마이크로세그멘테이션을 기반으로 구축된 제로 트러스트 전략이 클라우드 위험을 해결하는 방법

데이터 센터의 시대는 끝났습니다.우리는 클라우드의 시대에 살고 있습니다. 조만간 속도가 느려질 기미가 보이지 않습니다.

조직은 기본 호스팅 인프라를 유지 관리하는 작업을 클라우드 공급업체에 넘기고 있습니다.이를 통해 애플리케이션과 데이터에 집중할 수 있는 시간이 늘어나 지속적인 배포 작업이 간소화됩니다.

하지만 클라우드 서비스와 혜택이 늘어남에 따라 사이버 범죄자들의 새로운 기회도 늘어납니다.

이 블로그 게시물에서는 주요 클라우드 보안 위험과 이러한 위험이 클라우드 환경에 미치는 영향, 마이크로세그멘테이션을 기반으로 하는 제로 트러스트 접근 방식이 불가피한 클라우드 침해를 방지하는 데 도움이 되는 이유를 살펴보겠습니다.

취약성을 야기하는 4가지 클라우드 보안 문제

더 구름 타의 추종을 불허하는 유연성과 확장성을 제공합니다.하지만 이로 인해 조직이 무시할 수 없는 새로운 보안 위험도 발생합니다.다음은 조직을 위험에 빠뜨리는 주요 클라우드 보안 문제입니다.

1.클라우드 공급업체는 인프라를 보호하지만 데이터는 보호하지 않습니다.

이는 보안 침해가 발생하기 전까지는 가정으로 받아들이는 경우가 너무 많습니다.

클라우드 공급업체 호스팅 인프라 보안을 위해 최선의 접근 방식을 적용할 것입니다.예를 들어, 네트워크 트래픽 엔지니어링 및 예방과 같은 우선 순위를 다룰 것입니다. 분산 서비스 거부 (DDoS) 공격 호스팅 인프라를 통해

그러나 해당 인프라에 배포된 애플리케이션과 데이터를 보호하는 작업은 고객의 책임입니다.

실제로 이것은 고르지 않은 악수입니다.클라우드 공급업체가 플랫폼에 구축하는 중요한 보안 기능에도 불구하고 클라우드 보안 책임의 대부분은 고객에게 있습니다.그렇지 않다고 가정하면 보안 침해로 빠르게 넘어갈 수 있습니다.

2.클라우드 환경을 완전히 제어할 수는 없습니다.

클라우드의 이점 중 하나는 컴퓨팅 인스턴스를 쉽게 생성하고 리소스와 이들 간의 모든 종속성을 완전히 자동화할 수 있다는 것입니다.즉, 데브옵스 운영 세부 정보를 오케스트레이션 솔루션에 포함시켜 수동 프로세스를 제거할 수 있습니다.

하지만 모든 리소스를 완전히 제어할 수 있는 것은 아닙니다.

• 완전히 통제되는 리소스에는 기업 소유의 클라우드 가상 머신 (VM) 또는 클라우드 스토리지가 포함됩니다.

• 하지만 파트너, 계약업체 또는 해당 리소스에 대한 원격 액세스와 같은 타사 액세스에 종속되어 있는 경우 부분적으로만 제어할 수 있습니다.

일반적인 하이브리드 클라우드 환경에는 클라우드에서 데이터 센터, 원격 액세스 장치에 이르기까지 다양한 제어 수준을 갖춘 대규모 리소스가 전체 아키텍처 내에 혼합되어 있습니다.

모범 사례를 사용하여 기업 클라우드 리소스를 보호할 수 있습니다.하지만 파트너나 계약업체가 귀사의 리소스에 액세스하는 데 사용하는 리소스를 제대로 보호해 줄 것이라고 믿을 수 있을까요?

3.기본적인 사용자 오류는 클라우드 위험의 주요 원인입니다.

모든 클라우드 리소스 소유자가 주장하거나 심지어 믿는 것에도 불구하고 보안 모범 사례를 적용하는 것은 아니라고 가정해야 합니다.

클라우드 보안 문제의 출발점은 기본적인 인적 오류일 가능성이 높습니다.즉, 팀에서도 비슷한 실수를 저지를 수 있다는 뜻입니다.

실제로 클라우드에서 발생하는 모든 보안 침해의 절반 이상은 다음과 같은 이유로 인해 발생합니다. 인적 오류.필요한 것은 단순한 실수일 뿐입니다. 취약한 암호를 선택하거나, 정기적으로 SSH 키를 교체하지 않거나, 위험에 처한 클라우드 워크로드에 패치를 적용하지 않는 것입니다.

이를 위해서는 DevOps 우선 순위에 영향을 주지 않으면서 모든 워크로드에 최대한 가깝게 신뢰 경계를 넓히는 보안 솔루션이 필요합니다.

4.보이지 않는 것을 안전하게 보호할 수 있습니다

클라우드 환경은 항상 변화합니다.그리고 많은 조직에서 하이브리드, 멀티 클라우드 전략을 수립하기 위해 여러 클라우드 공급업체를 이용합니다.이로 인해 보안팀에는 고유한 가시성 문제가 발생합니다.

애플리케이션, 워크로드 및 종속성은 여러 클라우드 공급업체에서 지속적으로 변화하고 있습니다.이러한 복잡성 때문에 트래픽 흐름과 리소스 관계를 실시간으로 완전히 이해하기가 어렵습니다.이러한 중요한 가시성이 없으면 보안 의사 결정권자는 보호를 구성할 때 어쩔 수 없이 추측에 의존할 수밖에 없습니다.이로 인해 공격자가 악용할 수 있는 잠재적 격차가 생길 수 있습니다.

오른쪽 가시성 도구 규모에 관계없이 전체 클라우드 환경의 모든 트래픽과 애플리케이션 종속성에 대한 심층적인 실시간 가시성을 제공하여 이러한 격차를 해소해야 합니다.거시적 수준과 미시적 수준 모두에서 이러한 관계를 시각화하여 이상 현상과 잠재적 위협이 해를 입히기 전에 식별할 수 있는 솔루션을 찾아보세요.

제로 트러스트: 최신 클라우드 보안에 대한 최상의 접근 방식

A 제로 트러스트 보안 아키텍처 이를 가능하게 합니다. 그리고 그것은 절대적으로 필요합니다.클라우드는 사이버 범죄자들의 놀이터가 되었습니다.클라우드 소스 위협의 최근 몇 가지 예는 다음과 같습니다.

• 코발로스 손상된 호스트를 명령 및 제어 (C2) 서버로 사용하여 클라우드 워크로드의 민감한 데이터를 훔칩니다.

• 프리크 아웃 클라우드 VM의 크립토재킹을 위해 손상된 호스트를 사용합니다.무료로 암호화폐를 채굴하므로 다른 사람의 클라우드 비용이 증가합니다.

• 립스톰 클라우드 호스트 간의 개방형 P2P (Peer-to-Peer) 세션을 사용하여 악성 코드를 전달하고 실행합니다.

• 드로보럽 오픈 포트를 사용하여 클라우드 호스트에서 데이터를 추출합니다.

이러한 예에는 한 가지 공통점이 있습니다. 손상된 클라우드 워크로드에 도달하면 다른 워크로드로 빠르게 확산된다는 것입니다.이를 통해 대량의 호스트를 빠르게 손상시킬 수 있습니다. 대개 위협 추적 도구가 이를 탐지하기도 전에 말입니다.

위협 추적 솔루션이 멀웨어의 확산을 방지하는 데 어려움을 겪는 이유가 바로 여기에 있습니다.위협을 탐지하는 데는 탁월하지만 위협이 식별될 무렵에는 이미 확산되어 있는 경우가 많습니다.이 시점에서는 위협의 의도를 파악하는 것보다 확산을 막는 것이 더 높은 우선순위가 됩니다.

요점은 위협이 확산되지 않도록 차단해야 한다는 것입니다. 전에 감지되었습니다.

마이크로세그멘테이션은 모든 제로 트러스트 전략의 기초입니다

모든 제로 트러스트 아키텍처는 모든 위협이 확산하는 데 사용되는 하나의 공통 벡터인 세그먼트를 적용하는 것으로 시작해야 합니다.

세그먼트는 크거나 작게 만들 수 있습니다.

• 매크로 세그먼트 보호 표면이라고 하는 중요한 자원의 집합을 보호합니다.

• 마이크로 세그먼트 규모에 관계없이 모든 클라우드 워크로드에 직접 신뢰 범위를 넓힐 수 있습니다.

마이크로세그멘테이션 원하는 목표입니다.동일한 기본 클라우드 세그먼트에 여러 워크로드를 배포하더라도 모든 워크로드를 소스에서 직접 적용합니다.

마이크로세그멘테이션은 잠재적으로 많은 수로 확장할 수 있어야 합니다.즉, 기존 네트워크 기반 솔루션에서 설정한 세그멘테이션 스케일링 제한에서 분리해야 합니다.네트워크 세그먼트는 네트워크 우선 순위를 처리하기 위해 존재하지만 워크로드 세그먼트는 워크로드 우선 순위를 처리하기 위해 존재합니다.한 솔루션은 다른 솔루션과 잘 연결되지 않습니다.

Illumio CloudSecure: 하이브리드 멀티 클라우드 전반에서 일관된 마이크로세그멘테이션

클라우드 제공업체는 자체 워크로드를 보호하는 도구를 제공하지만 이러한 도구는 일반적으로 여러 클라우드, 데이터 센터 또는 엔드포인트에서 작동하지 않습니다.그리고 각 환경에 대해 별도의 보안 도구를 사용하면 사일로가 생깁니다.이로 인해 보안 침해 발생 시 보안 사각 지대를 파악하고 그 점을 파악하기가 더 어려워져 보안 침해 대응이 느려집니다.

의 일환으로 일루미오 제로 트러스트 세그멘테이션 (ZTS) 플랫폼, Illumio CloudSecure는 단일 플랫폼 내에서 데이터 센터 및 엔드포인트 전체에 배포된 워크로드와 원활하게 조정하여 클라우드 워크로드에 대한 일관된 마이크로세그멘테이션을 제공합니다.Illumio의 플랫폼을 사용하면 규모와 관계없이 모든 환경의 모든 네트워크 트래픽을 확인하고 제어할 수 있습니다.

클라우드 시큐어 에이전트 없는 아키텍처를 통해 클라우드 워크로드를 파악하고 적용할 수 있습니다.클라우드에서 직접 모든 네트워크 트래픽과 애플리케이션 종속성을 검색합니다.네트워크 전체에 동일한 정책 모델을 사용하여 Azure NSG (네트워크 보안 그룹) 및 AWS 보안 그룹과 같은 클라우드 네이티브 보안 도구를 통해 시행을 배포합니다.

예를 들어 워크로드 간에 DNS가 열려 있는 경우 Illumio는 해당 DNS 트래픽을 계속 모니터링하여 정상 동작을 확인합니다.일반적으로 DNS 트래픽은 쿼리당 500바이트 미만입니다.하지만 Illumio가 DNS 세션을 통해 이동하는 10GB의 데이터를 감지하면 DNS 트래픽에 의심스러운 무언가가 숨어 있다는 위험 신호일 수 있습니다.Illumio는 위협 추적 도구가 먼저 데이터를 찾아 분석할 때까지 기다릴 필요 없이 이 트래픽을 즉시 차단합니다.

그 결과 환경이 에이전트 기반 접근 방식을 사용하든 에이전트 없는 접근 방식을 사용하든 관계없이 모든 세그먼트를 하나의 완벽한 솔루션으로 명확하게 파악하고 보호할 수 있는 제로 트러스트 아키텍처가 탄생했습니다.

복잡성 없이 클라우드 침해를 억제합니다.

클라우드 보안은 더 이상 후회할 필요가 없습니다.

클라우드는 타의 추종을 불허하는 유연성과 확장성을 제공하지만 사이버 범죄자에게 새로운 기회를 제공합니다.보안을 유지하기 위해 조직은 마이크로세그멘테이션을 기반으로 보안 침해가 확산되기 전에 이를 억제하는 제로 트러스트 접근 방식이 필요합니다.

Illumio CloudSecure로 마이크로세그멘테이션을 구축하면 모든 환경에서 대규모 워크로드를 보호하는 데 필요한 가시성과 제어력을 확보할 수 있습니다.

피할 수 없는 다음 번 클라우드 침해에 대비하세요.다운로드 클라우드 레질리언스 플레이북.