데이터는 기업에게 가장 가치 있는 자원이 되었습니다. 데이터를 훔치고 손상시켜 기업 비즈니스를 방해하려는 악의적인 행위자가 많다는 것은 당연한 일입니다. 데이터 보안은 권한이 없는 사용자, 악의적인 의도를 가진 데이터 손상 및 데이터 도난으로부터 데이터를 보호하는 것입니다. 왜 많은 보안 회사들이 애플리케이션, 네트워크, 엔드포인트 보호에 대해서는 이야기하면서 데이터에 대해서는 덜 이야기하는지 궁금할 수 있습니다. 그 이유는 데이터와 애플리케이션 및 시스템 간에 밀접한 관계가 있기 때문입니다. 애플리케이션과 시스템을 악의적인 공격자로부터 보호하지 않으면 데이터 보안은 불가능합니다. ‘데이터는 새로운 석유’라는 문구는 애플리케이션과 데이터의 관계를 설명합니다. 원시 형태의 석유와 마찬가지로 데이터도 소비를 위해 정제하지 않으면 유용하지 않습니다. 애플리케이션은 데이터에 대한 작업을 수행하여 사용자에게 사용하기 쉬운 방식으로 데이터를 표시합니다.
데이터 보안에서 SASE의 역할
SASE에 대한 개요는 SASE 해독하기 블로그를 참조하세요. SASE는 온프레미스 클라우드, 퍼블릭 클라우드, 퍼블릭 엣지 전반에 걸쳐 분산된 인력과 분산된 배포 환경에서 애플리케이션을 보호하는 데 중요한 역할을 합니다. 다음 섹션에서는 몇 가지 주요 보안 문제와 SASE가 이를 해결하는 방법을 설명합니다. 기업에서는 다양한 비즈니스 목적을 위해 많은 애플리케이션을 개발하거나 배포합니다. 모든 애플리케이션이 모든 엔터프라이즈 데이터에 액세스해야 하는 것은 아닙니다. 또한 애플리케이션의 모든 사용자가 모든 애플리케이션 데이터에 액세스할 필요는 없습니다. 따라서 ‘최소 권한 액세스’와 ‘신원 기반 액세스 제어’가 데이터 보안의 핵심입니다. 애플리케이션은 더 이상 단순하지 않습니다. 개발자는 자체 개발, 구매, 오픈 소스 등 다양한 소프트웨어 구성 요소를 사용하므로 소프트웨어가 복잡하고 취약해집니다. 공격자는 위협 지식 기반을 활용하고 취약점을 악용하여 애플리케이션에 액세스한 다음 데이터에 액세스하려고 시도하는 경향이 있습니다. 따라서 익스플로잇으로부터의 위협 방어는 데이터 보안에 있어 매우 중요합니다. 애플리케이션 관리자는 더 높은 권한을 갖는 경향이 있으므로 애플리케이션 및 시스템 관리가 가장 중요합니다. 관리자 계정의 자격 증명 도용은 기업에 큰 피해를 줄 수 있습니다. 추가적인 데이터 보호를 위해 두 번째 수준의 MFA 도입, 안전하지 않거나 알 수 없는 위치에서 액세스하는 사용자 제한, 비정상적인 행동 패턴을 보이는 사용자 제한 등 몇 가지 보안 기술이 필요합니다. 기업은 분산된 인력에게 지연 시간이 짧은 사용자 경험을 제공하고 애플리케이션이 증가하거나 비정상적인 부하를 견딜 수 있도록 하기 위해 여러 위치에 애플리케이션을 배포합니다. 애플리케이션이 분산되어 있으면 데이터도 분산됩니다. 이에 따라 애플리케이션에 대한 수요 증가 및 DDoS 공격에 대응하기 위한 보안도 분산될 것으로 예상됩니다. ZTNA(제로 트러스트 네트워크 액세스) 플랫폼과 SASE의 NGFW(차세대 방화벽)는 위의 보안 문제를 해결합니다. 이로 인해 SASE는 애플리케이션을 보호하고 ID 기반 액세스 및 권한 제어를 가능하게 함으로써 데이터 보안을 다루는 핵심 사이버 보안 요소 중 하나로 자리 잡고 있습니다. 애플리케이션을 보호하고 데이터를 보호하는 데 ‘ZTNA와 NGFW가 충분한가’라고 질문할 수 있습니다. 퍼블릭 클라우드, 엔터프라이즈 애플리케이션을 위한 퍼블릭 엣지를 활용하는 클라우드 전환으로 인해 공격 표면이 더 많아졌습니다. 데이터 보안을 위해서는 이러한 공격 표면을 수정해야 합니다. 바로 이 지점에서 CNAPP이 등장합니다.
클라우드 전환을 통한 공격 표면 증가
단순한 애플리케이션의 클라우드 전환은 공통 인프라 소프트웨어의 보안을 클라우드 제공업체가 처리하므로 기업의 대응이 줄어듭니다. 이러한 상황에서 애플리케이션 개발자는 점점 더 비즈니스 로직에 집중하고 일상적인 소프트웨어 구성 요소의 책임은 클라우드 공급자에게 맡기고 있습니다. 개발자는 애플리케이션 로직에만 집중하고 운영 체제, 프레임워크, 데이터베이스, 파일 스토리지, 키 관리, 인증, 권한 부여 시스템, 가시성 시스템과 같은 공통 서비스의 유지 관리 및 보안 패치는 클라우드 공급자에게 맡기면 되기 때문에 애플리케이션에 국한된 보안 책임이 줄어드는 것은 사실이지만, 분산된 인력과 짧은 지연 시간을 요구하는 새로운 종류의 애플리케이션이 애플리케이션 배포를 복잡하게 만들고 더 많은 공격 표면에 노출되고 있는 것은 분명한 사실입니다. 최상의 사용자 경험을 제공하기 위해 클라우드 공급자의 여러 지역뿐만 아니라 여러 클라우드 공급자와 엣지 공급자에 걸쳐 애플리케이션을 여러 위치에 배포해야 하는 경우가 점점 더 많아지고 있습니다. 또한 애플리케이션을 온디맨드 방식으로 Edges에 배포하는 경우가 점점 더 많아지고 있습니다. 즉, 애플리케이션 서비스가 필요한 클라이언트가 근처에 있는 경우에만 애플리케이션이 배포됩니다. 모든 엣지에 전체 복잡한 애플리케이션을 배포하는 것은 비용상의 이유로 권장되지 않습니다. 마이크로서비스 아키텍처에 오신 것을 환영합니다. 애플리케이션 개발자는 생산성 향상뿐만 아니라 일부 애플리케이션은 엣지에 배포하고 나머지는 클라우드에 유지하기 위해 마이크로서비스 아키텍처를 채택하고 있습니다. 다음 그림(간결성을 위해 단순화함)은 마이크로서비스 기반 애플리케이션 배포를 보여줍니다. 이 임의의 애플리케이션 예시에서 애플리케이션의 마이크로서비스 1과 2는 짧은 대기 시간 환경을 제공하기 위해 엣지에 배포되고, 마이크로서비스 3과 4는 애플리케이션의 다른 운영을 위해 클라우드에 배포됩니다. 그림에 표시된 5개의 공격 표면 지점이 있습니다.
- 최종 클라이언트와 프론트엔드 마이크로서비스 간 통신 1 및 엣지 및 클라우드 전반의 마이크로서비스 간 통신
- 엣지 위치 또는 클라우드 위치 내의 마이크로서비스 간 통신.
- 애플리케이션 마이크로서비스와 클라우드/엣지 공급자 서비스 간의 통신
- 외부에서 제공업체 서비스와의 커뮤니케이션.
- 마이크로서비스의 내부 소프트웨어 구성 요소
모든 포괄적인 보안은 모든 공격 표면을 해결해야 합니다. 공격 표면(1)은 SASE ZTNA 및 NGFW로 해결할 수 있습니다. 다른 모든 공격 표면은 분산 컴퓨팅, 마이크로서비스 아키텍처 및 클라우드 제공업체 서비스를 사용하는 애플리케이션으로 인해 밝혀졌습니다. 이는 대부분 클라우드/엣지 전환으로 인한 것이기 때문에 가트너는 이러한 보안 문제를 해결하기 위해 CNAPP 모델이라는 새로운 카테고리를 정의했습니다.
공격 표면 증가에 대응하기 위한 CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼)
CNAPP는 클라우드 보안 태세 관리(CSPM), 클라우드 서비스 네트워크 보안(CSNS), 클라우드 워크로드 보호 플랫폼(CWPP)을 단일 플랫폼에 결합한 클라우드 네이티브 보안 모델/기술입니다. 여러 클라우드 보안 도구를 하나의 플랫폼에 결합하여 애플리케이션 수명 주기(빌드, 배포, 런타임 단계)에 걸친 포괄적인 가시성, 여러 기술에 대한 포괄적인 제어 등의 이점을 제공하는 CNAPP. 가트너에서 만든 다른 용어와 마찬가지로 CNAPP 용어 역시 공급업체와 소비자 간의 보안 기능/플랫폼 기능에 대한 공통된 이해를 제공할 것으로 기대됩니다. CNAPP의 구성 요소를 확인한 다음 공격 표면 지점을 이러한 구성 요소에 매핑해 보겠습니다. 클라우드 보안 태세 관리(CSPM): CSPM 기능은 기업 애플리케이션이 여러 클라우드 제공업체에서 사용하는 모든 클라우드 리소스/서비스에 대한 가시성을 기업에 제공합니다. CSPM은 또한 클라우드 서비스 및 이를 사용하는 애플리케이션을 매핑합니다. CSPM의 가장 큰 장점은 구성 스캔을 통해 잘못된 구성을 감지할 수 있다는 점입니다. 클라우드 제공업체 서비스는 매우 일반적이기 때문에 보안은 구성만큼이나 우수합니다. 클라우드 제공업체 서비스는 멀티테넌트이며 엔터프라이즈에서 액세스를 제어할 수 없다는 점을 이해하는 것이 중요합니다. 이러한 서비스가 잘못 구성되면 공격자가 해당 서비스에 접근하여 데이터를 훔치고 손상시킬 수 있습니다. 예를 들어 데이터베이스 서비스가 실수로 모든 사람의 액세스를 허용하도록 구성된 경우, 데이터베이스 서비스에 애플리케이션이 저장한 엔터프라이즈 데이터가 유출될 수 있습니다. CSPM은 또한 클라우드 서비스의 데이터에 대한 규정 준수 검사를 수행하고 기업에 규정 준수 위반 가시성을 제공합니다. CSPM은 위 그림에 나열된 공격 표면(4)을 해결합니다. 클라우드 서비스 네트워크 보안(CSNS): CSNS는 애플리케이션의 마이크로서비스 간 네트워크 수준 보안은 물론 마이크로서비스와 클라우드 서비스 간 네트워크 보안을 제공합니다. 이 기능은 SASE/ZTNA와 유사합니다. 이 기능에는 NGFW, WAF, 신원 기반 액세스 제어, WAF, API 보호, DoS/DDoS 방지 등이 포함됩니다. CSNS는 기존 네트워크 보안과는 그 역동성이 다릅니다. 동적인 워크로드로 인해 CSNS 보안 수명 주기는 애플리케이션의 수명 주기와 일치해야 합니다. CSNS는 위 그림의 (2)와 (3)의 공격 표면을 해결합니다. 기본적으로 CSNS는 E-W 트래픽에 대한 네트워크 보안을 제공합니다.클라우드 워크로드 보호 플랫폼(CWPP) : CWPP 기능은 주로 다음을 확인합니다.
- 워크로드 이미지(VM, 컨테이너, 서버리스)의 취약점 이미지를 분석하고, 소프트웨어 인벤토리, 인벤토리 버전을 확보하고, 위협 인텔리전스 데이터베이스를 확인하여 소프트웨어 인벤토리에 알려진 취약점을 파악합니다.
- 이미지에서 멀웨어 탐지 및 원치 않는 소프트웨어 탐지를 통해 공급망에 멀웨어가 유입되지 않았는지 확인합니다.
- 호스트 침입 방지 기술을 통해 런타임에 익스플로잇을 차단합니다.
- 인텔 SGx와 같은 보안 가드 기술을 사용한 런타임 메모리 보호.
- RASP(런타임 애플리케이션 자체 보호)를 통한 런타임 워크로드 보호
CWPP는 위 그림에 나열된 공격 표면(5)을 해결합니다. 애플리케이션용 쿠버네티스가 인기를 끌면서 위의 기술들이 쿠버네티스에서 작동하도록 제공되고 있습니다. KSPM(쿠버네티스 보안 태세 관리)은 CSPM과 유사하지만 쿠버네티스에 맞게 조정되었습니다. 시간 문제일 수도 있지만, KWPP(Kubernetes 워크로드 보호 플랫폼) 및 KSNS(Kubernetes 네트워크 보안 서비스)와 같은 용어를 보게 될 것입니다.
CSNS 및 SASE
CSNS 기능은 ZTNA 및 NGFW와 매우 유사합니다. 두 가지 모두 네트워크 보안 기술이기 때문입니다. 기업들은 N-S(남북) 및 E-W(동서) 트래픽 모두에 대해 균일한 기술을 원합니다. 따라서 CSNS 기능은 SASE 제공업체가 제공할 것이라는 믿음이 있습니다. 범용 SASE는 WAN, Kubernetes 네트워크, 서비스 메시가 있는 Kubernetes 네트워크, VPC 네트워크, 엣지 네트워크 등 모든 네트워크 관련 공격 표면을 처리할 것으로 예상됩니다. 많은 CNAPP 제공업체가 더 이상 CSNS에 대해 많이 이야기하지 않기 때문에 이것이 추세로 받아들여지고 있는 것 같습니다.
사이버 보안 메시 아키텍처(CSMA)
기업이 직면한 가장 큰 과제 중 하나는 보안 사일로입니다. 기업에서는 온프레미스 보안, 엔드포인트 보안, 네트워크 보안, 클라우드 보안 요구 사항을 해결하기 위해 다양한 공급업체의 여러 보안 기능을 배포하는 데 익숙합니다. 각 보안 기능에는 정책 관리, 통합 가시성 및 데이터 플레인이 함께 제공됩니다. 그 결과 관리 및 가시성이 복잡해져 보안 설정 오류가 발생하고 보안 인시던트 탐지 및 대응이 누락되거나 지연될 수 있습니다. 가트너는 보안 사고 리더십의 일환으로 CSMA라는 용어를 만들었습니다. 가트너는 기업이 다양한 보안 공급업체의 여러 보안 기능을 사용해야 한다는 점을 인식했습니다. CSMA 개념은 정책 관리 및 통합 가시성을 위해 단일 창을 필요로 하는 기업의 요구를 해결하고자 합니다. 가트너는 여러 보안 기능을 구성할 수 있도록 보안 공급업체가 따라야 할 몇 가지 원칙을 정의했습니다. 가장 중요한 원칙은 보안 공급업체가 CLI 및 포털 인터페이스를 넘어 API를 노출하는 것입니다. API 우선 접근 방식을 통해 기업 또는 관리형 보안 제공업체는 정책 관리 및 보안 분석을 위한 단일 통합 대시보드를 구현할 수 있습니다. 가트너는 또한 사용자의 신원이 분산된 ‘아이덴티티 패브릭’의 필요성을 지적합니다. 오늘날 기업에서는 AD, LDAP, SAML IdP, OIDC IdP 등의 기술을 사용하여 자격증명 데이터베이스를 유지 관리합니다. 직원들의 신원 데이터베이스를 보유하는 것은 괜찮지만, 일반 사용자의 신원 데이터베이스를 유지하는 것은 개인정보 보호 및 보안 측면에서 어려운 일입니다. 신원 데이터베이스 및 신원 확인을 분산된 신원 공급자에게 오프로드하는 것은 기업과 최종 사용자 모두에게 윈윈입니다. ADI 협회와 W3C는 탈중앙화된 ID 패브릭을 실현하기 위해 공통 프레임워크와 사양을 개발하고 있습니다. CSMA가 실제 보안을 직접적으로 다루지는 않지만, 이 아키텍처/개념은 보안 구성 오류를 최소화하고 더 빠른 사고 감지 및 대응을 위한 E2E 가시성을 제공합니다. SASE와 CNAPP는 CSMA를 실현하는 방향으로 나아가고 있습니다. SASE는 네트워크 보안 정책 관리 및 가시성을 위한 단일 창을 제공하여 모든 네트워크 보안 기능과 네트워크 기능을 통합합니다. CNAPP는 모든 클라우드 보안 기능을 하나의 우산 아래에 통합합니다. CSMA는 SASE, CNAPP, 엔드포인트 보안, ID 및 기타 사이버 보안 기술을 포괄하는 한 차원 높은 통합 솔루션입니다.
요약
데이터 보안에는 데이터 암호화, 데이터 거버넌스, 데이터 마스킹 및 사이버 보안과 같은 많은 기술이 필요합니다. SASE는 사이버 보안의 필수적인 부분입니다. 클라우드 및 엣지 전환과 마이크로서비스 아키텍처와 같은 최신 애플리케이션 아키텍처가 결합되면서 추가적인 공격 지점이 노출되고 있습니다. CNAPP는 유니버설 SASE와 결합하여 새로운 공격 표면과 관련된 보안 문제를 해결합니다.
-
CTO 인사이트 블로그
아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다.
아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.