일루미오 클라우드시큐어로 클라우드 공격 체인을 차단하는 방법

그 어느 때보다 많은 기업이 클라우드 서비스를 사용하고 있으며, 이로 인해 공격 표면이 놀라운 속도로 확장되고 있습니다. 공격자가 네트워크에 침입하여 중요 자산에 도달하거나 랜섬웨어를 설치할 때까지 이동할 수 있는 기회는 더 많습니다.

하지만 클라우드 침입은 탐지하기 어려울 수 있습니다. 최신 사이버 범죄 수법은 멀웨어를 배포하지 않기 때문에 주의를 환기시킬 만한 비정상적인 행동이 없습니다. 일반적으로 합법적인 포트를 사용하여 네트워크를 통해 타깃으로 이동합니다.  

그렇기 때문에 클라우드에서 제로 트러스트를 구축하는 것이 매우 중요합니다. 신뢰 경계를 중요한 리소스에 최대한 가깝게 이동합니다. 이 블로그 게시물에서는 실제 클라우드 공격 체인을 살펴보고 Illumio CloudSecure를 사용한 제로 트러스트 세분화가 클라우드에서 공격 체인을 차단하는 데 어떻게 도움이 되는지 알아보세요.  

실제 사례: 성공적인 클라우드 공격 체인

대부분의 애플리케이션 보안 플랫폼은 위협을 찾아 대응하여 클라우드를 보호합니다. 하지만 이 방법만으로는 충분하지 않습니다. 최근 몇 년간 발생한 많은 클라우드 보안 침해가 오랫동안 발견되지 않았기 때문입니다. 실제로 밴슨 본의 조사에 따르면 작년에 발생한 모든 데이터 유출 사고 중 47건(% )이 클라우드에서 발생했습니다.  

우리가 알고 있는 위협으로부터 보호하는 것만큼이나 감지되지 않은 위협으로부터 살아남는 것도 중요합니다. 알려진 위협과 알려지지 않은 위협을 모두 차단해야 합니다.

무슨 일이 있었나요? 공격 체인

공격자는 탈취한 높은 수준의 자격 증명을 사용하여 네트워크를 침해했습니다. 이 조직에는 여러 보안 솔루션이 있었지만 공격자들은 네트워크에 백도어를 만들어 데이터를 훔치는 데 성공했습니다. 탐지 도구를 피하고 멀웨어를 배포하지 않았기 때문에 몇 달 동안 침해가 탐지되지 않은 채로 방치되었습니다.  

조직의 보안 도구는 알려진 위협과 의심스러운 행동만 찾고 있었습니다. 공격자의 행동은 합법적인 수단을 사용하여 네트워크에 액세스했기 때문에 환경을 가로질러 쉽게 이동하거나 측면으로 이동하여 애플리케이션에 액세스할 수 있었습니다.  

네트워크 계층에는 보안 그룹을 사용하여 어느 정도 수준의 세분화가 적용되었지만 광범위한 세분화였습니다. 공격자가 초기 애플리케이션에 액세스한 후에는 다른 애플리케이션으로 쉽게 이동할 수 있었습니다.  

어떻게 할 수 있었을까요? 측면 이동 중지  

애플리케이션 간 이동이 불가능했다면 공격자가 리소스에 접근하기가 훨씬 더 어려웠을 것입니다. 측면 이동을 제한했다면 알려진 침해뿐만 아니라 탐지되지 않은 알려지지 않은 침해로부터 클라우드 환경을 보호할 수 있었을 것입니다.

성공적인 보안 아키텍처는 운영 복잡성을 가중시키지 않으면서 알려진 위협과 알려지지 않은 위협을 모두 방어할 수 있어야 합니다.  

위의 예에서는 클라우드 네트워크 경계에 있는 보안 그룹만 측면 이동을 제한하고 있었습니다. 가상 프라이빗 클라우드(VPC) 또는 가상 네트워크(VNET)의 보안 그룹의 문제점은 네트워크 중심 솔루션이라는 점입니다. 많은 앱 소유자가 애플리케이션 간의 트래픽 종속성을 완전히 이해하지 못하기 때문에 보안 그룹이 네트워크에 너무 광범위하게 추가되거나 전혀 추가되지 않는 경우가 많습니다. 이렇게 하면 광범위한 트래픽이 통과할 수 있으므로 공격자가 쉽게 통과할 수 있는 넓은 문이 만들어집니다.  

기존의 네트워크 보안 도구에 의존하는 것은 최신 하이브리드 클라우드 아키텍처에서 작동하지 않습니다. 이는 리소스가 지속적으로 위아래로 회전하며 최적의 성능을 위해 호스트 간에 이동할 수 있기 때문입니다. 기존의 네트워크 주소 지정은 더 이상 클라우드에서 애플리케이션을 식별하는 신뢰할 수 있는 방법이 아닙니다.  

제로 트러스트 세분화로 클라우드 공격 체인에 대처하는 방법

이제 클라우드 워크로드 및 애플리케이션 보안을 네트워크 중심 보안에서 분리해야 할 때입니다. 우선 순위가 매우 다릅니다.  

제로 트러스트 세분화(ZTS) 는 클라우드 공격 체인에 대한 백스톱 역할을 합니다. 기존의 네트워크 중심 세분화에 의존하지 않고 애플리케이션 수준에서 세분화 제어를 사용합니다.

대부분의 최신 운영 체제에는 기본적으로 Linux 보안 셸(SSH) 및 Windows 원격 데스크톱 프로토콜(RDP)과 같은 포트가 수신 대기 모드로 열려 있습니다. 공격자가 워크로드를 침해하는 경우, 이 포트 중 하나를 사용하여 인접 호스트에 연결할 수 있습니다. 그런 다음 이를 사용하여 중요한 리소스에 액세스하거나 악성 페이로드를 전달할 수 있습니다.

위협 행위자의 관점에서 이러한 열린 포트는 네트워크를 돌아다니며 원하는 대상을 사냥할 때 쉽게 통과할 수 있는 잠금 해제된 문입니다. ZTS는 애플리케이션 간의 불필요한 측면 액세스를 차단합니다. 이는 공격자가 원래의 진입 지점에 갇혀 더 이상 네트워크에 확산할 수 없음을 의미합니다.

↪cf_200D↩일루미오 클라우드시큐어가 ZTS를 하이브리드 멀티 클라우드로 확장하는방법

일루미오 클라우드시큐어를 사용하면 애플리케이션 중심의 ZTS를 대규모로 구축할 수 있습니다. 각 애플리케이션의 고유한 보안 요구 사항에 집중함으로써 CloudSecure는 공격 표면을 줄이고 측면 이동을 차단합니다.  

클라우드 공격 체인이 애플리케이션 전체로 확산되기 전에 이를 차단하기 위해 CloudSecure가 취하는 세 가지 단계는 다음과 같습니다.  

1. 모든 클라우드 트래픽 및 애플리케이션 종속성 보기

보이지 않는 것을 강제할 수는 없습니다. 그렇기 때문에 전체 하이브리드 멀티 클라우드 환경에서 모든 애플리케이션 트래픽에 대한 엔드투엔드 가시성을 확보하는 것이 중요합니다.  

클라우드 환경의 모든 애플리케이션에 대한 모든 워크로드 간의 모든 트래픽을 표시하는 CloudSecure는 Illumio ZTS 플랫폼의 일부입니다:
   

2. 애플리케이션 간에 최소 권한 액세스 정의하기

CloudSecure는 기존 클라우드 태그를 Illumio의 다차원 레이블에 매핑하는 레이블 기반 정책 모델을 사용합니다. 네트워크 중심 주소 지정 대신 비즈니스 소유자와 애플리케이션 소유자에게 적합한 경계를 따라 워크로드를 식별합니다. 이러한 레이블은 애플리케이션에 속한 호스트에 대한 정책을 정의합니다. ‍

3. 클라우드 보안 정책 자동 구현

그런 다음 CloudSecure는 보안 그룹 및 네트워크 보안 그룹(NSG)과 같은 클라우드 네이티브 보안 도구를 사용하여 이러한 정책을 구현합니다.  

보안팀은 정책을 구현하기 위해 IP 주소와 포트를 사용할 필요가 없습니다. CloudSecure는 애플리케이션 중심 정책을 클라우드 네이티브 제어가 이해할 수 있는 구문으로 변환합니다. 그런 다음 이 정책을 배포하는 데 필요한 필수 클라우드 네이티브 제어를 찾습니다.

레이블 기반 정책 모델을 사용하면 애플리케이션과 연결된 모든 클라우드 리소스에 올바른 레이블이 지정됩니다.  

위의 클라우드 공격 사례에서 시스템이 여러 세그먼트로 나뉘어 있었다면 공격자가 한 애플리케이션에서 다른 애플리케이션으로 이동하기가 훨씬 더 어려웠을 것입니다. 이 공격은 탐지되기 전에 모든 리소스로 빠르게 확산되지 않고 소수의 리소스 그룹에 국한되어 발생했을 것입니다.

지금 바로 일루미오 클라우드시큐어 무료 체험판을 시작하세요. 일루미오 ZTS 플랫폼으로 하이브리드 멀티클라우드 전반에서 유출을 막는 방법에 대해 자세히 알아보려면 문의하세요.