10가지였으나, 2016년 11, 12번이 추가됐다.

SECaaS 카테고리<출처: 보안의 새로운 물결 SECaaS, 지란지교시큐리티, 2016.09.28>

1. 네트워크 보안 (Network Security)
- 네트워크 액세스를 할당하고 네트워크 서비스를 배포·모니터링·보호하는 서비스.
2. 취약성 (Vulnerability Scanning)
- 공용 네트워크를 통해 대상 인프라 또는 시스템의 보안 취약점을 검색.
3. 웹 보안 (Web Security)
- 클라우드 서비스 공급자를 통해 웹 트래픽을 프록시 처리하여 일반적으로 제공되는 공개된 애플리케이션 서비스를 실시간으로 보호.
4. 이메일 보안 (Email Security)
- 인바운드 및 아웃바운드 전자 메일을 제어하고 피싱 및 악의적인 첨부 파일과 스팸으로부터 조직을 보호하고 비즈니스 연속성 옵션을 제공.
5. 식별·접근 관리 (Identity and Access Management, IAM)
- 인증, 신원보증, 정보 접근, 권한 있는 사용자 관리를 포함한 관리 및 접근 제어 제공.
6. 암호화 (Encryption)
- 해독할 수 없도록 데이터를 암호와 숫자를 사용하여 암호문으로 변환.
7. 침입 관리 (Intrusion Management)
- 패턴 인식을 사용하여 통계적으로 비정상적인 이벤트를 감지. 칩입 시도 방지 또는 탐지해 사건을 관리.
8. 데이터 손실 방지 (Data Loss Prevention, DLP)
- 이동 및 사용중인 데이터의 보안을 모니터링, 보호 및 보안에 대한 검증 제공.
9. 보안 정보 및 이벤트 관리 (Security Information and Event Management, SIEM)
- 로그 및 이벤트 정보, 상관 및 사고 데이터를 수용하고 실시간 분석 및 상관 관계 제공.
10. 업무 연속성과 재난 복구 (Business Continuity and Disaster Recovery, BCDR)
- 서비스 중단시 운영상의 탄력성을 보장하도록 설계된 조치.
11. 지속적 감시 (Continuous Monitoring)
- 조직의 현재 보안 상태를 나타내는 지속적인 위험 관리 기능 수행.
12. 보안 접근 (Security Assessments)
- 업계 표준을 기반으로 한 클라우드 서비스에 대한 제3자 감사.

3. 시만텍, 맥아피, 지란지교 등 주력

SECaaS에 주목하는 글로벌 기업들<출처: 보안의 새로운 물결 SECaaS, 지란지교시큐리티, 2016.09.28>

보안 서비스를 원하는 기업들이 늘어나고 시장이 넓어지면서, SECaaS 시장에 뛰어드는 기업도 늘어났다. 글로벌 기업으로는 F5네트웍스, 시만텍, 아카마이 등이 대표 사례다. 국내 기업엔 펜타시큐리티, 지란지교, 모니터랩 등이 있다.

시만텍은 매년 지능화되는 웹 공격에 대한 대응책으로 SECaaS를 보고 있다. 시만텍의 SECaaS 서비스 중 하나인 ‘이메일 시큐리티 닷 클라우드(Symantec Email Security.Cloud)’는 전 세계 3만 2천여 곳 기업에 서비스를 제공한다. 하루 70억개의 메시지를 처리하고, 월간 800만개의 악성코드를 탐지한다.

CDN 기업 아카마이는 대규모 사이버 공격에 맞선 방안으로 SECaaS를 제시했다. 아카마이 클라우드 기반 보안의 장점을 ‘대규모 공격을 감지하고 분산 처리를 통해 방지’하는 것으로 꼽으며 4만 Gbps 규모의 공격을 막을 수 있다고 설명했다.

클라우드 보안(SECaas) 묘사대규모 사이버 공격에 대해서 클라우드 보안은 둘러쌓인 성의 주변에 하나의 보호막을 치는 것과 같은 원리다.
<출처: 아카마이 자료 갈무리>

펜타시큐리티는 SECaaS 서비스 중 하나로 ‘클라우드브릭’이라는 클라우드 기반의 웹 해킹 차단 서비스를 제공한다. 영국 런던에서 개최된 ‘클라우드 엑스포 유럽’에 참가해 클라우드 웹 방화벽 솔루션으로 클라우드브릭을 선보여 많은 관심을 받았다.

지란지교는 SECaaS 서비스 중 이메일 보안과 데이터 손실 방지 영역에 집중한다.

 

 

[출처 & 참고 글]

https://terms.naver.com/entry.nhn?cid=59088&docId=3589150&categoryId=59096

서비스로서의 보안 - SECaaS

[네이버 지식백과] 서비스로서의 보안 - SECaaS [Security as a Service] - 클라우드 기반 보안 서비스 (용어로 보는 IT, 이경은)