33. 인공지능과 데이터 2

IaC를 사용하는 경우

- 단순 반복, 스케쥴링(배치) : 편리해짐

- 본사 ~ 지사 : DB 정합성(동기화) 자동화

- 작업매뉴얼 / 재구동매뉴얼... : 업데이트의 불편함 최소화

- 휴먼 에러 : 최소화

- 버전 관리 : 형상 관리 편리함

- 복구, 배포, 백업 관리 간편해 짐

- 인수인계 : 코드(표준화)

- 복잡한 구성 관리가 간편해짐(네트워크 구성, 정보 흐름(업무 흐름), 정보보호 구성, 개발 로직 흐름) DRAW.IO

* UML : 인프라 아키텍처, 인프라 디자인, DevOps, 보안 컨설턴트

 

IaC 단점

- 코드 변경 : 쉽게 배포, 문제가 확산

- 검토 프로세스 : 시간이 필요, 프로세스 구성이 필요

- IaC 만을 위한 코드 문법 학습이 필요

- 코드북 : 해설서, 안내서 변도로 필요할 수 있음(문서화 작성) - JIRA / WIKI

- Slack, Notion, Draw.io, Lucidchart, Git-hub 학습 필요

 

프라이빗, 퍼블릭 클라우드

IaaS : 인프라, 있음

PaaS-TA : CSAP 없음

SaaS : 솔루션, 서비스, 3-Party, 플러그인, 라이브러리

DaaS : 가상 PC

 

SaaS를 위한 클라우드 보안

- 구독형 요금제

- 기업을 위한 보안 구성요소(별도)

---

클라우드 보안 기능(요금제)

- Slack

- Notion

- Salesforce

- Workday

- Dropbox

- Zoom

- Google Drive

 

** 지원 예 : 암호화, (투펙터) 인증, LDAP(IDP 통합인증), 정책, 계정/권한, 보안 업데이트, 보안 교육, 엔드포인트 관리(Agents), 로깅, API 보안

IP / 시간 / 세션(동시성) 제어

---

직원 / ID / DB

- 정규직 DB(입퇴사) : 계약, 급여, 상주 - 인사 DB

- 비정규직 : 계약X, 급여O, 비상주 / 감사, 컨설팅, 감리, 단기파견, 아르바이트, 용역, 청소, 경비 등 - Guest DB

 

세션

- Idel Time : 유휴 시간, 키보드 + 마우스

 

로그

- 시간동기화 : GMT / UTC +9:00

- ETL

- 전처리(정형화, 파싱)

- Feeding

 

퍼블릭 : 간단(CSP 제공하는 보안) - Y, N > 과금 > OFF

프라이빗 : In-House 개발, 설치, 연동

클라우드를 기반으로 제공하는 Zoom, Brightics, Slack : 분석, 선택 도입

 

리프트 앤 시프트 전략 (1차) ~2025

 

클라우드 네이티브 (2차) ~ 2030

 

인프라와 클라우드 (프로비저닝, 풀)

- 서버 : 3 - Tier, 로그, 캐시, DNS/NTP, 보안 서버, DHCP 서버, 메일 서버...

- 스토리지 : 구성(블록, 파일, 오브젝트), 연결(DAS, NAS, SAN)

- DB : RDB, NoSQL 무결성 (패러티 비트, 해밍코드, CRC)

- 접근통제, 암호화, 계정/권한, 침해방지/차단, 로깅 : 상대적으로 클라우드에서의 보안 요구사항은 간단

- 애플리케이션 : 개발, 테스트, 배포, 자동화, 형상 관리 sevices

 

 

MAM : Application(은행) -Shell (설치 권한, Privacy 침해 X)

MDM : Device (Apple) - Kernel (설치 권한, Privacy 침해 O)

 

30 ~ 50종, 70 ~ 100대 / 본사, 지사

 

PoCs : Proof (개념검증), 시장에 only one. 제약조건 + 환경 -> 기능 요건 (신기술)

BMTs : Benchmark-test, 기준성능 대비 효율성 체크, 레거시 기술

 

AV-Test / DB-Ranking 정보

 

하이브리드 : 환경, 연결(연동) - 데이터, 애플리케이션, 업무, 네트워크(속도) - 분산 (인메모리캐시 - Redis)

멀티 : 벤더, SLA(장애, 피해, 가용율), ROI, Finops, TCO(6년 이상, 7년 이상)

** 5년 동안 온프레미스 비용 vs 5년 동안 클라우드 비용

 

라이센스

- Managed : 포함되어 있는

- On-Prem : 라이센스 인정, 클라우드 인정 X

- Cloud : On-Prem 인정 X

- 크로스 : On-Prem(3개) -> Cloud(3개)

 

DevOps, MLOps, FinOps, AIOps

 

데이터를 분산 처리?

- 병렬 처리

- 하둡, 맵리듀스 빅데이터 처리

- 캐시

- 부하 분산

- 세션 클러스터링

 

Redis vs Memcached (NoSQL DB) Document

- DDoS : 스머프성 (Reflected)

 

개인 : 자유도, 다양한 OS / HW, 웹 앱 기반 브라우징

기업 : 폐쇄(등록), Lock(권한), 승인/결제 기반 (직책, 조직, 위임, 대결, 감사)

---

클라우드 보안 SaaS 판단 기준

 

인증

 

 Active Directory

LDAP

SAML 2.0

O-Auth 2.0

OIDC

FIDO 2.0

JWT

 

NTML

 

인증 연동 Flow : IDP('LDAP'를 활용한 제품 = MS - 'AD') - SSO(SMAL O-Auth OIDC) - FIDO, JWT(API)

- AD : 인증 경량, 1st(On-Prem) - 2nd(Cloud), 로컬 캐시(NTLM), 조직/사람/계정

- 인증 DB

- 인증 DB X - 타 사이트 결과 값(토근) 받아서 처리

 

용어 정의 구분

- Identification : 식별, 1:다

- Authentication : 인증, 1:1(등록:검증)

- Authorization : 인가(권한부여), 읽기/쓰기

 

SMS, OTP 인증(TOTP, HOTP, 거래연동 기반 OTP)

 

사람, 조직, 계정을 어디서 관리할 것인지?

회원 DB를 어디에 저장/ 구성할 것인지?

신원 검증에 필요한 식별 key를 어디서 생성할 것인지?

신원 검증에 피룡한 식별 key를 어디서 검증할 것인지?

 

API : 접속 유입량 설계 : 부하 분산

 

레거시(유선 네트워크) : 유선 네트워크, 네트워크 장비(HW) - 보안(In-Line), 구성 변경(Static)

- In-Line : A --- 보안 --- B

- Out-Of-Path : A --- 경로 이탈하여 미러링 및 보안 ---B

** 트래픽 패킷 - 데이터 추출(전처리, 가공) : 법적 효력X, 원본 훼손

** 트래픽 패킷 그대로 덤프 : 법적 효력, 원본 그대로

 

클라우드(무선 네트워크) : IP 통신 네트워크, 네트워크 장비(논리적 연결), 가상화 Agents - 중앙(로그 집중화, 분석), 구성 변경(유연)

---

CSPM : 보안 구성(CCE, Configuration) 관리, 형상 관리

 

CWPP : Workload 보안/보호, 워크로드 식별 - 자산화 - 보호 영역(IP - NAT) - 보호(통합 적용) - 모니터링

- 도구, 프레임워크(표준) 미국 국방부

 

CASB : Access 브로커(미들웨어) : DLP(PC Agents)

- DLP(PC Agents)

- 유출 : 카카오톡, P2P, 웹-NAS, 블루투스 테더링, 와이파이, USB, 공유폴더(SMB), FTP, SNS...

- IP Enroll(등록) - 등록되지 않은 IP

 

CNAPP : 참고