본문 바로가기

OS & network/cloud

OCI 클라우드에서의 기밀 데이터 보호 (Confidential Computing)

테크넷 마스터 김재벌 입니다...

 

정말 오래만에 포스팅이네요..ㅠㅠ   2022년 12월 초 까지 블로그 올리고, 2023년 1월 초까지 유튜브 곰돌스에서 활동했는데, 그 뒤로 거의 2달 이상을 활동을 못했습니다.

어려운 점은 앞으로도 부지런히 올릴 수 있을지 장담을 못하겠네요.

12월 말 부터 1월 초는 외국 친구의 초대로 해외에 머물르면서 충전하는 좋은 시간을 보냈는데, 그 뒤에 가정에 대소사가 있었습니다. 한 4-5주 기간 동안 외숙모,이모,외삼촌이 1주일-10일 정도 간격으로 갑작스레 하늘나라로 떠나신데다가 부모님의 건강도 좋지 못했서, 거의 몇주간 병원을 왕래하면서 시간을 보냈네요.

 

매번 하나씩 올려야지 하다가도, 하루가 어찌 짧게 가는지..ㅠㅠ

 

오늘은 맘 먹고 올려 봅니다.

 

최근 클라우드 시장이 FinOPS 니즈가 많아지고, 오라클 클라우드 역시 꽤 많은 사이트를 윈백하고 좋은 결과를 내고 있는 것 같습니다. 오라클 클라우드를 소개하는 사람 입장에서는 만족스러운 결과고, 무엇보다 AWS만 알고 있는 분들이 OCI에 대해서 관심을 갖고 제게 문의를 가끔 주시는 분들도 있어서 격세지감을 느끼네요..^^

 

클라우드 분야에서 최근에 가장 큰 화두는 비용 절감과 더불어 보안인데요.

 

오라클 클라우드는 2022년 OCW에서  컴퓨팅 인프라를 보다 강화 할 수 있는 강력한 보안을 위해서 지속적으로 서비스를 강화 하고 있습니다.

 

OCI 에서 Object Storage 및 Block Storage 서비스에 저장되어 있고 전송중인 데이터에 대한 보호를 위해서 OCI Valut 서비스 및 OCI 인증 서비스로 암호화 합니다.

추가적으로 Confidential Computing 을 이용해 OCI 인스턴스 에서 사용중인 데이터를 보다 강력하게 보호 할 수 있게  되었습니다.

 

OCI E3 및 E4 기반 컨피덴셜 VM을 이용하여 AMD EPYC 프로세서의 최신 보안 기능과 성능을 제공하는 동시에 워크로드를 클라우드로 전환할 때 데이터 제어를 보다 확실하게 보장 할 수 있도록 지원 한다고 AMD 클라우드 비지니스 수석 이사가 인터뷰 하기도 했는데요.

 

그럼 Confidential Computing(기밀 컴퓨팅) 은 무엇을 뜻하는 걸까요?

 

기밀 컴퓨팅은 하드웨어 수준에서 사용 중인 데이터를 보호합니다. 
AMD EPYC™ 프로세서로 구동되는 기밀 컴퓨팅을 통해 보안 암호화 가상화(SEV) 및 보안 메모리 암호화(SME)가 있는 기밀 베어메탈 서버와 같은 AMD Infinity Guard 기능의 도움으로 기밀 가상 머신(VM)을 활성화할 수 있습니다 .
모든 OCI의 E3 및 E4에서 사용할 수 있는 2세대 및 3세대 AMD EPYC 프로세서에서 사용할 수 있는 보안 구성 요소를 활용합니다.

AMD SEV와 함께 AMD EPYC 프로세서는 게스트를 하이퍼바이저와 서로 간에 격리하기 위해 메모리 암호화를 위해 VM당 고유한 키를 사용하여 무결성과 개인 정보 보호를 지원합니다. SME를 사용하면 부팅 시 AMD 보안 프로세서에서 단일 키를 생성하고 전체 시스템 메모리를 암호화하는 데 사용합니다. 암호화 키는 보안 프로세서에 의해 하드웨어 수준에서 보호되므로 Oracle도 액세스할 수 없습니다.

 

AMD Infinifty Guard 관련 자료는 아래 링크를 참고 하세요.

 

https://www.itcreations.com/user-manuals/amd-integrators/amd-epyc-7002-series-processors-leadership-security-features-for-the-modern-data-center.pdf

 

Independent Distributor of Servers and Workstations - HPE, Dell, Lenovo, IBM | IT Creations, Inc

Delivering high-end servers, professional workstations, and components from all the top manufacturers including HPE, Dell, Lenovo, Cisco, Supermicro, Intel

www.itcreations.com

 

컨피덴셜 컴퓨팅에는 조직이 컨피덴셜 VM 또는 베어메탈 서버를 포함하도록 보안 상태를 강화할지 여부를 결정할 때 고려할 수 있는 몇 가지 장점이 있습니다. 

가장 낮은 하드웨어 계층을 통해 보안을 제공함으로써 Confidential Computing은 신뢰할 수 있는 당사자(OS, 에코시스템 파트너 및 관리자) 목록을 최소화하여 데이터 노출 위험을 줄이는 데 도움을 줍니다.

강화된 하드웨어 기반 RoT(Root of Trust)를 통해 사용 중인 데이터의 더 작은 공격 영역과 더 많은 보안을 제공함으로써 내부자 위협 및 펌웨어 손상과 같은 일부 유형의 취약성으로부터 보호하는 데 도움이 됩니다.

금융, 의료 또는 기타 규제가 엄격한 산업과 같은 산업에서는 전체 수명 주기 동안 데이터를 보호하는 것이 중요하고 이는 컴플라이언스 요구를 달성하는데 있어서도 유리 합니다.

 

오라클 OCI 2세대 클라우드가 강조하는 부분도 역시 여기에 있습니다.


애플리케이션 코드를 변경하지 않고 성능에 미치는 영향을 최소화하면서 OCI의 Confidential Computing 제품을 통해 이러한 모든 이점을 얻을 수 있습니다. 기밀 컴퓨팅을 활성화해도 컴퓨팅 인스턴스 가격 외에 추가 비용이 발생하지 않고, 하드웨어 암호화 이므로 성능 저하 역시 거의 없습니다.

 

그러면 이 기능을 사용하기 위해서는 어떻게 해야 할까요?

 

먼저 OCI 콘솔에서 인스턴스를 생성하고 보안 섹션으로 이동합니다. 그리고 편집 메뉴에 진입합니다.

그리고, 아래와 같이 confidential computing 메뉴를 켜줍니다. 

잠금 모양이 있는 아이콘을 찾아 호환되는 이미지를 선택 하면 됩니다... 참 쉽죠잉.~

 

강력하고, 편하고 좋은데 사용하지 않을 이유가 없습니다.

하지만, 안타깝게도 모든 리전에서 사용이 가능한 기능은 아닙니다.

미국 동부(애시번), 미국 서부(피닉스) 등 아직 까지는 일부 지역에서만 지원 됩니다.

 

또, 주의할 점은 이미 구축된 인스턴스를 대상으로 이 기능을 사용할 수는 없어요...@@

 

추후 시간이 좀 있으면 OCI vault 설정과 암호화 관련 기능을 작성해 보도록 하겠습니다.

그럼...