소버린 클라우드란? 왜 중요할까요?

Alan Zeichick | Content Strategist | 2023년 10월 13일

명제 하나로 글을 시작해 보겠습니다. 조직의 데이터 일부 또는 전부는 특정 국가나 리전의 지리적 경계(그것이 주든, 국가든, 유럽 연합과 같은 더 넓은 지역이든 간에) 안에 존재해야 합니다. 이러한 요구 사항이 있는 이유는 다양합니다. 귀하의 산업에 대한 정부 규칙이 존재하거나, 귀하가 개인식별정보(PII)와 같은 특정 유형의 규제 대상 데이터를 관리하고 있을 수 있습니다. 비즈니스 특유의 문제나 경쟁력 문제가 있을 수도 있겠습니다. 근본적인 이유가 무엇이건 간에, 이 요구 사항을 디지털 주권 또는 데이터 주권이라고 부릅니다.

그러나 후자의 용어는 오해의 소지가 약간 있습니다. 많은 경우에서 주권 규제준수 요구 사항은 데이터베이스 테이블의 스토리지를 뛰어넘습니다. 규제 대상 데이터를 처리하는 모든 컴퓨터가 모든 네트워크, 데이터 흐름, 백업 및 재해 복구 시스템과 더불어 한 리전 내에 있어야 할 수 있습니다. 때로는 규제 시스템에 액세스할 수 있는 사람들조차도 해당 관할권의 시민이어야 하거나 보안 허가를 받아야 하기도 합니다.

조직이 디지털 주권 요구 사항을 충족하는 한 가지 방법은 모든 것을 로컬 데이터 센터에 저장하는 것입니다. 또 다른 방법은 클라우드를 사용하는 것, 특히 일부 디지털 주권 요구 사항을 충족하는 데 도움이 되면서도 클라우드 컴퓨팅의 모든 이점을 제공하는 소버린 클라우드를 사용하는 것입니다.

디지털 주권에 대한 요구 사항에 대해 자세히 알아보고 조직이 규정을 준수하는 데 소버린 클라우드가 어떤 도움이 되는지 살펴보겠습니다.

소버린 클라우드란?

소버린 클라우드는 조직이 디지털 주권 요구 사항을 맞출 수 있도록 지원하는 클라우드 환경입니다. 대부분의 주권 프레임워크 하에서 조직은 각 개인의 개인 정보를 보호합니다. 그러나 그 보호 범위가 더 넓어지기도 하는데, 지적 재산권, 소프트웨어, 비즈니스 방법, 재무 데이터, IT 인프라에 대한 정보, 심지어는 데이터 세트의 규모와 성장 속도를 설명하는 메타데이터까지 아우르기도 합니다. 소버린 클라우드는 클라우드 컴퓨팅 공급업체가 소유한 시설에 보관되며, 조직의 사용자와 비클라우드 IT 시스템에서 인터넷을 통하거나 인터넷에 연결되지 않은 전용 통신 링크를 통해 액세스할 수 있습니다.

소버린 클라우드는 대규모 조직의 자체 데이터 센터 내에서 별도로 '클라우드와 유사한' 설치로 구성할 수도 있습니다. 이러한 설치는 클라우드 환경처럼 작동하며 클라우드 서비스 공급업체가 유지 관리하지만 외부 환경과는 물리적으로 격리됩니다.

소버린 클라우드에는 다음 6가지 기능 중 하나 이상이 포함되며, 특정 기능은 지리적, 지역적 요구 사항 및 기타 요구 사항에 따라 달라집니다.

  1. 특정 회사 및 해당 파트너, 고객 및 공급업체에 속한 사용자, 소프트웨어, 시스템 및 서비스, 특정 지리적 리전 또는 특정 시민권 또는 보안 허가를 받은 조직 내 개인에게만 소버린 클라우드의 사용을 제한하는 액세스 제한.
  2. 특정 국가 또는 리전과 같이 소버린 클라우드가 있는 위치에 대한 조직적 제어, 또는 클라우드가 서비스 공급업체의 데이터 센터나 고객의 데이터 센터(데이터 상주라고도 함) 내에 존재하는지 여부에 대한 조직적 제어.
  3. 관련 법률 및 규정을 충족하기 위한 특정 법률, 계약 및 비즈니스 관행은 물론 기술 사양을 포함한 특정 정부, 규제 요건 또는 산업 요구 사항의 준수.
  4. 직원의 보안 허가, 시민권 및 거주에 대한 높은 고객의 기대와 법적 요구 사항을 충족하는 클라우드 서비스 공급업체의 운영 지원.
  5. 전용 네트워크 용량. 전용 네트워크 용량은 공용 인터넷을 통한 보안 VPN에서 인터넷 및 클라우드 공급업체의 다른 고객으로부터 완전히 격리된 에어갭 리전에 이르기까지 모든 것을 의미할 수 있습니다.
  6. 클라우드 서비스 공급업체가 암호화 키를 유지 관리하거나, 고객이 클라우드 서비스 공급업체가 확인하거나 액세스할 수 없는 자체 키를 가져오는 것과 관련될 수 있는 정교한 암호화.

핵심 요점

  • 소버린 클라우드를 통해 디지털 주권을 구현하면 데이터 규제를 준수하고, 기술 전문 지식을 얻고, 비즈니스 및 연속성을 보증하고, 공급망 효율성을 높이고, 지정학적 복원력을 얻는 데 도움이 됩니다.
  • 클라우드 주권과 관련한 어려움 중에는 모든 규칙을 알고 필요한 수준의 보호를 결정하는 데 도움이 되며 관련 인증과 규제 준수를 하기 위한 적절한 법인을 보유하고 있는 서비스 공급업체를 찾는 문제가 있습니다.
  • 소버린 클라우드는 일반적으로 인터넷에 연결되며 안전하고 암호화된 링크와 프로토콜을 통해 액세스됩니다. 경우에 따라 에어갭(air-gapped) 클라우드가 필요할 수 있습니다.
  • 데이터 주권을 위해서는 데이터가 데이터베이스나 파일 시스템에 저장되든 네트워크를 통해 전송되든 관계없이, 데이터가 승인된 프로토콜 세트로 암호화되어야 합니다.
  • 디지털 주권 법률 및 규정의 수와 복잡성이 증가할 것이고, 규제 준수 감사에 실패하거나 규정된 데이터를 노출하여 데이터를 침해하면 가혹한 재무 및 형사 처벌이 뒤따른다고 가정합니다.

소버린 클라우드 설명

소버린 클라우드가 무엇을 할 수 있는지 이해하려면 유럽 연합(EU)에서 사업하는 회사를 운영한다고 상상해 보세요. EU를 테스트 사례로 들기에 이상적인 이유는 전체 요구 사항뿐만 아니라 각 회원국의 요구 사항도 있기 때문입니다. 따라서 EU 내에서 디지털 주권을 유지해야 하는 모든 조직은 EU 요구 사항과 국가 요구 사항을 모두 충족해야 합니다.

EU 내에서의 클라우드 주권법은 규제 기관끼리 연동된 망이 주도하며, 규정은 계속해서 (대개 더 엄격하게) 변화합니다. 이러한 규제 진화의 대부분은 각 국회와 브뤼셀의 유럽연합 의회가 국외 사업체의 이윤에 대한 보호를 원하는 시민들의 요구뿐 아니라 지속적인 정치적 압력, 법률 집행 및 법원에 응답하여 주도됩니다. 바로 EU의 유럽연합 일반 데이터 보호 규칙(GDPR)과 같은 법률이 여기에 해당합니다.

조직에 독일과 프랑스에 사무실, 직원 및 고객이 있는 자회사가 있다고 가정해 봅시다. 어떤 데이터는 EU 요건을 준수하면서 두 국가 간에 공유될 수 있으며, 어떤 데이터는 독일이나 프랑스 법률에 의해 제한될 수 있고 특정 국가 내에서만 유지되어야 합니다. 고객 조직과 클라우드 서비스 공급업체 모두 소버린 클라우드가 모든 요구 사항을 만족하도록 보장할 책임을 공유합니다. 또한 못지않게 중요한 점으로, 이를 모든 당사자에게 입증할 수 있는 방식으로 소버린 클라우드를 구성할 책임 역시 공유합니다.

적절한 EU 준수 소버린 클라우드는 고객에게 EU 규정을 준수하는 데이터와 데이터의 흐름에 대한 제어를 제공하는 EU 수준에서의 주권이 포함되어 있으며, EU 외부로부터의 액세스를 감지하고 방해하고 차단하기 위한 비EU 액세스 보호가 포함되어 있고, 적절한 경우 이해관계자 통지와 허용 가능한 면제를 처리합니다.

소버린 클라우드의 이점

소버린 클라우드를 구축하는 것은 유능한 공급업체와 함께 하더라도 복잡할 수 있습니다. 그러나 얻게 되는 결실은 다양합니다. 그중에서도 제일이자 가장 중요한 것은, 규정 준수입니다. 클라우드 주권은 지역, 정치 및 산업 규정, 데이터 이식성, 규제 도메인 내부 및 규제 도메인 간 호환되는 데이터 전송을 광범위하게 다룹니다.

또한 소버린 클라우드는 다음과 같은 이점을 제공합니다.

  • 기술 솔루션과 전문 기술 업체를 사내에 두지 않을 수 있습니다.
    디지털 주권은 특히 조직이 상호 운용성 및 이식성을 유지하고자 할 때, 기술적으로 어려운 변화를 제시할 수 있습니다. 잘 구성된 소버린 클라우드는 규제 준수와 개방형 표준을 모두 제공합니다.
  • 운영 모범 사례
    소버린 클라우드 공급업체는 고객을 위해 허가된 키 액세스, 자체 키 가져오기 기능, 관리, 로깅, 기술 지원 등 강력한 운영 제어 기능을 갖추고 있습니다.
  • 비즈니스 및 연속성 보증
    일류 공급업체에서 설치하고 유지 관리하는 소버린 클라우드는 디지털 주권과 더불어 일류 클라우드의 확장성, 비즈니스 연속성 및 재해 복구, 중복성, 이식성 및 성능을 전부 제공합니다.
  • 공급망의 효율성
    소버린 클라우드를 제공하는 클라우드 서비스 공급업체는 단일 고객 조직의 능력을 뛰어넘어 서버, 네트워크, 칩, 케이블 연결, 24시간 가용성에 필요한 에너지, 시설, 인력 배치 및 학습을 소싱하는 경우가 많습니다.
  • 지정학적 복원력
    글로벌 영향력을 갖춘 소버린 클라우드 서비스 공급업체는 조직이 군사 충돌, 경제적 어려움, 기후 변화 및 기타 대규모 재해로 인한 기상 과제를 해결할 수 있도록 지원하여 지속 가능성을 보장합니다.

소버린 클라우드 도입 시 고려해야 할 5가지 요소

규제가 심한 산업의 조직은 소버린 클라우드를 소유 데이터 센터 내에서 실행하는 것이 기존의 유일한 선택이었을 것입니다. 오늘날은 클라우드 공급업체가 이러한 부담을 크게 덜어 줄 수 있습니다. 그러나 앞으로 나아갈 때 고려해야 할 핵심 요소가 다섯 가지 있습니다.

  1. 확장성
    조직은 소버린 클라우드를 통해 디지털 주권 규정을 준수하면서 클라우드 컴퓨팅의 유연성, 확장성, 성능 및 비용 이점을 활용할 수 있습니다.
  2. 제어
    클라우드 주권은 조직에 데이터 및 IT 인프라에 대한 상당한 제어권을 부여하여 조직이 데이터 주권 규정을 준수할 뿐만 아니라 강력한 내부 관행 및 정책을 구현할 수 있도록 합니다.
  3. 전문 지식
    소버린 클라우드 서비스 공급업체는 고객이 규제, 법률 및 기술 요구 사항을 충족하도록 돕는 데 관심이 있으므로, 클라우드로의 전환을 더욱 효율적으로 수행할 수 있는 전문 지식과 도구가 무엇인지 조사하는 것이 좋습니다.
  4. 유연성
    조직은 내부 IT 리소스와 소버린 클라우드를 모두 사용하여 기존 컴퓨팅과 클라우드 컴퓨팅의 장점을 모두 제공하는 규제 준수 하이브리드 환경을 구축할 수 있습니다.
  5. 적시성
    고객 및 클라우드 서비스 공급업체 모두 최신 규제 트렌드 및 프레임워크를 최신 상태로 유지해야 합니다. 이러한 작업을 통해 조직과 공급업체 모두 규제 준수를 보장하기 위해 매진하는 파트너십으로 발전하여, 규정 변경을 누락할 위험을 줄일 수 있습니다.

클라우드 주권의 5가지 과제

클라우드 주권에는 이점이 있지만, 클라우드 주권을 확립하기 위해서는 조직의 IT 팀이 다음을 포함한 몇 가지 장애물을 극복해야 합니다.

1. 규칙을 알고 있는 서비스 공급업체 찾기

디지털 주권법과 규정은 복잡합니다. 그리고 점점 더 복잡해지고 있습니다. 조직이 소버린 클라우드를 사용하든 기존 데이터 센터를 사용하든, 규제 환경 상 규제 준수 여부를 파악하기가 어렵습니다. 풀 서비스 소버린 클라우드 공급업체는 서비스를 규정 변경에 맞게 최신 상태로 유지할 수 있는 전문 지식과 프로세스를 모두 갖추고 있습니다.

2. 필요한 보호 수준 결정

조직이 단순히 개인 식별 정보(PII)가 국가 경계 내에서 제대로 암호화 및 저장되는지 확인하기만 하면 되나요? 아니면 규제 준수가 하드웨어에 물리적으로 액세스할 수 있는 모든 직원의 문서 저장소, 제어 시스템, 시민권 및 보안 허가를 보관하는 서버로까지 확장되나요? 필요한 것이 무엇인지 파악하기 전까지는 준수할 수 없습니다.

3. 재해 복구 아키텍처 설계

클라우드 주권은 기본 데이터 센터뿐만 아니라 모든 백업 복구 사이트 및 시설에도 적용할 수 있습니다. 즉, 클라우드 서비스 공급업체는 정의된 관할권 내에서 해당 시설을 제공할 충분한 리소스가 있어야 합니다.

4. 소버린 클라우드의 견고성과 완전성

일부 서비스 공급업체는 특화된 소버린 클라우드 서비스를 구축했습니다. 따라서 퍼블릭 클라우드에서 제공하는 애플리케이션, 기능 및 서비스는 소버린 클라우드에서 제공되지 않거나 완전히 사용하지 못할 수 있습니다.

5. 전체 인증 및 법인 획득

일부 규제 제도 하에서는 특정 지역에 본사를 두고 소유하는 서비스 공급업체가 소버린 클라우드를 소유하고 운영해야 합니다. 글로벌 클라우드 서비스 공급업체가 이러한 요구 사항을 맞출 수 있는 적절한 파트너십, 라이센스 및 법적 프레임워크를 갖추고 있는지 확인하는 것이 좋습니다.

소버린 클라우드의 5가지 주요 기능

소버린 클라우드를 구축하려는 회사는 업계별 또는 경쟁적 요소 외에도 다음과 같은 주요 기능 5가지에 대한 요구 사항을 고려해야 합니다.

1. 위치

규제 준수 규정 및 비즈니스 고려 사항을 기반으로 소버린 클라우드 데이터 센터와 백업 장소의 위치를 신중하게 선택합니다. 수집할 데이터 포인트에는 공급업체의 클라우드 데이터 센터 위치, 파트너가 소유한 다른 데이터 센터의 위치, 고객의 자체 시설 내에서 전용 소버린 클라우드의 실행 가능 여부가 포함됩니다.

2. 액세스 관리

조직은 클라우드 환경에 액세스할 수 있는 회사, 파트너, 고객, 소프트웨어 및 서비스를 항상 선택할 수 있어야 합니다. 국가 안보가 위태로울 때 등 특정 경우에는 고객이 완전한 전용 시설을 선택할 수도 있습니다.

3. 운영 및 지원

조직은 클라우드 공급업체와 파트너 모두의 관리 직원과 기술 직원 중에서, 시스템에 액세스할 뿐 아니라 성능 및 활용도 측정 지표와 같은 해당 시스템의 메타데이터에 액세스할 직원이 누구인지 제어해야 합니다.

4. 규제 준수

자체 요구 사항이 있는 각 관할권이 겹칠 가능성을 반영할 수 있도록 규제 및 보안 표준을 준수할 때는 소버린 클라우드를 유연하게 배포해야 합니다. 경우에 따라 고객은 특정 규제 제어 및 인가에 대한 고유한 요구 사항을 가질 수 있습니다.

5. 인터넷 연결 또는 에어갭

많은 또는 대부분의 고객에게, 공용 인터넷에 대한 암호화된 연결은 가장 저렴하고 완벽하게 규정을 준수하는 네트워크 링크일 수 있습니다. 그러나 일부 고객이나 애플리케이션에는 인터넷이나 다른 네트워크로부터 완전히 격리된 에어갭 영역이 필요할 수 있습니다.

데이터 주권과 암호화

암호화 없이는 데이터 주권을 가질 수 없습니다. 그리고 이는 데이터베이스, API 및 해당 데이터베이스 및 애플리케이션에 대한 액세스를 제공하는 기타 서비스 및 사용자 인터페이스에 저장된 데이터에도 적용됩니다. 암호화는 일반적으로 사용되는 알고리즘의 수와 버전, 키의 크기, 암호화 키의 저장과 액세스에 관한 규정으로 인해 복잡한 주제입니다. 이러한 현실은 데이터 주권을 기존 데이터에서 활성화하든 소버린 클라우드 내에서 활성화하든 마찬가지입니다. 클라우드의 경우이더라도, 암호화 키의 저장과 액세스에 대한 질문은 규정을 준수하며 비즈니스 요구까지 충족하는 방식으로 해결해야 합니다.

클라우드 서비스 공급업체가 키를 관리하면 소버린 클라우드 소프트웨어에 의해 마스터 암호화 키가 생성됩니다. 키를 고객이 관리하면, 마스터 암호화 키가 공급업체는 액세스할 수 없는 보안키 저장소 내에 저장됩니다. 이러한 키 볼트를 구성하는 HSM(하드웨어 보안 모듈)은 변조 보호 및 변조 방지가 가능해야 하며 공격에 대응할 수 있어야 합니다.

데이터베이스 또는 문서에 저장된 데이터('저장 상태 데이터'라고도 함)는 기본적으로 암호화되어야 합니다. 여기에는 기존 관계형 데이터베이스의 데이터, Docker/Kubernetes 컨테이너, 객체 데이터베이스, 파일 시스템, 블록 데이터베이스 및 부팅 레코드까지 포함됩니다.

네트워크를 통해 전송되는 정보('전송 중인 데이터'라고도 함)는 최소한 TLS(전송 계층 보안) 1.2 이상 및 X.509 디지털 인증서와 같은 표준을 준수하는 최신 프로토콜을 사용해야 합니다. 로컬 규정에서는 이더넷 네트워크에 대해 MACsec(IEEE 802.1AE)와 같이 더 엄격한 암호화가 필요할 수도 있습니다. 이러한 암호화가 기본값으로 활성화되어야 하며 데이터를 일반 텍스트로 전송하는 것은 허용되어서는 안 됩니다.

주권의 미래

2016년 EU의 일반 개인정보 보호법(GDPR)이 통과되며 데이터 주권이 쏟아져 나왔지만, 이는 시작에 불과했습니다. 매년 전 세계 국가와 유럽 연합 등의 지역은 데이터 주권 요구 사항을 개정합니다. 이들은 모호성을 없애고, 약점을 줄이고, 소비자 및 정치적 신뢰를 개선하고, 비즈니스를 보호하고, 경제 분쟁, 군사 분쟁, 테러, 사이버 범죄와 같은 지정학적 상황에 대응하기 위한 기준을 강화하고 있습니다.

예측을 하나 하겠습니다. 디지털 주권법과 규정의 수와 복잡성은 증가할 것입니다.

하나 더 예측하자면, 규제 준수 감사를 통과하지 못하거나 규제 대상 데이터를 노출하여 데이터를 침해하는 데 대한 재무 및 형사 처벌은 더 심해질 것입니다.

IDC에 따르면 최근 경제적 사건과 지정학적 사건으로 인해, 전 세계 75% 이상의 기업이 비즈니스 및 기술 관심사로서 디지털 주권을 중요하게 생각한다고 합니다. 이제 개인 정보 보호 조치를 개선하고 구현하는 것이 다국적 기업의 최우선 과제인 것입니다.

또한 IDC에 따르면 기업의 절반 이상이 퍼블릭 클라우드에 총예산의 25% 이상을 지출하게 되며, 서비스형 인프라(IaaS)는 56%까지 사용하게 될 것이라고 합니다. 이로 인해 디지털 주권 요구 사항의 클라우드 구성 요소에 대한 집중도가 높아지고 있습니다.

IDC는 또한, 소버린 클라우드 공급업체를 압박하는 두려움 중에는 고객의 데이터를 관리 직원과 지원 직원의 액세스로부터 보호하고, 비즈니스 연속성을 유지하며, 재해 복구 규정을 준수하는 것이 포함된다고 덧붙였습니다.

복원력은 분명히 게임의 이름입니다.

전반적으로 클라우드 주권은 비교적 새로운 개념입니다. 그래서 조직들은 클라우드 주권이 조직의 클라우드 전략에 미칠 모든 영향을 막 이해하기 시작한 상태입니다. 소버린 클라우드를 구현한다는 것은 인프라, 전략, 거버넌스 프레임워크 및 기술에 대한 새로운 IT 요구 사항을 파악한다는 것을 의미합니다. 소버린 클라우드는 장기적인 전략이기 때문에 조직들은 가장 엄격한 규제가 적용되는 도메인 및 규제 환경에 집중하는 동시에 새로운 법률 및 산업 규칙의 변화를 모니터링하는 데 투자하고 있습니다. 규정은 한번 강화되면 절대 완화되지 않기 때문입니다. 일방통행인 셈입니다.

소버린 클라우드 공급업체 선택하기

소버린 클라우드 솔루션 공급업체를 선택할 때는 디지털 주권 요구 사항을 충족하는 데 도움이 될 만한 최고의 종합 클라우드 솔루션을 제공하는 공급업체를 찾는 것이 좋습니다. 이상적으로, 소버린 클라우드에서 제공되는 서비스는 제공업체의 퍼블릭 클라우드에서 제공되는 서비스와 동일하며, 동일한 SLA(서비스 수준 계약)를 성능, 관리 및 가용성에 적용합니다.

이상적으로, 소버린 클라우드에서 제공되는 서비스는 제공업체의 퍼블릭 클라우드에서 제공되는 서비스와 동일하며, 동일한 SLA(서비스 수준 계약)를 성능, 관리 및 가용성에 적용합니다.

고려할 중요한 요소 중 하나는 규제 대상 지역 내에서 승인된 법인이 소유하여 운영하는 단일한 공급업체 솔루션을 사용할 수 있는가입니다. 투자와 파트너십을 합작으로 진행한다면 지원 문제, 통합 복잡성, 제품 출시 속도 저하, 경우에 따라서는 사용 가능한 기능의 개수 부족 등을 지적하게 될 수 있습니다.

소버린 클라우드 공급업체는 데이터 주권을 클라우드 필수적인 기능으로 제공해야 합니다. 데이터 주권이 별도의 패키지나 일부 퍼블릭 오퍼링이어서는 안 됩니다. 이렇게 해야 소버린 클라우드가 퍼블릭 클라우드와 동일한 하드웨어와 소프트웨어와 서비스를 사용하며, 액세스 제어가 강화되고 기타 규제 준수 제한이 활성화기 때문에 배포가 더 쉬워집니다.

재해 복구는 소버린 클라우드 계획 및 배포에 매우 중요합니다. 규제 준수 영역 내에 남아 있으며 복구와 페일오버로 구성할 수 있는 지역 내에서 클라우드 리전을 찾으세요.

또한 소버린 클라우드 공급업체는 복잡하고 끊임없이 변화하는 규제망을 탐색하는 데 도움이 되는 전문 지식을 보유하고 있어야 합니다. 공급업체와 고객은 규제 준수에 대한 책임을 원활하게 공유할 수 있어야 하며, 여기에는 필요에 따라 인증도 포함되어야 합니다.

Oracle Cloud로 주권 요구 사항 충족하기

주권을 위한 Oracle Cloud 솔루션은 고객이 민감한 데이터 및 애플리케이션, 규제 대상 또는 전략적 지역적 중요성, 주권 및 데이터 개인정보 보호 요구 사항에 따라 관리되는 워크로드와 관련된 클라우드 컴퓨팅에 대한 요구 사항을 맞출 수 있도록 지원합니다.

전 세계 점점 더 많은 국가와 지역에서 제공되고 있는 Oracle의 소버린 클라우드 솔루션Oracle Cloud Infrastructure(OCI)의 서비스와 기능을 제공하며, 고객이 디지털 주권 요구 사항을 맞출 수 있도록 지원합니다.

예를 들어, Oracle EU Sovereign Cloud를 사용하는 고객은 Oracle의 퍼블릭 클라우드 리전에서 제공되는 동일한 100개의 서비스를 표준 OCI 오퍼링과 동일한 가격, 지원, 워크로드 및 SLA로 사용하되, 물리적으로 분리된 인프라 및 EU 외부의 관할권으로부터 고객 데이터를 보호하는 추가 보호 기능도 함께 사용할 수 있습니다.

2023년 6월부터 제공되는 Oracle EU Sovereign Cloud는 완전히 유럽 연합 내에 있으며 EU 기반 인력이 지원하고 EU 내에 통합된 별도의 법인을 통해 운영됩니다. 이미 제공되는 100개 이상의 클라우드 서비스 외에도 Oracle Fusion Cloud Applications Suite와 같은 Oracle 애플리케이션도 사용할 수 있습니다.

데이터 상주 및 보안을 위해 설계된 Oracle EU Sovereign Cloud는 물리적으로 격리된 데이터 센터 공간에 보관되며 Oracle의 다른 클라우드 리전과 백본 네트워크로 연결되지 않습니다. Oracle EU Sovereign Cloud에 대한 고객 액세스는 Oracle Cloud의 상용 리전에 대한 액세스와 별도로 관리됩니다.

Oracle Cloud 리전 제공 다이어그램
고객은 클라우드 환경에 대한 액세스, 데이터가 호스팅되는 위치 및 보안 요구 사항을 충족하는 기타 옵션을 제어합니다.

또한 Oracle Cloud는 각 클라우드 리전 내에서의 고가용성을 고려하여 설계되어 국가 또는 지역 경계 내에서의 재해 복구를 지원합니다. 예를 들어, Oracle은 웨일스에 이중 정부 클라우드 리전 및 상용 클라우드 리전을 보유하고 있습니다. Oracle의 소버린 클라우드 솔루션은 상용 클라우드 리전과는 다른 조직 운영, 지원 및 정책을 제공하여 인텔리전스 커뮤니티 고객 또는 지형 공간 산업과 같은 민감한 고객에 대해서도 데이터 개인정보 보호 및 주권 지침과 요구 사항을 간소화하고 규제 준수를 단순화합니다.

자체 암호화 키를 유지 관리하는 조직이나 사업상의 이유로 그렇게 하기로 결정한 조직이라면, 이제 Oracle Cloud에서 새로운 OCI External Key Management Service를 사용할 수 있습니다. 이 서비스를 사용하면 암호화 키가 항상 고객의 관리하에 있게 되며 OCI로는 절대로 가져오지 않으므로, 고객이 키를 클라우드 외부에 저장해야 한다는 요구 사항을 준수하는 동시에 규제된 워크로드를 OCI로 이동할 수 있습니다.

Oracle은 23개국에서 46개의 상업·주권·정부 클라우드 리전에 걸쳐 폭넓으면서도 일관된 클라우드 인프라 서비스를 공급하며 점점 더 많은 글로벌 고객 기반에 서비스를 제공하고 있습니다. 2023년 10월 현재 Oracle은 상업 리전 36개, EU 주권 리전 2개, 정부 리전 8개뿐만 아니라 다양한 전용 리전과 국가 보안 리전을 운영하고 있습니다.

소버린 클라우드 배포에 사용할 수 있는 또 다른 Oracle Cloud 서비스는 Oracle Alloy로, 파트너가 클라우드 공급업체가 되어 모든 범위의 클라우드 서비스를 제공할 수 있게 해주는 완벽한 클라우드 인프라 플랫폼입니다. 파트너는 자체 데이터 센터에서 독립적으로 Oracle Alloy를 운영하고 운영을 완전히 제어하여 규정 요건을 더 잘 맞출 수 있습니다.

또한 Oracle Roving Edge Infrastructure는 클라우드의 성능을 데이터 센터 이상으로 확장하여 조직이 원격 및 엄격한 환경에서 선택된 클라우드 기능을 실행할 수 있게 해 줍니다.

한 단계 더 나아가, 국가 안보를 위한 Oracle Sovereign Cloud

정부 네트워크와 고도 기밀 워크로드에는 인터넷에 연결된 소버린 클라우드 리전에서 요구하는 수준을 능가하는 고객 인증 및 규제준수 요건이 요구될 수 있습니다. 이러한 경우 Oracle National Security Regions는 다음을 포함한 추가적인 보호 기능을 제공합니다.

  • 정부 인증: Oracle National Security Regions는 Oracle의 소버린 클라우드 및 퍼블릭 클라우드 리전과 동일한 서비스를 제공하는 동시에 가장 높은 수준의 정부 분류와 표준에 따른 인증을 받을 수 있습니다.
  • 에어갭 데이터 센터: 정부 표준을 충분히 그 이상 만족하며 정부 사양에 맞게 구축된 시설에 배포되며 인터넷에 연결되어 있지 않습니다.
  • 보안 운영: 고객별 보안 취급 허가를 보유한 현지 시민이 운영 및 지원합니다.

IDC는 '주권'을 국가, 회사 또는 개인의 디지털 자결 능력으로 정의합니다. 조직이 소버린 클라우드를 사용하면 클라우드 컴퓨팅을 사용하는 동시에 국가, 지역 및 산업 데이터 주권 규정의 엄격한 요구를 맞출 수 있습니다. 조직은 소버린 클라우드를 통해 배포 위치, 접근성, 운영, 지원, 규제 요구 사항, 심지어 인터넷 연결까지 제어할 수 있습니다.

디지털 주권은 단순히 개인 정보를 보관하기만 하는 것이 아니라 기술 및 운영 제어, 데이터 보증 정책, 심지어 기술 공급망에 영향을 미칩니다.

Oracle Sovereign Cloud: 액세스 관리

액세스를 제한하고 권한을 부여한 사용자에게 데이터 가용성과 이식성을 보장하여 데이터 및 기본 인프라에 대한 액세스를 관리합니다.

Sovereign Cloud FAQ

데이터 주권이란 무엇인가?

정부는 중요한 디지털 정보를 어떻게 저장해야 하는지, 어디에 저장해야 하는지, 누가 액세스할 수 있는지와 관련한 법률과 규정을 꾸준히 통과시킵니다. 데이터 주권은 조직과 개인이 해당 법률 및 규제를 준수하는 것까지 아우릅니다.

Sovereign Cloud가 무엇인가요?

소버린 클라우드는 고객이 저장된 데이터 및 소프트웨어, 네트워크 간 전송 중인 데이터 등과 같은 모든 디지털 정보가 데이터 주권법 및 규정을 준수함을 보장할 수 있도록 지원하는 클라우드 컴퓨팅 환경입니다.

데이터 주권법의 예는 무엇인가요?

2016년 유럽연합에 의해 제정된 일반 개인정보 보호법(GDPR)은 EU 내의 개인에 대한 정보를 수집하고 처리하는 조직에 대한 종합적인 요구 사항이 있습니다.

소버린 클라우드의 정보에 액세스할 수 있는 사람은 누구인가요?

데이터 주권법은 특정 지역 내의 소프트웨어, 서비스 및 사용자에 대한 데이터 액세스를 로컬 소유 회사 또는 특정 보안 허가 또는 기타 권한을 가진 회사로 제한할 수 있습니다.

소버린 클라우드는 인터넷에 연결되어 있나요?

많은 사용자의 경우에서 소버린 클라우드는 강력한 액세스 제어 기능을 갖춘 암호화된 링크를 통해 인터넷에 연결됩니다. 그러나 일부 정부 사용자와 매우 안전한 애플리케이션의 경우, 소버린 클라우드는 에어갭을 가지고 인터넷과 완전히 분리될 수 있습니다.

클라우드 백업 및 재해 복구 시나리오에 데이터 주권 규칙이 적용되나요?

네. 백업 및 재해 복구 사이트는 데이터 주권 규칙을 완벽하게 준수해야 합니다. 그래서 클라우드 주권을 위해 보조 클라우드 리전도 동일한 리전이나 규제 영역 내에 있어야 합니다.

클라우드 주권에서 위치가 중요한 이유는 무엇인가요?

데이터 주권법 및 규정을 준수하기 위해 데이터를 통제해야 하는 조직에서는 데이터를 저장할 지리적 리전을 선택하는 능력이 중요합니다.