This is the Trace Id: f38bcc2bc4bafd7ea3a5405b8cde1d06
주 콘텐츠로 건너뛰기 Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel 모든 제품 보기 AI 기반 사이버 보안 클라우드 보안 데이터 보안 및 거버넌스 ID 및 네트워크 액세스 개인 정보 및 위험 관리 AI를 위한 보안 중소기업 통합된 SecOps 제로 트러스트 가격 책정 서비스 파트너 왜 Microsoft Security인가요? 사이버 보안 인식 고객 사례 보안 101 제품 평가판 업계 인정 사례 Microsoft Security Insider Microsoft 디지털 방어 보고서 보안 대응 센터 Microsoft Security 블로그 Microsoft 보안 이벤트 Microsoft Tech Community 설명서 기술 콘텐츠 라이브러리 교육 및 인증 Microsoft Cloud용 규정 준수 프로그램 Microsoft 보안 센터 Service Trust Portal Microsoft Secure Future Initiative 비즈니스 솔루션 허브 구입 전 상담창구 평가판 시작 Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space 혼합 현실 Microsoft HoloLens Microsoft Viva 양자 컴퓨팅 교육 자동차 금융 서비스 정부 기관 의료 제조업 소매 파트너 찾기 파트너 되기 파트너 네트워크 Microsoft Marketplace 소프트웨어 회사 블로그 Microsoft Advertising 개발자 센터 설명서 이벤트 라이선스 Microsoft Learn Microsoft Research 사이트맵 보기
책상 앞에 앉아서 노트북을 사용하고 있는 사람.

클라우드 네이티브 보안이란?

모범 사례 및 핵심 원칙의 예를 사용하여 클라우드 네이티브 보안이 애플리케이션 수명 주기 전반에 걸쳐 애플리케이션, 데이터 및 인프라를 보호하는 방법을 알아봅니다.
클라우드 네이티브 보안은 보안 제어와 위험 기반 보호를 클라우드 환경용으로 설계된 애플리케이션과 인프라에 내장합니다. 이렇게 해서 코드 생성부터 배포와 런타임까지 워크로드를 보호합니다. 이 방법은 조직이 동적 다중 클라우드 환경에서 작동하는 분산 시스템, 마이크로 서비스 및 컨테이너화된 애플리케이션에 대한 보안을 관리하는 데 도움이 됩니다.
  • 클라우드 네이티브 보안은 애플리케이션 수명 주기의 모든 단계에 보안을 통합합니다.

  • 이 방식은 컨테이너화된 아키텍처와 마이크로 서비스 기반 아키텍처가 가진 고유한 보안 과제를 해결합니다.

  • 핵심 사례로는 제로 트러스트, 자동화, 시프트 레프트 보안 및 사이버 위협에 대한 지속적인 모니터링이 포함됩니다.

클라우드 네이티브 보안 소개

애플리케이션이 온-프레미스에서만 실행되던 시절에는, 보안이 물리적 서버를 둘러싼 하드웨어 방화벽 경계에 의존했습니다. 오늘날의 클라우드 네이티브 애플리케이션을 보호하는 일은 더 복잡합니다. 클라우드 네이티브 애플리케이션 보안은 온-프레미스 서버와 여러 클라우드에 걸친 워크로드를 보호해야 합니다. 수요 변화에 따라 수백 개 인스턴스에서 수백만 개까지 확장할 수도 있어야 합니다.

클라우드 네이티브 전략을 도입하는 조직은 마이크로 서비스, 컨테이너, 그리고 Kubernetes 같은 오케스트레이션 플랫폼을 자주 사용합니다. 이러한 기술은 민첩성과 확장성을 높여 주지만, 추가적인 위험도 함께 가져옵니다. 클라우드 네이티브 보안은 코드부터 런타임까지 내장된 보호와 제어로 이러한 위험을 해결하여 클라우드와 AI 애플리케이션이 실시간으로 변해도 지속적이고 적응적인 보호를 제공합니다.

클라우드와 AI 애플리케이션, 데이터, 인프라를 전체 수명 주기에서 보호하려면 보안 조치가 코드 개발, 구성, 배포, 실시간 탐지와 대응을 하나의 통합된 방식으로 연결해야 합니다. 또한 중요한 데이터, 데이터베이스 및 AI 모델을 처리하여 워크로드가 다중 클라우드 환경에서 계속 보호되도록 해야 합니다.

AI 기반 인사이트, 런타임 모니터링, ID 기반 제어를 결합한 상황 인식 보안을 추가하면, 동적 시스템에서 규정 준수를 유지하고 위험을 줄이는 데 도움이 됩니다. 클라이언트 네이티브 응용 프로그램 보호 또는 CNAPP는 전체 클라우드 및 AI 애플리케이션 수명 주기에서 보안을 통합하도록 만들어졌습니다. 이를 통해 복잡성, 가시성 공백, 환경 간 공격자 이동 문제를 해결합니다.

클라우드 네이티브 보안의 주요 원칙

최고의 클라우드 네이티브 보안 관행을 따르면 혁신적인 민첩성을 유지하면서도 위험은 줄일 수 있습니다. 몇 가지 기본적인 클라우드 네이티브 보안 원칙은 다음과 같습니다.

시프트 레프트 보안. 이 방법은 개발 프로세스 초기에 보안을 통합하여 배포 전에 취약성을 줄이고 위험이 프로덕션 환경에 도달하는 위험을 방지합니다. 또한 빌드와 테스트 단계에서 코드 취약성을 검사해 프로덕션 환경에 들어가는 결함을 최소화합니다. 시프트 레프트 보안에는 보안 코딩 사례, 자동화된 테스트, 개발자 교육도 포함됩니다.

제로 트러스트 아키텍처. 이 방식에서는 모든 액세스 요청을 검증하고, 어떤 암묵적 신뢰도 부여하지 않습니다. 이 원칙은 사용자, 디바이스, 워크로드에 모두 적용되며, 액세스를 지속적으로 검증하도록 합니다. 엄격한 액세스 제어를 적용하면 환경 내에서의 측면 이동 위험을 줄일 수 있습니다.

자동화와 DevSecOps. 적절한 도구를 사용하면 CI/CD(연속 통합 및 지속적인 업데이트) 파이프라인에서 보안 프로세스를 자동화해 인적 오류를 줄이고, 수정 속도를 높일 수 있습니다. 개발, 보안, 운영(DevSecOps) 프레임워크는 개발 팀, 보안 팀, 운영 팀 간 협업을 촉진하고, 전달 속도를 늦추지 않으면서 워크플로에 보안을 내장합니다.

ID 및 액세스 관리(IAM). 클라우드에서 ID는 핵심 위험 표면입니다. IAM은 강력한 ID 거버넌스를 통해 액세스를 제어하고, 최소 권한 원칙에 따라 권한을 부여합니다. 또한 IAM 모범 사례에는 다단계 인증, 역할 기반 액세스 제어, ID 활동에 대한 지속적인 모니터링이 포함됩니다.

런타임 보호. 지속적인 모니터링은 애플리케이션 실행 중 위협을 감지하고 완화합니다. 여기에는 변칙 검색, 동작 분석 및 런타임 적용 정책이 포함됩니다. 런타임 감지와 대응은 취약성이 있더라도 이를 빠르게 찾아내고, 영향도에 따라 우선순위를 정해, 공격자가 악용하기 전에 차단하도록 합니다.

폐쇄 루프 복구. 자동화된 피드백 루프는 취약성을 빠르게 해결하도록 도와줍니다. 이 원칙은 지속적인 개선과 복원력을 지원합니다. 폐쇄 루프 수정은 CI/CD 파이프라인과 통합되어 문제를 원본에서 해결하고, 감지와 해결 사이의 시간을 줄입니다.

클라우드 네이티브 보안의 핵심 구성 요소

클라우드 네이티브 보안에는 애플리케이션과 인프라를 함께 보호하는 몇 가지 주요 요소가 있습니다.

컨테이너 및 Kubernetes 보안. 컨테이너는 애플리케이션과 종속성을 함께 패키징해, 애플리케이션 이식성과 확장성을 높입니다. Kubernetes는 이러한 컨테이너를 오케스트레이션하고, 배포와 크기 조정을 관리합니다. 컨테이너와 Kubernetes 보안에는 이미지 검사, 런타임 모니터링, 컨트롤 플레인 보호가 포함됩니다. 잘못 구성된 Kubernetes 클러스터는 흔한 공격 벡터이므로, 구성 관리가 매우 중요합니다.

API 보안. 마이크로 서비스는 API를 통해 통신하며, 이 API는 무단 액세스를 막기 위해 보호해야 합니다. API 보안에는 인증, 권한 부여, 속도 제한이 포함됩니다. API 게이트웨이는 중앙 집중식 제어와 모니터링을 제공해 데이터 노출 위험을 줄입니다.

CNAPP. CNAPP 솔루션은 CSPM(클라우드 보안 태세 관리)을 포함한 여러 보안 기능을 통합합니다. 이러한 통합 플랫폼은 애플리케이션 수명 주기 전반에 걸쳐 엔드투엔드 가시성을 제공해, 위험 기반 우선순위 지정, 일관된 정책 적용, 더 빠른 위협 감지와 대응을 가능하게 합니다.

규정 준수 및 거버넌스. 조직은 GDPR(일반 데이터 보호 규정), HIPAA(Health Insurance Portability and Accountability Act), PCI-DSS(결제 카드 산업 데이터 보안 표준)와 같은 규정 준수 기준을 따라야 합니다. 자동화된 규정 준수 점검과 보고는 표준에 맞게 유지하는 데 도움이 되며, 법적 처벌 위험도 줄여줍니다.

AI 워크로드. AI 모델과 데이터 파이프라인은 클라우드 보안에 고유한 과제를 가져옵니다. 학습 데이터를 보호하고, 모델 변조를 막고, 윤리적인 AI 관행을 보장하는 것이 필수입니다. 보안 조치는 AI 시스템의 기밀성과 무결성을 모두 다뤄야 합니다.

클라우드 데이터 보안. 데이터는 공격자의 주요 표적입니다. 암호화, 마스킹, 액세스 제어는 중요한 정보를 보호합니다. 데이터베이스 보안에는 권한이 없는 쿼리를 모니터링하고 올바르게 구성되도록 확인하는 작업이 포함됩니다.

ID 권한. 과도한 권한은 손상 위험을 높입니다. ID 거버넌스 도구는 최소 권한 원칙을 적용하고 변칙을 모니터링하는 데 도움이 됩니다. 권한 상승 공격은 클라우드 환경에서 흔하며, 그래서 ID 보안이 최우선 과제입니다.

다중 클라우드 태세 일관성. 다중 클라우드 보안은 여러 클라우드 공급자를 사용하는 조직에게 중요한 문제이며, 각 공급자는 고유한 보안 도구와 구성을 사용합니다. 환경 전반에서 정책을 일관되게 유지하면 복잡성과 위험을 줄일 수 있습니다.

클라우드 네이티브 컨테이너 보안.. 여기에는 컨테이너 레지스트리 보호, 런타임 제어 구현, 컨테이너 이미지의 취약성 모니터링이 포함됩니다.

클라우드 워크로드 보호(CWPP). CWPP 솔루션은 가상 머신, 컨테이너, 서버리스 함수 등 여러 환경의 워크로드에 대한 가시성과 위협 감지를 제공합니다.

알아두면 좋은 또 다른 핵심 개념은 클라우드 네이티브 보안의 “4C”입니다. 각 “C”는 심층 방어 접근 방식을 보장하기 위해 보호해야 하는 계층 중 하나를 나타냅니다.
 
  1. 코드—애플리케이션 코드와 IaC(코드형 인프라), 오픈 소스 종속성 포함.
  2. 컨테이너—컨테이너 이미지와 런타임.
  3. 클러스터—Kubernetes 같은 오케스트레이션 플랫폼.
  4. 클라우드—네트워크, 가상 머신, 스토리지, ID, 구성 같은 기본 클라우드 인프라.

일반적인 클라우드 네이티브 보안 문제

최신 클라우드 인프라는 일시적이기 때문에 비용 효율적이고 확장도 쉽습니다. 즉, 설계상 임시로 존재합니다. 기반 리소스는 필요할 때 생성되고 필요 없으면 삭제됩니다. 하지만 그런 유연성 때문에 기존 보안 도구로 클라우드 인프라를 보호하기가 어렵습니다. 그 인프라가 여러 클라우드에 걸쳐 있고, 각 클라우드마다 구성과 도구가 다르면 가시성 공백이 생길 수 있습니다. 공격자는 이를 이용해 환경 간에 측면 이동을 할 수 있습니다.

잘못된 구성도 클라우드 네이티브 보안에서 흔한 문제입니다. 예를 들어 스토리지 버킷, 열린 포트, 액세스 제어와 관련된 잘못된 설정은 서비스를 인터넷에 노출할 수 있습니다. 타사 라이브러리 및 컨테이너 이미지의 오픈 소스 종속성과 약점도 취약성을 발생시킵니다.

공격자는 이런 취약점을 악용하기 위해 계속 전략을 발전시키고 있습니다. 컨테이너 이스케이프와 권한 상승 같은 기법은 점점 더 정교해지고 있습니다. 이에 대응하려면 그만큼 정교한 자동화, 모니터링, 거버넌스가 필요합니다.

모범 사례 체크리스트

조직 전략을 세울 때 고려해야 할 많은 요소를 살펴봤습니다. 다음은 클라우드 보안 상태를 강화하는 데 필요한 도구를 선택할 때 유의해야 할 몇 가지 추가 사항입니다.
 
  • 측면 이동을 제한하고 공격의 영향을 줄이려면 마이크로 세분화와 함께 제로 트러스트를 구현하세요.
  • 전송 중 및 저장된 데이터를 암호화해 중요한 정보의 기밀성과 무결성을 보장하세요.
  • CI/CD 파이프라인에서 취약성 검사를 자동화해 개발 과정의 가능한 한 이른 시점에 문제를 찾아내세요.
  • 정기적으로 규정 준수 감사와 보안 태세 평가를 수행해 규제 벌금을 받을 위험을 줄이세요.
  • 지속적인 모니터링과 위협 감지를 활성화하고, 동적 위험 우선순위 지정도 함께 적용하세요. 그러면 보안 팀은 침해로 이어질 가능성이 가장 높은 공격 경로부터 먼저 집중할 수 있습니다.
CNAPP 도입을 선택한다면, 다음 기능을 제공하는지 확인하세요.
 
  • 성능 영향 없이 넓은 가시성을 확보하기 위한 에이전트리스 적용 범위.
  • 비용이 큰 침해로 이어질 수 있는 핵심 위험에 집중하도록 공격 경로 우선순위 지정.
  • 과도한 권한으로 인한 노출을 최소화하도록 ID 권한 축소.
  • 통합된 위협 감지를 위한 XDR(확장된 감지 및 대응) 솔루션과의 통합.
  • 취약성을 더 빠르게 해결하기 위한 수명 주기 기반 수정.

Microsoft를 사용하여 클라우드에서 보호 유지

애플리케이션 전체 수명 주기를 보호하려면 단독 도구와 부분적인 수정만으로는 부족합니다. Microsoft Security는 GitHub, Azure DevOps 및 Microsoft Copilot을 포함하여 많은 개발자가 이미 사용하는 도구와 통합되는 통합된 AI 기반 클라우드 네이티브 응용 프로그램 보호 플랫폼을 제공합니다. 조직은 일상적인 워크플로에 보안을 포함함으로써 여러 클라우드 환경에서 제로 트러스트, DevSecOps 및 규정 준수 요구 사항을 지원하면서 문제를 더 빠르게 식별하고 수정할 수 있습니다.

Microsoft CNAPP을 통해 보안 팀은 매일 수조 개의 위협 신호와 수십 년간의 위협 인텔리전스 전문 지식을 바탕으로 애플리케이션, 데이터, ID 및 인프라를 심층 파악할 수 있습니다. 클라우드용 Microsoft Defender와 Defender XDR 간의 통합은 보안 팀이 클라우드, ID, 엔드포인트 환경 전반에 걸친 복잡한 도메인 간 공격을 조사하고 대응하는 데 도움이 됩니다. 그 결과 위험 우선순위 지정은 더 빨라지고, 보안 알림 소음은 줄어들며, 클라우드 및 AI 워크로드에 대한 보호는 더 강해집니다. 그래서 조직은 자신 있게 안전하게 확장할 수 있습니다.
리소스

더 많은 클라우드 보안 리소스 살펴보기

이 정보를 바탕으로 클라우드 보안 전략을 더 다듬어 보세요.

자주 묻는 질문

  • 클라우드 네이티브는 마이크로 서비스, 컨테이너, 동적 오케스트레이션을 사용해 클라우드 환경에서 실행되도록 설계된 애플리케이션과 서비스를 말합니다.
  • 클라우드 우선은 클라우드 도입을 우선시하는 전략입니다. 반면 클라우드 네이티브는 클라우드 환경에 맞게 특별히 구축된 애플리케이션을 말합니다.
  • 리소스가 분산되어 있기 때문에 클라우드에서는 완화해야 할 보안 위험이 많습니다. 여기에는 잘못된 구성, 공급망 취약성, ID 오용, 런타임 위협이 포함됩니다.
  • 4C는 코드, 컨테이너, 클러스터, 클라우드를 뜻합니다. 이 4개 계층을 각각 보호하는 것이 심층 방어 전략의 핵심입니다.
  • CNAPP와 같은 클라우드 네이티브 보안 플랫폼은 개발, 배포, 런타임을 포함한 애플리케이션 수명 주기 전반에 걸쳐 통합 보안을 제공합니다.

Microsoft Security 팔로우

한국어(대한민국) 소비자 상태 개인정보처리방침 Microsoft에 문의 개인정보처리방침 및 위치정보이용약관 쿠키 관리 사용약관 상표 광고 정보