클라우드 액세스 보안 브로커(CASB, KAZ-bee로 발음)는 클라우드 서비스 소비자와 클라우드 서비스 공급자(CSP) 사이에 배치되어 클라우드 관련 활동을 모니터링하고 클라우드 기반 리소스 사용과 관련된 보안, 규정 준수 및 거버넌스 규칙을 적용하기 위한 온프레미스 또는 클라우드 기반 정책 시행 지점입니다. CASB를 통해 조직은 온프레미스 인프라에 적용하는 것과 동일한 종류의 제어를 클라우드로 확장할 수 있으며, 다음과 같은 다양한 유형의 정책 시행을 결합할 수 있습니다:
따라서 CASB의 목적은 조직이 클라우드 서비스를 안전하고 안전하게 활용할 수 있는 능력을 향상시키는 것입니다. CASB는 조직의 클라우드 서비스에 대한 액세스를 제어하는 '보안 노드'로 생각할 수 있습니다. 조직의 보안 인프라의 구성 요소로서 엔터프라이즈 및 웹 애플리케이션 방화벽, IDaaS(IDentity as a Service), 보안 웹 게이트웨이(SWG)와 같은 기술을 대체하는 것이 아니라 보완하는 역할을 합니다.
클라우드 서비스 및 개인 노트북, 스마트폰, 태블릿 및 기타 관리되지 않는 디바이스를 네트워크에 허용하는 BYOD("Bring Your Own Device") 정책의 광범위한 채택과 함께 CASB의 중요성도 증가하고 있습니다. 조직의 클라우드 서비스 일부 또는 전부를 제어하기 위해 CASB를 사용하는 사례가 확대되고 있으며, 대기업의 도입률은 2018년 20%에서 2022년에는 60%까지 3배 증가할 것으로 예상됩니다(Gartner, 2018). 비슷한 기간 동안 클라우드 보안 시장 전체는 2023년까지 약 1,120억 달러로 증가할 것으로 예상됩니다(Forrester, 2017).
OpenText™ 며칠 내에 간단하고 투명하게 데이터 보안을 배포하여 침해 위험을 줄이고, 하이브리드 IT 미션 크리티컬 애플리케이션의 개인정보 보호 규정 준수를 지원합니다.
자세히 알아보기CASB는 원래 IT 부서에서 허용한 서비스 외에 개인이나 사업부가 사용하는 알려지지 않은 서비스를 발견하는 데 중점을 두었지만, 조직이 이 문제에 대한 해결책이 이러한 서비스를 제거하기보다는 사용 권한을 제어하는 데 있다는 것을 깨닫게 되면서 CASB는 네 가지 축에 걸쳐 기능 세트를 제공하기 시작했습니다: 데이터 보안, 규정 준수, Threat 보호, 그리고 핵심 기능인 가시성입니다.
가시성
이미 많은 조직에서 다양한 사업부문에 걸쳐 클라우드 컴퓨팅의 공식적인 도입을 가속화하고 있습니다. 이로 인해 IaaS(서비스형 인프라), PaaS(서비스형 플랫폼), SaaS(서비스형 소프트웨어)에 이어 이제는 FaaS(서비스형 기능) 리소스에서 자체 보안 자격 증명을 관리하는 직원이 점점 더 많아지고 있을 수 있습니다. 이러한 환경에서 CASB는 중앙 집중식 ID 및 접속 관리(IAM)의 약화로 인해 발생하는 보안 격차를 해소하고 이러한 서비스 사용에 대한 제어를 개선하여 적절한 장벽을 제시하면서도 온프레미스와 현장의 직원들이 자연스럽게 업무를 수행하는 데 방해가 되지 않도록 도와줄 수 있습니다.
이러한 클라우드 액세스 제어 통합은 사용 중인 클라우드 서비스를 파악하는 데는 도움이 되지만 섀도 IT에는 도움이 되지 않습니다. 이러한 서비스는 조직의 공식 IT 스택에서 인지되거나 실제 결함을 해결하기 위해 사용되거나 단순히 사용자 선호도를 반영하는 것일 수 있습니다. 이러한 서비스는 반드시 근절되어야 하는 활동이 아니라 생산성, 효율성, 직원 만족도, 심지어 혁신의 원천으로서도 중요할 수 있지만 조직의 보안 정책이나 지원, 안정성, 가용성 등에 대한 기타 IT 요구사항에 부합하지 않을 수 있으며 치명적인 데이터 유출로 이어질 수 있는 멀웨어의 원인이 될 수도 있습니다.
CASB는 조직의 섀도 IT를 빛으로 끌어내어 미션에 영향을 주지 않으면서 필요한 업무 관행을 지원할 수 있을 뿐만 아니라 실제 클라우드 지출을 조명하여 비용 관리를 개선할 수 있도록 지원합니다.
데이터 보안
많은 조직이 이미 자체 데이터 센터에서 Amazon Web 서비스(AWS), Microsoft Azure, Google 클라우드 플랫폼(GCP), 그리고 SaaS 공급업체 시장에서 제공되는 다양한 온라인 애플리케이션을 비롯한 여러 클라우드로 IT 리소스를 마이그레이션하고 있습니다. 직원들은 이미 Office 365, Salesforce, Amazon S3, Workday 등 이러한 서비스를 통해 민감한 데이터를 공유하고 있으며, 이러한 서비스 중 상당수는 데이터 보안에 대한 책임을 고객에게 지우는 공유 책임 모델을 채택하고 있습니다.
그러나 클라우드 자체의 보안에 대한 우려는 크게 잘못된 것입니다. 대부분의 CSP, 특히 주류가 된 서비스를 제공하는 CSP의 인프라는 매우 안전합니다. 대신 CSP가 제공하는 보안 제어의 올바른 구성과 사용할 수 없는 필수 제어를 식별하는 데 초점을 맞춰야 합니다. 최근 보고서에 따르면 이러한 잘못된 구성 또는 누락된 구성으로 인해 클라우드 및 클라우드 관련 서비스(예: S3, rsync, SMB, FTP, NAS 드라이브, 웹 서버)에서 15억 개 이상의 파일이 노출된 것으로 밝혀졌습니다(Digital Shadows, 2018). 2023년까지 클라우드 보안 장애의 최소 99%는 CSP가 아닌 클라우드 서비스 소비자의 실수로 인해 발생할 것으로 예상됩니다(Gartner, 2018). 현재 일부 CASB는 암호화와 같은 추가 제어를 통해 IaaS, PaaS, SaaS 서비스의 구성 위험을 평가하고 줄이는 클라우드 보안 태세 관리(CSPM) 기능을 제공하지만, CASB는 잘못된 구성이 존재하더라도 민감한 데이터가 손상되지 않도록 조직에 추가적인 보험을 제공할 수 있습니다. 이러한 보험은 특정 클라우드 서비스에서 적절한 데이터 보호를 제공하지 않거나 CSP 자체에 대한 보호가 필요한 경우에 특히 필요합니다.
대부분의 CASB는 데이터 보안과 관련하여 데이터 손실 방지(DLP) 및 위협 탐지에 중점을 두거나 개인정보 보호 및 데이터 보존을 위한 암호화 또는 토큰화 제공이라는 두 가지 초기 자세 중 하나에서 발전해 왔습니다. 이러한 시작 위치는 이후 이러한 모든 기능을 제공하도록 확장되었지만, 강력한 데이터 중심 보안 및 키 관리를 제공하는 데서 멀어지고 있습니다. 오늘날 대부분의 CASB에서 데이터 보안은 주로 DLP를 의미하며, 이는 다양한 메커니즘을 사용하여 제재된 클라우드 서비스 내에서 또는 클라우드 서비스에 업로드되는 민감한 데이터(제재 또는 섀도)를 탐지한 다음 잠재적인 정책 위반으로 표시된 콘텐츠를 차단, 삭제, 법적 보류 또는 격리하는 것을 의미합니다. 이는 일반적으로 모바일 애플리케이션, 웹 브라우저, 데스크톱 동기화 클라이언트 등 온프레미스 및 원격 클라우드 서비스 사용자를 모두 지원합니다. 그러나 DLP는 침해가 발생하기 전에 클라우드 서비스 내부와 클라우드 서비스 간에 데이터 공유가 점점 더 쉬워지는 환경에서는 한계가 있습니다. 클라우드를 사용하여 데이터를 저장하는 모든 조직은 CASB가 클라우드에서 데이터가 공유되는 방법이나 대상, 심지어 누가 공유했는지를 감지하지 못할 수도 있다는 점을 인식해야 합니다.
강력한 데이터 중심 보호 메커니즘으로 이러한 침해 위험을 해결할 수 있지만, 많은 CASB가 클라우드로 전송되는 데이터를 암호화하거나 토큰화하는 기능을 광고하고 있지만, 이러한 기능은 현재 Salesforce 및 ServiceNow와 같은 소수의 주요 서비스에만 제한적으로 제공되는 경향이 있습니다. 분석가들의 평가를 만족시키고 경쟁 우위를 확보하기 위해 이러한 기능을 추가하기 시작한 CASB는 암호화가 까다로운 기술 영역이라는 것을 알게 되었습니다. 암호화 시스템을 구현하고 유지 관리하려면 상당한 전문 지식이 필요하며, 이러한 전문 지식은 일반적으로 CASB의 핵심 역량 범위에 포함되지 않습니다. 그 결과 일부 CASB는 이러한 기능을 철회하거나 더 이상 적극적으로 마케팅하지 않고 있으며, 일부는 DLP, 적응형 액세스 제어(AAC) 등을 다루는 '데이터 보안'이라는 일반화된 주장을 통해 기능 부족 또는 제한된 적용 가능성을 모호하게 표현하고 있습니다.
또한, 미국의 CLOUD(Clarifying Lawful Overseas Use of Data) 법의 제정과 EU의 GDPR(일반 데이터 보호 규정) 에 대한 이해가 높아지면서 암호화와 키 관리가 중요한 기능이 되고 있음을 강력하게 시사하지만(Gartner, 2019), SaaS 애플리케이션 외부에 적용되는 암호화 및 토큰화는 해당 기능뿐만 아니라 통합 타사 서비스에 영향을 미칠 수 있으므로 도입에 다소 주저하는 경우가 있었습니다. 그러나 OpenText Voltage 과 같은 일부 공급업체를 통해 제공되는 적용 암호화의 지속적인 혁신으로 기능에 대한 이러한 영향이 최소화되어 이제는 필드 및 파일 수준의 데이터 보호를 CSP에 위임하거나 전혀 적용하지 않을 경우의 비용 및 위험과 관련하여 남을 수 있는 모든 것을 평가할 가치가 있습니다.
규정 준수
많은 산업과 지역에서 더 엄격한 개인정보 보호법이 도입되면서 운영에도 영향을 미칠 수 있습니다. GDPR, 캘리포니아 소비자 개인정보 보호법(CCPA), 브라질 일반 데이터 보호법(LGPD), 인도 개인정보 보호법안과 같은 지역 규정과 PCI DSS, SOX, HIPAA, HITECH, FINRA, FFIEC에서 부과하는 산업 규정으로 인해 많은 조직이 비즈니스와 고객의 민감한 데이터를 항상 어디서든, 가능한 가장 강력한 수준으로 보호하는 가장 보수적인 글로벌 입장을 취해야 하는 복잡한 규정 준수 요구사항이 생겨나고 있습니다.
여러 애플리케이션에 걸쳐 강력한 데이터 개인정보 보호 제어 기능을 갖춘 CASB는 이를 달성하는 데 도움이 될 수 있으며, 정책 인식 및 데이터 분류 기능을 통해 데이터 보존 법률을 준수하고 지속적으로 업데이트되는 규제 요건에 대한 보안 구성을 벤치마킹하는 데 도움을 줄 수 있습니다.
Threat 탐지 및 예방
CASB는 클라우드 스토리지 서비스 및 관련 동기화 클라이언트 및 애플리케이션을 통한 도입과 전파를 포함하여 끊임없이 확장되는 멀웨어로부터 조직을 방어할 수 있습니다. CASB는 고급 위협 인텔리전스 소스를 사용하여 내부 및 외부 리소스에서 실시간으로 위협을 검사 및 치료하고, 클라우드 서비스 및 데이터에 대한 무단 액세스를 탐지 및 방지하여 손상된 사용자 계정을 식별하며, 정적 및 동적 분석과 머신 러닝 및 UEBA (사용자 개체 행동 분석) 기능을 결합하여 비정상적인 활동, 랜섬웨어, 데이터 유출 등을 식별할 수 있습니다.
CASB는 프록시 및/또는 API 브로커로 배포할 수 있습니다. 특정 CASB 기능은 배포 모델에 따라 달라지므로 프록시 모드와 API 모드를 모두 지원하는 '멀티모드' CASB는 클라우드 서비스를 제어하는 방법에 대해 더 폭넓은 선택권을 제공합니다.
프록시 모드로 배포된 CASB는 일반적으로 보안에 중점을 두며, 클라우드 서비스 소비자와 CSP 사이의 데이터 액세스 경로에서 역방향 또는 정방향 프록시로 구성될 수 있습니다. 역방향 프록시 CASB는 엔드포인트에 에이전트를 설치할 필요가 없으므로 구성 변경, 인증서 설치 등이 필요하지 않아 관리되지 않는 디바이스(예: BYOD)에 더 효과적일 수 있습니다. 그러나 포워드 프록시 CASB는 관리되는 엔드포인트의 모든 트래픽이 관리되지 않는 클라우드 서비스로 향하는 트래픽을 포함하여 승인되지 않은 클라우드 사용을 제어하지 않으므로 일부 관리되지 않는 디바이스가 그물망을 통과할 수 있습니다. 따라서 포워드 프록시 CASB는 엔드포인트에 에이전트 또는 VPN 클라이언트를 설치해야 하는 경우가 많습니다. 에이전트와 VPN 클라이언트가 잘못 구성되거나 실수로 꺼져 있는 경우, 민감한 트래픽이 검사를 우회하여 CASB로 전달되지 않을 수 있습니다.
API 모드로 배포된 CASB는 미사용 데이터 검사, 로그 원격 분석, 정책 제어 및 기타 관리 기능을 포함하여 해당 서비스에서 제공하는 API를 통해 SaaS(그리고 점차 IaaS 및 PaaS) 애플리케이션을 관리하는 데 중점을 둡니다. 관리되지 않는 디바이스에서도 잘 작동하지만, 일반적으로 주류 클라우드 서비스만 API 지원을 제공하고 그 정도도 다양하기 때문에 API 전용 CASB는 필요한 모든 보안 기능을 다루지 못할 가능성이 높습니다. SaaS 공급업체 및 기타 CSP가 이러한 격차를 줄이기 위해 API를 개선할 수는 있지만, 그 동안 API 전용 CASB는 확장성 및 가용성 요건을 충족할 만큼 강력한 기능을 제공하지 못합니다. 또한 사용자와 클라우드 서비스 간에 교환되는 데이터의 양이 증가하여 CSP가 API 요청에 대한 응답을 스로틀링하면 API 모드 CASB는 관리할 수 없는 성능 저하를 경험하게 됩니다. 따라서 프록시 모드는 여전히 중요한 기능입니다.
CASB는 기업 데이터 센터, 데이터 센터와 클라우드가 모두 포함된 하이브리드 배포 또는 클라우드에서만 실행될 수 있습니다. 데이터 중심 보호에 중점을 두거나 개인정보 보호 규정 또는 데이터 주권을 고려해야 하는 조직은 보안 인프라에 대한 완전한 제어를 유지하기 위해 온프레미스 솔루션을 필요로 하는 경향이 있습니다. 또한 클라우드 전용 CASB가 'BYOK(Bring Your Own Key)' 모델을 통해 부과하는 책임 위임 및 제3자 신뢰 요건은 내부 또는 외부 정책에 위배될 수 있으며, 이러한 문제는 자연스럽게 CASB의 IP 주소를 화이트리스트에 추가해야 할 수 있는 CSP 자체에서 제공하는 보안 서비스로도 확대될 수 있습니다.
Voltage SecureData Sentry는 클라우드 서비스뿐만 아니라 온프레미스 애플리케이션을 위한 데이터 보호에 특화된 보안 브로커입니다. 따라서 네 가지 기둥에 걸쳐 다른 기능을 제공하려고 하지 않는다는 점에서 전통적인 CASB가 아닙니다. 대신, Sentry는 이러한 보완 기능을 전문적으로 제공하는 CASB와 공존하면서 암호화 작업을 수행하여 내부 네트워크의 상용 및 자체 개발 애플리케이션뿐만 아니라 SaaS 및 기타 클라우드 서비스 전반에 적용할 수 있는 강력한 데이터 중심 보호 메커니즘을 추가합니다.
Voltage SecureData는 혁신적이고 표준을 기반으로 하며, 국제적으로 인정받는 독립적인 암호화 기관으로부터 보안 강도에 대한 독립적인 검증을 거쳤습니다. 공공 및 민간 부문과 여러 산업 분야의 많은 선도적인 글로벌 조직에서 세계에서 가장 민감한 데이터를 보호하는 데 신뢰받고 있습니다.
기존 데이터베이스 스키마나 SaaS 필드 유형 또는 크기 제한을 위반하지 않는 방식으로 필드 수준에서 보호가 적용되도록 하는 FPE(형식 보존 암호화)는 보안 관리자에게 추가적인 부담을 주지 않는 상태 비저장 키 관리 시스템과 결합되어 있습니다. 보안 상태 비저장 토큰화(SST)는 신용카드 번호 또는 SSN이 포함된 숫자 필드를 토큰 데이터베이스의 관리 또는 성능 오버헤드 없이 보호하는 동시에 라우팅 또는 고객 확인을 지원하기 위해 처음 여섯 자리 또는 마지막 네 자리와 같이 필드의 선택된 부분을 투명하게 유지할 수 있도록 합니다. 형식 보존 해시(FPH)는 분석 및 기타 사용 사례에 대한 데이터 참조 무결성을 보장하는 동시에 GDPR의 삭제 권한과 같은 규정을 준수합니다. 또한 부분 및 와일드카드 검색어를 지원하는 보안 로컬 인덱스, SMTP 릴레이를 위한 보안 이메일 주소 형식 지정과 같은 추가적인 혁신을 통해 경쟁 솔루션의 영향을 받는 애플리케이션 기능을 보존합니다.
조직은 온프레미스 및/또는 클라우드에 Sentry를 배포할 수 있습니다. Sentry는 HTTP 프록시 및 로드 밸런서와 같은 ICAP(인터넷 콘텐츠 적응 프로토콜) 지원 네트워크 인프라와 통신하여 클라우드를 오가는 데이터에 보안 정책을 적용하고, JDBC(Java 데이터베이스 연결) 및 ODBC(오픈 데이터베이스 연결) API 호출을 차단하여 데이터베이스를 오가는 데이터에 보안 정책을 적용합니다. 어디에서 배포하든 기업은 암호화 키나 토큰 볼트를 다른 당사자와 공유할 필요 없이 인프라를 완벽하게 제어할 수 있으며, Sentry의 검사 모드를 통해 민감한 정보가 포함된 특정 데이터 필드와 첨부 파일을 대상으로 보안 정책을 적용할 수 있습니다.
하이브리드 IT에 사용 가능한 상태로 유지하면서 고부가가치 데이터 보호
데이터 보호, 위험 감소, 규정 준수 개선, 액세스 관리