SecureCloud Towards a Comprehensive Security Framework for Cloud Computing Environments

III. SECURITY CHALLENGES IN CLOUD

클라우드 컴퓨팅은 다중 도메인 환경 인스턴스로써 여겨질수 있다. 각 도메인은 다양한 보안과 트러스트 요구사항을 채택하고 여러가지 매커니즘과 시멘틱을 채택한다. 그러한 도메인들은 개별적으로 이용할 수 있는 서비스 또는 애플리케이션 컴포넌트를  표현한다. 서비스 지향 아키텍쳐는 서비스 조합을 통해 다중 도메인 형태를 가능케하기 위한 관련 기술이다. 다중 도메인 정책 통합과 안전한 서비스 조합에 대한 기존 연구들은 클라우드 컴퓨팅 환경에서 광범위한 보안 프레임워크를 구성하는데 이용될 수 있다. 여기서 우리는  클라우드 컴퓨팅이 일으킬 수 있는 주요 보안 챌린지에 대해 다룬다.

A. 인증과 신원 관리

클라우드 서비스를 사용하여 사용자는 그들의 개인정보를 쉽게 접근할 수 있고 인터넷에서 다양한 서비스를 이용할 수 있다. 우리는 자격정보와 프로파일/특징들에 근거한 사용자및 서비스 인증을 위한 신원 관리 매커니즘을 가질 필요가 있다. 클라우드에서 그러한 신원 관리매커니즘의 주요 이슈는 상호운용성이다. 이러한 이슈는 클라우드에서 서로 다른 신원 토큰과 신원 협상 프로토콜 사용으로 인해 발생된다. 신원 관리 매커니즘 시스템은 사용자및 프로세스와 연관된 사적이고 민감한 정보를 보호와 관련된 프라이버시를 수용할수 있어야한다.  멀티테넌트 클라우드 환경이 신원 정보의 프라이버시에 어떻게 영향을 주는지 아직까지 잘 이해되지 않고 있다. 사용자가 서비스의 프론트와 상호작용할 때, 이 서비스는 다른 서비스로부터 보호되고 있는 사용자의 신원을 알 필요가 있다.

인증과 신원 관리 모듈
클라우드에서 적절한 사용자 중심 IDM은 융통성있고 확장성있는 IDM 서비스를 제공하기 위하여 필수적이다. 사용자 중심 IDM은 최근들어 사적이고 중요한 신원 속성을 다루기 위해 많은 관심을 받고 있다. 이 접근법에서, 신원은 사용자를 식별하고 정의하는 식별자 또는 속성이다. 사용자 중십 접근법의 주목할만한 아이디어는 사용자에게 그들의 디지털 신원을 제어하도록 허락하고 엔터프라이즈로부터 IDM의 복잡성을 없앤다. 그래서 자신이 소유하고 있는 기능들에 집중할 수 있도록 한다. 사용자 중심 IDM은 사용자들을 위한 신원정보 상황의 의미를 적절히 유지한다는 것을 의미하고 때떄로 주어진 상황에서 사용자의 요청에 대한 최상의 응답을 찾기 위하여 그것들을 제한하고 완화한다. 다른 연합된 IDM 해결책들 또한 이질성있는 클라우드 환경에서 좋을 수 있다. 이는 필요에 따라 클라우드에서 IDM서비스들이 엔터프라이즈의 기존 IDM 프레임워크와 통합될 수 있다는 것을 보장하는것이 중요하다. 어떤 경우에는 다양한 신원 속성들을 증명하기 위한 프라이버스 보존 프로토콜이 중요하다. 영지식증명(zero-knowledge proof) [상대방에게 정보를 알고 있음을 증명하는 방법] 기반 기술들은 이러한 목적으로 사용될 수 있다. 필명(pseudonyms) 사용과 사용자의 프라이버시를 보호하기 위한 다중 신원 제공에 대한 기존 연구들은 클라우드를 위한 바람직한 사용자 중심 연합 IDM을 구축하는데 도움을 줄 수 있다. IDM 해결책들은 복잡한 서비스 조합 환경에서 식별과 인증 이슈를 다루기 위하여 위임 기능을 가지고 더욱 확장 될수 있다.

B. 접근 제어

클라우드 컴퓨팅 환경에서 서비스들의 이질성및 다양성과 도메인의 다양한 접근 요구는 세립형(fine-grained) 접근 제어 정책을 필요할 것이다. 특히, 접근제어 서비스들은 접근 요구에 기반하여 동적, 상황 또는 속성/자격(attribute/credential)을 담아낼 만큼 충분히 융통성있어야하고 최소 권한(least privilege) 원칙 강화를 가능케 해야한다.

그러한 접근 제어 서비스들은 복잡한 규칙으로 부터 나온 프라이버시 보호 요구를 통합할 필요가 있다. 클라우드에서 고용된 접근 제어 시스템은 쉽게 관리되고 권한 분산이 효과적으로 관리되는 것이 중요하다. 또한 클라우드 전달 모델은 적절한 상호운용성을 위해 포괄적인 접근 제어 인터페이스를 제공하도록 보장하는 것이 중요하다. 이는 크로스 도메인 접근제어 이슈들에서 사용될 수 있는 정책 중립 접근제어 명세와 강화 프레임워크를 요구한다. 또한, 접근제어 모델은 SLA 관련 측면을 포착할 수 있어야 한다.

접근 제어 모듈
이 모듈은 프로바이더의 접근 제어 필요를 지원할 책임이 있다. 요구에 근거하여, 다양한 접근제어 모델들이 사용될 수 있다. 역할 기반 접근제어(RBAC)는 동적인 요구를 포착한다는 점에서 간단하고 융통성있기 때문에 가장 유망한 접근제어 방법으로 여겨지고 있고 최소 권한 원칙과 효과적인 권한 관리를 지원한다. 더욱이, RBAC는 정책 중립적이고 정책 요구의 다양함을 포착할 수 있고 정책 통합에 가장 적합하다. RBAC는 또한  사용량 제어 목적으로 사용될 수 있다. 이는 허가안에서 의무와 조건을 통합하기 위해 접근제어를 일반화하는 것이다. 의무는 주체가 접근 요청을 실현해야만 한다는 요구사항으로써 정의된다. 조건은 접근 요청을 만족해야만 하는 주체와 대상하고는 독립적인 환경적 요구사항이다. 클라우드의 높은 동적 속성으로 인해 의무와 조건은 클라우드에 의해 제공되는 리소스들의 사용량을 잘 제어하기 위한 중요한 결정 요인이다. credential-based RBAC, GTRBAC 그리고 위치기반 RBAC와 같은 최근 RBAC 확장들은 상황에 기반한  세밀형 접근 제어 요구를 포착하기 위한 필수적인 모델 구조와 역량을 제공한다. 클라우드에서 사용자들은 서비스 프로바이더들에게 알려져 있지 않아서 접근제어 정책에서롤에 직접 사용자를 할당하기는 어렵다. credential/attribute 기반 정책들은 이러한 능력을 향상시킬지도 모른다. 그러나 클라우드같은 서비스 지향 환경에서 RBAC와 확장들을 채택하는 연구는 거의 없다.

C. 정책 통합

예를 들어, 아마존, 구글, FlexScale 그리고 그밖의 프로바이더들은 자신의 정책을 가지고 있고 이 정책들은 고객이 여러 프로바이드들을 함께 사용할 때 안전한 방법으로 통합될 필요가 있다. 각 프로바이더의 정책이 옳다고 증명될 떄조차 그들이 통합됨으로써보안 위반이 쉽게 일어 날 수 있다. 클라우에서 정책 통합 태스크는 의미적인 이질성, 안전한 상호운영성, 정책 진화 관리와 같은 챌리지를 다룰 수 있어야만 한다.  상호운용중에 보안 위반없음을 확신 시킬 안전한 상호운용 매커니즘을 갖는것이 중요하다. 추가적으로, 정책 공학 매커니즘들은 서로 다른 클라우드 서비스 프로바이더들의 접근 정책 통합과 모든 협업 요구들을 수용하기 위한 글로벌 접근 정책을 정의할 필요가 있다. 더 나아가, 의미적 이질성은 고려될 필요가 있는 서로 다른 서비스 프로바이더의 정책들간 존재한다. 아마존 구글, 로드스톱, 그리고 그밖에 프로바이더들은 자신만의 접근법을 가지고 있을 것이고 이는 그들의 정책들 사이에서 의미적 충돌과 불일치가 있게될 것이다. 충돌을 자동적으로 검출하고 해결할 필요가 있다.

정책 통합 모듈
다중 도메인 접근 제어 정책에 대한 기존 연구는 다음의 이슈를 다루고 있다. 1) 안전한 상호운용을 보장하기 위한 정책들의 통합 2) 서로 다른 정책 도메인들의 접근 정책을 통합하고 글로벌 접근 정책을 정의하기 위한 정책 공학 매커니즘. 일부 접근법들은 서로 다른 정책 도메인으로부터 정책들의 다양한 조합 명세를 용이하게 할 수 있는 정책 대수(policy algebra)를 포함한다. 안전한 상호운용은 중앙 집중적이거나 분산적 방식에서 얻어질 수 있다. 중앙 집중적 접근에서 글로벌 정책은 모든 접근들을 중재하도록 만들어지고 서로 다른 요구를 지닌 다양한 서비스들이 정적으로 구성된 클라우드 애플리케이션에게 적당하다. 좀더 동적인 환경에서, 도메인들은 일시적이고 특정 목적을 위해 상호 작용할 필요가 있다. 이런 경우 좀더 분산적인 접근방법이 필요하다. 명세 프레임워크는 크로스 도메인 접근이 명시되고 증명되고 강화되는 보장을 할 필요가 있다. SAML, XACML 과 그밖에 WS 표준들은 이러한 필요에 대해 실행가능한 해결책이다. 그러나, 세밀형 RBAC에 대한 지원은  XRBAC에서 RBAC 특정 다중도메인 정책 명세와 강화 프레임워크에서 보여진것 처럼 한계를 지니고 있다. 정책 공학 매커니즘은 모든 협업의 요구를 수용하기 위해 글로벌 정책을 정의하는것이 중요하다. 롤 마이닝 기술은 이것을 지원하기 위해 유용할 수 있다. 클라우드에서 사용자는 그들이 필요로 하는 서비스를 기반으로 서로 다른 도메인으로 부터 서로 다른 롤들을 얻는다. 글로벌 정책을 정의하기 위하여 우리는  서로 다른 도메인으로 부터 RBAC 시스템 설정들을 이용할 수 있다. 이 과정은 또한 정책 진화 또는 변화하는 요구를 다루기 위하여 필요하다. 한가지 가능한 접근은 휴리스틱 롤 마이닝 해결책인 StateMiner이고 정책 공학을 위해 클라우드에서 채택할 수 있을지도 모른다.

D. 서비스 관리

클라우드 컴퓨팅 환경에서, 클라우드 서비스 프로바이더들은 고객의 요구에 맞는 괜찮은 서비스를 제공하기 위하여 협력한다. 예를 들어, 새로운 서비스 구성을 만들기 위해 Zoho, Workday, Zuora로 구성하고 고객들에게 패키지 서비스를 제공하는 서비스 통합이 있을수 있다. 클라우드 서비스 프로바이더들은 그들의 서비스를 WSDL를 가지고 제공하더라도 전통적인 WSDL은 클라우드 컴퓨팅 서비스 기술의 요구를 모두 만족시킬 수 없다. 클라우드에서, Qos, 서비스 가격, SLA와 같은 이슈는 서비스를 찾고 조합하는데 대단히 중요하다. 이러한 이슈들은 그들의 특징을 소개하기 위한 표준적인 방법으로 서비스들을 기술할 필요가 있다. (최상의 상호운용가능한 서비스를 찾고 서비스 소유자의 정책을 위반하지 않고 그것들을 통합하고 SLA를 만족하도록 보장하기 위함)

서비스 관리 모듈
보안과 프라이버시를 고려한 자동적이고 시스템적인 서비스 프로비저닝과 조합 접근법이 개발될 필요가 있다. 연구자들은 OSGi 권한부여 매커니즘에 RBAC를 설정하고 매핑하기 위한 개발을 해오고 있다. 선언적 OWL 기반 언어는 서비스, 기능적 요구, 컴포넌트 그룹핑, 토폴로지 명령을 구성하는 구분된 컴포넌트 목록을 포함한 서비스 정의 manifest를 제공하기 위해 사용될 수있다. OSGi는 자동화된 서비스 프로비저닝을 위해 에이전트 기반 협업시스템 개발에 채택될 수 있다. 협업 시스템들의 핵심 방향은 동적으로 변하고 협업의 요구를 지배하는 그룹의 상황이다. 개별 에이전트 문맥은 에이전트의 상황을 특징화하기 위해 중요하고 전체적인 협력적 행동들은 에이전트들간 관계와 상호작용때문에 그룹 컨텍스트에 의해 주도된다. 그룹 상황 기반 RBAC 모델은 그룹상황에 기반한 서비스 프로비저닝을 다루기 위해 확장될 수 있다. 이 모델은 계속적으로 진화하는 동적 접근 정책을 다루기 위한 퍼미션 지정을 주도하는 롤 매핑과 그룹 상황을 용이하게 하기 위하여 에이전트 기반 능력을 강조한다.

E. 신뢰 관리

다음 예를 생각해보자. 고객이 구글 인프라위에 웹 애플리케이션을 설계하고 실행하고 이를 LoadStorm을 사용하여 설계된 웹 애플리케이션의 성능을 테스트할 필요가 있다. 고객이 로드스톰을 믿을 수 있나? 구글과 로드스톰은 서로 신뢰하고 있는가? 어떻게 신뢰에 대해 협상할 수 있는가? 정적/동적인가? 신뢰를 관리하기 위한 요구사항은 무엇인가? 클라우드 컴퓨팅 환경에서, 서비스 요구로 인해 만들어진 서로 다른 서비스 도메인들 사이의 상호작용은 매우 동적이고 일시적이고 많은 주의를 기울여야 한다는 것(intensive) 을 예상할 수 있다. 그래서, 신뢰 관리 프레임워크는 신뢰를 구축하기 위해 요구되는 포괄적인 파라미터 집합을 포착하고 신뢰 증진과 상호작용/공유 요구를 관리하기 위하여 개발 되어야만 한다. 더욱이, 고객의 행동은 빠르게 진화함으로써  신뢰 구축에 영향을 미칠 수 있다. 효과적인 기술들이 신뢰 진화를 관리하기 위해 필요하다. 이는 신뢰의 성립, 협약, 관리를 지원하기 위한 신뢰 관리 접근이 필요하다. 답할 필요가 있는 중요한 질문이 있다. 인터 도메인 접근 요구를 만족하기 위하여 어떻게 신뢰를 성립하고 접근 매핑을 결정할 것인가? 어떻게 동적으로 변하는 신뢰를 관리 유지 하고 신뢰 진화로써 접근 요구를 적응할 것인가?

신뢰 관리 모듈
클라우드에서 세밀형 접근 제어 매커니즘을 가지고 요구 주도의(requirements-driven) 트러스트를 협상하는 기술 통합의 필요성이 있다. 클라우드의 서비스 지향적인 속성 덕분에 트러스트레벨은 서비스로 통합되어야만 한다.이러한 아이디어는 클라우드 프로바이더가 더 많은 서비스를 제공함에 따라 더 높은 트러스트레벨을 성립할 필요가 있다. 다른 문제는 클라우드에서 양방향 트러스트를 성립할 필요가 있다는 것이다. 다시말해서, 사용자들은 그들의 서비스를 선택하기 위하여 프로바이더에 대한 일정 트러스트 레벨을 가지고 있어야하고 프로바이더들 또한 그들의 서비스를 릴리즈하기 위하여 사용자에 대한 일정 트러스트 레벨을 가질 필요가 있다. 한가지 가능한 접근은 트러스트 협상 파라미터들의 포괄적인 집합을 포함하고 서비스와 통홥되고, 양뱡향인트러스트 관리 접근을 개발하는 것이다. 클라우드에서 동적인 서비스 조합은 매우 복잡함으로 트러스트뿐아니라 접근제어 프레임워크는 위임 프리미티브를 포함해야만 한다. 역할기반 위임을 포함한 접근 제어 위임에 관한 기존 연구는 주체들과  특권 보급과 폐지에 관한 제어 레벨들 사이에서의 특권 위임에 관한 이슈들에 집중하고 있다. 트러스트 위임을 위한 효과적인 암호화 매커니즘은 복잡한 트러스트 체인 증명과 페지 이슈를 수반한다. 이는 효율성에 권한 중요한 키 관리 이슈를 일으킨다.

이기종 관리 모듈
그들이 보안 매커니즘을 제공하기 위하여 서로 다른 접근법을 가지면서부터 서로 다른 서비스 프로바이더의 정책에서 의미적 이기종을 다루는 것은 필수 적이다. 서로다른 서비스 프로바이더들의 정책들에서 의미적인 충돌을 검출하는데 관심을 기울이지 않고 있다. XML이 정보 공유에 좋은 언어로써 채택됐지만 정보 의미를 기술하기 위해 불충분하다. RDF는 반면에 요소 속성과 특성을 지원하여 의미를 기술하기 위한 기능을 제공한다. RDF를 사용하여 의미를 기술할 수 있더라도 여러 컨셉들간의 관계를 표현하는 것은 상호작용하는 도메인들안에서 정책 정보를 의미적으로 통합가능케 하기위해 기본이다. 온토롤지 기반 접근법은 의미 이기종 이슈를 다루기 위한 가장 괜찮은 방법이다. 온톨로지 개발을 지원하기 위하여 XML스키마와 RDF 스키마는 도메인 지정 컨셉들을 제공하기 위하여 사용될 수 있다. OWL 기반 해결책은 클라우드에서 다중 프로바이드들에서 의미적 이기종을 지원하기 위해 개발될 수 있다. 우리는 이기종 환경과 정책 강화 프레임워크에서 보안 정책 관리를 용이하게 하기 위한 시스템 주도 정책 프레임워크를 채택할 수 있다.