마이크로세그멘테이션을 통해 CCPA 보안 의무를 충족하는 방법

캘리포니아 소비자 개인정보 보호법 (CCPA) 은 2020년 1월 1일에 발효되었으며, 감사 및 집행은 7월 1일부터 시작되었습니다.이 새로운 개인 정보 보호 규정은 캘리포니아주 내 개인 정보 보호 이니셔티브뿐만 아니라 캘리포니아 주에서 중요한 사업 운영을 하고 있어 CA 거주자의 데이터를 수집하거나 이에 액세스할 수 있는 조직에도 중대한 영향을 미칠 것입니다.

CCPA에 대한 초기 논의의 대부분은 캘리포니아 주민의 데이터 수집 액세스, 삭제 및 거부 요청을 존중해야 하는 기업의 의무에 초점을 맞췄습니다.CA 거주자라면 웹 사이트를 방문할 때마다 팝업되는 끊임없는 개인정보 보호 고지를 잘 알고 계실 것입니다.CCPA와 관련된 또 다른 대화 주제는 개인의 요청에 따라 소비자 데이터 판매를 중단해야 하는 의무에 관한 것이었습니다.

CCPA 문서에는 데이터 침해 및 보안에 초점을 맞춘 작은 섹션이 있습니다.필자는 이러한 조항에 설명된 위반 사항이 기업 브랜드와 향후 매출 성장에 훨씬 더 큰 영향을 미친다고 생각합니다.민간 소송 당사자들은 새 법률에 따라 소송을 제기하는 데 시간을 낭비하지 않았습니다.예를 들어 메리어트 인터내셔널은 위반 발표이는 2020년 3월 31일에 520만 명의 고객에게 영향을 미쳤습니다.며칠 후 (4월 3일), CA 소비자가 집단 소송을 제기했습니다. CCPA 데이터 유출 조항에 따라 회사에 대해개인 정보 보호 법률 사무소인 Kelley Drye는 이 사건과 유사한 법적 조치에 대해 자세히 알아보려면 분기별로 보고서를 발행합니다. CCPA 소송 라운드업.

규제에 대한 이 모든 이야기를 들으면서 어떤 역할이 필요한지 궁금할 것입니다. 마이크로 세그멘테이션 CCPA에서 중요한 역할을 하며 마이크로 세분화를 사용하여 CCPA 데이터 침해 노출을 해결하는 방법을 설명합니다.

따라서 이를 염두에 두고 CCPA가 무엇인지 더 깊이 파고들어 보안 및 데이터 침해 방지 요구 사항에 초점을 맞추어 보겠습니다. (법적 고지 사항: 이 블로그의 내용에 대해 Illumio의 보안 및 법률 팀과 상의했지만 해당 정보가 법적 조언으로 간주되어서는 안 됩니다.

CCPA란 무엇입니까?

공식 명칭은 AB-375 (캘리포니아 소비자 개인정보 보호법) 이며, 미국 캘리포니아 거주자의 개인정보 보호 권리와 소비자 보호를 강화하기 위한 주법입니다.이 법안은 캘리포니아 주 의회에서 통과되어 2018년 6월 28일에 서명되어 2020년 1월 1일에 발효되었습니다.

CCPA를 준수해야 하는 사람은 누구입니까?

조직은 다음 기준을 충족하는 경우 CCPA를 준수할 법적 의무가 있습니다. (1) 영리 목적으로 운영되는 경우 과 (2) 캘리포니아 거주자에 대한 소비자 개인 정보를 수집합니다. 과 (3) 캘리포니아에서 사업을 하고 있습니다 — 및 또한 나열된 기준 중 하나 이상을 초과합니다. (1) 연간 총 수익이 2천 5백만 달러를 초과합니다. 또는 (2) 매년 50,000명 이상의 소비자, 가정 또는 장치의 개인 정보를 구매, 수신, 공유 또는 판매하거나 (3) 연간 수익의 50% 이상을 소비자의 개인 정보 판매로 창출합니다.

또한 위의 기준을 충족하고 해당 법인과 공통 브랜드를 공유하는 법인이 지배하거나 해당 법인에 의해 통제되는 기업은 “비즈니스”로 간주되며 CCPA의 적용을 받습니다.

이 섹션의 법률 용어가 약간 혼란스럽기 때문에 귀하의 회사가 CCPA의 적용을 받는지 확인하려면 법률 고문에게 문의하시기 바랍니다.

CCPA에 따른 대상 조직의 의무는 무엇입니까?

많은 Tier 1 및 Tier 2 로펌이 이 주제에 대한 기사를 게시했으므로 이에 대해 많은 시간을 할애하지 않겠습니다.구글은 여러분의 친구입니다.요약하면, 의무에는 다음이 포함되지만 이에 국한되지는 않습니다.

1. 기업의 소비자 자산 판매를 거부할 수 있는 명확한 방법을 소비자에게 제공합니다. 개인 정보. (참고: 개인 정보는 다음과 같지 않습니다. PII.자세한 내용은 다음 질문을 참조하십시오.)
2. 소비자에게 데이터 수집, 판매 및 공개 관행에 대해 알립니다.
3. 소비자에게 수집된 개인 정보에 액세스할 수 있는 기능을 제공합니다.
4. 소비자에게 비즈니스에서 수집한 개인 정보를 지우거나 삭제를 요청할 수 있는 기능을 제공합니다.
5. 합리적인 보안 절차를 구현하여 소비자 데이터를 데이터 침해로부터 보호합니다.

CCPA에 따라 개인 정보로 간주되는 것은 무엇입니까?

CCPA 언어는 PII (개인 식별 정보) 뿐만 아니라 개인 정보를 의미한다는 점에 유의하십시오.CCPA에 따른 개인 정보의 정의 또한 매우 광범위하며 다음과 같은 범주를 포함하지만 이에 국한되지는 않습니다.

• 직접 식별자 — 실명, 별명, 우편 주소, 주민등록번호, 운전면허증, 여권 정보 및 서명.이는 PII로 간주됩니다.
• 간접 식별자 — 쿠키, 비콘, 픽셀 태그, 전화번호, IP 주소, 계정 이름
• 생체 인식 데이터 — 얼굴, 망막, 지문, DNA, 음성 녹음, 건강 데이터.이를 PII로 간주합니다.
• 지오로케이션 — 디바이스를 통한 위치 기록
• 인터넷 활동 — 브라우징 기록, 검색 기록, 웹 페이지, 애플리케이션 또는 광고와의 상호 작용에 관한 데이터
• 민감한 정보 — 개인 특성, 행동, 종교적 또는 정치적 신념, 성적 취향, 고용 및 교육 데이터, 재정 및 의료 정보.

법률 고문 및 보안 팀에 문의하여 CCPA 개인 정보 보호 및 데이터 침해 보안 조항이 적용되는 범주를 확인해야 합니다.이 분석은 CCPA 관련 보안 의무의 범위를 결정하는 데 도움이 됩니다.

데이터 침해 노출의 관점에서 CCPA에 대해 생각하고 계실 가능성이 높으므로 이 문제를 두 번 클릭해 보겠습니다.

CCPA에 따른 보안 의무는 무엇입니까?

더 공식 CCPA 문서 는 놀라울 정도로 짧습니다. 읽을 기회가 있다면 데이터 보안에 대한 규범적 언어는 없다는 것을 알게 될 것입니다.여기에는 캘리포니아 민법 1798.81.5 (d) (1) (A) 에 따라 “합리적인 보안”을 유지하지 못해 발생하는 데이터 침해에 대한 사적 소송권을 규정하는 데이터 침해 조항도 포함되어 있습니다. (다시 한 번 말씀드리지만 변호사와 확인하시기 바랍니다).

여기에는 소비자의 데이터 침해 권리에 관한 문구도 포함되어 있습니다. 이 조항은 “합리적인 보안 절차 및 관행을 구현하고 유지해야 할 의무 위반”으로 인해 발생하는 위반에 대해 해당 기업에 벌금을 부과합니다.

“합리적인 보안 조치”를 구현하기 위한 권장 사항은 무엇입니까?

CCPA는 “합리적인 보안”에 대한 규범적 지침을 제공하지 않습니다.법률 초안 작성 당시 캘리포니아 주 AG에서 근무했던 카말라 해리스 (Kamala Harris) 는 다음과 같은 의견을 밝혔습니다. 캘리포니아 데이터 침해 보고서 2012-2015 주정부는 인터넷 보안 센터 (CIS) 상위 20개 보안 통제를 합리적인 보안 절차 및 관행의 기준으로 간주합니다.현 CA State AG인 자비에르 베세라 (Xavier Becerra) 로부터 이 의견이 업데이트되지 않았으므로 2016년 권고안이 여전히 유효하다고 가정할 수 있습니다.

CIS 상위 20개 보안 제어란 무엇입니까?

CIS Top 20 보안 제어 프레임워크는 10년 이상 사용되어 왔으며 자주 업데이트됩니다.이 프레임워크는 가장 일반적인 프레임워크에서 파생되었습니다. 공격 패턴 주요 위협 보고서에서 강조되었으며 매우 광범위한 정부 및 업계 종사자 커뮤니티에서 심사를 거쳤습니다.여기에는 상업 및 정부 포렌식 및 사고 대응 전문가의 종합적인 지식이 반영되어 있습니다.CA State AG가 이 프레임워크를 기준으로 권장하는 것은 놀라운 일이 아닙니다. 많은 조직이 이미 이 접근 방식을 채택한 후 환경의 특정 요구 사항을 해결하기 위해 제어 기능을 강화하고 있기 때문입니다.

분명히 말씀드리자면, 단일 제품만으로 이러한 제어 기능을 구현할 수는 없습니다.이상적으로는 이러한 제어 기능을 지원하고 SIEM, 취약성 스캐너, CMDB, SCM, 컨테이너 오케스트레이션 등과 같은 다른 보안 투자와 잘 호환되는 강력한 API를 갖춘 솔루션이 필요합니다.

Illumio는 CIS 상위 20개 보안 규제 항목 중 16개를 직접 충족하고 지원합니다.다음은 쉽게 볼 수 있는 고수준 매핑입니다.저는 최근에 에 대한 별도의 블로그를 작성했습니다. 일루미오를 CIS 상위 20개 컨트롤에 매핑하기 각 컨트롤을 두 번 클릭하려는 경우(참고: Illumio 기능 열의 “지원”은 고객이 Illumio 데이터 또는 기능을 사용하여 제어의 일부를 활성화한다는 의미입니다.

조직에서 Illumio와 CIS Top 20 보안 제어 프레임워크를 사용하여 CCPA의 “합리적인 보안 조치” 요구 사항을 충족하려면 어떻게 해야 합니까?

CCPA 보안 의무를 준수하기 위해 CIS Top 20 컨트롤을 채택한 경우 Illumio를 사용하여 다음을 수행할 수 있습니다.

1. 가시성을 높이고 보안 의무의 범위를 효과적으로 평가하세요. CCPA는 조직이 소비자 데이터를 수집하고 저장하는 모든 리소스 및 애플리케이션의 인벤토리를 만들고 유지하도록 요구합니다.이 문제를 해결하기 위해 Illumio는 실시간 가시성을 제공합니다.다음을 사용할 수 있습니다. 애플리케이션 종속성 맵 인벤토리 생성을 시작하고 자산 관리 및 CMDB 시스템과 같은 정적인 특정 시점 도구에서 일반적으로 발견되는 정보의 정확성을 검증하기 위한 것입니다.조금만 노력하면 어떤 애플리케이션, 데이터 스토어, 머신, 워크로드 및 엔드포인트가 CCPA의 범위에 속하는지, 어떤 연결 및 흐름이 승인되었는지 확인할 수 있습니다.
2. 당신의 것을 줄이세요 공격 표면 악의적인 공격자가 CCPA 데이터에 접근하는 것을 더 어렵게 만듭니다. Illumio는 각 호스트에 있는 Layer 3/Layer 4 상태 저장 방화벽을 프로그래밍하여 워크로드 간, 워크로드와 사용자 간, 사용자 엔드포인트 간의 링펜스 애플리케이션 및 트래픽에 대한 정책을 설계하고 적용할 수 있도록 지원합니다.
3. 마이크로 세분화 유지 관리 및 모니터링 보안 태세. 일루미오의 요원, 더 잘 알려진 벤센서 역할을 하며 환경을 지속적으로 모니터링하여 새로운 워크로드 및 최종 사용자 연결은 물론 CCPA 범위 내에 있는 모든 데이터 및 애플리케이션에 대한 연결 변경도 확인할 수 있습니다.또한 무단 연결 또는 연결 시도를 차단할 수 있습니다.
4. 보안 규정 준수 시간을 늘리십시오. CCPA 마감일은 2020년 1월 1일이었습니다.집행, 감사 및 보고는 2020년 7월 1일에 시작되었습니다.Illumio는 실시간 가시성과 레이블 기반 정책 모델링을 통해 계획 및 설계를 가속화하여 CIS 2.0 규정을 신속하게 충족할 수 있도록 지원합니다.다중 OS, 호스트 수준의 마이크로 세분화 솔루션을 사용하면 네트워크/SDN을 다시 설계할 필요가 없습니다.

Illumio의 기능에 대해 자세히 알아보려면 다음을 확인하십시오. 일루미오 코어.