관리되지 않는 디바이스의 클라우드 앱에 대한 상위 4가지 보호 기능

2023년 6월 14일

수하스 코다갈리 - 제품 관리 책임자

코로나 이후의 원격 근무 환경에서 기업 보안팀은 다양한 보안 벡터에 걸쳐 보호 기능을 확장하고자 합니다. 그 중 많은 관심을 받고 있는 것 중 하나는 기업 데이터 리소스에 액세스하는 디바이스 유형에 따라 제어를 적용할 수 있는 기능인 디바이스입니다. 회사 데이터에 액세스하는 디바이스 중 가장 많은 비중을 차지하는 것은 관리되는 디바이스로, 대부분 조직에서 제공하고 제어하는 컴퓨터나 휴대폰을 사용하는 직원을 포함합니다. 관리형 디바이스는 조직의 정책과 표준을 준수하고 중앙 집중식 관리, 보안 제어, 소프트웨어 업데이트가 가능하므로 더 높은 수준의 제어와 보안이 보장됩니다. 하지만 최근 10년 동안 관리되지 않는 디바이스에서 발생하는 트래픽의 비중이 꾸준히 증가하면서 보안에 대한 우려가 커지고 있습니다.

최근 조사에 따르면 상당수의 회사에서 직장에서 개인(또는 관리되지 않는) 디바이스의 사용을 허용하는 등 BYOD(Bring Your Own Device)가 여전히 일반화되어 있는 것으로 나타났습니다. 관리되지 않는 디바이스에는 직원이 사용하는 개인 소유 디바이스뿐만 아니라 타사 공급업체, 벤더, 파트너 및 기타 외부 기관의 디바이스도 포함됩니다. 이러한 관리되지 않는 디바이스는 조직의 직접적인 통제를 벗어나 작동하며 네트워크와 데이터에 잠재적인 보안 취약성과 위험을 초래할 수 있습니다. 보안 우려에도 불구하고 기업에서는 비즈니스 가치를 더한다는 이유로 이러한 디바이스를 허용합니다. 휴가 중과 같이 관리형 디바이스에 액세스할 수 없는 상황에서도 직원들이 생산성을 유지할 수 있도록 도와줍니다. 또한 많은 조직의 운영에 중요한 역할을 하는 파트너, 공급업체 및 계약업체와의 협업을 용이하게 합니다.

기업 보안팀은 관리되지 않는 디바이스가 기업 클라우드 앱에 액세스하는 것이 앞으로 계속될 현상이라는 사실을 받아들이고 있습니다. 따라서 보안팀의 주요 관심사는 OneDrive, Salesforce, Google Workspace, Slack 또는 ServiceNow와 같이 승인된 SaaS 앱 내의 데이터 보호입니다. 예를 들어 계약직 직원이 관리되지 않는 디바이스에서 OneDrive의 회사 문서에 액세스하는 경우, 내부 로드맵이나 계획 문서를 다운로드하지 못하도록 하고 싶을 것입니다. 또는 다른 회사로 이직하는 영업팀 직원이 Salesforce에서 영업 보고서 데이터나 고객 연락처를 다운로드하지 못하도록 하고 싶을 수도 있습니다. 이러한 우려를 해결하기 위해 보안팀은 SSE(Security Services Edge) 솔루션을 사용하여 이러한 제어를 정의하고 시행합니다. 고객이 관리되지 않는 디바이스의 트래픽에 적용하는 가장 중요한 제어는 다음과 같습니다.

승인된 SaaS 앱에 액세스하는 관리되지 않는 디바이스에 대한 가시성 및 데이터 보호:
직원 또는 타사 사용자가 관리되지 않는 장치를 통해 회사의 회사 앱에 액세스할 때 보안팀은 수행된 활동에 대한 가시성과 이러한 액세스에 조직의 제어가 적용되었다는 기록을 확보하고자 합니다. 예를 들어, 노트북에 액세스할 수 없는 직원이 개인 iPad를 사용하여 SharePoint에서 프레젠테이션을 업데이트했다고 해서 비정상적인 사용을 탐지하는 데 방해가 되어서는 안 됩니다. Skyhigh Security SSE 솔루션을 사용하는 고객은 디바이스에 구애받지 않는 API 통합을 통해 관리되지 않는 디바이스에서 기업 앱으로 들어오는 모든 활동에 대한 포괄적인 가시성을 확보할 수 있습니다. 따라서 고객은 data loss prevention (DLP), 포렌식 분석(활동에 대한 가시성을 통한), 위협 탐지, 잘못된 구성 식별, 타사 연결 앱 제어 등의 포괄적인 제어 기능을 적용할 수 있습니다. SSE 시장에서 가장 광범위한 API 통합 목록을 제공하는 Skyhigh Security 을 통해 고객은 이러한 보안 제어를 광범위한 승인된 서비스형 소프트웨어(SaaS) 애플리케이션에 적용할 수 있습니다.

승인된 SaaS 앱에서 관리되지 않는 디바이스로 기업 데이터가 유출되는 것을 차단하세요:
관리되지 않는 디바이스가 회사에서 승인한 클라우드 앱에 액세스할 때 보안팀이 가장 우려하는 것은 해당 디바이스로 데이터를 다운로드할 수 있고, 그 후에는 회사가 데이터로 수행하는 작업에 대한 모든 제어권을 잃게 된다는 점입니다. 이를 방지하기 위해 관리되지 않는 디바이스에서 액세스하는 경우 파일을 다운로드하지 못하도록 제어를 적용하려고 합니다. 따라서 사용자는 파일을 보고 편집할 수는 있지만 다운로드할 수는 없습니다. 그러나 데이터 유출이 항상 다운로드에서만 발생하는 것은 아니며, 사용자는 복사-붙여넣기 또는 인쇄와 같은 다른 수단을 통해 데이터를 추출할 수 있습니다. 따라서 이러한 작업도 제어해야 합니다. Skyhigh Security 고객은 이 문제를 해결할 수 있는 고유한 솔루션을 보유하고 있습니다. 이 솔루션은 Cloud Access Security Broker (CASB) 및 Remote Browser Isolation (RBI) 기술을 결합하여 Skyhigh Security 관리되지 않는 디바이스에서 RBI 세션으로 트래픽을 리디렉션하고 세분화된 제어를 적용하여 민감한 데이터를 유출할 수 있는 업로드, 다운로드, 복사, 인쇄 등의 작업을 차단할 수 있습니다.

비공개 앱에서 민감한 데이터의 유출을 방지하세요:
기업에서 제로 트러스트 액세스 제어를 적용하여 이러한 앱에 꼭 필요한 사용자만 액세스하도록 허용하려는 기업이 증가함에 따라 자체 개발 또는 비공개 앱이 기업 보안 제어의 초점이 되고 있습니다. 많은 경우 기업에서는 조달, 급여 또는 개발 기반 앱을 포함하여 타사 사용자도 이러한 앱에 액세스하도록 요구합니다. 따라서 관리되지 않는 디바이스를 통한 액세스를 허용해야 하며, 따라서 필요한 보호 기능도 적용해야 합니다. Skyhigh Security 고객은 Skyhigh Private Access 를 사용하여 액세스 제어 및 DLP를 포함한 보안 제어를 적용합니다. 관리되지 않는 디바이스의 경우, 고객은 최종 사용자가 웹 브라우저만을 사용하여 비공개 애플리케이션에 대한 보안 연결을 인증하고 설정할 수 있는 클라이언트 없는 액세스 옵션을 사용할 수 있습니다. 또한 보안팀은 SaaS 앱과 마찬가지로 RBI 세션을 통해 관리되지 않는 디바이스에서 트래픽을 리디렉션할 수 있는 옵션도 있습니다. 클라이언트리스( Private Access ) 옵션을 사용하면 추가 소프트웨어 설치 및 관리 프로세스가 제거되어 중요한 리소스에 대한 액세스가 간소화됩니다. 이는 관리되지 않는 디바이스의 사용자에게 비공개 애플리케이션에 대한 액세스 및 제어를 제공하는 데 큰 도움이 됩니다.

기업 SaaS 앱에 멀웨어가 업로드되는 것을 방지하세요:
관리되지 않는 디바이스에는 일반적으로 필요한 보안 제어 기능이 없으며 사용자가 수많은 소셜 미디어와 규제되지 않은 앱에서 데이터를 다운로드할 수 있습니다. 이러한 디바이스를 사용하여 회사의 승인된 SaaS 앱에 파일을 업로드하면 멀웨어 감염이 클라우드 인스턴스로 확산되어 동기화된 디바이스로 확산될 수 있습니다. 관리되지 않는 디바이스의 트래픽을 RBI 세션으로 푸시함으로써 Skyhigh Security 고객은 이 데이터에 대해 포괄적인 멀웨어 검사를 수행하여 잠재적으로 유해한 파일을 필터링할 수 있습니다.

관리되지 않는 디바이스의 액세스를 허용해야 하는 비즈니스 요구는 분명하지만, 관리되지 않는 디바이스로 인한 보안 위협은 현실입니다. 최근 연구에 따르면 71%가 민감한 업무용 비밀번호를 휴대폰에 저장하고 66%가 업무용으로 개인 메시징 앱을 사용하는 등 대다수의 직원이 개인 모바일 디바이스에서 위험한 행동을 하고 있는 것으로 나타났습니다. 따라서 기업은 필요한 제어 기능을 적용하여 이러한 위협 벡터로부터 보호해야 합니다. 이를 위해 기업들은 직원과 파트너가 보안 및 규정 준수 요구 사항을 위반하지 않고 기업 클라우드 앱에 액세스할 수 있도록 허용하는 Skyhigh Security 같은 선도적인 SSE 솔루션에 의존하고 있습니다.