2019.12.11

'멀티 클라우드 보안의 시작'··· CASB 제품을 비교하는 방법

David Strom | CSO
클라우드 액세스 보안 브로커(CASB) 제품은 서로 비교하기가 쉽지 않다. 모두가 핵심 기능은 공통으로 갖추고 있지만, 전체적으로는 기능이 저마다 다르다. CASB 기능과 작동 방식을 이해하면 우리 기업에 꼭 맞는 CASB를 선정하는 데 도움이 된다.
 
ⓒ Getty Images Bank

핵심 CASB 서비스
클라우드와 온-프레미스 장비가 혼재한다면, 앞으로 CASB를 반드시 이용하게 될 것이므로, 빨리 도입할수록 유리하다. 다음의 3가지 기본 서비스는 CASB 제품이 공통으로 지원하는 것이고, CASB의 핵심 기능이다. CASB를 구매하는 이유이기도 하다.

고객의 가장 민감한 데이터 흐름을 모니터하고 제어. CASB는 원래 섀도우 IT를 최소화하고 SaaS 애플리케이션을 통제해 인프라를 더 안전하게 만들도록 설계됐다. 이제는 지원 분야가 더 확대돼 다양한 상황에서 쓰인다. 예를 들어 여러 클라우드 업체에 걸쳐 작동하거나 SaaS, 모바일, 온-프레미스 애플리케이션을 결합하는 것이 대표적이다.

모든 서버와 앱에 걸쳐 데이터 손실 방지(DLP) 정책을 동일하게 적용. 데이터가 늘어나면 고객과 회사의 기밀 정보가 누출되지 않도록 보장하는 더 진화된 방식이 필요하다. 데이터 손실은 악의를 가진 내부자나 부실한 보안 취약점을 통해 의도치 않게 일어날 수 있다. DLP 제품은 나온 지 여러 해가 됐다. CASB에 DLP 기능이 더해지면 잠재적 취약 지점을 추적하는 데 더 유용하다. 클라우드로 이전돼 권한 없는 모바일 기기에 의해 접근되는 데이터가 많아지고 있기 때문이다.

클라우드-네이티브 암호 키를 관리. 이론적으로 CASB는 고객의 암호화 요구와 암호 키를 자동으로 기억하고 있어야 한다. 이렇게 되면 고객이 수작업을 할 필요가 없어져 더 많은 데이터를 암호화할 수 있다. CASB 제품들은 저마다 우월한 점이 있다. 예를 들면 아래와 같다.

- 비트글래스(Bitglass)는 에이젝스(Ajax) 가상 머신(VM) 류의 계층이 있어서, 관리되지 않은 기기에 대해 DLP를 거의 실시간으로 처리한다. 다만, 이들 기기는 브라우저를 통해 데이터에 액세스해야 한다.
- 사이퍼클라우드(CipherCloud)는 일부 SaaS 구조 데이터 서비스에 대해 필드-수준 암호화를 제공한다. 이는 기밀 정보를 보호하는 데 유용하다.
- 넷스코프(Netscope)는 견고한 거동 애널리틱스 대시보드가 있고, 애플리케이션 전달 툴 역시 훌륭하다.
- 포스포인트(Forcepoint)와 맥아피(MaAfee)는 2가지 제품군을 가지고 있다. 하나는 온-프레미스용, 다른 하나는 클라우드용이다. 두 업체의 제품은 기능 면에서 동일하지 않고, 클라우드 및 로컬 서버에 통합하려면 어느 정도 작업이 필요하다.
- 마이크로소프트는 계속해서 CASB 제품군을 강화하고 확대 중이지만, 일련의 개별 관리 툴을 통합할 필요가 있다.

모든 CASB는 앞서 살펴본 기본 기능 외에도 다음 3가지 상이한 모드 가운데 하나에서 (또는 그 이상에서) 작동한다.

- 포워드 프록시(forward proxy), 대개 엔드포인트 에이전트나 VPN 클라이언트와 함께 구축함
- 리버스 프록스(reverse porxy), 에이전트가 필요하지 않고, 관리되지 않은 기기에 대해 강점이 있음
- API 제어(API control), 클라우드 리포지터리에 이미 저장된 데이터, 또는 기업 네트워크로 유입되지 않고 클라우드 프로세스에서 쓰이는 데이터에 대한 가시성 제공

CASB의 핵심 차별화 요소, '에이전트 전개'
각종 에이전트를 전개하는 요건이나 분야를 제품별로 따져보자(맥아피는 이를 자세히 설명하는 블로그 게시물이 있다). 여기에는 흔히 CASB 업체의 비밀 병기가 숨겨져 있다. 그러나 IT 부서가 에이전트 친화적인지, 또는 그 반대인지에 따라 문제가 생길 수도 있다. 맥아피는 3가지 모드에서 모두 기능하는 단일 에이전트가 있다. 여러 개의 에이전트를 운영하는 업체도 있다. 예컨대 VPN, DLP, 안티바이러스 등 개별 기능 분야에 쓰이는 것들이다. 따라서 이들은 번잡해질 수 있고, 개인 스마트폰 등 관리되지 않은 엔드포인트를 처리하기 어렵다.

작용 모드에 따라 달라지는 기능 세트
CASB를 평가할 때 가장 어려운 부분은 각 운영 모드로 기능 세트가 어떻게 확장되는지 이해하는 것이다(물론 제품이 한가지 모드 이상으로 작동하는 경우다). 예를 들어, 시만텍의 CASB는 오피스365에 대해서만 리버스 프록시를 지원하고, 다른 애플리케이션에서는 작동하지 않는다. 새비인트(Saviynt), 시스코(Cisco), 팔로알토 네트웍스(Palo Alto Networks)는 API 전용 CASB 제품만 제공한다. 따라서 고객은 제품이 보호하는 유형이 무엇인지, 어떤 앱을 어떻게 지원하는지 파악해야 한다. 또한 제품별로 어떤 API를 다루는지도 정확히 알아야 한다.

CASB 보호를 미시적으로 이행하려면 반드시 API 지원이 필요하다. 퍼블릭 클라우드 보안 노출 현황을 이해하고, 클라우드 기반 악성 코드를 막아야 하는 경우라면 더 그렇다. 아울러 API를 전개하면 클라우드-투-클라우드 활동을 포착할 수 있고, 보존된 트래픽 흐름을 소급해 조사할 수 있다. 또한 애플리케이션 게이트웨이를 처리하고 특정 보안 정책을 이행하는 프록시 기능도 있어야 한다. 정보를 자세히 읽고 적절한 테스트 계획을 개발해 각 제품의 특성을 파악하는 것이 적절하다.

다른 보안 툴과 CASB가 어떻게 작용하는지 검토
필자는 이 글에서 ‘앱’이라는 말을 다소 투박하게 사용하고 있다. 여기서 ‘앱’은 회사에 설치된 보안 장비 전체를 의미할 수도 한다. 따라서 CASB를 평가할 때, 기존의 방화벽, 엔드포인트 보호, 웹 애플리케이션 게이트웨이와 어떻게 상호작용하는지 검토해야 하고, 이들이 모두 원활하게 상호작용하는지 아니면 서로 방해할 것인지 이해해야 한다. CASB가 다른 앱과 원활하게 작용하는 사례는 다음과 같다.

- 포스포인트(Forcepoint)는 자사 엔지니어링 지원 인력이 며칠만 작업하면 어떤 커스텀 앱이든 보호할 수 있다고 주장한다,
- 비트글라스(Bitglass)는 전통적 리버스 프록시에서 포착할 수 없는 기저 앱에서의 변화를 검출하는 기능을 가지고 있다고 주장한다.
- 맥아피의 CASB는 앱에 대한 커스텀 예방 정책을 코딩 없이 생성할 수 있다. 또한 IT는 종합 정책 관리를 3가지 작동 모드에 균일하게 적용할 수 있다.

그밖에 멋진 CASB 기능들
마지막으로, CASB의 멋진 기능 2가지를 알아보자.

지속해서 위험을 평가하고, 요구 시 컴플라이언스 감사를 이행. CASB는 기업의 가장 위험한 단일 장소를 지정하고 문제를 요약할 수 있어서, 보안 팀은 수상한 거동에 신속히 집중할 수 있다. 다른 제품이라면 이렇게 하기가 쉽지 않다. 포스포인트(Forcepoing), 프루프포인트(Proofpoint), 넷스코프(Netskope)는 고급형 위험 요약 대시보드를 가지고 있고, 고객은 환경이 어떻게 작용 중인지, 즉각적 관심을 요구하는 부분이 어디인지 정보를 표시하도록 커스터마이징할 수 있다.

제반 로그인, 서버, 앱에 걸쳐 균일한 적응형 인증 정책을 적용. 읽기-전용 액세스(가트너는 어쩔 수 없이 제공해야 하는 비승인 SaaS 서비스에 적절하다고 제안한다), 스텝-업 인증, 그리고 더 미시적인 액세스 관리를 포함한다.

ID 관리 및 SSO 툴이 보통 이런 종류의 작업을 맡는다. 그리고 한 가지 중요한 트랜드는 CASB가 전통적인 단일 사인-온(Single Sign-On, SSO) 제품에 통합되는 경우가 늘고 있다는 점이다. 다만, 통상적 수준의 통합은 대개 리버스 프록시 모드에서만 발생한다는 점, 그리고 SSO 인증은 최초 애플리케이션 로그인 시에만 CASB로 전송된다는 점을 이해해야 한다. 따라서 위험한 거동이 발생할 때를 포착하기 위해 더 완전한 적응형 인증을 원한다면, 아마 전용 SSO 제품을 고수해야 할 것이다.

이미 널리 알려진 것처럼 CASB는 기업 내에서 다양한 보안 제품과 접촉한다. 성공적 통합을 위해서는 이들의 상호작용을 이해해야 하고, 이들을 사용해 전체 보안 태세를 저하하는 것이 아니라 강화할 수 있도록 해야 한다. ciokr@idg.co.kr


2019.12.11

'멀티 클라우드 보안의 시작'··· CASB 제품을 비교하는 방법

David Strom | CSO
클라우드 액세스 보안 브로커(CASB) 제품은 서로 비교하기가 쉽지 않다. 모두가 핵심 기능은 공통으로 갖추고 있지만, 전체적으로는 기능이 저마다 다르다. CASB 기능과 작동 방식을 이해하면 우리 기업에 꼭 맞는 CASB를 선정하는 데 도움이 된다.
 
ⓒ Getty Images Bank

핵심 CASB 서비스
클라우드와 온-프레미스 장비가 혼재한다면, 앞으로 CASB를 반드시 이용하게 될 것이므로, 빨리 도입할수록 유리하다. 다음의 3가지 기본 서비스는 CASB 제품이 공통으로 지원하는 것이고, CASB의 핵심 기능이다. CASB를 구매하는 이유이기도 하다.

고객의 가장 민감한 데이터 흐름을 모니터하고 제어. CASB는 원래 섀도우 IT를 최소화하고 SaaS 애플리케이션을 통제해 인프라를 더 안전하게 만들도록 설계됐다. 이제는 지원 분야가 더 확대돼 다양한 상황에서 쓰인다. 예를 들어 여러 클라우드 업체에 걸쳐 작동하거나 SaaS, 모바일, 온-프레미스 애플리케이션을 결합하는 것이 대표적이다.

모든 서버와 앱에 걸쳐 데이터 손실 방지(DLP) 정책을 동일하게 적용. 데이터가 늘어나면 고객과 회사의 기밀 정보가 누출되지 않도록 보장하는 더 진화된 방식이 필요하다. 데이터 손실은 악의를 가진 내부자나 부실한 보안 취약점을 통해 의도치 않게 일어날 수 있다. DLP 제품은 나온 지 여러 해가 됐다. CASB에 DLP 기능이 더해지면 잠재적 취약 지점을 추적하는 데 더 유용하다. 클라우드로 이전돼 권한 없는 모바일 기기에 의해 접근되는 데이터가 많아지고 있기 때문이다.

클라우드-네이티브 암호 키를 관리. 이론적으로 CASB는 고객의 암호화 요구와 암호 키를 자동으로 기억하고 있어야 한다. 이렇게 되면 고객이 수작업을 할 필요가 없어져 더 많은 데이터를 암호화할 수 있다. CASB 제품들은 저마다 우월한 점이 있다. 예를 들면 아래와 같다.

- 비트글래스(Bitglass)는 에이젝스(Ajax) 가상 머신(VM) 류의 계층이 있어서, 관리되지 않은 기기에 대해 DLP를 거의 실시간으로 처리한다. 다만, 이들 기기는 브라우저를 통해 데이터에 액세스해야 한다.
- 사이퍼클라우드(CipherCloud)는 일부 SaaS 구조 데이터 서비스에 대해 필드-수준 암호화를 제공한다. 이는 기밀 정보를 보호하는 데 유용하다.
- 넷스코프(Netscope)는 견고한 거동 애널리틱스 대시보드가 있고, 애플리케이션 전달 툴 역시 훌륭하다.
- 포스포인트(Forcepoint)와 맥아피(MaAfee)는 2가지 제품군을 가지고 있다. 하나는 온-프레미스용, 다른 하나는 클라우드용이다. 두 업체의 제품은 기능 면에서 동일하지 않고, 클라우드 및 로컬 서버에 통합하려면 어느 정도 작업이 필요하다.
- 마이크로소프트는 계속해서 CASB 제품군을 강화하고 확대 중이지만, 일련의 개별 관리 툴을 통합할 필요가 있다.

모든 CASB는 앞서 살펴본 기본 기능 외에도 다음 3가지 상이한 모드 가운데 하나에서 (또는 그 이상에서) 작동한다.

- 포워드 프록시(forward proxy), 대개 엔드포인트 에이전트나 VPN 클라이언트와 함께 구축함
- 리버스 프록스(reverse porxy), 에이전트가 필요하지 않고, 관리되지 않은 기기에 대해 강점이 있음
- API 제어(API control), 클라우드 리포지터리에 이미 저장된 데이터, 또는 기업 네트워크로 유입되지 않고 클라우드 프로세스에서 쓰이는 데이터에 대한 가시성 제공

CASB의 핵심 차별화 요소, '에이전트 전개'
각종 에이전트를 전개하는 요건이나 분야를 제품별로 따져보자(맥아피는 이를 자세히 설명하는 블로그 게시물이 있다). 여기에는 흔히 CASB 업체의 비밀 병기가 숨겨져 있다. 그러나 IT 부서가 에이전트 친화적인지, 또는 그 반대인지에 따라 문제가 생길 수도 있다. 맥아피는 3가지 모드에서 모두 기능하는 단일 에이전트가 있다. 여러 개의 에이전트를 운영하는 업체도 있다. 예컨대 VPN, DLP, 안티바이러스 등 개별 기능 분야에 쓰이는 것들이다. 따라서 이들은 번잡해질 수 있고, 개인 스마트폰 등 관리되지 않은 엔드포인트를 처리하기 어렵다.

작용 모드에 따라 달라지는 기능 세트
CASB를 평가할 때 가장 어려운 부분은 각 운영 모드로 기능 세트가 어떻게 확장되는지 이해하는 것이다(물론 제품이 한가지 모드 이상으로 작동하는 경우다). 예를 들어, 시만텍의 CASB는 오피스365에 대해서만 리버스 프록시를 지원하고, 다른 애플리케이션에서는 작동하지 않는다. 새비인트(Saviynt), 시스코(Cisco), 팔로알토 네트웍스(Palo Alto Networks)는 API 전용 CASB 제품만 제공한다. 따라서 고객은 제품이 보호하는 유형이 무엇인지, 어떤 앱을 어떻게 지원하는지 파악해야 한다. 또한 제품별로 어떤 API를 다루는지도 정확히 알아야 한다.

CASB 보호를 미시적으로 이행하려면 반드시 API 지원이 필요하다. 퍼블릭 클라우드 보안 노출 현황을 이해하고, 클라우드 기반 악성 코드를 막아야 하는 경우라면 더 그렇다. 아울러 API를 전개하면 클라우드-투-클라우드 활동을 포착할 수 있고, 보존된 트래픽 흐름을 소급해 조사할 수 있다. 또한 애플리케이션 게이트웨이를 처리하고 특정 보안 정책을 이행하는 프록시 기능도 있어야 한다. 정보를 자세히 읽고 적절한 테스트 계획을 개발해 각 제품의 특성을 파악하는 것이 적절하다.

다른 보안 툴과 CASB가 어떻게 작용하는지 검토
필자는 이 글에서 ‘앱’이라는 말을 다소 투박하게 사용하고 있다. 여기서 ‘앱’은 회사에 설치된 보안 장비 전체를 의미할 수도 한다. 따라서 CASB를 평가할 때, 기존의 방화벽, 엔드포인트 보호, 웹 애플리케이션 게이트웨이와 어떻게 상호작용하는지 검토해야 하고, 이들이 모두 원활하게 상호작용하는지 아니면 서로 방해할 것인지 이해해야 한다. CASB가 다른 앱과 원활하게 작용하는 사례는 다음과 같다.

- 포스포인트(Forcepoint)는 자사 엔지니어링 지원 인력이 며칠만 작업하면 어떤 커스텀 앱이든 보호할 수 있다고 주장한다,
- 비트글라스(Bitglass)는 전통적 리버스 프록시에서 포착할 수 없는 기저 앱에서의 변화를 검출하는 기능을 가지고 있다고 주장한다.
- 맥아피의 CASB는 앱에 대한 커스텀 예방 정책을 코딩 없이 생성할 수 있다. 또한 IT는 종합 정책 관리를 3가지 작동 모드에 균일하게 적용할 수 있다.

그밖에 멋진 CASB 기능들
마지막으로, CASB의 멋진 기능 2가지를 알아보자.

지속해서 위험을 평가하고, 요구 시 컴플라이언스 감사를 이행. CASB는 기업의 가장 위험한 단일 장소를 지정하고 문제를 요약할 수 있어서, 보안 팀은 수상한 거동에 신속히 집중할 수 있다. 다른 제품이라면 이렇게 하기가 쉽지 않다. 포스포인트(Forcepoing), 프루프포인트(Proofpoint), 넷스코프(Netskope)는 고급형 위험 요약 대시보드를 가지고 있고, 고객은 환경이 어떻게 작용 중인지, 즉각적 관심을 요구하는 부분이 어디인지 정보를 표시하도록 커스터마이징할 수 있다.

제반 로그인, 서버, 앱에 걸쳐 균일한 적응형 인증 정책을 적용. 읽기-전용 액세스(가트너는 어쩔 수 없이 제공해야 하는 비승인 SaaS 서비스에 적절하다고 제안한다), 스텝-업 인증, 그리고 더 미시적인 액세스 관리를 포함한다.

ID 관리 및 SSO 툴이 보통 이런 종류의 작업을 맡는다. 그리고 한 가지 중요한 트랜드는 CASB가 전통적인 단일 사인-온(Single Sign-On, SSO) 제품에 통합되는 경우가 늘고 있다는 점이다. 다만, 통상적 수준의 통합은 대개 리버스 프록시 모드에서만 발생한다는 점, 그리고 SSO 인증은 최초 애플리케이션 로그인 시에만 CASB로 전송된다는 점을 이해해야 한다. 따라서 위험한 거동이 발생할 때를 포착하기 위해 더 완전한 적응형 인증을 원한다면, 아마 전용 SSO 제품을 고수해야 할 것이다.

이미 널리 알려진 것처럼 CASB는 기업 내에서 다양한 보안 제품과 접촉한다. 성공적 통합을 위해서는 이들의 상호작용을 이해해야 하고, 이들을 사용해 전체 보안 태세를 저하하는 것이 아니라 강화할 수 있도록 해야 한다. ciokr@idg.co.kr


X