클라우드 보안

• 위협 에이전트
  • 공격을 수행하는 능력이 있고, 위협을 가하는 개체
  • 클라우드 보안 위협은 내부적 또는 외부적으로, 사람이나 SW 프로그램에 의해 발생할 수 있다.
  • 익명 공격자
    • 클라우드의 허가를 받지 않은, 신뢰할 수 없는 클라우드 서비스 소비자
    • 일반적으로, 퍼블릭 네트워크를 이용해 네트워크 수준의 공격을 하는 외부 SW 프로그램의 형태로 존재함
  • 악성 서비스 에이전트
    • 클라우드 내에 오가는 네트워크 트래픽을 허가받지 않은 에이전트가 가로챌 수 있음
    • 일반적으로, 손상을 가할 수 있거나 악의적인 로직을 보유한 서비스 에이전트 형태로 존재
  • 신뢰할 수 있는 공격자
    • 클라우드 소비자로서, 동일 클라우드 환경에 있는 IT 자원을 공유하고, IT 자원을 공유하는 클라우드 제공자와 클라우드 사용자를 목표로 부당한 IT 자원 사용을 시도함
    • 익명 공격자와 달리 신뢰할 수 있는 공격자는 대게 합법적인 자격을 오용하거나 민감한 정보를 도용해서 클라우드 신뢰 경계 내에서 공격을 수행
  • 악성 내부자
    • 클라우드 제공자처럼 행동하거나 클라우드 제공자와 관계가 있는 사람
    • 일반적으로, 현재 혹은 과거의 직원이거나 클라우드 제공자의 구역에 접근할 수 있는 제 3자인 경우가 많음
    • 클라우드 소비자의 IT 자원에 접근할 수 있는 관리자 권한을 가질 수 있음
• 트래픽 도청
  • 클라우드로 또는 클라우드 내에서 전달되는 데이터가 악성 서비스 에이전트에 의해 가로채기 당하는 것
  • 공격의 목표는 클라우드 소비자와 클라우드 제공자 사이 관계의 기밀성과 데이터의 기밀성을 누설하려는 목적
  • 수동적인 공격의 특성상, 악성 에이전트를 탐지해 내기 어렵다.
    • 수동적인 공격 : 악성 에이전트가 데이터를 가로채기만 하고 수정하거나 주입하지 않는다는 것을 의미
    • 따라서 공격에 대한 특별한 행동이나 패턴을 탐지하기가 어려움
• 악성 중개자 
  • 악성 서비스 에이전트는 클라우드 소비자와 서비스 간 전달되는 메시지를 가로채고 악의적인 목적으로 메시지 변경을 시도함
  • 이를 통해, 메시지의 기밀성 또는 무결성을 훼손함
• 서비스 거부 공격(Dos, Denial of Service)
  • 기능이 정상적으로 동작하지 못하도록 IT 자원에 과부하를 일으키는 공격
  • 공격을 실행하는일반적인 방법:
    • 복제된 메시지나 반복적인 통신 요청으로 클라우드 서비스의 작업 부하를 크게 높임
    • 과도한 메시지가 유입되어 네트워크에 과부하가 걸리고, 서비스 응답시간이 크게 늘어남
    • 과도한 CPU/MEM 자원을 사용하는 요청을 반복적으로 전송함
• 불충분한 권한 부여(또는, 잘못된 권한 부여)
  • 공격자에게 접근 권한이 잘못 주어지거나, 너무 넓은 범위의 주체/사람에게 접근 권한이 주어졌을 때 보안 위협이 증가 
  • 공격자는 잘못 부여된 권한을 이용하여, 보호되어야 할 자원에 접근함
• 가상화 공격
  • 가상화는 기반 하드웨어를 공유하지만 논리적으로는 각각 분리된 IT 자원을 사용할 수 있게 함
  • 클라우드 제공자는 클라우드 소비자에게 가상화된 IT 자원에 대한 관리자 접근을 부여하고, 악의적인 사용자는 이를 이용해 물리 HW 자원을 공격할 수 있다. 

• 신뢰 경계의 중첩
  • 클라우드 내의 물리적 IT 자원이 다른 클라우드 서비스 소비자에 의해 공유된다면, 이러한 환경을 사용하는 소비자들은 중첩된 신뢰 경계를 갖게 됨
  • 악성 클라우드 소비자는 다른 클라우드 소비자 또는 같은 신뢰 경계를 공유하는 다른 IT 자원을 손상시킬 의도로 공유된 IT 자원을 공격함
  • 그 결과, 동일한 신뢰 경계를 공유하는 다른 소비자들에게 피해를 줄 수 있음