CASB란? (Cloud Access Security Broker)
CASB의 정의 설명 및 분석
클라우드 엑세스 보안 브로커(CASB)의 정의
2012년 Gartner가 개발한 클라우드 엑세스 보안 브로커(CASB)는 "온프레미스 방식 또는 클라우드 기반의 보안 정책 적용 지점으로써, 클라우드 기반의 리소스에 엑세스할 때 클라우드 서비스 내 소비자와 서비스 제공자 사이에서 엔터프라이즈 보안 정책을 적용하고 이에 개입하는 역할을 합니다. CASB 솔루션은 다양한 유형의 보안 정책 적용을 통합합니다. 예시로 들 수 있는 보안 정책에는 인증, 싱글 사인온, 권한, 자격 증명 매핑, 장치 프로파일링, 암호화, 토큰화, 로깅, 알림, 맬웨어 탐지/방지 등이 있습니다."
CASB의 작동 방식
클라우드 액세스 보안 브로커(CASB)는 조직의 보안 정책을 적용하여 조직 내 IT 아키텍처 및 클라우드 벤더 환경 사이에 오가는 데이터의 흐름을 안전하게 보호합니다. CASB는 맬웨어를 차단함으로써 사이버 공격으로부터 기업 시스템을 보호하고, 암호화를 통해 데이터 보안을 이룩하여 외부에서 조직 내 데이터 스트림을 읽을 수 없도록 합니다.
CASB 활용 사례
CASB는 외부 및 타사 매체에 저장된 데이터 자산을 보호한다는 한 가지 목표를 염두에 두고 설계되었습니다. CASB는 일반적으로 보안 웹 게이트웨이(SWG) 및 엔터프라이즈 방화벽과 같은 기존의 관리 방식에서는 이용할 수 없는 기능을 제공합니다. CASB는 여러 클라우드 서비스 전반에 정책 및 거버넌스를 동시에 적용하고, 사용자 활동을 관리할 뿐만 아니라 사용자 활동에 대한 가시성을 세세하게 제공합니다.
CASB의 핵심 요소
가시성
IT 부서에서 클라우드 앱을 제대로 파악하지 못한다면, 정보 자산을 관리 하지 못하고 이는 거버넌스와 위험 및 기업 규정 준수 프로세스 밖에 놓이게 됩니다. 이에 따라 기업에서는 누가 어떤 클라우드 앱을 사용하는지와 해당 사용자의 부서, 위치, 사용한 장치 등과 같은 클라우드 앱 계정을 사용하는 데 있어서 가시성을 얻고자 합니다.
데이터 보안
데이터 유출 방지(Data loss prevention, DLP) 라는 툴은 권한 없이 데이터 공유가 이루어질 시 기업 데이터 유출을 방지하도록 설계되었지만, 해당 클라우드에서 데이터를 잘못된 사람들과 더 공유하기가 훨씬 쉽다는 단점이 있습니다. 만약 조직에서 클라우드 파일 저장소를 사용한다면, 기존 DLP 제품 상에서는 어떤 데이터가 외부에서 공유되고, 누가 공유 하는지 알 수 없게 됩니다.
위협 차단
권한을 가진 사용자의 악성 의도 또는 부주의를 방지하기란 어렵습니다. 내부자의 의심 행동을 감지하기 위해서는 조직이 일반적인 사용자 패턴을 종합적으로 파악할 수 있어야 합니다. 같은 맥락에서 퇴사한 직원의 경우, 조직 디렉토리에서는 비활성화되었을지도 모르나, 사업에 대한 중요한 정보를 포함하고 있는 클라우드 앱에는 엑세스할 수도 있기에 상당한 위험을 초래할 수 있습니다. PWC에 따르면 과거에 근무했던 직원에 의해 발생한 보안 사고가 2013년 27%에서 2014년 30%로 증가한 것으로 나타났습니다.
규정 준수
데이터가 클라우드로 이동할 때, 조직은 데이터 개인정보 보호 및 보안을 보장해 줄 수 있도록 지역 규정을 준수하기를 바랍니다. CASB는 SOX 및 HIPAA 같은 규정을 준수를 지원할 뿐만 아니라 PCI DSS, NIST, CJIS, MAS 및 ISO 27001 같은 규제 사항에 맞춰 보안 구성을 벤치마킹할 수 있도록 지원합니다.
BYOD, 섀도 IT, 클라우드 사용의 증가
BYOD(Bring Your Own Device) 정책, SaaS와 클라우드 앱의 인기 상승, 섀도 IT의 증가와 같은 현상으로 인해 클라우드 앱에서 일련의 정의된 엔드포인트에 엑세스를 제한하는 것이 어려워 졌습니다. 관리하는 장치와 관리하지 않는 장치는 때때로 기업 데이터를 효과적으로 보호하는 데 있어서 다른 정책을 필요로 합니다. 이에 따라 CASB는 조직의 클라우드 앱을 식별하고 분류할 뿐만 아니라, 액세스 정책을 세분화하여 적용할 수 있도록 지원합니다.
Cloud Access Security Broker 벤더 체크리스트
| 기능 | 유의 사항 - CASB 벤더 자격 요건 |
|---|---|
| 클라우드 앱 검색 | CASB가 클라우드 앱을 어떤 방식으로 검색하는가? CASB가 로그 파일을 조직 외부로 전송해야 하는가? 즉, 온프레미스 탐색 프로세스가 있는가? CASB 검색 및 위험 분석 카탈로그를 정기적으로 업데이트하는가? 앱 카탈로그를 검색하여 특정 앱에 대해 자세히 알아볼 수 있는가? |
|
위험 및 데이터 거버넌스 | 고위험 영역을 보다 정확히 식별하기 위해 CASB가 애플리케이션 사용자에게 인사이트를 제공하는가? CASB가 규제 사항(예: PCI DSS, HIPAA, SOX) 또는 모범 사례 기준(예: Cloud Security Alliance)에 따라 애플리케이션 보안 구성을 벤치마킹하여 보안 결함을 식별하는가? 과거에 근무했던 직원이 아직도 회사 데이터에 접근하고 있는 경우 그 사실을 CASB가 알아낼 수 있는가? CASB가 클라우드 파일 공유 서비스 내에서 민감한 데이터 또는 규제 데이터를 식별할 수 있는가? |
| 활동 모니터링 | CASB가 문서 수준의 활동을 모니터링하는가? (예를 들어, 모든 파일과 폴더에 대한 생성/삭제/업로드/다운로드 작업을 보고할 수 있는가?) CASB가 Salesforce나 Workday 또는 Box 처럼 레코드 수준에서 활동을 모니터링하는가? 제품이나 배포 모델을 변경하지 않고서도 새로운 클라우드 앱을 손쉽게 지원할 수 있는가? |
| 위협 방지 | CASB가 탐지할 수 있는 위협의 종류와 그 탐지 방법은 무엇인가? 맞춤형으로 구축한 클라우드 앱의 위협은 어떻게 탐지하는가? 변칙적인 사용 형태와 의심스러운 행동을 자동으로 감지하기 위해 CASB가 사용자 행동을 프로파일링하는가? |
| 데이터 보안 | CASB가 데이터 손실을 방지하기 위해 전송중 DLP 정책을 적용할 수 있는가? CASB가 고위험 활동에 다단계 인증 절차를 적용할 수 있는가? 원하는 조건(누가, 무엇을, 어디서, 언제, 어떻게)의 수와 조합으로 맞춤형 정책과 알림을 생성할 수 있는가? |
| 활동 분석 | 활동 분석 정보를 여러 수준의 집계 옵션(예: 사용자 위치, 엔드포인트 유형, 부서)으로 활용할 수 있는가? CASB가 로그인한 사용자 이름과 사용자의 기업 디렉토리(예: Active Directory)의 상관관계를 식별할 수 있는가? 분석 정보를 SIEM 솔루션(예: Splunk)으로 간편하게 내보낼 수 있는가? |
| 엔드포인트 액세스 통제 | CASB가 관리 및 비관리 모바일 장치와 엔드포인트 장치를 구별할 수 있는가? 그리고 각 장치마다 고유한 정책을 적용할 수 있는가? CASB가 제3자의 MDM 솔루션을 지원하는가? |
| 대응책 | 어떤 대응 옵션을 지원하는가? (예: 경고, 차단, 다단계 인증) CASB가 대응 정책을 적용하기 위해 NGFW 또는 기타 보안 솔루션을 통합하는가? |
|
배포 고려 사항 | CASB가 클라우드 앱과의 API 기반 통합을 지원하는가? CASB가 프록시 기반(예: 인라인) 배포를 지원하는가? CASB를 싱글 사인온 솔루션(예: Okta, Ping Identity, Centrify, OneLogin)으로 구현할 수 있는가? |
| 제공 인프라 | 디도스 공격으로부터 CASB 인프라를 어떤 방식으로 보호하는가? CASB가 프록시 방식으로 인라인 배포를 할 때, 대기 시간을 최소화하기 위한 최적화 기능을 제공하는가? CASB가 Tier 1 Exchange에서 제공되는가? |
Forcepoint의 CASB
앱 검색 — 모든 클라우드 앱에 대한 전체적 시야 확보
- 직원이 액세스하는 모든 클라우드 앱 검색
- 클라우드 앱 및 액세스 위험 태세에 대한 목록 작성 – 모든 앱을 조직 수준에서
- 기업 전체의 방화벽 및 프록시 로그 집계
- 트래픽 양, 사용 시간, 계정 수에 대한 지표와 같은 클라우드 앱 사용을 전체적으로 파악할 수 있는 현황 생성
- 주어진 기간 동안 얼마나 많은 앱이 추가되었는지 확인할 수 있는 기준치 보기란 생성
- 각 클라우드 앱으로 드릴다운하여 상세하게 위험 분석
위험 거버넌스—상황에 따른 위험 평가 및 완화 정책 수립
- 비즈니스의 고위험 활동 식별
- 앱에 대한 표준 및 액세스 권한을 가진 사용자 식별
- 휴면 상태(예: 며칠 동안 액세스하지 않는 계정), 분리 상태(예: 퇴사한 직원), 외부(예: 파트너) 계정을 식별하여 적절한 액세스 정책 확인
- 현행 규정 또는 모범 사례 지침에 따라 현재 앱 보안 구성을 설정하여 보안 및 규정 준수와 관련한 결함 파악
- 사용자 또는 클라우드 서비스 제공자의 데이터 센터의 위치에 따라 액세스 정책을 평가 및 정의 (위치 기반 액세스 통제)
- 사용자 및 애플리케이션 문제를 해결하기 위한 작업 배정
- 내장된 조직 워크플로우를 활용하여 Forcepoint CASB 또는 타사 티켓팅 시스템과의 통합을 통해 위험 완화 작업을 배정 및 수행
감사 & 보호 — 자동 정책 적용 & 자격 증명의 남용 및 내부자의 악의적 행동 방지
- 관리 및 비관리 엔드포인트에서 클라우드 앱에 액세스하는 사용자의 모니터링 및 목록 작성
- 권한이 있는 사용자의 액세스 현황 및 구성이 변경될 경우 추적 및 모니터링
- 사용자, 위치, 장치, 동작, 데이터 개체 및 부서 차원의 사용을 비롯한 여러가지 상황을 고려하여 클라우드 앱 사용을 모니터링
- 이상 행동 및 의심스러운 행동을 실시간으로 탐지
- 강력한 사용자 인증, 애플리케이션 동작 차단(예: 공유 문서 다운로드 차단), 계정 액세스 등과 같은 공격에 대한 대응 실시
- 위치 기반 액세스 통제(일명 “지오펜싱(geo-fencing)”) 정책 적용
- 브라우저든 네이티브 모바일 앱이든 상관없이 관리 장치와 비관리 장치에 엔드포인트 액세스 통제 적용
- 100개 이상의 파일 유형을 대상으로 민감한 데이터를 업로드, 다운로드 및 공유하는 활동에 대해 모니터링 및 관리 실시
- 파일 및 콘텐츠를 실시간으로 검사하여 PII, PCI, HIPAA 및 기타 민감한 정보를 안전하게 보호