2022년 5월 19일
로드먼 라메자니안 - 엔터프라이즈 클라우드 보안 어드바이저, Skyhigh Security
"큰 힘에는 큰 책임이 따른다."라는 말을 들어보셨을 겁니다. "피터 파커 원칙"이라고도 불리는 이 문구는 피터 파커가 주인공으로 등장하는 스파이더맨 만화와 영화 덕분에 대중문화에서 잘 알려지게 되었습니다. 이 문구는 오늘날 매우 잘 알려져 있어 실제로 위키피디아에 자체 문서가 있을 정도입니다. 이 문구의 요지는 더 나은 세상을 만들 수 있는 권한을 부여받았다면 그렇게 해야 할 도덕적 의무가 있다는 것입니다.
하지만 고객과 클라우드 보안, 특히 서비스형 인프라(IaaS)의 보안에 대해 이야기하면서 제가 발견한 것은 '존 맥클레인 원칙'이라고 부르는 현상입니다(무고한 사람을 보호하기 위해 이름만 바꾼 것임).
존 맥클레인 원칙은 누군가에게 문제를 해결할 책임이 주어졌지만 동시에 필요한 변경을 수행할 권한이 주어지지 않았을 때 발생합니다. 이 시나리오는 표면적으로는 터무니없게 들릴 수 있지만, 많은 정보 보안 팀이 이 문제에 공감할 수 있을 것입니다. 대화는 다음과 같이 진행됩니다:
- CEO에서 인포섹으로: 클라우드에서 보안을 유지해야 합니다. 저는 다음 [최신 보안 침해 사례 삽입]이 되고 싶지 않습니다.
- 정보 보안 담당자, CEO: 네, 저희가 클라우드를 어떻게 사용하고 있는지 살펴본 결과 대부분의 문제는 프로세스와 지식 부족에서 비롯된 것이었습니다. 클라우드에서 각자의 업무를 수행하는 수많은 팀이 있는데, 이들이 무엇을 하고 있는지 완벽하게 파악할 수 없습니다.
- CEO에서 인포섹으로: 좋아요, 가서 고치세요.
- 인포섹에서 CEO로: 문제는 제가 그 팀들에 대해 아무런 발언권이 없다는 겁니다. 그들이 원하는 것은 무엇이든 할 수 있습니다. 문제를 해결하려면 클라우드 사용 방식을 바꿔야 합니다. 관리자들의 동의를 얻어야 하는데, 관리자들은 속도가 느려질 것이기 때문에 아무것도 바꾸고 싶지 않다고 말했습니다.
- CEO에서 인포섹으로: 알아낼 수 있을 거라 믿습니다. 행운을 빌어요, 그리고 유출 사고가 일어나지 않기를 바랄게요.
"권한이 없을수록 책임도 커진다"는 말이 실감나는 순간입니다.
그 이유는 무엇일까요? 그 이유는 서비스형 인프라(IaaS)가 IT 소비 방식과 보안 확장 방식을 근본적으로 변화시켰기 때문입니다. 더 이상 구매 요청을 제출하고 인프라 리소스를 가동하기 위해 길고 긴 프로세스를 거치지 않아도 됩니다. 이제 신용카드만 있으면 누구나 전 세계 어디서나 몇 분 안에 데이터 센터에 해당하는 규모의 리소스를 가동할 수 있습니다.
그러나 민첩성으로 인해 정보 보안에 의도치 않은 변화가 발생했으며, 클라우드 보안을 확장하기 위해서는 한 팀의 단독 책임이 될 수 없습니다. 오히려 클라우드 보안은 프로세스에 포함되어야 하며 개발, 아키텍트, 운영 간의 협업에 의존해야 합니다. 이제 클라우드 보안에서 이러한 팀의 역할이 더욱 중요해졌으며, 많은 경우 보안을 강화하기 위해 변화를 구현할 수 있는 유일한 팀이기도 합니다. 이제 InfoSec은 게이트키퍼 대신 셰르파의 역할을 수행하여 모든 팀이 동일한 보안 속도로 나아갈 수 있도록 합니다.
하지만 존 맥클레인이 말했듯이 클라우드 보안을 관리하는 팀이 많다고 해서 반드시 더 나은 솔루션이 있는 것은 아닙니다. 실제로 우선순위가 서로 다른 여러 팀에 걸쳐 조율해야 하는 경우 보안이 더욱 복잡해지고 속도가 느려질 수 있습니다. 따라서 개발자, 아키텍트, 정보 보안팀 간의 협업을 용이하게 하면서도 동시에 가드레일을 제공하여 어느 하나도 놓치지 않도록 하는 간소화된 보안 솔루션이 필요합니다.
저희 클라우드 보안 서비스는 클라우드에서 애플리케이션을 이동하고 개발하는 고객을 위해 특별히 개발되었습니다. 모든 서비스에는 약자가 있어야 하므로 Skyhigh Cloud-Native Application Protection Platform 또는 Skyhigh CNAPP이라고 부릅니다.
Skyhigh CNAPP란 무엇인가요? Skyhigh CNAPP는 클라우드 보안 태세 관리(CSPM), 클라우드 워크로드 보호 플랫폼(CWPP), Data Loss Prevention (DLP) 및 애플리케이션 보호의 솔루션을 단일 솔루션으로 결합합니다. 저희는 정보 보안 팀에 클라우드 네이티브 애플리케이션에 대한 광범위한 가시성을 제공하기 위해 CNAPP를 구축했습니다. 저희의 목표는 모든 것이 안전한지 확인하기 위해 속도를 늦추는 것이 아니라, 어떻게 하면 개발팀이 빠르게 움직이면서 정보보안팀이 클라우드 보안에 필요한 가시성과 컨텍스트를 확보할 수 있도록 지원할 수 있을까 하는 것이었습니다.
스카이하이 CNAPP의 기능에 대해 간략히 설명하고 고객이 선호하는 몇 가지 기능을 나열해 보겠습니다.
클라우드 서비스 상태 관리(CSPM)
오늘날 IaaS에서 발생하는 침해 사고의 대부분은 서비스 설정 오류로 인해 발생합니다. Gartner는 2016년에 "클라우드 보안 장애의 95%는 고객의 잘못"이라는 유명한 말을 했습니다. 2019년에 Gartner는 "클라우드 보안 장애의 99%는 고객의 잘못"이라고 이 인용문을 업데이트했습니다. 저는 "105%는 고객의 잘못"이라는 가트너의 말이 맞을 날을 기다리고 있습니다.
이 비율이 높은 이유는 무엇인가요? 여러 가지 이유가 있겠지만, 고객으로부터 새로운 서비스를 보호하는 방법에 대한 지식이 매우 부족하다는 이야기를 많이 듣습니다. 각 클라우드 제공업체는 새로운 서비스와 기능을 어지러울 정도로 빠른 속도로 출시하고 있으며, 도입을 막는 장애물도 없습니다. 안타깝게도 업계는 이러한 새로운 서비스와 기능을 가장 잘 구성하는 방법을 알고 이해하는 인력을 확보하는 속도를 따라잡지 못하고 있습니다. Skyhigh CNAPP은 고객에게 모든 클라우드 서비스를 즉시 감사하고 해당 서비스를 모범 보안 관행 및 CIS 재단, PCI, HIPPA, NIST와 같은 업계 표준에 따라 벤치마킹할 수 있는 기능을 제공합니다.
이러한 감사(우리는 이를 보안 인시던트라고 부릅니다) 내에서 Skyhigh CNAPP은 보안을 개선하기 위해 서비스를 재구성하는 방법에 대한 자세한 정보를 제공할 뿐만 아니라 서비스 수준 계약(SLA)을 통해 보안 인시던트를 개발팀에 할당하는 기능도 제공하므로 누가 무엇을 소유하고 무엇을 변경해야 하는지 모호하지 않습니다. 이러한 모든 워크플로를 자동화할 수 있으므로 여러 팀이 거의 실시간으로 문제를 발견하고 수정할 수 있습니다.
또한 Skyhigh CNAPP에는 고객이 자신의 환경에 고유한 위험한 잘못된 구성을 식별하기 위한 정책을 만들 수 있는 사용자 지정 정책 기능과 보안 표준을 충족하지 않는 배포에 대한 피드백을 제공하는 Jenkins, Bitbucket, GitHub와 같은 개발자 도구와의 통합 기능도 있습니다.
클라우드 워크로드 보호 플랫폼
IaaS 플랫폼은 Linux(OS), Docker(컨테이너), Kubernetes(오케스트레이션)와 같은 오픈 소스 소프트웨어(OSS)의 촉매제가 되었습니다. 이러한 도구를 사용할 때의 문제점은 소프트웨어 라이브러리에서 발견되는 CVE(공통 취약점 및 노출)의 위험과 새로운 서비스를 배포할 때 잘못된 구성이 상속된다는 것입니다. "컨테이너에 대한 공격의 70%는 수정할 수 있었던 알려진 취약점과 잘못된 구성에서 비롯된다"는 Gartner의 유명한 인용문도 있습니다. 그렇다면 특히 여러 개발자 팀이 CI/CD 파이프라인에 자주 릴리스를 푸시하는 임시 환경에서 정보 보안 팀은 어떻게 이러한 취약성과 잘못된 구성을 신속하게 발견할 수 있을까요?
Skyhigh CNAPP은 IaaS에서 실행 중인 모든 컴퓨팅 인스턴스, 컨테이너, 컨테이너 서비스를 식별하는 동시에 리포지토리 및 프로덕션 컨테이너 서비스 모두에서 중요한 CVE, 잘못된 구성을 식별하고 새로운 보호 기능을 도입하여 완벽한 워크로드 보호 기능을 제공합니다. 이러한 기능에는 애플리케이션 허용 목록, OS 강화, 파일 무결성 모니터링이 포함되며, 곧 나노 세분화 및 온프레미스 지원도 도입할 계획입니다.
고객 즐겨찾기
- 테넌트 내 DLP 스캔: 많은 고객이 공개적으로 노출된 클라우드 스토리지 서비스(버킷이라고도 함)를 합법적으로 사용하지만 동시에 해당 버킷에 민감한 데이터가 없는지 확인해야 합니다. 이러한 서비스에 DLP를 사용할 때의 문제점은 시중에 나와 있는 많은 솔루션이 데이터를 공급업체의 자체 환경으로 복사한다는 것입니다. 이는 송신 비용으로 고객 비용을 증가시키고 데이터 전송 시 보안 문제를 야기합니다. CNAPP를 사용하면 고객이 데이터가 IaaS 환경을 벗어나지 않는 테넌트 내 DLP 검사를 수행할 수 있으므로 프로세스를 더욱 안전하고 저렴하게 수행할 수 있습니다.
- 클라우드용 MITRE ATT&CK 프레임워크: 보안관제센터(SOC)의 언어는 MITRE이지만 클라우드 보안 사고를 이 프레임워크에 적용하는 방식에는 많은 미묘한 차이가 있습니다. Skyhigh CNAPP를 통해 모든 CSPM 및 CWPP 보안 인시던트를 MITRE에 매핑하는 엔드투엔드 프로세스를 구축했습니다. 이제 정보 보안 팀과 개발자 팀은 모든 클라우드 인시던트를 MITRE에 자동으로 분류하여 더 빠르게 대응하고 더 효과적으로 협업할 수 있습니다.
- 통합 애플리케이션 보안: CNAPP는 Gartner Magic Quadrant ( Cloud Access Security Broker )의 리더인 MVISION Cloud 서비스와 동일한 플랫폼을 기반으로 구축되었습니다. 이제 고객은 동일한 솔루션으로 IaaS에서 구축 중인 애플리케이션과 함께 SaaS 애플리케이션에 대한 상세한 가시성과 보안 제어를 얻을 수 있습니다. 고객은 소비자용 SaaS와 빌더용 IaaS 등 모든 팀에 걸쳐 애플리케이션 위험에 대한 전체적인 그림을 제공하는 하나의 콘솔을 사용하는 것을 좋아합니다.
더 많은 기능을 소개해드리고 싶지만, 그 대신 직접 솔루션을 확인해 보시기 바랍니다. 릴리스에 대한 자세한 내용은 https://www.skyhighsecurity.com/products/cloud-native-application-protection-platform.html 에서 확인하거나 https://www.skyhighsecurity.com/forms/demo-request-form.html 에서 데모를 요청하세요. 여러분의 피드백을 통해 Skyhigh CNAPP이 클라우드에서 더 많은 권한과 책임을 부여하는 데 어떻게 도움이 될 수 있는지 듣고 싶습니다.
블로그로 돌아가기