[6주차] 프리즈마로 클라우드 보호
학습목표
1. Prisma Cloud의 4가지 핵심 요소를 알아본다.
2. SASE(Secure Access Service Edge)의 계층과 기능을 설명한다.
3. Prisma Access 아키텍처 솔루션의 레이어를 검토한다.
4. 고유한 SaaS 기반 보안 위험에 대한 이해를 입증한다.
5. Prisma SaaS가 SaaS 기반 애플리케이션과 데이터를 어떻게 보호하는지 이해한다.
[6-1] 프리즈마로 클라우드 보호
프리즈마로 클라우드 보호
애플리케이션 개발 방법론은 기존의 폭포수 모델에서 엔드투엔드 자동화를 통해 더욱 민첩한 CI/CD(지속적 통합/지속적 제공) 프로세스로 이동하고 있다. 이 새로운 접근 방식은 시장 출시 시간 단축, 배송 속도 향상 등 다양한 이점을 제공하지만, 기존 보안 방법론은 이러한 최신 애플리케이션 워크플로를 처리하도록 설계되지 않았기 때문에 보안 문제도 발생한다. 개발자 팀이 클라우드 네이티브 기술을 수용함에 따라, 보안 팀은 이를 따라잡기 위해 안간힘을 쓰고 있는 실정이다. 그럼에도 제한된 예방 제어, 열악한 가시성, 자동화가 부족한 도구로 인해 불완전한 보안 분석이 발생한다. 이러한 모든 요인은 클라우드 환경에서 손상 위험과 성공적인 침해 가능성을 증가시킨다. 동시에 보안에 대한 완전히 새로운 접근 방식에 대한 요구가 대두되고 있다. 이에 대한 해결책으로 CNSP(클라우드 네이티브 보안 플랫폼)를 시작해야 한다.
"클라우드 네이티브"라는 용어는 온프레미스 데이터 센터 대신, 클라우드 컴퓨팅 제공 모델을 최대한 활용하는 애플리케이션을 구축하고 실행하는 접근 방식을 의미한다. 이 접근 방식은 확장성, 배포 가능성, 관리 용이성, 무제한 온디맨드 컴퓨팅 성능 등 클라우드가 제공하는 장점을 최대한 활용하고, 이러한 원칙을 CI/CD 자동화와 결합하여 소프트웨어 개발에 적용하여, 비용 절감, 생산성, 비즈니스 민첩성 및 비즈니스 민첩성을 획기적으로 높인다.
클라우드 네이티브 아키텍처는 컨테이너, 서버리스 보안, PaaS, 마이크로서비스 등의 클라우드 서비스로 구성된다. 이러한 서비스는 느슨하게 결합되어 있다. 즉, 인프라 구성 요소에 고정되어 있지 않으므로, 개발자는 퍼블릭, 프라이빗, 멀티클라우드 배포와 같은 기술 경계 전반에 걸쳐, 애플리케이션의 다른 부분이나 다른 팀 구성원의 프로젝트에 영향을 주지 않고 자주 변경할 수 있다.
간단히 말해서, "클라우드 네이티브"는 본질적으로 클라우드 제공을 위해 설계되었으며, 본질적으로 클라우드의 모든 이점을 보여주는 소프트웨어 개발 방법론을 의미한다.
더 많은 조직이 DevOps를 채택하고 개발자 팀이 애플리케이션 개발 파이프라인을 업데이트하기 시작함에 따라, 보안 팀은 자신의 도구가 개발자 중심, API 중심, 인프라에 구애받지 않는 클라우드 네이티브 보안 패턴에 적합하지 않다는 것을 빠르게 깨달았다. 이에 따라 클라우드 네이티브 보안 포인트 제품이 시장에 출시되기 시작했다. 이러한 제품은 각각 문제의 한 부분 또는 소프트웨어 스택의 한 부분을 해결하도록 설계되었지만, 그 자체로는 클라우드 네이티브 환경 전반의 위험을 정확하게 이해하거나 보고할 만큼 충분한 정보를 수집할 수 없었다. 이러한 상황으로 인해 보안 팀은 여러 도구와 공급업체를 저글링해야 했고, 이로 인해 도구가 중복되었지만 통합되지 않는 사각지대가 생겼을 뿐만 아니라 비용, 복잡성, 위험이 증가했다.
이 문제를 해결하려면 전체 CI/CD 수명주기를 포괄하고 DevOps 워크플로와 통합할 수 있는 통합 플랫폼 접근 방식이 필요하다. 클라우드 네이티브 접근 방식이 클라우드 사용 방식을 근본적으로 변화시켰듯이, CNSP도 클라우드 보안 방식을 근본적으로 재구성하고 있다.
CNSP는 보안을 강화하기 위해 플랫폼 구성 요소 전체에서 인프라, PaaS, 사용자, 개발 플랫폼, 데이터 및 애플리케이션 워크로드에 대한 컨텍스트를 공유한다. 그들은 또한,
① SecOps 및 DevOps 팀에 통합된 가시성을 제공한다.
② 위협에 대응하고, 클라우드 네이티브 애플리케이션을 보호하기 위한 통합 기능 세트를 제공한다.
③ 전체 빌드-배포-실행 수명주기에 걸쳐 취약점 및 잘못된 구성의 수정을 일관되게 자동화한다.
과거에는 새로운 컴퓨팅 옵션을 수용하려는 조직이 해당 옵션을 지원하기 위해 더 많은 보안 제품을 구입해야 한다는 필요성 때문에 어려움을 겪었다. 기술 경계를 넘어 일관된 정책을 시행하기 위해 서로 다른 솔루션을 결합하는 것은 솔루션보다 더 큰 문제가 되었다. 그러나 CNSP는 연속적인 컴퓨팅 옵션, 멀티클라우드 및 애플리케이션 개발 수명주기 전반에 걸쳐 적용 범위를 제공한다. 이 범위를 통해 조직은 특정 워크로드에 적합한 컴퓨팅 옵션을 선택할 수 있으므로, 보안 솔루션을 통합하는 방법에 대한 걱정 없이 자유롭게 사용할 수 있다. CNSP는 클라우드 네이티브 전략의 이점을 요약하여 민첩성, 유연성 및 디지털 혁신을 지원한다.
팔로알토 네트웍스 CNSP에는 클라우드 보안을 위한 프리즈마 클라우드, 프리즈마 액세스, 프리즈마 SaaS 솔루션이 포함되어 있다.
클라우드 애플리케이션 보안 (프리즈마 클라우드)
프리즈마 클라우드는 업계 최고의 기술을 통해 클라우드 사용의 모든 측면을 보호하도록 설계된 가장 포괄적인 클라우드 네이티브 보안 플랫폼이다. 프리즈마 클라우드는 멀티클라우드 및 하이브리드 클라우드 환경 전반에 걸쳐 전체 클라우드 네이티브 기술 스택은 물론, 전체 애플리케이션 수명주기 전반에 걸쳐 애플리케이션과 데이터에 대한 광범위한 보안 및 규정 준수 범위를 제공한다. 프리즈마 클라우드는 SecOps 및 DevOps 팀이 개발 주기 초기에 보안을 구현하여, 클라우드 네이티브 애플리케이션 배포를 가속화할 수 있도록 하는 통합 접근 방식을 취한다.
프리즈마 클라우드는 다음 네 가지 요소를 기반으로 한다.
① 가시성, 거버넌스, 컴플라이언스
멀티클라우드 환경의 보안 상태에 대한 심층적인 가시성을 확보한다. 자동화된 자산 인벤토리를 통해 배포되는 모든 항목을 추적하고, 환경 전체에 올바른 동작을 적용하는 기본 거버넌스 정책으로 규정 준수를 유지한다.
② 컴퓨팅 보안
애플리케이션 수명 주기 전반에 걸쳐 호스트, 컨테이너 및 서버리스 워크로드를 보호한다. 취약성 인텔리전스를 통합 개발 환경(IDE), 소프트웨어 구성 관리(SCM) 및 CI/CD 워크플로에 통합하여 위험을 감지하고 예방한다. 기계 학습 기반 런타임 보호를 적용하여, 애플리케이션과 워크로드를 실시간으로 보호한다.
③ 네트워크 보호
비정상적인 동작에 대한 네트워크 활동을 지속적으로 모니터링하고, 마이크로서비스 인식 마이크로 세분화를 시행하고, 업계 최고의 방화벽 보호를 구현한다. 네트워크 경계는 물론, 컨테이너와 호스트 간의 연결을 보호한다.
④ 신원 보안
환경 전체에서 UEBA(사용자 및 엔터티 동작 분석)를 모니터링하고 활용하여 악의적인 작업을 탐지하고 차단한다. 사용자 활동에 대한 가시성을 확보하고 거버넌스 정책을 시행하며, 사용자와 워크로드 모두의 권한을 관리한다.
클라우드 거버넌스와 컴플라이언스
성공적인 공격을 방지하려면, 클라우드 리소스와 SaaS 애플리케이션이 올바르게 구성되고 처음부터 조직의 보안 표준을 준수하는지 확인하는 것이 중요하다. 또한, 이러한 애플리케이션과 애플리케이션이 수집하고 저장하는 데이터가 적절하게 보호되고 규정을 준수하는지 확인하는 것은 비용이 많이 드는 벌금, 손상된 이미지, 고객 신뢰 상실을 방지하는 데 중요하다. SaaS 애플리케이션 전반에 걸쳐 보안 표준을 충족하고, 규정 준수 환경을 유지하는 것은 보안 팀의 새로운 기대 사항이다.
수많은 도구를 사용할 수 있음에도 불구하고, 대부분의 조직은 끊임없이 변화하는 클라우드 환경과 SaaS 애플리케이션 전반에 걸쳐 데이터 노출을 효과적으로 제어하고 보안 정책을 시행하는 데 어려움을 겪고 있다. 또한, 분산된 환경 전반에 걸쳐 데이터가 저장되는 규정 준수를 보장하는 것은 이미 제한된 보안 팀에 상당한 부담을 안겨준다.
멀티클라우드 환경과 SaaS 애플리케이션 전반에 걸쳐 거버넌스와 규정 준수를 보장하려면 다음이 필요하다.
① 동적 SaaS, PaaS 및 IaaS 환경에서 리소스 및 데이터의 실시간 검색 및 분류
② 애플리케이션 및 리소스 구성이 배포되자마자 보안 모범 사례와 일치하는지 확인하고, 구성 드리프트를 방지하는 구성 거버넌스
③ 세분화된 정책 정의를 사용하여 퍼블릭 클라우드의 SaaS 애플리케이션 및 리소스에 대한 액세스를 제어하고 네트워크 세분화를 적용하는 액세스 거버넌스
④ 자동화 및 내장된 컴플라이언스 프레임워크를 활용한 컴플라이언스 감사를 통해 언제든지 컴플라이언스를 보장하고 필요에 따라 감사 준비 보고서 생성
⑤ 새로운 보안 툴을 추가할 때 추가 단계를 강요하거나 애플리케이션 사용에 상당한 지연 시간을 도입하지 않는 원활한 사용자 환경
컴퓨팅 보안
클라우드 네이티브 환경은 새로운 기술과 추상화 수준으로 끊임없이 진화하고 있다. 호스트, 컨테이너 및 서버리스 워크로드는 고유한 이점을 제공하고, 서로 다른 보안 요구 사항을 가지고 있다. 프리즈마 클라우드는 개발 라이프사이클 동안 모든 유형의 클라우드 네이티브 워크로드를 보호하기 위한 동급 최고의 솔루션을 제공한다.
프리즈마 클라우드는 다음과 같은 클라우드 네이티브 컴퓨팅 보안을 제공한다.
① 취약성 관리
전체 개발 프로세스에서 취약점과 잘못된 구성을 탐지하고 방지한다. 고유한 환경을 기반으로 취약점의 우선순위를 정하고, 취약한 코드가 프로덕션에 도달하는 것을 방지한다.
② 런타임 보안
호스트, 컨테이너, 서버리스 기능 및 오케스트레이터 전반에 걸친 위협과 이상 현상을 방지한다. 프로세스, 네트워크, 파일 시스템 및 시스템 호출 센서 전반에 걸쳐 알려진 양호한 동작을 정의하는 자동화된 기계 학습 기반 모델을 구축한다. 모델은 이미지 ID와 상관 관계가 있으므로, 앱을 구축할 때마다 해당 특정 빌드에 맞게 고유하게 계산되고 맞춤화된 모델을 얻는다.
③ 애플리케이션 보안
웹 트래픽 검사와 런타임 애플리케이션 자체 보호(RASP)의 강력한 조합을 통해 애플리케이션과 API를 보호한다. 애플리케이션에 필요한 특정 활동과 기능만 허용되는 "명시적 허용" 모델을 수용하고, 다른 모든 것은 비정상적으로 취급되어 방지된다.
④ DevSecOps 활성화
보안을 IDE, SCM 및 CI 워크플로우에 통합하여 문제를 가능한 한 빨리 감지하고 방지한다. 강력한 플러그인을 통해 개발자는 빌드를 실행할 때마다 취약성 상태를 볼 수 있을 뿐만 아니라, 이미지, IaC 템플릿 및 기능을 검사할 수 있다. 보안 팀은 손상된 자산이 파이프라인 아래로 진행되는 것을 방지할 수 있다.
네트워크 보호
네트워크 보호는 클라우드 네이티브 환경에 맞게 조정되고, 하이브리드 환경 전반에 걸쳐 일관된 정책을 적용해야 한다. 프리즈마 클라우드는 컨테이너 수준의 마이크로 세분화를 시행하고 트래픽 흐름 로그를 검사하며, 고급 레이어 7 위협 보호 기능을 활용하여 네트워크 이상을 감지하고 방지한다.
프리즈마 클라우드 네트워크 보호 기능은 다음과 같다.
① 네트워크 가시성 및 이상 탐지
여러 소스에서 네트워크 트래픽 흐름 로그를 수집하고 네트워크 동작을 심층적으로 파악하여, 이상 징후를 탐지하고 방지한다.
② ID 기반 마이크로 세분화
4계층 및 7계층 분산 방화벽을 사용하여, 컨테이너 및 호스트 수준에서 클라우드 네이티브 마이크로 세분화를 시행한다. 동적 IP 주소가 아닌 논리적 워크로드 및 애플리케이션 ID를 기반으로, 클라우드 네트워크를 세분화하고 정책을 배포한다.
③ 클라우드 네이티브 방화벽
마이크로서비스 간의 트래픽 흐름을 자동으로 모델링하고, 유효한 연결을 허용하는 필터를 동적으로 만들고 의심스러운 연결을 삭제한다. DNS 보안 및 URL 필터링과 같은 4계층4 및 7계층 보안 기능으로 네트워크를 보호한다.
신원 보안
계속 확장되는 민감한 리소스 세트에 액세스할 수 있는 권한을 가진 많은 수의 사용자를 관리하는 것은 어려울 수 있다. 게다가 클라우드 리소스 자체에는 관리해야 하는 권한 세트가 있다. 프리즈마 클라우드는 클라우드 리소스의 ID를 활용하여 보안 정책을 시행하고, 클라우드 환경 전반에 걸쳐 안전한 사용자 행동을 보장할 수 있도록 도와준다.
주요 기능은 다음과 같다.
① IAM 보안
사용자와 클라우드 자원 간의 관계를 안전하게 관리한다. 사용자와 자원이 의도한 대로만 행동하고, 환경에 위험을 초래하지 않도록 거버넌스 정책을 시행한다.
② 액세스 관리
클라우드 리소스 및 인프라에 대한 최소 권한 액세스를 보장하고, 워크로드 권한에서 사용자 권한을 분리한다.
③ 머신 ID
IP 주소에서 워크로드 ID를 분리한다. 태그 및 메타데이터를 활용하여 애플리케이션 및 워크로드에 논리적 ID를 할당한 다음, 이를 사용하여 동적 환경에 맞는 ID 기반 마이크로 세분화 및 보안 정책을 시행한다.
④ UEBA
클라우드에서 사용자와 리소스의 동작을 지속적으로 분석하여, 알 수 없는 위치에서 로그인하거나 액세스할 수 없는 파일에 컨테이너가 액세스하는 등의 비정상적인 동작을 감지하고 방지한다.
보안 액세스 서비스 엣지 (프리즈마 액세스)
전통적인 네트워크 보안 어플라이언스의 보호 범위 밖에 위치한 모바일 사용자, 지사, 데이터 및 서비스의 수가 증가함에 따라, 조직은 보조를 맞추고 네트워크와 고객의 데이터의 보안, 개인 정보 보호 및 무결성을 보장하기 위해 고군분투하고 있다.
오늘날 시장에 나와 있는 많은 기술들은 모든 유형의 트래픽 및 보안 위협을 처리하도록 설계되지 않은 아키텍처를 기반으로 한다. 따라서 조직은 보안 웹 게이트웨이, 방화벽, 보안 VPN 원격 액세스 및 SD-WAN과 같은 다양한 요구 사항을 처리하기 위해 여러 포인트 제품을 채택해야 한다. 모든 제품에는 배포할 아키텍처, 구성할 정책 세트 및 관리할 인터페이스가 있으며 각각 고유한 로그 세트가 있다. 이러한 상황은 비용, 복잡성 및 보안 상태의 격차를 유발하는 관리 부담을 발생시킨다.
이러한 문제를 해결하기 위해 SASE가 등장했다. SASE는 공통 클라우드 제공 아키텍처에서 네트워크 및 네트워크 보안 서비스를 제공하여, 조직이 클라우드와 이동성을 수용하도록 돕기 위해 설계되었다. SASE 솔루션은 일관된 보안 서비스를 제공하고 공통 프레임워크를 통해 제공되는 모든 유형의 클라우드 애플리케이션(퍼블릭 클라우드, 프라이빗 클라우드 및 SaaS)에 액세스해야 한다. 여러 포인트 제품을 제거하고 단일 클라우드 제공 SASE 솔루션을 채택함으로써, 조직은 복잡성을 줄이는 동시에, 상당한 기술적, 인적 및 재정적 리소스를 절약할 수 있다.
SASE 솔루션은 네트워킹 및 보안 서비스를 다음을 포함하는 하나의 통합 클라우드 제공 솔루션으로 통합한다.
① 네트워킹: SD-WANs, VPNs, ZTNA, QoS
② 보안: FWaaS, DNS security, Threat Prevention, SWG, DLP, CASB
프리즈마 액세스는 전 세계적으로 분산된 네트워킹과 보안을 모든 사용자와 애플리케이션에 제공한다. 지사에서든 이동 중에서든, 사용자가 프리즈마 액세스에 연결하여 인터넷뿐만 아니라, 클라우드 및 데이터 센터 애플리케이션에 안전하게 액세스할 수 있다.
프리즈마 액세스는 모든 포트 및 모든 애플리케이션의 모든 트래픽을 일관되게 보호하여, 조직이 다음과 같은 작업을 수행할 수 있도록 지원한다.
① 검증된 보안 철학과 위협 인텔리전스를 통해 성공적인 사이버 공격을 방지하여, 조직 전반에 걸쳐 심층적인 가시성과 정확한 제어 제공
② 인터넷과 통신하든 클라우드와 통신하든 지점 간이든, 모든 포트에서 SSL/TLS 암호화 트래픽을 포함한 모든 애플리케이션 트래픽을 양방향으로 완벽하게 검사
③ 팔로알토 네트웍스의 자동화된 위협 데이터와 수백 개의 타사 피드를 통해 제공되는 포괄적인 위협 인텔리전스의 이점
프리즈마 액세스 SASE 아키텍처는 서비스형 네트워크 계층, 서비스형 보안 계층 및 공통 관리 플랫폼으로 구성되어, SaaS, 퍼블릭 클라우드, 인터넷 및 본사, 데이터 센터 환경 전반에서 지사, 소매 및 모바일 사용자를 보호한다
Network-as-a-service 계층
프리즈마 액세스의 서비스형 네트워크 계층은 다음과 같은 주요 SASE 기능을 제공한다.
① Software-defined wide-area network (SD-WAN)
② Virtual private network (VPN)
③ Zero Trust network access (ZTNA)
④ Quality of service (QoS)
SD-WAN
기업들은 소프트웨어 정의 광역 네트워크(SD-WAN)를 수용하여 지사를 회사 네트워크에 연결하고 비용이 많이 드는 MPLS 연결의 대안으로 지역 인터넷 차단을 제공하고 있다. 그러나 SD-WAN의 과제는 보안을 SD-WAN 패브릭과 결합하는 방법이며, 이는 여러 오버레이를 필요로 한다.
SASE 솔루션에서 SD-WAN 에지 장치는 데이터 센터나 데이터 할당 시설에 위치한 물리적 SD-WAN 허브가 아닌 클라우드 기반 인프라에 연결할 수 있다. 이 접근 방식을 사용하면, 물리적 SD-WAN 허브를 배포하고 관리하는 복잡성 없이 지사 간의 상호 연결이 가능하다.
SD-WAN은 지사 및 원격 직원에 대한 액세스를 안전하게 연결하고 제어하는 방법으로, 이미 고려 중이거나 이미 조직의 네트워크 인프라에 채택된 것이어야 한다. SASE는 SD-WAN 서비스 및 기타 솔루션이 연결될 수 있는 통합 프레임워크를 생성하여, 네트워크를 보호하는 단일 관점과 단순화된 관리 솔루션을 제공한다.
프리즈마 액세스는 기존의 브랜치 라우터, SD-WAN 에지 장치 또는 타사 방화벽과 같은 일반적인 IPsec 호환 장치를 사용하여 표준 IPsec VPN 터널을 통해 브랜치 오피스를 연결한다. 브랜치로부터의 라우팅과 ECMP(Equal-Cost Multi-Path) 라우팅을 위해 BGP 또는 정적 경로를 사용하여 여러 링크에 걸쳐 더 빠른 성능과 더 나은 중복성을 제공한다.
VPN
조직은 가상 사설 네트워크(VPN)에 의존하여 모바일 사용자와 지사가 기업 데이터, 애플리케이션 및 인터넷 액세스에 액세스할 수 있도록 안전하게 암호화된 연결을 제공한다. IPsec VPN에서 SSL VPN, 클라이언트 없는 VPN 및 원격 액세스 VPN에 이르기까지 다양한 유형의 VPN 서비스가 있는데, 이 모든 서비스에는 VPN 게이트웨이에 연결해야 한다. VPN은 클라우드에 대한 액세스에 최적화되어 있지 않으므로, 사용자가 클라우드 앱 또는 서비스에 연결하기 위해 연결을 끊었을 때 보안이나 액세스 제어가 이루어지지 않는다.
SASE 솔루션은 VPN 서비스를 포함하며 트래픽을 퍼블릭 클라우드, SaaS, 인터넷 또는 프라이빗 클라우드 앱으로 안전하게 라우팅하기 위해 클라우드 기반 인프라에서 작동하는 기능을 향상시킨다. IPsec VPN 예에서 지점 라우터, 무선 액세스 포인트, SD-WAN 에지 장치 또는 방화벽을 통해 지점 또는 소매 위치에 있는 모든 IPsec 호환 장치에서 클라우드 기반 인프라에 사이트 간 연결을 만들 수 있다. 모바일 사용자는 엔드포인트 또는 모바일 장치 간에 항상 켜져 있는 IPsec 또는 SSL VPN 연결을 사용하며, SASE 솔루션은 일관된 트래픽 암호화 및 위협 방지를 보장한다.
조직에서 어떤 유형의 VPN 서비스를 사용하든 SASE 솔루션은 기업 본사의 VPN 게이트웨이로 백홀링하는 대신 연결할 수 있는 통합 클라우드 인프라를 제공한다. 이 솔루션은 최소 권한 액세스 규칙을 시행하는 데 필요한 관리 및 정책 제어를 획기적으로 간소화한다.
프리즈마 액세스(이전 GlobalProtect 클라우드 서비스)는 클라우드 제공 보안 인프라를 제공하여, 조직이 사용자를 인근 클라우드 게이트웨이에 연결하고, 모든 애플리케이션에 안전하게 액세스할 수 있도록 하며, 모든 포트 및 프로토콜에서 트래픽을 완벽하게 파악하고 검사할 수 있도록 지원한다.
관리되는 모바일 장치의 경우:
① 관리되는 장치를 가진 사용자는 노트북, 휴대폰 또는 태블릿에 GlobalProtect 앱을 설치한다. GlobalProtect 앱은 인터넷 액세스가 가능할 때마다 자동으로 프리즈마 액세스에 연결되며, 사용자 상호 작용은 필요하지 않다.
② 사용자는 클라우드 또는 데이터 센터에 있는 모든 애플리케이션에 액세스할 수 있다. 연결 계층은 서로 다른 위치에 있는 애플리케이션을 연결하여 공용 클라우드, SaaS 및 데이터 센터 애플리케이션에 대한 보안 액세스(App-ID 및 User-ID 정책 기반)를 설정할 수 있다.
③ 프리즈마 액세스는 알려진 멀웨어 및 알려지지 않은 멀웨어, 익스플로잇, C2 트래픽 및 자격 증명 기반 공격에 대한 보호와 같은 보안 서비스 계층을 통해 보호 기능을 제공한다.
① 조직은 MDM 통합과 함께 프리즈마 액세스를 배포하여 BYOD 정책을 지원할 수 있다. 통합을 통해 앱별 VPN과 같은 기능을 사용할 수도 있다.
② BYOD 장치를 사용하는 계약자 및 직원과 같이 관리되지 않는 장치를 사용하는 사용자는 클라이언트리스 VPN과 함께 프리즈마 액세스를 사용하여 설치된 앱 없이 애플리케이션에 액세스할 수 있다.
③ 클라이언트리스 VPN은 또한 SAML 프록시 통합을 사용하여, 인라인 보호 기능이 있는 관리되지 않는 장치에서 SaaS 애플리케이션에 안전하게 액세스할 수 있도록 한다. 이 기능은 프리즈마 SaaS와 함께 작동한다.
제로 트러스트 네트워크 액세스
제로 트러스트 네트워크 액세스(ZTNA)는 데이터를 보호해야 할 필요성을 확인하기 위해 Forrester가 개발한 "절대 신뢰하지 말고 항상 검증하라"는 제로 트러스트 철학의 핵심 부분이다. ZTNA는 클라우드에 연결하려는 사용자가 필요한 애플리케이션에 액세스하기 전에 게이트웨이를 통해 인증하도록 요구한다. 이 요구 사항은 IT 관리자에게 액세스를 제한하고 데이터 손실을 최소화하며, 발생할 수 있는 문제나 위협을 신속하게 완화하기 위해 사용자를 식별하고 정책을 만들 수 있는 기능을 제공한다.
많은 ZTNA 제품은 SDP(Software-defined Aurbirus) 아키텍처를 기반으로 하므로, 콘텐츠 검사를 제공하지 않기에 각 애플리케이션에서 사용할 수 있는 보호 유형에 차이가 발생한다. 일관된 보호 측면에서 조직은 ZTNA 모델 위에 추가 컨트롤을 구축하고, 모든 애플리케이션에서 모든 트래픽에 대한 검사를 수립해야 한다.
SASE는 ZTNA 주요 원칙을 기반으로 하며, 이를 SASE 솔루션 내의 다른 모든 서비스에 적용한다. 사용자, 장치 및 애플리케이션을 식별하여 어디에서 연결하든 정책을 만들고 관리하는 것이 간단해진다. SASE는 네트워킹 서비스를 단일 통합 클라우드 인프라에 통합하여 게이트웨이에 연결하는 복잡성을 제거한다.
SASE 솔루션은 DLP 및 위협 방지 정책의 일관된 시행을 위해 애플리케이션을 보호하고 다른 보안 서비스를 적용하기 위한 ZTNA 개념을 통합해야 한다. 액세스 제어는 그 자체로 사람이 누구인지 확인하는 데 유용하지만, 그들의 행동과 행동이 조직에 해가 되지 않도록 하기 위해 다른 보안 제어도 필요하다. 그리고 모든 애플리케이션에 액세스 전반에 걸쳐 동일한 제어를 적용해야 한다.
서비스 품질
조직이 광대역 서비스를 사용하여 MPLS에서 SD-WAN으로 전환함에 따라 서비스 품질이 달라진다는 사실을 발견하고 있다. 서비스 품질(QoS)은 특정 앱과 서비스에 할당된 대역폭 할당을 설정한다. 기업은 중요한 앱과 서비스가 적절하게 수행되는지 확인하기 위해 QoS에 의존한다. 이러한 시스템이 대역폭 부족으로 인해 수렁에 빠지게 되면, 비즈니스 운영 및 판매에 심각한 영향을 받게 된다. QoS는 순위 시스템을 기반으로 비즈니스 크리티컬 앱을 우선 순위로 지정하여, 어떤 앱과 서비스가 다른 앱보다 우선할지 선택할 수 있다.
QoS는 MPLS에서 마이그레이션을 시작할 때 중요한 단계이다. SASE 솔루션은 클라우드에 QoS 서비스를 통합하여 민감한 애플리케이션(ex. VoIP)을 일반 인터넷 브라우징 및 엔터테인먼트 앱보다 높은 우선 순위로 쉽게 표시할 수 있다.
QoS는 모든 규모의 기업에 매우 중요하다. QoS 트래픽 및 할당을 관리하는 것은 어렵지 않다. SASE를 사용하면 중요한 애플리케이션 요구 사항을 우선시하는 정책을 기반으로 트래픽을 동적으로 형성할 수 있다. SASE 솔루션에 QoS 기능이 포함되어 있는지 확인해 봐야 할 것이다.
Security-as-a-service 계층
프리즈마 액세스의 서비스형 보안 계층은 다음과 같은 주요 SASE 기능을 제공한다.
① DNS Security
② FWaaS
③ Threat Prevention
④ SWG
⑤ DLP
⑥ CASB
DNS 보안
모든 조직은 도메인 이름을 IP 주소로 변환하기 위해 DNS를 사용한다. DNS는 공개 서비스이며, 기본적으로 DNS 기반 위협을 탐지하는 방법이 없다. 결과적으로 DNS 내의 악의적인 활동을 사용하여 공격을 전파할 수 있다.
DNS 보안은 위협을 무력화하면서 악의적인 도메인을 예측하고 차단함으로써 사용자를 보호한다. SASE 솔루션은 네트워크와 사용자의 위치에 관계없이 일관된 보안을 제공함으로써 DNS 보안 기능을 수용한다.
SASE 솔루션은 네트워크 액세스의 일부로 클라우드 환경 내에서 제공되는 DNS 보호 기능을 포함해야 한다. 지사와 모바일 사용자가 인터넷에 연결하는 데 사용하는 솔루션에 대해 볼트 온이 아닌 DNS 보안이 내장되어야 한다. SASE 솔루션에 제공되는 DNS 보안은 예측 분석, 머신 러닝 및 자동화를 결합하여 DNS 트래픽의 위협에 대처해야 한다.
프리즈마 액세스는 팔로알토 네트웍스 DNS 보안 서비스를 제공하며, 이 서비스는 DNS 트래픽의 위협에 대처하기 위해 예측 분석, 기계 학습 및 자동화의 조합을 제공한다. 조직은 알려진 악성 도메인을 차단하고, 새로운 악성 도메인을 예측하고, DNS 터널링을 중단할 수 있다.
Firewall-as-a-service
FWaaS(Fire as a Service)는 클라우드 기반 서비스로 방화벽을 제공하기 위한 배포 방법이다. FWaaS는 차세대 방화벽과 동일한 기능을 가지고 있지만, 클라우드에서 구현된다. 방화벽을 클라우드로 이동함으로써 조직은 지점 및 소매점에 보안 하드웨어를 설치하거나 유지 관리할 필요를 제거함으로써 비용 절감의 이점을 얻을 수 있다.
SASE 솔루션은 통합 플랫폼에 FWaaS를 통합한다. 조직은 SASE 프레임워크 내에서 FWaaS 서비스 모델을 포괄함으로써 단일 플랫폼에서 구축을 쉽게 관리할 수 있다.
클라우드에서 네트워크 보안 정책을 구현하여 차세대 방화벽을 보호하려면 SASE 솔루션에서 FWaaS 기능을 사용할 수 있어야 한다. SASE 솔루션이 기본적인 포트 차단만 제공하거나 최소한의 방화벽 보호만 제공하지 않도록 하는 것이 중요하다. 차세대 방화벽이 구현하는 것과 동일한 기능과 위협 방지 서비스 및 DNS 보안과 같은 클라우드 기반 보안이 제공하는 기능도 필요하다.
프리즈마 액세스는 차세대 방화벽에서 기대되는 보안 서비스를 제공하면서 위협으로부터 지사를 보호하는 FWaaS를 제공한다. FWaaS의 전체 스펙트럼에는 위협 방지, URL 필터링, 샌드박스 등이 포함된다.
위협 방지
매일 랜섬웨어 공격이 발생하는 오늘날의 소규모 및 대규모 침해 상황에서, 위협 방지는 조직의 데이터와 직원을 보호하는 데 핵심이다. 악성 소프트웨어 방지 및 침입 방지부터 SSL 암호 해독 및 파일 차단에 이르기까지 다양한 위협 예방 도구를 사용할 수 있어, 조직이 위협을 차단할 수 있는 방법을 제공한다. 그러나 이러한 포인트 제품은 별도의 솔루션이 필요하므로 관리 및 통합이 어렵다.
SASE 솔루션 내에서 이러한 모든 포인트 제품 및 서비스는 이제 단일 클라우드 플랫폼으로 통합된다. 이 통합을 통해 네트워크 및 클라우드 환경 전반의 모든 위협 및 취약성에 대한 관리 및 감독이 간소화된다.
직원과 데이터를 보호하려면 최신 위협 인텔리전스를 사용하여 익스플로잇 및 악성 프로그램을 방지하는 것이 매우 중요하다. SASE 솔루션은 위협 예방 도구를 프레임워크에 통합하여 위협을 신속하고 신속하게 해결할 수 있도록 해야 한다. 또한, 공급업체가 제공하는 위협 인텔리전스의 품질을 확인해야 한다. 공급업체는 알려지지 않은 위협으로부터 지속적으로 보호하기 위해 고객, 다른 공급업체 및 기타 관련 사고 주도자를 포함한 다양한 출처의 데이터를 수집하고 공유해야 할 것이다.
프리즈마 액세스를 위협 방지에 사용하면, 팔로알토 네트웍스 플랫폼의 검증된 기술과 글로벌 위협 인텔리전스 및 자동화 소스를 결합하여, 이전에 알려진 공격이나 알려지지 않은 공격을 방지할 수 있다.
시큐어 웹 게이트웨이
조직은 직원과 장치가 악성 웹 사이트에 접근하는 것을 방지하기 위해 보안 웹 게이트웨이(SWG)에 의존한다. SWG는 넷플릭스와 같은 스트리밍 서비스와 같이 회사에서 사용자가 작업 중에 액세스하기를 원하지 않는 부적절한 콘텐츠(ex. 음란물, 도박 등) 또는 웹 사이트를 차단하는 데 사용될 수 있다. 또한 SWG는 인터넷 액세스가 허용되기 전에 허용 가능한 사용 정책(AUP)을 시행하는 데 사용될 수 있다.
SWG는 SASE 솔루션이 제공해야 하는 여러 보안 서비스 중 하나일 뿐이다. 조직이 점점 더 많은 원격 사용자를 추가하고 있기 때문에 적용 범위와 보호가 더욱 어려워지는 실정이다. 그런 상황에서 SASE 솔루션은 SWG를 클라우드로 이동하여 통합 플랫폼을 통해 클라우드에서 보호하여 전체 네트워크를 완벽하게 파악하고 제어할 수 있다.
SASE 솔루션은 조직이 웹에 대한 액세스를 제어하고 적대적인 웹 사이트로부터 사용자를 보호하는 보안 정책을 시행하도록 허용하는 SWG에 동일한 보안 서비스를 포함한다. 이때 SWG는 SASE 솔루션의 하나의 서비스일 뿐이라는 것을 기억하는 것이 중요하다. 이외에도, FWaaS, DNS 보안, 위협 방지, DLP 및 CASB와 같은 다른 보안 서비스도 포함되어야 한다.
SWG를 위한 프리즈마 액세스 기능은 위협을 가릴 수 있는 회피를 방지하면서 모든 유형의 트래픽에 대한 가시성을 유지하도록 설계되었다. 팔로알토 네트웍스의 웹 필터링 기능은 기업 자격 증명이 이전에 알려지지 않은 사이트로 전송되는 것을 막을 수 있는 자격 증명 도난 방지 기술도 구동한다.
DLP(데이터 유출 방지)
DLP 도구는 중요한 데이터를 보호하고 데이터가 손실, 도난 또는 오용되지 않도록 보장한다. DLP는 데이터가 배포된 환경(ex. 네트워크, 엔드포인트, 클라우드) 내에서 해당 전송 지점을 통해 데이터를 모니터링하는 복합 솔루션이다. 또한 정책이 위반될 때 주요 이해 관계자에게 경고한다. 건강 보험 휴대성 및 책임에 관한 법률(HIPAA), 결제 카드 산업 데이터 보안 표준(PCI DSS), 일반 데이터 보호 규정(GDPR) 등과 같은 규정 준수 요구 사항으로 인해 DLP는 데이터 보안 및 규정 준수에 필요한 중요한 솔루션이다. 기존 DLP는 처음에는 온프레미스 퍼미터용으로 설계된 후 클라우드 애플리케이션에 확장 및 적응된 오래된 핵심 기술에 의존한다. 기능, 분리된 정책, 구성 및 해결 방법으로 가득 찬 DLP는 매우 복잡해지고 대규모로 배포하기 어렵고 비용이 너무 많이 든다. 그렇기에 디지털 전환 및 새로운 데이터 사용 모델은 데이터 보호에 대한 새로운 접근 방식을 요구한다.
SASE 접근 방식을 통해 DLP는 어디서나 데이터 자체를 중심으로 클라우드를 통해 제공되는 하나의 솔루션이 된다. 정지 중이든, 이동 중이든, 사용 중이든 상관없이, 중요한 데이터에 대해 동일한 정책이 일관되게 적용된다. SASE 아키텍처에서 DLP는 더 이상 독립형 솔루션이 아니라 조직의 기존 제어 지점에 내장되어 있으므로 여러 도구를 배포하고 유지 관리할 필요가 없다. SASE를 사용하면 조직은 확장 가능하고 간단한 아키텍처에 의존하고 글로벌 트래픽에 대한 액세스를 활용하여, 효과적인 머신 러닝을 가능하게 하는 포괄적인 데이터 보호 솔루션을 마침내 구현할 수 있다.
DLP는 민감한 데이터를 보호하고 조직 전반에 걸쳐 규정 준수를 보장하는 데 필요한 도구다. 이를 위해 SASE 솔루션에는 이러한 핵심 기능이 포함되어야 한다. SASE를 사용하면 DLP는 네트워크, 클라우드 및 사용자 전반에 걸쳐 모든 곳에서 민감한 데이터를 정확하고 일관되게 식별하고 모니터링하며 보호하는 데 사용되는 임베디드 클라우드 제공 서비스다.
프리즈마 액세스는 인라인 뿐만 아니라 API 기반(프리즈마 SaaS)인 DLP 컨트롤과 통합을 결합한다. 이러한 DLP 정책을 통해 조직은 데이터를 분류하고 데이터 손실을 방지하는 정책을 수립할 수 있다.
클라우드 액세스 보안 브로커
많은 조직이 클라우드 액세스 보안 브로커(CASB)에 의존하여 SaaS 애플리케이션 사용에 대한 가시성을 제공하고, 민감한 데이터가 어디에 있는지 파악하고, 사용자 액세스를 위한 회사 정책을 시행하고, 해커로부터 데이터를 보호한다. CASB는 SaaS 공급자와 직원에게 게이트웨이를 제공하는 클라우드 기반 보안 정책 집행 지점이다.
CASB는 SASE 솔루션의 또 다른 보안 기능이어야 하며, 이해관계자가 보안 제어를 관리할 수 있는 단일 플랫폼을 만든다. SASE 솔루션은 사용자의 위치에 관계없이, 어떤 SaaS 앱이 사용되고 데이터가 어디로 이동하는지 이해할 수 있도록 도와준다.
SASE 솔루션은 거버넌스, 액세스 제어 및 데이터 보호를 위해 인라인 및 API 기반 SaaS 제어를 모두 통합해야 한다. 멀티 모드 CASB라고도 하는 인라인 및 API 기반 CASB 기능의 조합은 새로운 위협에 대한 탁월한 가시성, 관리, 보안 및 제로 데이 보호를 제공한다.
프리즈마 액세스와 프리즈마 SaaS는 인라인 보안 API 보안과 컨텍스트 컨트롤을 결합한 보안 컨트롤을 구현하여, 민감한 정보에 대한 액세스를 결정하는 CASB 역할을 한다. 이러한 컨트롤은 통합된 방식으로 구현되며, 모든 클라우드 애플리케이션 정책에 적용된다.
프리즈마 SaaS
조직에서 SaaS를 안전하게 사용할 수 있도록 하려면, 먼저 사용해야 하는 SaaS 애플리케이션과 해당 애플리케이션 내에서 허용되는 동작을 명확하게 정의해야 한다. 이 단계에서는 어떤 애플리케이션을 명확하게 정의해야 한다.
① Sanctioned(IT에 의해 허용 및 제공됨)
② Tolerated(제한이 있는 합법적인 비즈니스 요구에 따라 허용되지만, IT에서 제공하지는 않음)
③ Unsanctioned(허용되지 않음), 세분화된 정책으로 사용 방지
Sanctioned SaaS 애플리케이션은 비즈니스 이점을 제공하고 구축 속도가 빠르며, 최소한의 비용이 필요하며 무한 확장성을 갖는다. Tolerated SaaS 애플리케이션은 합법적인 비즈니스 요구 사항을 충족하지만, 위험을 줄이기 위해 특정 사용 제한이 필요할 수 있다. Unsanctioned SaaS 애플리케이션은 분명히 비즈니스 이점을 제공하지 않거나 애플리케이션의 보안 위험이 비즈니스 이점보다 크다. 예를 들어, 승인되지 않은 SaaS 애플리케이션은 규정 준수 의무를 위반하거나 기업의 지적 재산이나 기타 중요한 데이터가 손실될 수 있는 허용되지 않는 위험을 발생시키거나, 악성 프로그램 배포를 가능하게 할 수 있다
승인된 SaaS 사용을 제어하려면 엔터프라이즈 보안 솔루션에서 다음을 제공해야 한다.
① 위협 방지
SaaS 애플리케이션은 이해하고 제어해야 하는 새로운 위협 위험을 도입한다. 많은 SaaS 애플리케이션은 사용자와 파일을 자동으로 동기화하고, 사용자는 조직의 통제에서 벗어난 제3자와 SaaS 애플리케이션의 데이터를 공유하는 경우가 많다. 이러한 두 가지 측면의 SaaS 환경은 외부 공유에서 유입될 수 있을 뿐만 아니라, 사용자의 개입 없이 감염된 파일을 조직 전반에 걸쳐 자동으로 동기화할 수 있는 악성 프로그램의 새로운 삽입 지점을 생성한다. SaaS 기반 악성 프로그램 위협을 해결하려면, 소스에 관계없이 알려진 악성 프로그램과 알려지지 않은 악성 프로그램이 제재된 SaaS 애플리케이션에 상주하는 것을 방지할 수 있어야 한다.
② 가시성 및 데이터 노출 제어
승인된 SaaS 사용이 세분화된 정책으로 정의되고 제어되면, 해당 SaaS 애플리케이션에 존재하는 데이터는 조직의 주변 방화벽에 더 이상 표시되지 않는다. 이러한 가시성 손실은 IT의 사각지대를 만든다. 데이터 보호에 중점을 두고 SaaS 환경과 관련된 고유한 위험을 구체적으로 해결하기 위해서는 추가적인 데이터 노출 제어가 필요하다. SaaS 애플리케이션에 저장되고 사용되는 데이터의 가시성은 사용자, 사용자가 공유한 데이터 및 공유 방법에 대한 깊은 이해를 보장하는 데 매우 중요하다.
③ 리스크 대응뿐만 아니라 리스크 방지
조직의 사용자는 일반적으로 특정 SaaS 애플리케이션을 공식적으로 제재하기 훨씬 전에 사용한다. SaaS 애플리케이션이 제재를 받은 후에도 차세대 보안 솔루션이 반드시 필요하지 않은 타사와 데이터를 공유하여, 악성 소프트웨어 위협 및 데이터 노출 위험으로부터 SaaS 데이터를 효과적으로 보호하는 경우가 많다. SaaS 기반 환경에서 위협 방지 및 데이터 노출 제어를 수행하려면, 앞으로 SaaS 애플리케이션이 제재를 받을 때뿐만 아니라 가시성과 제어가 필요하다. SaaS 애플리케이션이 제재를 받기 전에 저장 및 공유 중이던 데이터를 포함한 모든 데이터를 가시성과 제어할 수 있어야 한다.
엔터프라이즈 지원 SaaS 애플리케이션 내에 존재하는 데이터는 조직의 네트워크 경계에 표시되지 않는다. 프리즈마 SaaS는 승인된 SaaS 애플리케이션에 직접 연결하여 데이터 분류, 공유, 권한 가시성 및 애플리케이션 내의 위협 탐지 기능을 제공한다. 이 기능은 탁월한 가시성을 제공하므로, 조직은 상황에 맞는 정책을 통해 콘텐츠의 데이터 노출 위반 여부를 검사하고,공유 데이터에 대한 액세스를 제어할 수 있다.
프리즈마 SaaS는 App-ID를 통해 제공되는 보안 운영 플랫폼의 기존 SaaS 가시성 및 세분화된 제어 기능을 기반으로 SaaS 기반의 상세 보고 및 SaaS 사용량에 대한 세분화된 제어 기능을 제공한다. 아래 표는 App-ID에서 지원하는 SaaS 애플리케이션에 대한 세분화된 제어의 예시를 보여준다.
애플리케이션 | 컨트롤 | 기능 |
박스 | Box - Personal | App-ID |
Box - Corporate | App-ID | |
업로드 컨트롤 | 파일 블로킹 | |
다운로드 컨트롤 | 파일 블로킹 | |
멀웨어 탐지 | WildFire & 방어 프로필 | |
유저 기반 컨트롤 | User-ID |
프리즈마 SaaS는 프록시, 에이전트, 소프트웨어, 추가 하드웨어 또는 네트워크 변경 없이 SaaS 애플리케이션 내에서 가시성과 제어를 제공하는 완벽한 클라우드 기반 엔드 투 엔드 보안 솔루션이다. 프리즈마 SaaS는 인라인 서비스가 아니므로, 지연 시간, 대역폭 또는 최종 사용자 환경에 영향을 미치지 않는다. 프리즈마 SaaS는 SaaS 애플리케이션 자체와 직접 통신하며 데이터가 전송된 장치나 위치에 관계없이 모든 소스의 데이터를 본다.
SaaS 위협 방지
WildFire 위협 클라우드와 프리즈마 SaaS의 통합은 알려진 멀웨어를 차단하고 알려지지 않은 멀웨어를 식별하고 차단하기 위한 사이버 위협 방지 기능을 제공한다. 이 통합은 WildFire의 기존 통합을 확장하여 제재된 SaaS 애플리케이션을 통해 위협이 확산되는 것을 방지해 멀웨어의 새로운 삽입 지점을 차단한다. 프리즈마 SaaS에서 새로운 멀웨어가 발견되면, SaaS 애플리케이션에 맞게 배포되지 않더라도 위협 정보가 나머지 보안 운영 플랫폼과 공유된다.
데이터 노출 가시성
프리즈마 SaaS는 모든 사용자, 폴더 및 파일 활동에 걸쳐 완벽한 가시성을 제공하며, 이를 통해 특정 시점에서 SaaS 환경에서 발생하는 일을 정확히 파악하는 단계로 전환하는 데 도움이 되는 상세한 분석을 제공한다. 심층 분석을 일상적인 사용량으로 볼 수 있기 때문에 데이터 위험이나 컴플라이언스 관련 정책 위반 사항이 있는지 신속하게 확인할 수 있다. 사용자 및 데이터 활동에 대한 이러한 상세한 분석을 통해 세분화된 데이터 거버넌스 및 포렌식을 수행할 수 있다.
프리즈마 SaaS는 애플리케이션 자체에 직접 연결되므로, 기존 보안 솔루션에서는 불가능한 세부적인 가시성과 함께 제재된 SaaS 애플리케이션 내의 위험에 대한 지속적인 무음 모니터링을 제공한다.
상황별 데이터 노출 제어
프리즈마 SaaS를 사용하면 위반이 발생하면 즉시 사용자 및 데이터를 강제 및 격리할 수 있는 세분화된 상황 인식 정책 제어를 정의할 수 있다. 이 제어를 통해 PCI 및 PII와 같은 데이터 위험 준수 요구 사항을 빠르고 쉽게 충족하면서도, 클라우드 기반 애플리케이션의 이점을 유지할 수 있다.
프리즈마 SaaS는 비정형(호스트 파일) 및 정형(Salesforce.com 과 같은 애플리케이션 항목) 데이터에서 데이터 노출을 방지한다. 두 데이터 유형 모두 부적절한 데이터 공유의 일반적인 소스다.
고급 문서 분류
프리즈마 SaaS는 일반적인 민감한 데이터 문자열(ex. 신용 카드 번호, SSH 키, 사회 보장 번호)을 문서에서 검사하고, 부적절하게 공유된 경우 위험으로 표시한다. 프리즈마 SaaS의 독특한 점은 문서 자체에 포함된 데이터에 관계없이 고급 문서 분류를 통해 유형별로 문서를 식별할 수 있는 능력이다. 프리즈마 SaaS는 의료, 세금 및 법률 문제와 같은 민감한 문서를 자동으로 식별하도록 설계되었다.
소급 정책
기존의 네트워크 보안 솔루션은 인라인 데이터만 볼 수 있고, 정책이 생성된 후 인라인으로 액세스되는 데이터에 보안 정책을 적용할 수 있다. 그러나 정책이 생성되기 훨씬 전에 SaaS 데이터가 공유되었을 수 있기 때문에 이러한 접근 방식은 SaaS 데이터 노출을 효과적으로 방지하지 못한다. 이 데이터는 수개월 또는 수년 동안 인라인으로 액세스되지 않을 수 있으며, 이로 인해 민감한 데이터가 악성 프로그램 감염 및 무단 액세스에 무기한 노출될 수 있다.
프리즈마 SaaS는 SaaS 계정을 생성할 때부터 모든 사용자와 데이터에 보안 정책을 소급 적용하여 잠재적인 취약성이나 정책 위반 사항을 파악한다. 프리즈마 SaaS는 누군가 인라인으로 데이터에 액세스하여 정책을 적용하고 취약성이나 위반 사항을 해결하는 것을 기다리지 않으며, SaaS 데이터와 공유는 언제 생성되었는지에 관계없이 사전 예방적으로 검색, 보호 및 해결된다.
정책은 데이터 노출 위험을 세분화된 정의를 허용하기 위해 상황에 따라 결정된다. 이러한 세분화는 우발적인 데이터 노출을 방지하면서 사용자가 SaaS를 사용할 수 있도록 하는 데 필요하다. 정책은 전체 데이터 노출 위험 프로파일을 생성하기 위해 상황에 따라 여러 요소를 취한다. 한 가지 또는 두 가지 요인으로는 공유의 잠재적 위험에 대한 충분한 통찰력을 제공하지 못할 수 있다. 전체 노출 위험은 공유의 전체 상황을 이해한 후에만 결정된다.
위험은 사용자 유형, 문서 유형, 포함된 민감한 데이터, 데이터 공유 방법 및 멀웨어의 존재 여부에 따라 계산된다. 이 기능은 몇 가지 중요한 요소를 기반으로 노출을 세분화된 수준에서 제어할 수 있는 기능을 제공한다.
예를 들어, 재무 팀은 재무 데이터를 팀의 다른 사람들과 공유할 수 있지만 그 이상은 할 수 없다. 원래 공유가 허용되더라도, 멀웨어에 감염된 데이터는 공유할 수 없다. 그러나 재무 팀은 민감하지 않은 데이터를 전사적으로 공유하거나 경우에 따라 외부 공급업체와 공유할 수 있다. 이러한 수준의 세분화를 가능하게 하는 핵심은 모든 요소의 맥락에서 공유를 살펴볼 수 있는 능력이다.
프리즈마 클라우드 보안 포스처 관리(CSPM)
효과적인 클라우드 보안을 위해서는 구축된 모든 리소스를 완벽하게 파악할 수 있어야 하며, 구성 및 규정 준수 상태에 대한 절대적인 신뢰가 필요하다. 기업이 클라우드 네이티브 방법론을 채택하고 멀티 클라우드 아키텍처의 유연성을 확보함에 따라, 서로 다른 레거시 툴에서 보안 데이터를 스티칭하는 것이 상당한 장애물이 된다. 데브옵스와 보안 팀에는 프리즈마 클라우드와 같은 단일 통합 솔루션이 필요하다.
프리즈마 클라우드는 단순한 규정 준수나 구성 관리를 넘어 클라우드 보안 자세 관리에 대한 독특한 접근 방식을 취한다. 30개 이상의 데이터 소스에서 제공하는 취약성 인텔리전스는 중요한 보안 문제에 대해 즉각적인 명확성을 제공하는 동시에, 개발 파이프라인 전반에 걸친 제어를 통해 안전하지 않은 구성이 운영 환경에 도달하는 것을 방지한다. 프리즈마 클라우드 보안 포스처 관리(CSPM) 모듈은 다음과 같다.
① 가시성, 컴플라이언스, 거버넌스
⑴ 클라우드 자산 인벤토리: 프리즈마 클라우드는 구축된 모든 리소스의 보안 상태를 포괄적으로 파악하고 제어한다. 일부 솔루션은 자산 데이터를 단순 집계하는 반면, 프리즈마 클라우드는 서로 다른 데이터 소스를 분석하고 정규화하여 타의 추종을 불허하는 위험 명확성을 제공한다.
⑵ 컴플라이언스 모니터링 및 보고: 프리즈마 클라우드는 클라우드 컴플라이언스 상태를 지속적으로 모니터링하고, 단일 콘솔에서 원클릭 보고를 지원한다. 수많은 컴플라이언스 프레임워크가 기본 제공되며, 추가 사용자 지정 프레임워크를 구축할 수 있다.
⑶ IaC(Infrastructure as code) 스캐닝: 프리즈마 클라우드를 사용하면 IaC 템플릿의 취약점을 스캔하고 빌드 및 런타임 개발 단계에 대한 클라우드에 구애받지 않는 정책을 구축할 수 있다.
② 위협 방지
⑴ 사용자 및 개체 행동 분석(UEBA): 프리즈마 클라우드는 수백만 건의 감사 이벤트를 분석한 다음, 머신 러닝을 사용하여 계정 손상, 내부자 위협, 도난된 액세스 키 및 기타 잠재적으로 악의적인 사용자 활동을 알릴 수 있는 비정상적인 활동을 탐지한다.
⑵ 네트워크 이상 탐지: 프리즈마 클라우드는 비정상적인 네트워크 동작에 대해 클라우드 환경을 모니터링하고, 열린 포트를 위해 서버 또는 호스트를 조사하는 포트 스캔 및 포트 스위프 활동을 포함하여 비정상적인 서버 포트 또는 프로토콜 활동을 탐지할 수 있다.
⑶ 자동화된 조사 및 응답: 프리즈마 클라우드는 자동화된 교정, 상세 포렌식 및 상관 기능을 제공한다. 워크로드, 네트워크, 사용자 활동, 데이터 및 구성에서 결합된 통찰력은 사고 조사 및 응답을 가속화한다.
③ 데이터 보안
⑴ 데이터 가시성 및 분류: 프리즈마 클라우드는 모든 아마존 웹 서비스 심플 스토리지 서비스(AWSS3) 버킷 및 개체에 대한 완벽한 가시성을 제공한다. 운전면허, 사회보장번호, 신용카드 번호 또는 기타 패턴과 같은 데이터 식별자를 미세 조정하여, 민감한 콘텐츠를 식별하고 모니터링할 수 있다.
⑵ 데이터 거버넌스: 프리즈마 클라우드에는 특정 데이터 정책이 포함되어 있어, 데이터 분류 및 노출, 파일 유형을 기반으로 리스크 프로파일을 신속하게 결정할 수 있다. PCI DSS, GDPR, SOC 2, HIPAA 등과 같은 데이터 컴플라이언스 평가 프로파일을 필요에 따라 활성화하거나 비활성화할 수 있다.
⑶ 멀웨어 탐지: 프리즈마 클라우드는 WildFire 멀웨어 방지 서비스를 활용하여 멀웨어를 포함하는 모든 개체에 플래그를 지정함으로써, 사용자가 S3 버킷에 침투한 알려진 파일 기반 위협 및 알려지지 않은 위협을 식별하고 보호할 수 있도록 지원한다.
⑷ 경고 및 교정: 프리즈마 클라우드는 데이터 분류, 데이터 노출 및 파일 유형을 기반으로, 각 개체에 대한 경고를 자동으로 생성한다. 분석가는 경고에 대한 조치를 취하여 노출을 신속하게 복구하고, 개별 DevOps 팀에 위반 사항을 태그하고 악성 프로그램이 포함된 개체를 삭제할 수 있다.
'보안 > 교육' 카테고리의 다른 글
[팔로 알토 네트웍스] 보안 운영 기초 #3 (0) | 2024.05.17 |
---|---|
[팔로 알토 네트웍스] 보안 운영 기초 #1, 2 (0) | 2024.05.16 |
[팔로 알토 네트웍스] 네트워크 보안 기초 #5 (0) | 2024.05.13 |
[팔로 알토 네트웍스] 네트워크 보안 기초 #4 (1) | 2024.05.11 |
[팔로 알토 네트웍스] 네트워크 보안 기초 #3 (1) | 2024.05.11 |