비즈니스 보안

이러한 실수와 사각지대를 제거함으로써 조직은 사이버 위험에 노출되지 않고 클라우드 사용을 최적화하는 데 큰 진전을 이룰 수 있습니다.

필 먼캐스터

1월 16 2024
 • 
,
5 분. 읽다

클라우드 컴퓨팅은 오늘날 디지털 환경의 필수 구성 요소입니다. IT 인프라, 플랫폼 및 소프트웨어는 오늘날 전통적인 온프레미스 구성보다 서비스(각각 약어 IaaS, PaaS 및 SaaS)로 제공될 가능성이 더 높습니다. 그리고 이는 대부분의 중소기업(SMB)에게 더 매력적입니다.

클라우드는 더 큰 경쟁자와 공평하게 경쟁할 수 있는 기회를 제공하여 비용을 들이지 않고도 비즈니스 민첩성을 높이고 신속한 확장을 가능하게 합니다. 이것이 바로 전 세계 중소기업의 53%가 설문 조사에 참여한 이유일 수 있습니다. 최근 보고서 클라우드에 연간 1.2만 달러 이상을 지출하고 있다고 가정합니다. 지난해 38%보다 높아졌다.

그러나 디지털 혁신에는 위험도 따릅니다. 보안(72%)과 규정 준수(71%)는 SMB 응답자들이 가장 많이 언급한 클라우드 관련 과제 중 두 번째와 세 번째로 많이 언급되었습니다. 이러한 문제를 해결하는 첫 번째 단계는 소규모 기업이 클라우드 배포에서 저지르는 주요 실수를 이해하는 것입니다.

중소기업이 저지르는 7가지 클라우드 보안 실수

분명히 짚고 넘어가야 할 점은 다음은 SMB가 클라우드에서 저지르는 실수만이 아니라는 것입니다. 가장 규모가 크고 자원이 풍부한 기업이라도 기본을 잊어버리는 경우가 있습니다. 그러나 이러한 사각지대를 제거함으로써 조직은 잠재적으로 심각한 재정적 또는 평판 위험에 노출되지 않으면서 클라우드 사용을 최적화하는 데 큰 진전을 이룰 수 있습니다.

1. 다단계 인증(MFA) 없음

정적 비밀번호는 본질적으로 안전하지 않으며 모든 기업이 비밀번호를 고수하는 것은 아닙니다. 건전한 비밀번호 생성 정책. 비밀번호는 다음과 같습니다. 다양한 방법으로 도난당함, 피싱, 무차별 대입 방법 또는 단순히 추측 등을 통해. 그렇기 때문에 최상위 MFA에 추가 인증 계층을 추가하면 공격자가 사용자의 SaaS, IaaS 또는 PaaS 계정 앱에 액세스하기가 훨씬 어려워지고 랜섬웨어, 데이터 도난 및 기타 가능한 결과의 위험이 완화됩니다. 또 다른 옵션은 가능한 경우 다음과 같은 대체 인증 방법으로 전환하는 것입니다. 비밀번호없는 인증.

2. 클라우드 제공업체(CSP)에 대한 지나친 신뢰

많은 IT 리더들은 클라우드에 효과적으로 투자한다는 것은 모든 것을 신뢰할 수 있는 제3자에게 아웃소싱하는 것을 의미한다고 믿습니다. 그것은 부분적으로만 사실입니다. 사실, 책임 분담 모델 클라우드 보안을 위해 CSP와 고객으로 분할됩니다. 처리해야 할 사항은 클라우드 서비스 유형(SaaS, IaaS 또는 PaaS)과 CSP에 따라 다릅니다. 대부분의 책임이 공급자에게 있는 경우에도(예: SaaS) 추가적인 제3자 제어에 투자하는 것이 비용을 지불할 수 있습니다.

3. 백업 실패

위의 내용에 따라 클라우드 제공업체(예: 파일 공유/저장 서비스)가 귀하의 뒤를 지원한다고 가정하지 마십시오. 시스템 오류나 사이버 공격이 될 가능성이 가장 높은 최악의 시나리오에 대비해 계획을 세우는 것은 항상 유익합니다. 조직에 영향을 미치는 것은 손실된 데이터뿐 아니라 사고 이후 발생할 수 있는 가동 중지 시간 및 생산성 저하입니다.

4. 정기적인 패치 실패

패치에 실패하면 클라우드 시스템이 취약점 악용에 노출됩니다. 이는 결국 맬웨어 감염, 데이터 침해 등을 초래할 수 있습니다. 패치 관리는 온프레미스뿐만 아니라 클라우드에서도 관련성이 높은 핵심 보안 모범 사례입니다.

5. 클라우드 구성 오류

CSP는 혁신적인 무리입니다. 그러나 고객 피드백에 대응하여 출시하는 엄청난 양의 새로운 기능으로 인해 많은 SMB에 엄청나게 복잡한 클라우드 환경이 조성될 수 있습니다. 어떤 구성이 가장 안전한지 알기가 훨씬 더 어렵습니다. 일반적인 실수는 다음과 같습니다 클라우드 스토리지 구성 따라서 제3자가 액세스할 수 있으며 열려 있는 포트를 차단하지 못합니다.

6. 클라우드 트래픽을 모니터링하지 않음

일반적인 자제 중 하나는 오늘날 클라우드(IaaS/PaaS) 환경이 침해당할 경우 "만약"이 아니라 "언제"의 문제라는 것입니다. 조기에 징후를 발견하고 공격이 조직에 영향을 미치기 전에 이를 억제하려면 신속한 탐지 및 대응이 중요합니다. 그렇기 때문에 지속적인 모니터링이 필수입니다.

7. 기업의 핵심 보석 암호화 실패

100% 침해가 방지되는 환경은 없습니다. 그렇다면 악의적인 당사자가 가장 민감한 내부 데이터나 규제가 엄격한 직원/고객 개인 정보에 접근하면 어떻게 될까요? 저장 중이거나 전송 중인 데이터를 암호화하면 해당 데이터를 획득하더라도 사용할 수 없게 됩니다.

클라우드 보안을 올바르게 확보하기

이러한 클라우드 보안 위험을 해결하는 첫 번째 단계는 귀하의 책임이 어디에 있는지, CSP가 어떤 영역을 처리할지 이해하는 것입니다. 그런 다음 CSP의 클라우드 기본 보안 제어를 신뢰할 수 있는지, 아니면 추가 타사 제품으로 이를 강화할지 여부를 판단해야 합니다. 다음을 고려하세요:

• 투자하다 타사 보안 솔루션 세계 최고의 클라우드 제공업체가 제공하는 클라우드 서비스에 내장된 보안 기능 외에도 이메일, 스토리지 및 협업 애플리케이션에 대한 클라우드 보안 및 보호를 강화합니다.
• 확장되거나 관리되는 탐지 및 대응(XDR/MDR) 도구를 추가하여 신속한 사고 대응 및 위반 억제/교정을 추진합니다.
• 강력한 자산 관리를 기반으로 지속적인 위험 기반 패치 프로그램을 개발 및 배포합니다(즉, 보유하고 있는 클라우드 자산이 무엇인지 파악하고 항상 최신 상태인지 확인).
• 악의적인 사람이 데이터를 손에 넣는 경우에도 데이터가 보호되도록 하기 위해 저장 중인 데이터(데이터베이스 수준)와 전송 중인 데이터를 암호화합니다. 이를 위해서는 효과적이고 지속적인 데이터 검색 및 분류도 필요합니다.
• 명확한 액세스 제어 정책을 정의합니다. 강력한 비밀번호, MFA, 최소 권한 원칙, 특정 IP에 대한 IP 기반 제한/허용 목록 의무화
• 채택을 고려해보세요 제로 트러스트 접근 방식, 네트워크 세분화 및 기타 제어와 함께 위의 많은 요소(MFA, XDR, 암호화)를 통합합니다.

위의 조치 중 다수는 온프레미스 배포에서 기대할 수 있는 것과 동일한 모범 사례입니다. 세부 사항은 다르지만 높은 수준에서는 그렇습니다. 가장 중요한 것은 클라우드 보안이 공급자만의 책임이 아니라는 점을 기억하세요. 사이버 위험을 더 효과적으로 관리하려면 지금 바로 제어하세요.