일루미오를 CIS 상위 20위권에 매핑하기

지난 몇 주 동안 Illumio를 통해 인터넷 보안 센터(CIS) 보안 관제 이니셔티브를 활성화하는 방법을 알고자 하는 기업들의 문의가 급증했습니다. CIS 상위 20개 통제 가이드라인은 널리 채택되어 10년 이상 사용되어 왔으며,2019년 4월에 최신 버전(7.1)이 출시되었기 때문에 이러한 추세에 흥미를 느꼈습니다. 이 회사들과 일루미오에 대한 그들의 동기와 관심에 대해 이야기를 나누며 많은 것을 배웠습니다.

이러한 조직 대부분은 한동안 CIS 모범 사례 가이드라인을 사용해 왔지만, 원격 근무 운영 모델로의 급속한 전환과 사이버 공격의 증가로 인해 제어 및 도구를 재평가해야 하는 상황에 처해 있습니다. 2020년 4월 CSO 설문조사에 따르면 응답자의 26%(% )가 3월 중순 이후 사이버 공격의 규모, 심각도, 범위가 증가했다고 답했습니다. 이러한 기업 중 일부는 퍼블릭 클라우드로 계속 전환하고 데이터센터 내부의 가상화 공간을 늘리고 있습니다. 이들은 모두 보안 제어의 허점을 파악하고 기술을 활성화하는 데 더 많은 노력을 기울이고 싶어 합니다.

이를 염두에 두고 Illumio가 CIS 상위 20개 컨트롤을 지원하는 방법에 대한 간략한 개요를 소개합니다.

CIS 상위 20개 중요 보안 제어 개요

CIS 상위 20개 중요 보안 제어에 대한 간단한 입문서부터 시작하겠습니다. 컨트롤은 처음에 NSA 레드팀과 블루팀, 미국 에너지부 원자력 연구소, 법 집행 기관, 미국 최고의 포렌식 및 사고 대응 기관에 의해 만들어졌습니다.

제어 기능은 주요 위협 보고서에서 강조된 가장 일반적인 공격 패턴에서 파생되었으며 정부 및 업계 실무자로 구성된 매우 광범위한 커뮤니티에서 검증되었습니다. 이는 상업 및 정부 포렌식 및 사고 대응 전문가들의 결합된 지식을 반영합니다.

CIS 상위 20개 보안 제어를 구현하고 운영하는 것은 '한 번으로 끝나는' 작업이 아닙니다. 기술, 위협 환경, 공격 기법은 끊임없이 진화하고 있습니다. 컨트롤은 매년 업데이트, 검증 및 개선됩니다. 이는 규정 준수 프로그램을 대체하기 위한 것이 아니며, 실제로 NIST CSF와 같은 프레임워크와 PCI-DSS 및 HIPAA와 같은 규정 준수 표준에 매핑됩니다. 많은 사람들이 정보 보안 모범 사례의 기준으로 CIS 제어를 사용하며, 이를 통해 코너 케이스를 해결하고 매우 구체적이고 규범적인 요구 사항을 충족하기 위해 보강합니다.

일루미오를 CIS 상위 20개 컨트롤에 매핑하기

Illumio의 기능을 통해 CIS 제어를 직접 충족하거나 지원하는 방법은 다음과 같습니다.

기본 컨트롤

1. 하드웨어 자산의 인벤토리 및 제어. Illumio는 실시간 애플리케이션 종속성 맵을 사용하여 애플리케이션 그룹에 속한 하드웨어 서버 구성 요소와 애플리케이션에 연결할 권한이 있는 서버 및 장치를 식별하고 검증할 수 있도록 지원하여 이러한 제어를 지원합니다. Illumio는 인벤토리 검증을 위해 NAC, 자산 검색, ServiceNow CMDB 및 서비스 매핑과 같은 타사 도구와의 API 기반 통합을 지원합니다. Illumio 에이전트는 베어메탈, 가상머신, 퍼블릭 클라우드 인스턴스, 컨테이너를 지원하고 원격 측정 정보(IP 주소, 포트, 프로세스, 프로토콜)를 수집하여 애플리케이션 종속성 맵을 구축합니다. 

2. 소프트웨어 자산의 인벤토리 및 제어. Illumio는 애플리케이션 종속성 맵을 사용하여 애플리케이션 그룹에 속한 애플리케이션 및 워크로드 구성 요소와 멀티 클라우드, 컨테이너 대 서버 연결, 퍼블릭 클라우드 인스턴스와의 연결을 포함하여 연결 권한이 있는 기타 소프트웨어 스택 구성 요소를 식별할 수 있도록 지원함으로써 이러한 제어를 지원합니다. 연결 및 흐름에 대한 정보는 자산 관리, CMDB 및 SCM 도구에서 관리되는 소프트웨어 인벤토리 정보를 풍부하게 합니다. Illumio의 기본 거부 모델은 비즈니스 운영에 필요한 고위험 애플리케이션을 논리적으로 분리합니다. 에이전트 없는 가시성(에이전트가 지원되지 않는 시나리오의 경우 - AWS RDS, Azure 관리형 SQL, GCP 흐름 및 스토리지 파일러 등)은 Flowlink 기능을 사용하여 사용할 수 있습니다.

3. 지속적인 취약성 관리. Illumio는 취약점 스캐너와 통합하고 취약점 정보를 수집하여 이러한 제어를 지원합니다. 이 정보를 사용하여 멀웨어의잠재적인 측면 공격 경로를 시각적으로 표시합니다. 취약성 노출 점수는 비즈니스 중심의 위험 계산을 제공합니다. 이 정보를 사용하여 패치 전략의 우선 순위를 정하고 운영상 패치가 불가능한 인스턴스에 대해 프로세스 수준 세분화를 적용하는 능력을 향상시킬 수 있습니다.

4. 관리 권한의 제어된 사용. 일루미오는 주요 MFA 솔루션과 통합하여 이러한 제어를 지원합니다. Illumio는 전용 워크스테이션이 격리되고 최소 권한이 적용되도록 정책을 모니터링하고 시행할 수 있습니다. VDI 환경에서는 사용자의 Microsoft 그룹 멤버십에 따라 워크로드 애플리케이션에 대한 연결이 제어됩니다.

5. 모바일 장치, 노트북, 워크스테이션 및 서버의 하드웨어 및 소프트웨어에 대한 보안 구성. Illumio는 모든 트래픽에 대한 가시성을 제공하고 애플리케이션 소유자가 예상하지 못한 워크로드에서 사용하는 포트/프로토콜을 신속하게 식별하여 신속하게 문제를 해결할 수 있도록 SCM 도구를 지원합니다.

6. 감사 로그의 유지 관리, 모니터링 및 분석:고객이 내부 데이터 센터와 클라우드, 사용자-애플리케이션, 엔드포인트 피어 투 피어 연결을 세분화하는 데 Illumio를 사용하는 경우 Illumio는 모든 연결 및 트래픽 흐름, 이벤트(허용, 차단, 잠재적으로 차단된 트래픽), 관련 정책, 규칙 및 이벤트의 기록을 유지 관리합니다. 권한이 있는 운영자는 운영, 사고 대응 및 조사, 보고 및 감사를 위해 Illumio의 과거 트래픽 데이터베이스를 검색할 수 있습니다. Illumio는 Splunk, IBM QRadar, ArcSight와 같은 주요 SIEM 도구와 통합되어 보고, 조사, 사고 대응을 위해 방대한 로그 및 이벤트 데이터 세트를 보관, 검색, 상호 연관시킵니다.

기본 제어

9. 네트워크 포트, 프로토콜 및 서비스의 제한 및 제어. 일루미오는 이 제어를 직접적으로 충족합니다. Illumio는 애플리케이션의 연결에 대한 정보(포트, 프로세스 및 프로토콜을 포함한 연결 및 트래픽 흐름에 대한 자세한 연결 기록)를 사용하여 처음에 해당 방화벽 규칙을 추천합니다. Illumio에는 기본 거부 모델이 있으므로 규정을 위반하는 연결은 차단되거나 잠재적으로 차단될 수 있습니다.

11. 방화벽, 라우터 및 스위치와 같은 네트워크 장치의 보안 구성. 일루미오는 이 제어를 직접적으로 충족합니다. Illumio는 트래픽 및 이벤트 로그에 대한 상세한 과거 정보와 실시간 정보를 유지하여 네트워크 장치, 특히 이스트-웨스트 방화벽이 제대로 작동하는지, 방화벽 정책에서 금지해야 하는 트래픽을 허용하지 않는지 확인합니다. 사용자는 IP 거부 목록을 생성하여 악의적이거나 사용하지 않는 것으로 알려진 인터넷 IP 주소와의 통신을 차단할 수 있습니다. 사용자는 특정 포트, 프로세스 및 프로토콜에 대한 워크로드 연결로 워크로드를 제한하도록 연결을 프로그래밍할 수 있습니다. 일루미오 코어는 VEN 변조 방지를 구현합니다. 일루미오로 마이크로 세분화를 구현하여 네트워크 관리 컴퓨터를 격리하고 고급 액세스 권한을 부여할 수 있습니다. 비즈니스 요구 사항이 변경될 때마다 VLAN과 서브넷을 다시 설계하지 않고도 세분화된 세분화를 구현할 수 있습니다.

12. 경계 방어. 일루미오는 이 제어를 직접적으로 충족합니다. Illumio는 호스트 기반 세분화를 적용하여 서로 다른 신뢰 수준을 가진 애플리케이션과 디바이스 간의 연결과 흐름을 모니터링하고 제어합니다. 비용이 많이 들고 위험한 네트워킹 인프라를 재설계하지 않고도 세분화된 세분화를 달성할 수 있습니다.

13. 데이터 보호. Illumio는 기본 거부 모델을 통해 권한이 없는 워크로드와 사용자가 보호된 애플리케이션에 연결하는 것을 사전에 방지하고 악의적인 공격자의 잠재적인 측면 공격 경로를 식별 및 차단함으로써 이러한 요구 사항을 지원합니다. Illumio는 민감한 정보를 전송하려고 시도하는 무단 연결을 감지 및 차단하고 보안팀에 경고를 보냅니다. 또한 Illumio를 사용하여 클라우드 및 이메일 제공업체에 대한 액세스 및 연결을 제어하는 정책을 프로그래밍하고 시행할 수도 있습니다.

14. 알 필요성에 기반한 액세스 제어. 일루미오는 이 제어를 직접적으로 충족합니다. Illumio는 워크로드, 애플리케이션, VDI 사용자 및 기기 전반에서 인증된 연결을 제어하는 데 사용할 수 있습니다. 일루미오 코어는 시스템에 대한 네트워크 액세스를 관리할 뿐만 아니라 잠재적으로 논리적 액세스를 관리하여 환경에 대한 액세스를 관리할 수 있도록 지원합니다. 외부 IP 주소를 규칙 집합에 구체적으로 추가하고 이러한 시스템에 액세스해야 하는 사용자의 필요에 따라 그룹에 적용할 수 있습니다(사용자는 컴퓨터 또는 개별 운영자일 수 있습니다). 이러한 규칙은 정책 수준에서 활성화/비활성화하여 시스템에 대한 특정 액세스를 즉각적이고 효율적으로 비활성화할 수 있습니다. VDI 환경에서는 적응형 사용자 세분화를 사용하여 Active Directory 그룹 정책에 따라 특정 리소스에 대한 액세스를 허용할 수 있습니다.

15. 무선 액세스 제어. Illumio는 특정 승인된 장치 및 서버에서 무선 액세스를 위한 세그먼테이션을 프로그래밍하고 적용하여 이러한 제어를 지원하고 다른 무선 네트워크에 대한 액세스를 제한합니다.

16. 계정 모니터링 및 제어. Illumio는 타사 SSO 및 액세스 거버넌스 도구와 통합하여 이러한 제어를 지원합니다. 또한 Illumio의 주문형 암호화를 사용하여 모든 계정 사용자 이름과 인증 자격 증명이 암호화된 채널을 사용하여 네트워크를 통해 전송되도록 할 수 있습니다.

조직 제어

18. 애플리케이션 소프트웨어 보안. Illumio는 생산 시스템과 비생산 시스템을 분리하는 마이크로 세분화 정책을 적용하여 이러한 제어를 지원합니다. 또한 Illumio는 호스트 기반 방화벽 규칙을 프로그래밍하여 개발자가 프로덕션 시스템에 모니터링되지 않고 자유롭게 액세스할 수 있도록 합니다.

19. 인시던트 대응 및 관리. Illumio는 이 제어 기능을 지원합니다. 권한이 부여된 사용자는 Illumio 과거 트래픽 데이터베이스, 이벤트, 로그 데이터에서 보고서를 가져와 조사 및 사고 대응 워크플로우를 지원할 수 있습니다.

20. 모의 침투 테스트 및 레드팀 연습. Illumio는 이 제어 기능을 지원합니다. 조직은 애플리케이션 종속성 맵, 규칙 세트 및 애플리케이션 그룹화의 정보를 펜 테스트의 범위를 설계하기 위한 기준으로 사용할 수 있습니다.

요약하면 다음과 같습니다.

시스템 이벤트는 일반적으로 기존 보안 제어에 대한 평가를 트리거합니다. Illumio는 기업이 CIS 상위 20개 제어 구현을 평가하고 활성화하기 위한 실용적인 접근 방식을 구현할 수 있도록 지원합니다. 기업은 다음과 같은 기능을 활용하여 이를 수행할 수 있습니다:

1. 운영 모델의 변경으로 인한 고가치 시스템에 대한 새로운 연결 및 연결 변경을 식별하는 데 도움이 되는 실시간 애플리케이션 종속성 매핑입니다.
2. 취약점의 악용 가능성을 계산하고 시각적으로 보여주는 취약점 맵입니다. 이를 통해 가장 위험한 자산과 연결에 대한 제어 및 세분화 작업의 우선순위를 정할 수 있습니다.
3. 네트워킹 아키텍처 재설계에 의존하지 않는 기본 거부 모델을 통한 세분화.
4. 타사 IT 운영, 보안 및 분석 도구와의 API 기반 통합을 통해 회사에 새로운 위험을 초래하는 트렌드를 지속적으로 모니터링할 수 있습니다. 이러한 통합은 기존 제어의 효율성을 개선하기 위한 계획을 개발하고 구현하는 데도 도움이 됩니다.

CIS 상위 20개 통제 항목은 기본적인 보안 위생을 제공하지만, 조직에 가장 큰 영향을 미칠 수 있는 취약점과 보안 제어의 우선순위를 정하기 위한 프레임워크도 제공합니다.

일루미오의 기능에 대해 자세히 알아보려면 일루미오 코어를 확인하세요.