마이크로세분화를 기반으로 구축된 제로 트러스트 전략으로 클라우드 리스크를 해결하는 방법

데이터 센터의 시대는 끝났습니다. 우리는 클라우드의 시대에 살고 있으며, 그 속도는 당분간 느려질 기미가 보이지 않습니다.

조직은 기본 호스팅 인프라를 유지 관리하는 작업을 클라우드 공급업체에 넘기고 있습니다. 이를 통해 애플리케이션과 데이터에 더 집중할 수 있는 시간을 확보하고 지속적인 배포 작업을 간소화할 수 있습니다.  

하지만 클라우드 제품과 혜택이 증가함에 따라 사이버 범죄자들에게 새로운 기회도 늘어나고 있습니다.  

이 블로그 게시물에서는 주요 클라우드 보안 위험과 이러한 위험이 클라우드 환경에 미치는 영향, 그리고 마이크로세그멘테이션을 기반으로 하는 제로 트러스트 접근 방식이 불가피한 클라우드 침해에 대비하는 데 도움이 되는 이유를 살펴봅니다.

클라우드 보안을 취약하게 만드는 4가지 문제

클라우드는 탁월한 유연성과 확장성을 제공합니다. 하지만 조직이 무시할 수 없는 새로운 보안 위험도 있습니다. 다음은 조직을 위험에 빠뜨리는 주요 클라우드 보안 문제입니다.

1. 클라우드 공급업체는 인프라는 보호하지만 데이터는 보호하지 않습니다.

침해가 발생하기 전까지는 이러한 가정은 너무 자주 가정에 불과합니다.  

클라우드 공급업체는 호스팅 인프라를 보호하기 위해 최선의 노력을 다할 것입니다. 예를 들어 네트워크 트래픽 엔지니어링 및 호스팅 인프라를 통한 분산 서비스 거부(DDoS) 공격 방지와 같은 우선순위를 해결합니다.  

그러나 해당 인프라에 배포된 애플리케이션과 데이터를 보호하는 작업은 고객의 책임입니다.  

실제로는 고르지 않은 악수입니다. 클라우드 공급업체가 플랫폼에 구축하는 중요한 보안 기능에도 불구하고 클라우드 보안 책임의 대부분은 고객에게 있습니다. 그렇지 않다고 가정하는 것은 보안 침해로 이어지는 지름길입니다.

2. 클라우드 환경을 완벽하게 제어할 수 없습니다.

클라우드의 장점 중 하나는 컴퓨팅 인스턴스를 쉽게 생성하고 리소스와 인스턴스 간의 모든 종속성을 완전히 자동화할 수 있다는 점입니다. 즉, DevOps는 오케스트레이션 솔루션에 운영 세부 정보를 포함시켜 수동 프로세스를 제거할 수 있습니다.  

하지만 모든 리소스를 완벽하게 제어할 수 있는 것은 아닙니다:

• 완전히 제어되는 리소스에는 기업 소유의 클라우드 가상 머신(VM) 또는 클라우드 스토리지가 포함됩니다.

• 그러나 파트너, 계약업체 또는 해당 리소스에 대한 원격 액세스 등 타사 액세스에 대한 종속성이 있는 경우에는 부분적으로만 제어할 수 있습니다.

일반적인 하이브리드 클라우드 환경에는 클라우드에서 데이터 센터, 원격 액세스 장치에 이르기까지 다양한 수준의 제어가 가능한 리소스가 혼합되어 있으며, 모두 동일한 전체 아키텍처 내에 있습니다.

모범 사례를 사용하여 자체 기업 클라우드 리소스를 보호할 수 있습니다. 하지만 파트너나 계약업체가 귀사의 리소스에 액세스하는 데 사용하는 리소스를 제대로 보호할 것이라고 신뢰할 수 있을까요?  

3. 기본적인 인적 오류는 클라우드의 가장 큰 위험 요소입니다.

클라우드 리소스의 소유자가 주장하거나 믿는 것과는 달리 모든 소유자가 보안 모범 사례를 적용하고 있지는 않다고 가정해야 합니다.  

그리고 클라우드 보안 문제의 시작점은 기본적인 인적 오류일 가능성이 높습니다. 이는 여러분의 팀도 비슷한 실수를 할 수 있다는 뜻입니다.  

실제로 클라우드에서 발생하는 모든 보안 침해의 절반 이상이 사람의 실수로 인해 발생합니다. 취약한 비밀번호를 선택하거나, SSH 키를 정기적으로 교체하지 않거나, 위험에 노출된 클라우드 워크로드를 패치하지 않는 등의 간단한 실수만 있어도 공격에 노출될 수 있습니다.  

이를 위해서는 DevOps 우선순위에 영향을 주지 않으면서 모든 워크로드에 최대한 가깝게 신뢰 경계를 확장할 수 있는 보안 솔루션이 필요합니다.  

4. 보이지 않는 것을 보호할 수 있습니다.

클라우드 환경은 항상 변화합니다. 또한 많은 조직에서 여러 클라우드 공급업체를 사용하여 하이브리드 멀티 클라우드 전략을 구성합니다. 이로 인해 보안 팀에는 고유한 가시성 문제가 발생합니다.  

애플리케이션, 워크로드 및 종속성은 여러 클라우드 공급업체에서 끊임없이 변화하고 있습니다. 이러한 복잡성으로 인해 트래픽 흐름과 리소스 관계를 실시간으로 완전히 파악하기는 어렵습니다. 이러한 중요한 가시성이 없으면 보안 의사 결정권자는 보호 기능을 구성할 때 추측에 의존할 수밖에 없습니다. 이로 인해 공격자가 악용할 수 있는 잠재적 틈새가 남습니다.

올바른 가시성 도구는 규모에 관계없이 전체 클라우드 환경의 모든 트래픽 및 애플리케이션 종속성에 대한 심층적인 실시간 가시성을 제공함으로써 이러한 격차를 해소해야 합니다. 이러한 관계를 거시적 및 미시적 수준에서 시각화하여 이상 징후와 잠재적 위협이 해를 끼치기 전에 식별할 수 있는 솔루션을 찾아보세요.  

제로 트러스트: 최신 클라우드 보안을 위한 최상의 접근 방식

제로 트러스트 보안 아키텍처는 이를 가능하게 하며, 이는 반드시 필요합니다. 클라우드는 사이버 범죄자들의 놀이터가 되었습니다. 다음은 최근 클라우드 소스 위협의 몇 가지 예시입니다:

• Kobalos는 손상된 호스트를 명령 및 제어(C2) 서버로 사용하여 클라우드 워크로드에서 중요한 데이터를 훔칩니다.

• FreakOut은 클라우드 가상 머신에서 크립토재킹을 위해 손상된 호스트를 사용합니다. 무료로 암호화폐를 채굴하여 다른 사람의 클라우드 비용을 증가시킵니다.  

• IPStorm은 클라우드 호스트 간의 개방형 P2P(피어 투 피어) 세션을 사용하여 악성 코드를 전달하고 실행합니다.  

• Drovorub는 개방형 포트를 사용하여 클라우드 호스트에서 데이터를 유출합니다.  

이러한 사례의 공통점은 손상된 클라우드 워크로드에 감염되면 다른 워크로드로 빠르게 확산된다는 점입니다. 이를 통해 위협 헌팅 도구가 탐지하기도 전에 많은 수의 호스트를 빠르게 손상시킬 수 있습니다.  

이 때문에 위협 헌팅 솔루션이 멀웨어 확산을 방지하는 데 어려움을 겪는 경우가 많습니다. 위협을 탐지하는 데는 탁월하지만, 위협이 식별되었을 때는 이미 확산된 경우가 많습니다. 이 시점에서는 위협의 의도를 파악하는 것보다 확산을 막는 것이 더 우선순위가 됩니다.

결론은 위협이 탐지되기 전에 확산되는 것을 차단해야 한다는 것입니다.  

마이크로세그멘테이션은 모든 제로 트러스트 전략의 기초입니다.

모든 제로 트러스트 아키텍처는 모든 위협이 확산하는 데 사용하는 하나의 공통 벡터, 즉 세그먼트를 강화하는 것부터 시작해야 합니다.

세그먼트는 크거나 작게 만들 수 있습니다:

• 매크로 세그먼트는 보호 표면이라고 하는 중요한 리소스 모음을 보호합니다.

• 마이크로세그먼트는 규모에 관계없이 모든 클라우드 워크로드에 직접 신뢰의 경계를 확장합니다.

마이크로세분화가 바람직한 목표입니다. 동일한 기본 클라우드 세그먼트에 여러 개의 워크로드가 배포되어 있더라도 모든 워크로드를 소스에서 직접 적용합니다.

마이크로세분화는 잠재적으로 많은 수로 확장할 수 있어야 합니다. 즉, 기존 네트워크 기반 솔루션에서 설정한 세분화 확장 제한과 분리해야 합니다. 네트워크 세그먼트는 네트워크 우선순위를 다루기 위해 존재하지만 워크로드 세그먼트는 워크로드 우선순위를 다루기 위해 존재합니다. 한 솔루션이 다른 솔루션에 잘 매핑되지 않습니다.  

일루미오 클라우드시큐어: 하이브리드 멀티 클라우드 전반에 걸친 일관된 마이크로세그멘테이션

클라우드 제공업체는 자체 워크로드를 보호하는 도구를 제공하지만, 이러한 도구는 일반적으로 여러 클라우드, 데이터 센터 또는 엔드포인트에서 작동하지 않습니다. 또한 각 환경마다 별도의 보안 도구를 사용하면 사일로가 생깁니다. 이렇게 하면 보안 사각지대를 파악하고 보안 침해 시 점들을 연결하기가 더 어려워져 침해 대응 속도가 느려집니다.

일루미오 제로 트러스트 세분화(ZTS) 플랫폼의 일부인 일루미오 클라우드시큐어는 클라우드 워크로드를 위한 일관된 마이크로세분화를 제공하여 데이터센터와 엔드포인트에 배포된 워크로드를 단일 플랫폼 내에서 원활하게 조정합니다. Illumio의 플랫폼을 사용하면 규모에 관계없이 모든 환경에서 모든 네트워크 트래픽을 확인하고 제어할 수 있습니다.

CloudSecure는 에이전트 없는 아키텍처로 클라우드 워크로드를 확인하고 시행할 수 있도록 지원합니다. 클라우드에서 직접 모든 네트워크 트래픽과 애플리케이션 종속성을 검색합니다. 네트워크 전체에서 동일한 정책 모델을 사용하여 Azure NSG(네트워크 보안 그룹) 및 AWS 보안 그룹과 같은 클라우드 네이티브 보안 도구를 통해 적용을 배포합니다.

예를 들어, DNS가 워크로드 사이에 열려 있는 경우 Illumio는 해당 DNS 트래픽을 계속 모니터링하여 정상적인 동작을 확인합니다. 일반적으로 DNS 트래픽은 쿼리당 500바이트 미만입니다. 하지만 Illumio가 DNS 세션을 통해 10기가바이트의 데이터가 이동하는 것을 감지하면 DNS 트래픽에 의심스러운 것이 숨어 있다는 위험 신호일 가능성이 높습니다. Illumio는 위협 헌팅 툴이 먼저 트래픽을 찾아 분석할 때까지 기다리지 않고 즉시 트래픽을 차단합니다.

그 결과 에이전트 기반 또는 에이전트 없는 접근 방식을 사용하는 환경에 관계없이 하나의 원활한 솔루션에서 모든 세그먼트를 명확하게 확인하고 보호할 수 있는 제로 트러스트 아키텍처가 탄생했습니다.

복잡성 없이 클라우드 침해 방지

클라우드 보안은 더 이상 뒷전으로 미룰 수 없습니다.  

클라우드는 탁월한 유연성과 확장성을 제공하지만, 사이버 범죄자들에게 새로운 기회를 열어주기도 합니다. 보안을 유지하려면 조직은 마이크로세그멘테이션에 기반한 제로 트러스트 접근 방식을 통해 침해가 확산되기 전에 이를 차단해야 합니다.  

일루미오 클라우드시큐어로 마이크로세그멘테이션을 구축하면 어떤 환경에서도 워크로드를 대규모로 보호하는 데 필요한 가시성과 제어 기능을 확보할 수 있습니다.  

불가피하게 발생할 수 있는 다음 클라우드 침해에 대비하세요. 다운로드 클라우드 복원력 플레이북.