일루미오를 CIS Top 20에 매핑하기

지난 몇 주 동안 Illumio가 인터넷 보안 센터 (CIS) 보안 제어 이니셔티브를 구현하는 데 어떻게 도움이 되는지 알아보려는 기업들의 문의가 급증하는 것을 목격했습니다.CIS Top 20 통제 지침은 널리 채택되어 왔으며, 10년이 넘는 기간 동안 사용되어 왔으며 최신 지침도 포함되어 있습니다. 2019년 4월에 출시된 버전 (7.1)그래서 우리는 이러한 추세에 흥미를 느꼈습니다.우리는 이들 기업들과 Illumio에 대한 동기와 관심에 대해 이야기를 나누었고 많은 것을 배웠습니다.

이러한 조직 대부분은 한동안 CIS 모범 사례 지침을 사용해 왔지만 원격 근무 운영 모델로의 빠른 전환이 보고된 내용과 결합되어 사이버 공격 증가 통제와 도구를 재평가하도록 강요하고 있습니다.그리고 2020년 4월 CSO 설문조사 응답자의 26% 가 3월 중순 이후 사이버 공격의 규모, 심각도 및/또는 범위가 증가한 것으로 나타났습니다.이들 기업 중 일부는 계속해서 퍼블릭 클라우드로 전환하고 데이터 센터 내부의 가상화 공간을 늘리고 있습니다.이들 모두는 보안 제어 및 지원 기술의 격차를 더 잘 이해하기를 원합니다.

이를 염두에 두고 Illumio가 CIS Top 20 컨트롤을 어떻게 지원하는지에 대한 개괄적인 개요를 살펴보겠습니다.

CIS 상위 20개 주요 보안 제어 개요

먼저 간단한 입문서부터 살펴보겠습니다. CIS 상위 20개 주요 보안 제어.규제 기관은 처음에 NSA 레드 팀 및 블루 팀, 미국 에너지부 원자력 연구소, 법 집행 기관, 미국 최고의 포렌식 및 사고 대응 기관에 의해 만들어졌습니다.

컨트롤은 가장 일반적인 것에서 파생되었습니다. 공격 패턴 주요 위협 보고서에서 강조되었으며 매우 광범위한 정부 및 업계 종사자 커뮤니티에서 심사를 거쳤습니다.여기에는 상업 및 정부 포렌식 및 사고 대응 전문가의 종합적인 지식이 반영되어 있습니다.

CIS Top 20 보안 제어를 구현하고 운영하는 것은 “한 번에” 할 수 있는 일이 아닙니다.기술, 위협 환경 및 공격 기술은 끊임없이 진화하고 있습니다.컨트롤은 매년 업데이트, 검증 및 개선됩니다.이는 규정 준수 프로그램을 대체하기 위한 것이 아니며 실제로는 다음과 같은 프레임워크와 일치합니다. 미스트 스카프 및 다음과 같은 규정 준수 표준 PCI-DSS 과 히파아.많은 기업이 CIS 제어를 정보 보안 모범 사례의 기준으로 사용하며, 이를 보완하여 일부 사례를 해결하고 매우 구체적이고 규범적인 요구 사항을 충족합니다.

일루미오를 CIS 상위 20개 컨트롤에 매핑하기

Illumio의 기능을 통해 CIS 제어를 직접 충족하거나 지원하는 방법은 다음과 같습니다.

기본 컨트롤

1. 하드웨어 자산의 인벤토리 및 관리. Illumio는 실시간 기능을 사용할 수 있도록 하여 이 컨트롤을 지원합니다. 애플리케이션 종속성 맵 응용 프로그램 그룹에 속하는 하드웨어 서버 구성 요소 및 응용 프로그램에 연결할 권한이 있는 서버 및 장치를 식별하고 검증하기 위한 것입니다.Illumio는 다음과 같은 타사 도구와의 API 기반 통합을 지원합니다. NAC, 자산 발견, 서비스나우 CMDB 및 인벤토리 검증을 위한 서비스 매핑Illumio 에이전트는 베어메탈, VM, 퍼블릭 클라우드 인스턴스, 컨테이너를 지원하고 텔레메트리 정보 (IP 주소, 포트, 프로세스, 프로토콜) 를 수집하여 애플리케이션 종속성 맵을 구축합니다.

2. 소프트웨어 자산의 인벤토리 및 관리. Illumio는 다음을 사용할 수 있도록 하여 이 컨트롤을 지원합니다. 애플리케이션 종속성 맵 멀티 클라우드, 컨테이너-서버 연결, 퍼블릭 클라우드 인스턴스와의 연결을 포함하여 애플리케이션 그룹에 속하는 애플리케이션 및 워크로드 구성 요소와 연결 권한이 부여된 기타 소프트웨어 스택 구성 요소를 식별하기 위한 것입니다.연결 및 흐름에 대한 정보는 자산 관리, CMDB 및 SCM 도구를 통해 관리되는 소프트웨어 인벤토리 정보를 강화합니다.Illumio의 기본 거부 모델은 비즈니스 운영에 필요한 고위험 애플리케이션을 논리적으로 분리합니다.Flowlink 기능을 사용하면 AWS RDS, Azure 관리형 SQL, GCP 흐름 및 스토리지 파일러와 같이 에이전트가 지원되지 않는 시나리오의 경우 에이전트 없는 가시성을 사용할 수 있습니다.

3. 지속적인 취약성 관리. Illumio는 취약성 스캐너와 통합하고 취약성 정보를 수집하여 이러한 제어를 지원합니다.이 정보를 사용하여 시각적으로 표시합니다. 악성 코드잠재적인 측면 공격 경로 취약점 노출 점수 비즈니스 중심의 위험 계산 기능을 제공합니다.이 정보를 사용하여 패치 적용 전략의 우선 순위를 지정하고 운영상 패치 적용이 불가능한 경우에 프로세스 수준 세분화를 적용하는 능력을 향상시킬 수 있습니다.

4. 관리자 권한의 제어된 사용. Illumio는 선도적인 MFA 솔루션과 통합하여 이러한 제어를 지원합니다.Illumio는 전용 워크스테이션이 격리되고 최소 권한이 적용되도록 정책을 모니터링하고 적용할 수 있습니다.에서 VDI 환경, 워크로드 응용 프로그램에 대한 연결은 사용자의 Microsoft 그룹 구성원 자격을 기반으로 제어됩니다.

5. 모바일 장치, 랩톱, 워크스테이션 및 서버의 하드웨어 및 소프트웨어를 위한 보안 구성. Illumio는 모든 트래픽에 대한 가시성을 제공하고 애플리케이션 소유자가 사용하는 워크로드에 사용되는 포트/프로토콜을 신속하게 식별하여 SCM 도구를 지원합니다. 하지 마세요 기대하기 때문에 신속하게 문제를 해결할 수 있습니다.

6. 감사 로그의 유지 관리, 모니터링 및 분석고객이 Illumio를 사용하여 내부 데이터 센터와 클라우드, 사용자와 애플리케이션, 엔드포인트 P2P 연결을 세분화하는 경우 Illumio는 모든 연결 및 트래픽 흐름, 이벤트 (허용된 트래픽, 차단된 트래픽, 차단될 수 있는 트래픽) 및 관련 정책, 규칙 및 이벤트 기록에 대한 로그를 유지합니다.공인 운영자는 Illumio 과거 트래픽 데이터베이스에서 운영, 사고 대응 및 조사, 보고 및 감사를 검색할 수 있습니다.Illumio는 다음과 같은 주요 SIEM 도구와 통합됩니다. 스플렁크, IBM 큐레이더및 ArcSight는 보고, 조사 및 사고 대응을 위해 방대한 로그 및 이벤트 데이터 세트를 보관, 검색 및 상호 연관시킵니다.

기본 제어

9.네트워크 포트, 프로토콜 및 서비스의 제한 및 제어. Illumio는 이 컨트롤을 직접 충족합니다.Illumio는 응용 프로그램 연결에 대한 정보 (포트, 프로세스, 프로토콜 등 연결 및 트래픽 흐름에 대한 자세한 과거 연결) 를 사용하여 처음에 해당 방화벽 규칙을 권장합니다.Illumio는 기본 거부 모델을 사용하므로 규정을 준수하지 않는 연결을 차단하거나 잠재적으로 차단할 수 있습니다.

11.방화벽, 라우터 및 스위치와 같은 네트워크 장치의 보안 구성 Illumio는 이 컨트롤을 직접 충족합니다.Illumio는 네트워크 디바이스, 특히 East-West 방화벽이 정상적으로 작동하고 있고 방화벽 정책에서 금지해야 하는 트래픽을 허용하지 않는지 확인하기 위해 트래픽 및 이벤트 로그에 대한 상세한 이력 및 실시간 정보를 유지합니다.사용자는 IP를 생성할 수 있습니다. 거부 목록 알려진 악의적이거나 사용되지 않는 인터넷 IP 주소와의 통신을 차단합니다.사용자는 연결을 프로그래밍하여 워크로드를 특정 포트, 프로세스 및 프로토콜에 대한 워크로드 연결로 제한할 수 있습니다.Illumio Core는 VEN 변조 방지를 구현합니다.Illumio로 마이크로 세그멘테이션을 구현하여 네트워크 관리자 컴퓨터를 격리하고 액세스 권한을 높일 수 있습니다.비즈니스 요구 사항이 변경될 때마다 VLAN과 서브넷을 다시 설계하지 않고도 세분화된 세그멘테이션을 구현할 수 있습니다.

12. 바운더리 디펜스 Illumio는 이 컨트롤을 직접 충족합니다.Illumio는 호스트 기반 세그멘테이션을 적용하여 신뢰 수준이 서로 다른 애플리케이션 및 장치 전반의 연결 및 흐름을 모니터링하고 제어합니다.비용이 많이 들고 위험한 네트워킹 인프라를 재설계하지 않고도 세분화된 세분화를 달성할 수 있습니다.

13. 데이터 보호. Illumio는 default-deny 모델을 통해 무단 워크로드 및 사용자가 보호된 애플리케이션에 연결하는 것을 사전에 방지하고 악의적인 공격자의 잠재적 측면 공격 경로를 식별 및 차단함으로써 이러한 요구 사항을 지원합니다.Illumio는 민감한 정보 전송을 시도할 수 있는 무단 연결을 탐지하여 차단하고 보안 기관에 경고를 보냅니다.또한 Illumio를 사용하여 클라우드 및 이메일 공급자에 대한 액세스와 연결을 제어하는 정책을 프로그래밍하고 적용할 수 있습니다.

14. 알아야 할 필요성에 따른 액세스 제어. Illumio는 이 컨트롤을 직접 충족합니다.Illumio는 워크로드, 애플리케이션 전반에서 승인된 연결을 제어하는 데 사용할 수 있습니다. VDI 사용자 및 장치. 일루미오 코어 시스템에 대한 네트워크 액세스를 관리하는 동시에 논리적 액세스를 잠재적으로 관리하여 환경에 대한 액세스를 관리하는 데 도움을 줄 수 있습니다.외부 IP 주소는 특히 규칙 세트에 추가하고 이러한 시스템에 액세스해야 하는 사용자의 필요에 따라 그룹에 적용할 수 있습니다 (사용자는 기계 또는 개인 운영자일 수 있음).정책 수준에서 이러한 규칙을 활성화/비활성화하여 시스템에 대한 특정 액세스를 즉각적이고 효율적으로 비활성화할 수 있습니다.VDI 환경에서는 적응형 사용자 세분화 Active Directory 그룹 정책을 기반으로 특정 리소스에 대한 액세스를 허용하는 데 사용할 수 있습니다.

15. 무선 액세스 제어. Illumio는 승인된 특정 장치 및 서버의 무선 액세스를 위한 세그멘테이션을 프로그래밍 및 적용하고 다른 무선 네트워크에 대한 액세스를 제한함으로써 이러한 제어를 지원합니다.

16. 계정 모니터링 및 제어. Illumio는 타사 SSO 및 액세스 거버넌스 도구와 통합하여 이러한 제어를 지원합니다.또한 Illumio의 온디맨드 암호화를 사용하여 모든 계정 사용자 이름과 인증 자격 증명이 암호화된 채널을 사용하여 네트워크를 통해 전송되도록 할 수 있습니다.

조직적 통제

18. 애플리케이션 소프트웨어 보안. Illumio는 마이크로 세분화 정책을 적용하여 프로덕션과 비프로덕션 시스템을 분리함으로써 이러한 제어를 지원합니다.또한 Illumio는 호스트 기반 방화벽 규칙을 프로그래밍하여 개발자가 모니터링 및 제한 없이 프로덕션 시스템에 액세스할 수 없도록 합니다.

19. 사고 대응 및 관리. Illumio는 이 컨트롤을 지원합니다.인증된 사용자는 Illumio 과거 트래픽 데이터베이스, 이벤트, 로그 데이터에서 보고서를 가져와 조사 및 사고 대응 워크플로우를 지원할 수 있습니다.

20. 침투 테스트 및 레드 팀 연습. Illumio는 이 컨트롤을 지원합니다.조직은 응용 프로그램 종속성 맵, 규칙 세트 및 응용 프로그램 그룹에 있는 정보를 펜 테스트의 범위를 설계하기 위한 기준으로 사용할 수 있습니다.

요약하자면

시스템 이벤트는 일반적으로 기존 보안 제어에 대한 평가를 트리거합니다.Illumio는 기업이 CIS Top 20 제어 구현을 평가하고 활성화하기 위한 실용적인 접근 방식을 구현할 수 있도록 지원합니다.기업은 다음과 같은 기능을 활용하여 이를 실현할 수 있습니다.

1. 실시간 애플리케이션 종속성 매핑 이는 운영 모델의 변화로 인한 고부가가치 시스템과의 새로운 연결과 연결 변화를 식별하는 데 도움이 됩니다.
2. 취약점 맵 취약점의 악용 가능성을 계산하고 시각적으로 보여줍니다.이를 통해 가장 위험한 자산 및 연결에 대한 제어 및 세분화 작업의 우선 순위를 지정할 수 있습니다.
3. 세그멘테이션 네트워킹 아키텍처 재설계에 의존하지 않는 기본 거부 모델을 통해
4. 타사 IT 운영과의 API 기반 통합, 회사에 새로운 위험을 초래하는 추세를 지속적으로 모니터링하는 데 도움이 되는 보안 및 분석 도구.또한 이러한 통합은 기존 통제의 효율성을 개선하기 위한 계획을 개발하고 구현하는 데도 도움이 됩니다.

CIS Top 20 Controls는 기본적인 보안 체계를 제공할 뿐만 아니라 조직에 가장 큰 영향을 미칠 격차 및 보안 제어의 우선 순위를 정하기 위한 프레임워크도 제공합니다.

Illumio의 기능에 대해 자세히 알아보려면 다음을 확인하십시오. 일루미오 코어.