데이터 보안 – SASE, CNAPP 및 CSMA 역할

데이터는 Ent에게 가장 소중한 자원이 되었습니다.erp상승한다. 당연히 Ent를 방해하려는 나쁜 행위자가 많이 있습니다.erp데이터를 훔치고 손상시키는 것으로부터 비즈니스를 성장시킵니다.

데이터 보안은 무단 사용자, 말리로 데이터 손상으로부터 데이터를 보호하는 것입니다.cio의도 및 데이터 도용. 많은 보안 회사가 애플리케이션, 네트워크, 엔드포인트 보호에 대해 이야기하고 데이터에 대해서는 덜 이야기하는 이유가 궁금할 것입니다. 그 이유는 데이터와 애플리케이션 및 시스템 사이에 강한 관계가 있기 때문입니다. 응용 프로그램 및 시스템이 나쁜 행위자로부터 보호되지 않는 한 데이터 보안은 불가능합니다.

'데이터는 새로운 석유'라는 문구는 애플리케이션과 데이터 간의 관계를 설명합니다. 원시 형태의 오일과 같은 데이터는 소비를 위해 정제되지 않는 한 유용하지 않습니다. 애플리케이션은 데이터에 대해 작업하고 이를 사용하기 쉬운 방식으로 사용자에게 제공합니다.

SASE 데이터 보안에서의 역할

읽어주세요 해독 SASE 개요를 볼 수 있는 블로그 SASE.

SASE 온프레미스 클라우드, 퍼블릭 클라우드 및 퍼블릭 에지에 걸쳐 분산된 인력 및 분산 배포 환경에서 애플리케이션을 보호하는 데 중요한 역할을 합니다. 다음 섹션에서는 몇 가지 주요 보안 문제와 방법을 제공합니다. SASE 그들을 해결합니다.

엔트erp다양한 비즈니스 목적을 위해 많은 애플리케이션을 개발하거나 배포합니다. 모든 응용 프로그램이 모든 Ent에 액세스할 필요는 없습니다.erp상승 데이터. 그리고 애플리케이션의 모든 사용자는 모든 애플리케이션 데이터에 액세스할 필요가 없습니다. 이로 인해 "최소 권한 액세스" 및 "ID 기반 액세스 제어"가 데이터 보안의 핵심입니다.

응용 프로그램은 더 이상 간단하지 않습니다. 개발자는 자체 구축, 구매 및 오픈 소스 등 많은 소프트웨어 구성 요소를 사용하여 소프트웨어를 복잡하고 취약하게 만듭니다. 공격자는 위협 지식 기반을 활용하고 취약성을 악용하여 애플리케이션에 액세스한 다음 데이터에 액세스하는 경향이 있습니다. 따라서 익스플로잇으로부터 위협을 방지하는 것은 데이터 보안에 중요합니다.

애플리케이션 및 시스템 관리는 애플리케이션 관리자가 더 높은 권한을 갖는 경향이 있으므로 가장 중요합니다. 관리자 계정의 자격 증명 도용은 Ent에 큰 피해를 줄 수 있습니다.erp상승한다. 두 번째 수준의 MFA 채택, 안전하지 않은/알 수 없는 위치에서 액세스하는 사용자 제한, 비정상적인 행동 패턴을 보이는 사용자 제한과 같은 몇 가지 보안 기술은 추가 데이터 보호에 필요합니다.

엔트erpRISK는 분산된 인력에게 지연 시간이 짧은 사용자 경험을 제공하고 애플리케이션이 증가하거나 비정상적인 로드를 견딜 수 있도록 여러 위치에 애플리케이션을 배포합니다. 분산 응용 프로그램을 사용하면 데이터도 분산됩니다. 이로 인해 수요 증가 및 애플리케이션에 대한 DDoS 공격을 해결하기 위해 보안도 분산될 것으로 예상됩니다.

ZTNA(Zero Trust Network Access) 플랫폼 및 NGFW (차세대 방화벽)의 SASE 위의 보안 문제를 해결합니다. 이것 때문에, SASE 애플리케이션을 보호하고 신원 기반 액세스 및 인증 제어를 가능하게 함으로써 데이터 보안을 다루는 핵심 사이버 보안 요소 중 하나가 되고 있습니다.

ZTNA & NGFW 응용 프로그램을 보호하여 데이터를 보호하기에 충분합니다. 퍼블릭 클라우드를 활용한 클라우드 트랜스포메이션으로 Ent를 위한 퍼블릭 에지erp응용 프로그램이 증가하면 더 많은 공격 표면이 있습니다. 데이터 보안에는 이러한 공격 표면을 수정해야 합니다. 그것이 CNAPP가 그림을 그리는 곳입니다.

클라우드 혁신으로 공격 표면 증가

단순한 애플리케이션의 클라우드 전환으로 비용 절감erp공통 인프라 소프트웨어에 대한 보안이 클라우드 공급자에 의해 처리됨에 따라 응답이 증가합니다. 이 그림에서 응용 프로그램 개발자는 점차 비즈니스 논리에 집중하고 일상적인 소프트웨어 구성 요소의 책임을 클라우드 공급자에게 맡기고 있습니다.

개발자는 애플리케이션 로직에만 집중하고 운영 체제, 프레임워크, 데이터베이스, 파일 스토리지, 키 관리, 인증, 권한 부여 시스템 및 관찰 시스템과 같은 공통 서비스의 유지 관리 및 보안 패치를 클라우드 공급자에게 맡기면 되는 것이 사실입니다. 애플리케이션에 제한된 보안 책임

즉, 분산된 인력과 낮은 대기 시간 경험을 요구하는 새로운 종류의 애플리케이션은 애플리케이션 배포를 복잡하게 하여 더 많은 공격 표면에 노출됩니다.

최고의 사용자 경험을 제공하기 위해 클라우드 공급자의 지역뿐만 아니라 여러 클라우드 공급자 및 에지 공급자에 걸쳐 여러 위치에 애플리케이션을 배포해야 하는 필요성이 점점 더 커지고 있습니다. 또한 애플리케이션은 온디맨드 방식으로 에지에 점점 더 많이 배포되고 있습니다. 즉, 응용 프로그램 서비스를 필요로 하는 클라이언트가 주변에 있을 때만 응용 프로그램이 배포됩니다. 모든 Edge에 전체 복잡한 애플리케이션을 배포하는 것은 비용상의 이유로 보증되지 않습니다. 마이크로서비스 아키텍처에 오신 것을 환영합니다. 애플리케이션 개발자는 생산성을 높일 뿐만 아니라 에지에서 부분 애플리케이션 배포를 지원하고 나머지는 클라우드에 유지하기 위해 마이크로서비스 아키텍처를 채택하고 있습니다.

다음 그림(간결성을 위해 간단하게 만들었습니다)은 마이크로서비스 기반 애플리케이션 배포를 보여줍니다. 이 임의 애플리케이션 예제에서 애플리케이션의 마이크로서비스 1과 2는 짧은 대기 시간 환경을 제공하기 위해 에지에 배포되고 마이크로서비스 3과 4는 애플리케이션의 다른 작업을 위해 클라우드에 배포됩니다. 그림에 표시된 공격 표면 지점은 5개입니다.

1. 최종 클라이언트와 프런트엔드 마이크로서비스 1 간의 통신 및 에지 및 클라우드 전반의 마이크로서비스 간 통신
2. 에지 위치 또는 클라우드 위치 내의 마이크로서비스 간 통신.
3. 애플리케이션 마이크로서비스와 클라우드/에지 공급자 서비스 간 통신
4. 외부에서 공급자 서비스로 공급자 서비스와의 통신.
5. 마이크로서비스의 내부 소프트웨어 구성 요소

포괄적인 보안은 모든 공격 표면을 처리할 것으로 예상됩니다.

공격 표면(1)은 다음과 같이 처리할 수 있습니다. SASE 지티나 & NGFW. 다른 모든 공격 표면은 분산 컴퓨팅, 마이크로서비스 아키텍처 및 클라우드 공급자 서비스를 사용하는 애플리케이션으로 인해 드러났습니다. 이는 대부분 클라우드/엣지 변환으로 인한 것이므로 Gartner는 이러한 보안 문제를 해결하기 위해 CNAPP 모델이라는 새로운 범주를 정의했습니다.

CNAPP(클라우드 네이티브 애플리케이션 보호 플랫폼) 증가된 공격 표면 문제 해결

CNAPP는 CSPM(Cloud Security Posture Management), CSNS(Cloud Service Network Security) 및 CWPP(Cloud Workload Protection Platform)를 단일 플랫폼에 결합한 클라우드 네이티브 보안 모델/기술입니다. 여러 클라우드 보안 도구를 하나의 플랫폼으로 결합함으로써 CNAPP는 애플리케이션 수명 주기 전반에 걸친 포괄적인 가시성(구축, 런타임 단계에 배포) 및 여러 기술에 대한 포괄적인 제어와 같은 이점을 제공합니다. Gartner에서 만든 다른 용어와 마찬가지로 CNAPP 용어도 공급업체와 소비자 간의 보안 기능/플랫폼 기능에 대한 공통된 이해를 제공할 것으로 기대됩니다. CNAPP가 무엇을 구성하는지 확인한 다음 공격 표면 지점을 이러한 구성 요소에 매핑해 보겠습니다.

CSPM(클라우드 보안 태세 관리): CSPM 기능은 Ent에게 부여합니다.erp모든 클라우드 리소스/서비스 Ent의 가시성 상승erp여러 클라우드 공급자의 응용 프로그램 사용을 늘립니다. CSPM은 또한 이를 사용하는 클라우드 서비스 및 애플리케이션을 매핑합니다.

CSPM의 가장 큰 이점은 잘못된 구성을 감지하기 위한 구성 스캔입니다. 클라우드 공급자 서비스는 매우 일반적이므로 보안은 구성만큼 우수합니다. 클라우드 공급자 서비스는 다중 테넌트이며 해당 액세스는 Ent에서 제어할 수 없음을 이해하는 것이 중요합니다.erp상승한다. 잘못 구성되면 공격자가 해당 서비스에 접근하여 데이터를 훔치고 손상시킬 수 있습니다. 예를 들어 데이터베이스 서비스가 실수로 모든 사람의 액세스를 허용하도록 구성된 경우 Ent를 포기할 수 있습니다.erp데이터베이스 서비스의 애플리케이션에 의해 저장된 상승 데이터.

CSPM은 또한 클라우드 서비스의 데이터에 대한 규정 준수 검사를 수행하고 Ent에 규정 준수 위반 가시성을 제공합니다.erp상승합니다.

CSPM은 위 그림에 나열된 공격 표면(4)을 처리합니다..

클라우드 서비스 네트워크 보안(CSNS):  CSNS는 마이크로 서비스와 클라우드 서비스 간의 네트워크 보안뿐만 아니라 응용 프로그램의 마이크로 서비스 간의 네트워크 수준 보안을 제공합니다. 그 기능은 다음과 같습니다. SASE/ZTNA. 기능에는 다음이 포함됩니다. NGFW, WAF, ID 기반 액세스 제어, WAF, API 보호, DoS/DDoS 방지. CSNS는 기존 네트워크 보안과 역동성이 다릅니다. 동적 워크로드로 인해 CSNS 보안 수명 주기는 애플리케이션의 수명 주기와 일치해야 합니다.

CSNS는 위 그림에서 공격 표면 (2) 및 (3)을 처리합니다.. 기본적으로 CSNS는 EW 트래픽에 대한 네트워크 보안을 제공합니다.

클라우드 워크로드 보호 플랫폼(CWPP): CWPP 기능은 다음을 주로 확인합니다.

• 이미지를 분석하고, 소프트웨어 인벤토리, 인벤토리 버전을 파악하고, 소프트웨어 인벤토리의 알려진 취약점을 이해하기 위해 위협 인텔리전스 데이터베이스를 확인하여 워크로드 이미지(VM, 컨테이너, 서버리스)의 취약점.
• 맬웨어 탐지 및 해제wan공급망에 맬웨어가 도입되지 않았는지 확인하기 위해 이미지에서 테드 소프트웨어 탐지.
• 호스트 침입 방지 기술을 통해 런타임에 익스플로잇합니다.
• Intel SGx와 같은 보안 보호 기술을 사용한 런타임 메모리 보호.
• RASP(Runtime Application Self Protection)를 통한 런타임 워크로드 보호

CWPP는 위 그림에 나열된 공격 표면(5)을 해결합니다..

애플리케이션용 Kubernetes의 인기로 인해 Kubernetes에서 작동하도록 위의 기술이 제공됩니다. KSPM(Kubernetes Security Posture Management)은 CSPM과 유사하지만 Kubernetes용으로 조정되었습니다. 그것은 matt시간이 지나면 KWPP(Kubernetes Workload Protection Platform) 및 KSNS(Kubernetes Network Security Service)와 같은 용어를 보게 될 것입니다.

CSNS 및 SASE

CSNS 기능은 ZTNA & NGFW. 둘 다 네트워크 보안 기술이기 때문입니다. 엔트erpNS(North-South) 및 EW(East-West) 트래픽 모두에 대한 단일 기술을 보고 싶어합니다. 따라서 CSNS 기능은 SASE 공급자. 만능인 SASE 모든 네트워크 관련 공격 표면을 처리할 것으로 예상됩니다. WAN, 쿠버네티스 네트워크, 서비스 메시가 있는 쿠버네티스 네트워크, VPC 네트워크, 에지 네트워크 등. 많은 CNAPP 공급자가 더 이상 CSNS에 대해 많이 이야기하지 않기 때문에 이것이 추세인 것으로 보이며 받아들여지고 있습니다.

CSMA(사이버 보안 메시 아키텍처)

가장 큰 도전 중 하나 Enterp떠오르는 얼굴은 보안 사일로입니다. 엔트erp상승은 온프레미스 보안, 엔드포인트 보안, 네트워크 보안, 클라우드 보안 요구 사항을 해결하기 위해 다양한 공급업체의 여러 보안 기능을 배포하는 데 사용됩니다. 각 보안 기능에는 정책 관리, 관찰 가능성 및 데이터 평면이 함께 제공됩니다. 결과적으로 관리 및 가시성이 복잡해져 보안 구성 오류로 이어지고 보안 사고 감지 및 대응이 누락되거나 지연됩니다. Gartner는 보안 사고 리더십의 일부로 CSMA 용어를 만들었습니다. Gartner는 Ent가erp다양한 보안 공급업체의 여러 보안 기능을 사용해야 합니다. CSMA 개념은 Ent의 요구 사항을 해결하기 위해 노력하고 있습니다.erp정책 관리 및 관찰 가능성을 위해 단일 창을 필요로 하는 증가.

Gartner는 여러 보안 기능을 구성할 수 있도록 보안 벤더가 따라야 할 몇 가지 원칙을 정의했습니다. 지배적인 원칙은 CLI 및 포털 인터페이스를 넘어 보안 공급업체에 의한 API 노출입니다. API 우선 접근 방식은 Ent를 허용합니다.erp정책 관리 및 보안 분석을 위한 단일 통합 대시보드를 실현하기 위해 상승하거나 관리되는 보안 공급자.

가트너는 탈중앙화된 사용자 신원을 가진 '아이덴티티 패브릭'의 필요성도 지적했다. 오늘, 엔트erp상승세는 AD, LDAP, SAML IdP 및 OIDC IdP 등과 같은 기술을 사용하여 자격 증명 데이터베이스를 유지합니다. 직원의 신원 데이터베이스를 보유하는 것은 괜찮지만 공용 사용자를 위한 ID 데이터베이스를 유지하는 것은 개인 정보 보호 및 보안 측면에서 어려운 일입니다. 신원 데이터베이스 및 신원 확인을 분산 신원 공급자에게 오프로드하는 것은 Ent 모두에게 윈윈입니다.erp상승하고 최종 사용자.  ADI 협회 W3C는 탈중앙화 아이덴티티 패브릭을 구현하기 위해 공통 프레임워크와 사양을 작업하고 있습니다.

CSMA가 실제 보안을 직접 다루지는 않지만 이 아키텍처/개념은 보안 구성 오류를 최소화하고 더 빠른 사고 감지 및 대응을 위해 E2E 가시성을 제공합니다.

SASE 그리고 CNAPP는 CSMA를 실현하는 방향으로 가고 있습니다.  SASE 네트워크 보안 정책 관리 및 관찰 가능성을 위한 단일 창을 제공하여 모든 네트워크 보안 기능과 네트워크 기능을 통합합니다. CNAPP는 모든 클라우드 보안 기능을 하나의 우산 아래 통합합니다. CSMA는 다음을 포함하는 한 수준 높은 통합입니다. SASE, CNAPP, 엔드포인트 보안, ID 및 기타 사이버 보안 기술.

요약

데이터 보안에는 데이터 암호화, 데이터 거버넌스, 데이터 마스킹 및 사이버 보안과 같은 많은 기술이 필요합니다.  SASE 사이버 보안의 필수적인 부분입니다. 마이크로서비스 아키텍처와 같은 최신 애플리케이션 아키텍처와 결합된 클라우드 및 에지 변환은 추가 공격 표면 지점을 노출합니다. CNAPP, 유니버설과 결합 SASE 새로운 공격 표면과 관련된 보안 문제를 해결합니다.

• CTO 인사이트 블로그

  Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 SASE 주제. Aryaka 제품 사양은 Aryaka 데이터시트를 참조하십시오.