데이터 보안 – SASE, CNAPP 및 CSMA 역할

데이터는 Ent에게 가장 소중한 자원이 되었습니다.erp상승한다. 당연히 Ent를 방해하려는 나쁜 행위자가 많이 있습니다.erp데이터를 훔치고 손상시키는 것으로부터 비즈니스를 성장시킵니다.

데이터 보안은 무단 사용자, 말리로 데이터 손상으로부터 데이터를 보호하는 것입니다.cio의도 및 데이터 도용. 많은 보안 회사가 애플리케이션, 네트워크, 엔드포인트 보호에 대해 이야기하고 데이터에 대해서는 덜 이야기하는 이유가 궁금할 것입니다. 그 이유는 데이터와 애플리케이션 및 시스템 사이에 강한 관계가 있기 때문입니다. 응용 프로그램 및 시스템이 나쁜 행위자로부터 보호되지 않는 한 데이터 보안은 불가능합니다.

'데이터는 새로운 석유'라는 문구는 애플리케이션과 데이터 간의 관계를 설명합니다. 원시 형태의 오일과 같은 데이터는 소비를 위해 정제되지 않는 한 유용하지 않습니다. 애플리케이션은 데이터에 대해 작업하고 이를 사용하기 쉬운 방식으로 사용자에게 제공합니다.

SASE 데이터 보안에서의 역할

읽어주세요 해독 SASE 개요를 볼 수 있는 블로그 SASE.

SASE 인력이 분산되어 있고 온프레미스 전반에 걸쳐 배포가 분산된 세계에서 애플리케이션을 보호하는 데 중요한 역할을 합니다. Cloud, 공공의 cloud및 공개 가장자리. 다음 섹션에서는 몇 가지 주요 보안 문제와 방법을 제공합니다. SASE 그들을 해결합니다.

엔트erp다양한 비즈니스 목적을 위해 많은 애플리케이션을 개발하거나 배포합니다. 모든 응용 프로그램이 모든 Ent에 액세스할 필요는 없습니다.erp상승 데이터. 그리고 애플리케이션의 모든 사용자는 모든 애플리케이션 데이터에 액세스할 필요가 없습니다. 이로 인해 "최소 권한 액세스" 및 "ID 기반 액세스 제어"가 데이터 보안의 핵심입니다.

응용 프로그램은 더 이상 간단하지 않습니다. 개발자는 자체 구축, 구매 및 오픈 소스 등 많은 소프트웨어 구성 요소를 사용하여 소프트웨어를 복잡하고 취약하게 만듭니다. 공격자는 위협 지식 기반을 활용하고 취약성을 악용하여 애플리케이션에 액세스한 다음 데이터에 액세스하는 경향이 있습니다. 따라서 익스플로잇으로부터 위협을 방지하는 것은 데이터 보안에 중요합니다.

애플리케이션 및 시스템 관리는 애플리케이션 관리자가 더 높은 권한을 갖는 경향이 있으므로 가장 중요합니다. 관리자 계정의 자격 증명 도용은 Ent에 큰 피해를 줄 수 있습니다.erp상승한다. 두 번째 수준의 MFA 채택, 안전하지 않은/알 수 없는 위치에서 액세스하는 사용자 제한, 비정상적인 행동 패턴을 보이는 사용자 제한과 같은 몇 가지 보안 기술은 추가 데이터 보호에 필요합니다.

엔트erpRISK는 분산된 인력에게 지연 시간이 짧은 사용자 경험을 제공하고 애플리케이션이 증가하거나 비정상적인 로드를 견딜 수 있도록 여러 위치에 애플리케이션을 배포합니다. 분산 응용 프로그램을 사용하면 데이터도 분산됩니다. 이로 인해 수요 증가 및 애플리케이션에 대한 DDoS 공격을 해결하기 위해 보안도 분산될 것으로 예상됩니다.

ZTNA(Zero Trust Network Access) 플랫폼 및 NGFW (차세대 방화벽)의 SASE 위의 보안 문제를 해결합니다. 이것 때문에, SASE 애플리케이션을 보호하고 신원 기반 액세스 및 인증 제어를 가능하게 함으로써 데이터 보안을 다루는 핵심 사이버 보안 요소 중 하나가 되고 있습니다.

ZTNA & NGFW 애플리케이션을 보호하고 데이터를 보호하는 데 충분합니다. 와 함께 Cloud 대중을 활용하는 변화 clouds, Ent의 공개 에지erp응용 프로그램이 증가하면 더 많은 공격 표면이 있습니다. 데이터 보안에는 이러한 공격 표면을 수정해야 합니다. 그것이 CNAPP가 그림을 그리는 곳입니다.

공격 표면 증가 Cloud 변환

Cloud 단순한 애플리케이션으로 전환하면 Ent가 줄어듭니다.erp공통 인프라 소프트웨어에 대한 보안이 cloud 공급자. 이 그림에서 애플리케이션 개발자는 점점 비즈니스 로직에 집중하고 있으며 일상적인 소프트웨어 구성 요소의 책임을 비즈니스 로직에 맡기고 있습니다. cloud 제공.

개발자는 애플리케이션 로직에만 집중하고 운영 체제, 프레임워크, 데이터베이스, 파일 저장소, 키 관리, 인증, 권한 부여 시스템 및 관찰 시스템과 같은 일반 서비스의 유지 관리 및 보안 패치를 맡기면 되는 것이 사실입니다. cloud 이를 통해 애플리케이션에 국한된 보안 책임을 줄일 수 있습니다.

즉, 분산된 인력과 낮은 대기 시간 경험을 요구하는 새로운 종류의 애플리케이션은 애플리케이션 배포를 복잡하게 하여 더 많은 공격 표면에 노출됩니다.

여러 지역뿐만 아니라 여러 위치에 애플리케이션을 배포해야 하는 필요성이 점점 더 커지고 있습니다. cloud 공급자뿐만 아니라 여러 서비스에 걸쳐 cloud 최고의 사용자 경험을 제공하기 위해 공급자와 에지 공급자를 제공합니다. 또한 애플리케이션이 온디맨드 방식으로 Edge에 배포되는 경우가 점점 더 늘어나고 있습니다. 즉, 애플리케이션 서비스가 필요한 클라이언트가 주변에 있을 때만 애플리케이션이 배포됩니다. 모든 Edge에 전체 복잡한 애플리케이션을 배포하는 것은 비용상의 이유로 보장되지 않습니다. 마이크로서비스 아키텍처에 오신 것을 환영합니다. 애플리케이션 개발자는 생산성 향상뿐만 아니라 Edge에서 부분 애플리케이션 배포를 활성화하고 나머지는 그대로 유지하기 위해 마이크로서비스 아키텍처를 채택하고 있습니다. clouds.

다음 그림(간결함을 위해 간단하게 표시)은 마이크로서비스 기반 애플리케이션 배포를 보여줍니다. 이 임의의 애플리케이션 예에서 애플리케이션의 마이크로서비스 1과 2는 짧은 대기 시간 경험을 제공하기 위해 엣지에 배포되고 마이크로서비스 3과 4는 엣지에 배포됩니다. cloud애플리케이션의 다른 작업을 위한 것입니다. 그림에 표시된 공격 표면 지점은 5개입니다.

1. 최종 클라이언트와 프런트엔드 마이크로서비스 1 간의 통신 및 에지 전반의 마이크로서비스 간 통신 Cloud
2. 엣지 위치 내의 마이크로서비스 간 통신 또는 cloud 위치.
3. 애플리케이션 마이크로서비스와 애플리케이션 간의 통신 cloud/edge 제공자 서비스
4. 외부에서 공급자 서비스로 공급자 서비스와의 통신.
5. 마이크로서비스의 내부 소프트웨어 구성 요소

포괄적인 보안은 모든 공격 표면을 처리할 것으로 예상됩니다.

공격 표면(1)은 다음과 같이 처리할 수 있습니다. SASE 지티나 & NGFW. 다른 모든 공격 표면은 분산 컴퓨팅, 마이크로서비스 아키텍처 및 애플리케이션을 사용하여 밝혀졌습니다. cloud 공급자 서비스. 대부분이 원인이기 때문에 cloud/edge 변환에서 Gartner는 이러한 보안 문제를 해결하기 위해 CNAPP 모델이라는 새로운 범주를 정의했습니다.

CNAPP(Cloud 기본 애플리케이션 보호 플랫폼) 증가된 공격 표면을 해결합니다.

CNAPP은 cloud 기본 보안 모델/기술을 결합한 Cloud 보안태세관리(CSPM), Cloud 서비스 네트워크 보안(CSNS) 및 Cloud 단일 플랫폼의 CWPP(작업 부하 보호 플랫폼)입니다. 여러개를 조합해서 cloud 보안 도구를 하나의 플랫폼으로 통합함으로써 CNAPP는 애플리케이션 수명 주기(구축, 런타임 단계 배포) 전반에 걸친 포괄적인 가시성과 여러 기술에 대한 포괄적인 제어와 같은 이점을 제공합니다. Gartner가 만든 다른 용어와 마찬가지로 CNAPP 용어 역시 공급업체와 소비자 간의 보안 기능/플랫폼 역량에 대한 공통된 이해를 제공할 것으로 기대됩니다. CNAPP가 무엇으로 구성되어 있는지 확인한 다음 공격 표면 지점을 이러한 구성 요소에 매핑해 보겠습니다.

Cloud 보안 상태 관리(CSPM): CSPM 기능은 Ent에게 부여합니다.erp모든 항목의 가시성을 높입니다. cloud 자원/서비스 기업erp여러 곳에서 애플리케이션 사용 증가 cloud 공급자. CSPM은 또한 cloud 이를 사용하는 서비스 및 애플리케이션.

CSPM의 가장 큰 이점은 잘못된 구성을 감지하기 위한 구성 검색입니다. 부터 cloud 공급자 서비스는 매우 일반적이며 보안은 구성만큼 우수합니다. 다음을 이해하는 것이 중요합니다. cloud 공급자 서비스는 다중 테넌트이며 해당 액세스는 Ent에 의해 제어될 수 없습니다.erp상승한다. 잘못 구성되면 공격자가 해당 서비스에 접근하여 데이터를 훔치고 손상시킬 수 있습니다. 예를 들어 데이터베이스 서비스가 실수로 모든 사람의 액세스를 허용하도록 구성된 경우 Ent를 포기할 수 있습니다.erp데이터베이스 서비스의 애플리케이션에 의해 저장된 상승 데이터.

CSPM은 또한 데이터에 대한 규정 준수 검사를 수행합니다. cloud 서비스를 제공하고 기업에 규정 준수 위반 가시성을 제공합니다.erp상승합니다.

CSPM은 위 그림에 나열된 공격 표면(4)을 처리합니다..

Cloud 서비스 네트워크 보안(CSNS):  CSNS는 애플리케이션의 마이크로서비스 간 네트워크 수준 보안은 물론 마이크로서비스와 애플리케이션 간의 네트워크 보안을 제공합니다. cloud 서비스. 그 기능은 다음과 같습니다 SASE/ZTNA. 기능에는 다음이 포함됩니다. NGFW, WAF, ID 기반 액세스 제어, WAF, API 보호, DoS/DDoS 방지. CSNS는 기존 네트워크 보안과 역동성이 다릅니다. 동적 워크로드로 인해 CSNS 보안 수명 주기는 애플리케이션의 수명 주기와 일치해야 합니다.

CSNS는 위 그림에서 공격 표면 (2) 및 (3)을 처리합니다.. 기본적으로 CSNS는 EW 트래픽에 대한 네트워크 보안을 제공합니다.

Cloud 워크로드 보호 플랫폼(CWPP): CWPP 기능은 다음을 주로 확인합니다.

• 이미지를 분석하고, 소프트웨어 인벤토리, 인벤토리 버전을 파악하고, 소프트웨어 인벤토리의 알려진 취약점을 이해하기 위해 위협 인텔리전스 데이터베이스를 확인하여 워크로드 이미지(VM, 컨테이너, 서버리스)의 취약점.
• 맬웨어 탐지 및 해제wan공급망에 맬웨어가 도입되지 않았는지 확인하기 위해 이미지에서 테드 소프트웨어 탐지.
• 호스트 침입 방지 기술을 통해 런타임에 익스플로잇합니다.
• Intel SGx와 같은 보안 보호 기술을 사용한 런타임 메모리 보호.
• RASP(Runtime Application Self Protection)를 통한 런타임 워크로드 보호

CWPP는 위 그림에 나열된 공격 표면(5)을 해결합니다..

애플리케이션용 Kubernetes의 인기로 인해 Kubernetes에서 작동하도록 위의 기술이 제공됩니다. KSPM(Kubernetes Security Posture Management)은 CSPM과 유사하지만 Kubernetes용으로 조정되었습니다. 그것은 matt시간이 지나면 KWPP(Kubernetes Workload Protection Platform) 및 KSNS(Kubernetes Network Security Service)와 같은 용어를 보게 될 것입니다.

CSNS 및 SASE

CSNS 기능은 ZTNA & NGFW. 둘 다 네트워크 보안 기술이기 때문입니다. 엔트erpNS(North-South) 및 EW(East-West) 트래픽 모두에 대한 단일 기술을 보고 싶어합니다. 따라서 CSNS 기능은 SASE 공급자. 만능인 SASE 모든 네트워크 관련 공격 표면을 처리할 것으로 예상됩니다. WAN, 쿠버네티스 네트워크, 서비스 메시가 있는 쿠버네티스 네트워크, VPC 네트워크, 에지 네트워크 등. 많은 CNAPP 공급자가 더 이상 CSNS에 대해 많이 이야기하지 않기 때문에 이것이 추세인 것으로 보이며 받아들여지고 있습니다.

CSMA(사이버 보안 메시 아키텍처)

가장 큰 도전 중 하나 Enterp떠오르는 얼굴은 보안 사일로입니다. 엔트erp상승은 온프레미스 보안, 엔드포인트 보안, 네트워크 보안을 해결하기 위해 다양한 공급업체의 여러 보안 기능을 배포하는 데 사용됩니다. Cloud 보안 요구 사항. 각 보안 기능에는 정책 관리, 관찰 가능성 및 데이터 플레인이 함께 제공됩니다. 결과적으로 관리 및 가시성이 복잡해지면서 보안 구성 오류가 발생하고 보안 사고 감지 및 대응이 누락되거나 지연됩니다. Gartner는 보안 사고 리더십의 일환으로 CSMA 용어를 만들었습니다. Gartner는 Ent가erp다양한 보안 공급업체의 여러 보안 기능을 사용해야 합니다. CSMA 개념은 Ent의 요구 사항을 해결하기 위해 노력하고 있습니다.erp정책 관리 및 관찰 가능성을 위해 단일 창을 필요로 하는 증가.

Gartner는 여러 보안 기능을 구성할 수 있도록 보안 벤더가 따라야 할 몇 가지 원칙을 정의했습니다. 지배적인 원칙은 CLI 및 포털 인터페이스를 넘어 보안 공급업체에 의한 API 노출입니다. API 우선 접근 방식은 Ent를 허용합니다.erp정책 관리 및 보안 분석을 위한 단일 통합 대시보드를 실현하기 위해 상승하거나 관리되는 보안 공급자.

가트너는 탈중앙화된 사용자 신원을 가진 '아이덴티티 패브릭'의 필요성도 지적했다. 오늘, 엔트erp상승세는 AD, LDAP, SAML IdP 및 OIDC IdP 등과 같은 기술을 사용하여 자격 증명 데이터베이스를 유지합니다. 직원의 신원 데이터베이스를 보유하는 것은 괜찮지만 공용 사용자를 위한 ID 데이터베이스를 유지하는 것은 개인 정보 보호 및 보안 측면에서 어려운 일입니다. 신원 데이터베이스 및 신원 확인을 분산 신원 공급자에게 오프로드하는 것은 Ent 모두에게 윈윈입니다.erp상승하고 최종 사용자.  ADI 협회 W3C는 탈중앙화 아이덴티티 패브릭을 구현하기 위해 공통 프레임워크와 사양을 작업하고 있습니다.

CSMA가 실제 보안을 직접 다루지는 않지만 이 아키텍처/개념은 보안 구성 오류를 최소화하고 더 빠른 사고 감지 및 대응을 위해 E2E 가시성을 제공합니다.

SASE 그리고 CNAPP는 CSMA를 실현하는 방향으로 가고 있습니다.  SASE 네트워크 보안 정책 관리 및 관찰 가능성을 위한 단일 창을 제공하여 모든 네트워크 보안 기능과 네트워크 기능을 통합합니다. CNAPP는 모든 것을 통합합니다 cloud 하나의 우산 아래 보안 기능을 제공합니다. CSMA는 다음을 포함하는 한 수준 높은 통합입니다. SASE, CNAPP, 엔드포인트 보안, ID 및 기타 사이버 보안 기술.

요약

데이터 보안에는 데이터 암호화, 데이터 거버넌스, 데이터 마스킹 및 사이버 보안과 같은 많은 기술이 필요합니다.  SASE 사이버 보안의 필수적인 부분입니다. Cloud 마이크로서비스 아키텍처와 같은 최신 애플리케이션 아키텍처와 결합된 엣지 변환은 추가적인 공격 표면 지점을 노출시킵니다. Universal과 결합된 CNAPP SASE 새로운 공격 표면과 관련된 보안 문제를 해결합니다.

• CTO 인사이트 블로그

  XNUMXD덴탈의 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.