마이크로세그멘테이션이 CCPA 보안 의무를 충족하는 데 도움이 되는 방법

캘리포니아 소비자 개인정보 보호법(CCPA)은 1월 1일부터 1, 2020 발효되었으며, 감사 및 시행은 7월 1일부터 시작되었습니다. 이 새로운 개인정보 보호 규정은 캘리포니아주뿐만 아니라 캘리포니아주에서 중요한 비즈니스 운영을 하고 있어 캘리포니아 주민의 데이터를 수집하거나 이에 액세스할 수 있는 조직에도 상당한 영향을 미칠 것입니다.

CCPA에 대한 초기 논의의 대부분은 기업이 캘리포니아 주민의 데이터 수집에 대한 액세스, 삭제 및 거부 요청을 존중해야 할 의무에 초점을 맞추었습니다. 캘리포니아 거주자라면 웹사이트를 방문할 때마다 끊임없이 팝업되는 개인정보 보호 고지에 매우 익숙할 것입니다. CCPA를 둘러싼 또 다른 논의 주제는 개인의 요청에 따라 소비자 데이터 판매를 중단해야 한다는 의무에 관한 것이었습니다.

CCPA 문서에는 데이터 유출 및 보안에 초점을 맞춘 작은 섹션이 있습니다. 이 조항에 명시된 위반 사항은 비즈니스의 브랜드와 향후 매출 성장에 훨씬 더 큰 영향을 미친다고 생각합니다. 개인 소송 제기자들은 새 법에 따라 소송을 제기하는 데 시간을 낭비하지 않았습니다. 예를 들어, 메리어트 인터내셔널은 520만 명의 고객에게 영향을 미친 보안 침해 사실을 3월에 31 2020발표했습니다(,). 며칠 후(4월 3일), 한 CA 소비자가 CCPA 데이터 유출 조항에 따라 회사를 상대로 집단 소송을 제기했습니다. 이 사례와 유사한 법적 소송에 대해 자세히 알아보려면 개인정보 보호 법률 회사인 켈리 드라이에서 분기별로 CCPA 소송 라운드업을 발행하고 있습니다.

이 모든 규제에 대해 이야기하면서 마이크로 세분화가 CCPA에서 어떤 역할을 하는지, 마이크로 세분화를 사용하여 CCPA 데이터 유출 노출을 해결하는 방법이 궁금할 수 있습니다.

이를 염두에 두고 CCPA가 무엇인지 자세히 알아보고 보안 및 데이터 유출 보호 요건에 대해 집중적으로 살펴보겠습니다. (법적 고지 사항: 이 블로그의 내용에 대해 일루미오의 보안 및 법무팀에 자문을 구했지만, 해당 정보가 법률 자문으로 간주되어서는 안 됩니다.

CCPA란 무엇인가요?

공식 명칭은 AB-375인 캘리포니아 소비자 개인정보 보호법(CCPA)은 미국 캘리포니아주 거주자의 개인정보 보호 및 소비자 보호를 강화하기 위한 주 법령입니다. 이 법안은 캘리포니아 주 의회에서 통과되어 6월 28, 2018 에 서명되었고 1월 1, 2020 에 발효되었습니다.

누가 CCPA를 준수해야 하나요?

회원님의 조직은 다음 기준을 충족하는 경우 CCPA를 준수해야 할 법적 의무가 있습니다: (1) 영리를 목적으로 운영되고, (2) 캘리포니아 거주자의 소비자 개인정보를 수집하며, (3) 캘리포니아에서 사업을 하고 있고 , (1) 연간 총 수익이 2,500만 달러를 초과하거나 (2) 연간 5만 명 이상의 소비자, 가구 또는 디바이스의 개인정보를 구매, 수신, 공유 또는 판매하거나 (3) 연간 수익의 50% 이상을 소비자 개인정보 판매에서 얻는 경우 중 적어도 한 가지를 초과하는 경우입니다.

또한, 위의 기준을 충족하는 법인을 통제하거나 해당 법인의 통제를 받고 해당 법인과 공통 브랜드를 공유하는 경우 해당 법인은 '비즈니스'로 간주되어 CCPA의 적용을 받습니다.

이 섹션의 법률 용어는 다소 혼란스러울 수 있으므로 귀사가 CCPA의 적용을 받는지 법률 고문에게 확인하시기 바랍니다.

CCPA에 따른 적용 대상 조직의 의무는 무엇인가요?

많은 티어 1 및 티어 2 로펌에서 이 주제에 대한 기사를 발표했기 때문에 여기서는 많은 시간을 할애하지 않겠습니다. Google은 여러분의 친구입니다. 요약하면, 의무에는 다음이 포함되지만 이에 국한되지 않습니다:

1. 비즈니스의 소비자 개인정보 판매를 거부할 수 있는 명확한 방법을 소비자에게 제공해야 합니다. (개인정보는 PII와 동일하지 않습니다. 자세한 내용은 다음 질문을 참조하세요.)
2. 데이터 수집, 판매 및 공개 관행에 대해 소비자에게 알립니다.
3. 소비자에게 수집된 개인 정보에 액세스할 수 있는 기능을 제공합니다.
4. 비즈니스가 수집한 개인정보를 삭제하거나 삭제를 요청할 수 있는 기능을 소비자에게 제공해야 합니다.
5. 데이터 유출로부터 소비자 데이터를 보호하기 위해 합리적인 보안 절차를 구현하세요.

CCPA에서 개인 정보로 간주되는 것은 무엇인가요?

CCPA 용어는 개인 정보뿐만 아니라 PII(개인 식별 정보)를 의미한다는 점에 유의하세요. CCPA에 따른 개인정보의 정의도 매우 광범위하며 다음 범주를 포함하지만 이에 국한되지 않습니다:

• 직접 식별자 - 실명, 별칭, 우편 주소, 주민등록번호, 운전면허증, 여권 정보 및 서명. 이를 PII로 간주합니다.
• 간접 식별자 - 쿠키, 비콘, 픽셀 태그, 전화번호, IP 주소, 계정 이름.
• 생체 인식 데이터 - 얼굴, 망막, 지문, DNA, 음성 녹음, 건강 데이터. 이를 PII로 간주합니다.
• 지리적 위치 - 디바이스를 통한 위치 기록.
• 인터넷 활동 - 인터넷 사용 기록, 검색 기록, 웹페이지, 애플리케이션 또는 광고와의 상호작용 데이터.
• 민감한 정보 - 개인 특성, 행동, 종교적 또는 정치적 신념, 성적 취향, 고용 및 교육 데이터, 금융 및 의료 정보.

법률 고문 및 보안 팀에 문의하여 CCPA 개인정보 보호 및 데이터 유출 보안 조항이 적용되는 범주를 확인해야 합니다. 이 분석은 CCPA 관련 보안 의무의 범위를 결정하는 데 도움이 됩니다.

데이터 유출 노출의 관점에서 CCPA를 생각하고 계실 것 같아서 이 문제를 다시 한 번 말씀드리고자 합니다.

CCPA에 따른 보안 의무는 무엇인가요?

공식 CCPA 문서는 의외로 짧으며, 읽어보면 데이터 보안에 대한 규범적 언어가 없다는 것을 알 수 있습니다. 여기에는 캘리포니아 민법 1798.81.5 (d)(1)(A)에 따라 '합리적인 보안'을 유지하지 않아 발생하는 데이터 침해에 대해 사적 소송권을 부여하는 데이터 침해 조항이 포함되어 있습니다. (변호사에게 확인하시기 바랍니다).

또한 '합리적인 보안 절차 및 관행을 구현하고 유지해야 할 의무 위반'으로 인해 발생하는 위반에 대해 해당 비즈니스에 불이익을 주는 소비자의 데이터 침해 권리에 관한 문구도 포함되어 있습니다.

'합리적인 보안 조치'를 구현하기 위한 권장 사항은 무엇인가요?

CCPA는 "합리적인 보안"에 대한 규범적 지침을 제공하지 않습니다. 법안 초안 작성 당시 캘리포니아 주 법무부 장관이었던 카말라 해리스는 CA 데이터 침해 보고서 2012-2015에서 인터넷 보안 센터(CIS)의 상위 20개 보안 관리 기준을 합리적인 보안 절차 및 관행의 기준으로 간주한다고 말했습니다. 현재 캘리포니아 주 AG인 자비에 베세라(Xavier Becerra)가 이 의견에 대한 업데이트가 없었으므로 2016년 권고안이 여전히 유효하다고 가정할 수 있습니다.

CIS 상위 20개 보안 제어는 무엇인가요?

CIS 상위 20개 보안 제어 프레임워크는 10년 이상 사용되어 왔으며 자주 업데이트됩니다. 이 프레임워크는 주요 위협 보고서에서 강조된 가장 일반적인 공격 패턴에서 파생되었으며 매우 광범위한 정부 및 업계 실무자 커뮤니티에서 검증을 거쳤습니다. 여기에는 상업 및 정부 포렌식 및 사고 대응 전문가들의 결합된 지식이 반영되어 있습니다. 많은 조직이 이미 이 접근 방식을 채택한 다음 환경의 특정 요구 사항을 해결하기 위해 제어 기능을 보강하고 있기 때문에 CA 주정부가 이 프레임워크를 기본으로 권장하는 것은 놀라운 일이 아닙니다.

분명히 말씀드리지만, 이러한 제어 기능을 구현하는 데 단일 제품에만 의존해서는 안 됩니다. 이상적으로는 이러한 제어 기능을 지원하고 SIEM, 취약성 스캐너, CMDB, SCM, 컨테이너 오케스트레이션 등과 같은 다른 보안 투자와 함께 사용할 수 있는 강력한 API를 갖춘 솔루션이 필요합니다.

Illumio는 CIS 상위 20개 보안 통제 중 16개를 직접 충족하고 지원합니다. 다음은 쉽게 볼 수 있는 개략적인 매핑입니다. 이러한 각 컨트롤을 두 번 클릭하고 싶으시다면 최근 별도의 블로그에 ' Illumio를 CIS 상위 20개 컨트롤에 매핑하기 '를 작성했습니다. (참고: Illumio 기능 열의 '지원'은 고객이 Illumio 데이터 또는 기능을 사용하여 제어의 일부를 활성화한다는 의미입니다.

조직이 Illumio와 CIS 상위 20개 보안 제어 프레임워크를 사용하여 CCPA의 "합리적인 보안 조치" 요건을 구현하려면 어떻게 해야 하나요?

CCPA 보안 의무를 충족하기 위해 CIS 상위 20개 통제 사항을 채택한 경우 Illumio를 사용하여 다음과 같이 할 수 있습니다:

1. 더 나은 가시성을 확보하고 보안 의무의 범위를 효과적으로 평가하세요. CCPA는 조직이 소비자 데이터를 수집하고 저장하는 모든 리소스 및 애플리케이션의 인벤토리를 생성하고 유지하도록 요구합니다. 이를 해결하기 위해 Illumio는 실시간 가시성을 제공합니다. 애플리케이션 종속성 맵을 사용하여 인벤토리 생성을 시작하고 자산 관리 및 CMDB 시스템과 같은 정적, 특정 시점 도구에서 일반적으로 볼 수 있는 정보의 정확성을 검증할 수 있습니다. 약간의 노력으로 어떤 애플리케이션, 데이터 저장소, 머신, 워크로드, 엔드포인트가 CCPA의 적용 범위에 포함되는지, 어떤 연결과 흐름이 승인되는지 확인할 수 있습니다.
2. 비용 절감 공격 표면 악의적인 공격자가 CCPA 데이터에 접근하는 것을 더욱 어렵게 만듭니다. Illumio는 각 호스트에 상주하는 계층 3/계층 4 상태 저장 방화벽을 프로그래밍하여 워크로드 간, 워크로드와 사용자 간, 사용자 엔드포인트 간 애플리케이션과 트래픽을 링펜싱하는 정책을 설계하고 적용할 수 있도록 도와줍니다.
3. 마이크로 세분화 유지 및 모니터링 보안 태세. VEN으로 더 잘 알려진 Illumio의 에이전트는 센서처럼 작동하며 새로운 워크로드 및 최종 사용자 연결, 그리고 CCPA 적용 범위에 있는 모든 데이터 및 애플리케이션에 대한 연결의 변화를 지속적으로 모니터링합니다. 또한 무단 연결 또는 연결 시도를 차단할 수도 있습니다.
4. 보안 규정 준수 시간을 단축하세요. CCPA 마감일은 1월 1월 1, 2020 입니다. 시행, 감사 및 보고는 7월부터 1, 2020 에서 시작되었습니다. Illumio는 실시간 가시성과 라벨 기반 정책 모델링을 통해 계획 및 설계를 가속화하여 CIS 20 규정을 신속하게 충족할 수 있도록 지원합니다. 멀티 OS, 호스트 수준의 마이크로 세분화 솔루션은 네트워크/SDN을 다시 설계할 필요가 없음을 의미합니다.

일루미오의 기능에 대해 자세히 알아보려면 일루미오 코어를확인하세요.