퍼블릭 클라우드를 사용하면서 이동 중인 데이터, 유휴 데이터, 사용 중인 데이터를 완벽하게 제어할 수 있다면 어떨까요? 이것이 바로 SecuStack이 달성하려는 목표입니다. 이와 더불어 정부 기관 및 규제가 엄격한 업계에 클라우드 컴퓨팅의 이점을 제공합니다. Secunet Security Networks AG(독일의 선도적인 사이버 보안 기업)와 Cloud & Heat Technologies GmbH(에너지 효율적이고 확장 가능하며 안전한 데이터 센터 솔루션 공급업체)의 합작품인 SecuStack은 엄격한 보안 규제 또는 신뢰성 부족으로 클라우드 컴퓨팅을 도입할 수 없었던 다양한 업계에 클라우드 컴퓨팅을 제공합니다.
과제
클라우드 컴퓨팅은 매력적인 비용, 운영 효율성, 확장성에서 이점을 제공하지만, 정부 기관과 일부 업계에서는 보안에 대한 우려로 인해 클라우드 컴퓨팅을 널리 도입하지 않았습니다. 소프트웨어 스택이 투명하지 않고 데이터를 완벽하게 제어할 수 없다면 이러한 조직은 클라우드 컴퓨팅을 계속 이용하지 않을 것입니다.
솔루션
보안이 강화된 클라우드 운영 체제(OS)를 제공함으로써, SecuStack은 서비스형 인프라((IaaS)를 통해 최신 클라우드 솔루션에 대한 온프레미스 운영 또는 신뢰할 수 있는 호스팅 운영을 지원합니다. 상용 소프트웨어 또는 많은 클라우드 서비스 공급업체(CSP)와 달리 소프트웨어 스택 기능에 대한 투명성을 제공합니다. SecuStack에는 데이터 전송과 스토리지를 보호하도록 투명하게 통합된 암호화 메커니즘과 OpenStack 환경에서 처리 시 데이터 보호에 도움이 되는 인텔® 소프트웨어 가드 익스텐션(인텔® SGX) 엔클레이브 통합이 포함되어 있습니다.
결과
엄격한 보안 준수 요구 사항을 갖춘 조직은 이제 클라우드 컴퓨팅의 모든 이점을 활용할 수 있습니다. 이러한 이점으로는 인프라 비용 및 유지 관리 비용 절감, 운영 효율성 향상, 확장성, 고성능을 위한 인텔® 기술의 최신 혁신 활용 등이 있습니다.
클라우드에서 투명성과 제어의 필요성
클라우드는 서비스형 비즈니스입니다. 일반적으로 CSP는 고객에게 서비스와 애플리케이션 프로그래밍 인터페이스(API)를 제공하지만, 소프트웨어와 소스 코드는 제공하지 않습니다. 따라서 클라우드 서비스 소비자는 서버를 실행하고 소프트웨어 스택을 제어하며 고객 데이터를 보호하는 CSP를 신뢰해야 합니다. 클라우드 컴퓨팅은 효율성과 비용 절감, 확장성, 재해 복구 기능과 같은 다양한 이점을 제공할 수 있습니다.1 그러나 유휴 데이터, 이동 중인 데이터, 사용 중인 데이터에 대한 완벽한 투명성과 제어는 많은 정부 기관과 더불어 공익 기업, 의료 서비스 제공 업체와 같이 규제가 엄격한 민간 기업에서 우려하는 사항입니다. 이러한 우려는 역사적으로 조직이 클라우드 서비스를 도입하는 데 장벽으로 작용해왔습니다. 데이터에 대한 투명성과 제어가 없다면 이러한 조직은 외부 클라우드 서비스를 활용할 수 없습니다. 데이터 보호 향상을 통해 클라우드 리소스를 이용하는 기업이 기밀 방식으로 데이터를 컴퓨팅할 수 있습니다.
클라우드의 디지털 주권
SecuStack은 인텔® SGX가 장착된 인텔® 프로세서를 활용하여 ID 관리, 키 관리, 가상 사설망(VPN) 서비스와 같이 중요한 인프라 서비스를 격리된 애플리케이션 엔클레이브 내에서 실행하도록 지원합니다. 엔클레이브에는 하드웨어 지원 기밀성과 무결성이 추가된 보호 기능이 있어 더 높은 권한 수준의 프로세스에서 액세스할 수 없습니다. 증명 서비스를 통해 신뢰 당사자는 시작 전 애플리케이션 엔클레이브 ID에 대한 일부 검증을 받을 수 있습니다. 이러한 기능을 통해 애플리케이션은 보안을 강화합니다. Scontain의 SCONE 플랫폼을 활용하면 인텔® SGX 엔클레이브 내에서 서비스를 쉽게 통합하고 실행할 수 있습니다. 투명한 런타임 암호화, 비밀 관리, 권한 부여와 같은 기능을 편리하게 통합할 수 있습니다. 인텔® SGX 엔클레이브와 오픈 소스 기반의 강화되고 암호화로 보호된 인프라 계층을 결합하여 고급 보호 기능을 제공합니다. 애플리케이션과 데이터의 보안과 주권은 물론 인프라 계층의 무결성을 향상할 수 있기 때문입니다. 인프라 보호 외에도 SecuStack은 기밀 클라우드 네이티브 애플리케이션도 지원합니다. 애플리케이션 서비스는 예를 들어 Kubernetes 클러스터에서 구동되는 인텔® SGX 엔클레이브 내에서 실행할 수 있습니다(그림 1). 또한, SecuStack은 인텔® Advanced Encryption Standard New Instructions(인텔® AES-NI)를 사용하여 SecuStack의 암호화 프로세스를 촉진합니다.
그림 1 SecuStack 운영 체제는 인텔® 소프트웨어 가드 익스텐션(인텔® SGX)를 활용하여 클라우드에서 기밀 컴퓨팅을 제공합니다.
협업으로 향상하는 클라우드 보안
인텔과 마찬가지로 Secunet은 소프트웨어나 하드웨어만으로는 진정한 보안을 달성할 수 없다고 믿습니다. 진정한 보안은 소프트웨어와 하드웨어 기능의 결합을 통해 실현됩니다. 수십 년 동안 인텔은 보안 부팅과 온 프로세서 가상화와 같은 하드웨어 보안 기능을 향상해 왔습니다. 인텔® SGX는 엔클레이브, 증명, 메모리 암호화, 사용 중인 데이터 보호를 비롯한 중요 보안 기능을 추가합니다. SecuStack은 인텔의 이 모든 혁신을 활용하며 보안이 강화된 버전의 OpenStack과 결합합니다. 두 기업은 인텔® SGX를 활용하는 SCONE 플랫폼에 여러 도구를 추가한 Scontain과 협업해 왔습니다. 세 기업의 협력으로 검증 가능하고 운영 가능한 클라우드 OS가 완성되었습니다. 이를 통해 마침내 의료 서비스, 은행 업무, 멀티 파티 컴퓨팅, 기밀 컴퓨팅, 공공 부문과 같은 사용 사례에 클라우드 컴퓨팅을 도입할 수 있습니다.
SecuStack을 개발하는 동안 인텔은 SecuStack 개발자가 곧 구현될 새로운 인텔 기술을 이해할 수 있도록 교육 리소스를 제공하였습니다. 인텔 엔지니어는 머신 러닝과 인공 지능(AI) 사용 사례에 엔클레이브 기술을 적용하는 방법에 대한 통찰력을 공유하고 인텔® SGX에 대한 질문에 답변하였습니다. 또한, 인텔은 하드웨어 제품에 대한 얼리 액세스와 인텔 Labs 및 기술에 대한 원격 액세스를 제공하였습니다. 인텔과 Secunet은 클라우드 컴퓨팅 보안을 더 강화하기 위해 신기술에 대한 지속적인 협업과 투자를 기대하고 있습니다.
"많은 플랫폼 공급업체가 클라우드 기술이나 인공 지능(AI) 기능을 제공할 수 있습니다. 인텔은 종합적이고 안전한 방식으로 클라우드 및 AI 기술을 제공할 수 있는 유일한 기업입니다." - Secunet Security Networks AG의 최고 기술 책임자 Kai Martius
SecuStack 사용 사례: 기밀 멀티 파티 컴퓨팅
SecuStack은 클라우드의 새로운 애플리케이션을 위해 SCONE 플랫폼과 인텔® SGX를 사용합니다. 이러한 애플리케이션에는 머신 러닝과 멀티 파티 컴퓨팅 등이 있습니다. SecuStack의 건강 및 생명 과학 분야 고객 중 일부는 SecuStack을 사용하여 기밀 연합 머신 러닝 애플리케이션용 환자 데이터를 전송하고 처리하기 위한 머신 러닝 모델을 보호합니다. 클라우드 서비스 공급업체(CSP)를 "신뢰"할 수 있는지 없는지는 중요하지 않습니다. 교육 데이터, 코드, 모델은 CSP의 액세스로부터 계속 보호됩니다. SecuStack은 확장된 연구에 힘을 실어주고 있습니다. 이는 잠재적으로 질병의 진단과 치료에 흥미로운 돌파구를 열어줄 수도 있습니다.
SecuStack 사용 사례: 클라우드에서 비디오 데이터의 익명화 및 가명화
SecuStack의 한 고객은 일반 데이터 보호 규정(GDPR)을 준수하면서 다양한 소스의 데이터를 결합함으로써 인공 지능(AI)의 연합 학습을 위해 보안이 강화된 운영 체제를 사용하고 있습니다. 이 고객은 특히 SecuStack이 제공하는 맞춤형 보안 클라우드 인프라의 완벽한 수명 주기 관리 프로비저닝을 높이 평가합니다. 인프라 관리는 SecuStack 파트너인 Cloud&Heat에서 제공하는 서비스를 통해 관리형 Kubernetes로 확장되어 머신 러닝 개발을 지원할 수 있습니다. 이 고객에게 비즈니스 이점을 제공하는 다른 SecuStack 기능으로는 데이터에 대한 액세스를 더 안전하게 보호하고, 유럽 연합 데이터 보호 표준을 위반하지 않으면서 비디오 데이터를 안전하게 저장하고 분석하는 기능을 제공하는 보안 지원 가상 사설망(VPN) 연결 등이 있습니다.
"우리는 향후 기술과 엔지니어링 지원에 대한 정보를 제공하는 인텔과 훌륭한 관계를 맺고 있습니다. 기술과 그에 따르는 한계를 이해하는 것은 중요합니다. 이를 통해 어떻게 기술을 사용하고 견고한 솔루션을 구축할지 파악할 수 있기 때문입니다." - Secunet Security Networks AG의 최고 기술 책임자 Kai Martius
Secunet Security Networks AG에 쏟아지는 스포트라이트
Secunet Security Networks AG는 독일의 선도적인 사이버 보안 기업입니다. Secunet에는 정부, 기업, 사회의 디지털 주권을 강화하는 700명 이상의 전문가가 있습니다. Secunet은 제품과 컨설팅 서비스의 결합, 탄탄한 디지털 인프라를 비롯하여 데이터, 애플리케이션, 디지털 ID에 대해 최상급 보안을 제공합니다. Secunet은 클라우드, 산업용 사물 인터넷(IIoT), 머신 러닝, 이헬스와 같이 고유 보안 요구 사항이 있는 분야를 전문으로 합니다. Secunet의 고객으로는 독일 연방 정부 부처, 국가 조직과 국제 조직, 20곳 이상의 DAX 상장 기업 등이 있습니다.
솔루션 구성 요소
- SecuStack 클라우드 OS
- Scontain SCONE 플랫폼
- 인텔® 소프트웨어 가드 익스텐션(인텔® SGX)
- 인텔® Advanced Encryption Standard New Instructions(인텔® AES-NI)
- Cloud & Heat에서 관리하는 Kubernetes