클라우드 액세스 보안 브로커(CASB, KAZ-bee로 발음)는 클라우드 서비스 소비자와 클라우드 서비스 공급자(CSP) 사이에 배치되어 클라우드 관련 활동을 모니터링하고 클라우드 기반 리소스 사용과 관련된 보안, 규정 준수 및 거버넌스 규칙을 적용하는 온프레미스 또는 클라우드 기반 정책 시행 지점이기도 합니다. CASB를 통해 조직은 온프레미스 인프라에 적용하는 것과 동일한 종류의 제어를 클라우드로 확장할 수 있으며, 다음과 같은 다양한 유형의 정책 시행을 결합할 수 있습니다:

사용자 자격 증명 인증을 통해 승인된 클라우드 서비스에만 액세스가 제공됩니다.
암호화, 토큰화 또는 기타 수단을 통한 데이터 보호로 민감한 정보가 클라우드 서비스나 CSP에 노출되지 않도록 합니다.
클라우드 서비스 활동 모니터링을 통해 사용자 및 기업의 행동을 기록, 플래그 지정, 분석하여 비정상적인 사용 패턴이나 유출된 자격 증명이 있는지 확인할 수 있습니다.
데이터 손실 방지(DLP)를 통해 민감한 정보가 조직의 네트워크를 벗어나지 못하도록 하고, 멀웨어 탐지 및 치료를 통해 민감한 정보가 조직의 네트워크에 유입되지 않도록 합니다.

따라서 CASB의 목적은 조직이 클라우드 서비스를 안전하고 안전하게 활용할 수 있는 능력을 향상시키는 것입니다. CASB는 조직의 클라우드 서비스에 대한 액세스를 제어하는 '보안 노드'로 생각할 수 있습니다. 조직의 보안 인프라의 구성 요소로서 엔터프라이즈 및 웹 애플리케이션 방화벽, IDaaS(IDentity as a Service), 보안 웹 게이트웨이(SWG)와 같은 기술을 대체하는 것이 아니라 보완하는 역할을 합니다.

클라우드 서비스 및 개인 노트북, 스마트폰, 태블릿 및 기타 관리되지 않는 디바이스를 네트워크에 허용하는 BYOD("Bring Your Own Device") 정책의 광범위한 채택과 함께 CASB의 중요성이 커지고 있습니다. 조직의 클라우드 서비스 일부 또는 전부를 제어하기 위한 CASB의 사용이 확대되고 있으며, 대기업의 도입이 2018년 20개(% )에서 2022년까지 60개(% )로 3배 증가할 것으로 예상됩니다(Gartner, 2018). 비슷한 기간 동안 클라우드 보안 시장 전체는 2023년까지 약 1,120억 달러 규모로 성장할 것으로 예상됩니다(Forrester, 2017).

클라우드 워크로드의 보안을 간소화하면서 하이브리드 IT 전반의 데이터 보호

OpenText™ Voltage™ SecureData Sentry는 며칠 내에 간단하고 투명하게 데이터 보안을 배포하여 침해 위험을 줄이고, 하이브리드 IT 미션 크리티컬 애플리케이션의 개인정보 보호 규정을 준수할 수 있도록 지원합니다.

더 알아보기

CASB(클라우드 액세스 보안 브로커)

CASB는 원래 IT 부서에서 허용한 서비스 외에 개인이나 사업부가 사용하는 알려지지 않은 서비스를 발견하는 데 중점을 두었지만, 조직에서 이 문제에 대한 해결책이 이러한 서비스를 제거하는 것이 아니라 사용을 제어하는 데 있다는 것을 깨닫게 되면서 CASB는 네 가지 축에 걸쳐 기능 세트를 제공하기 시작했습니다: 데이터 보안, 규정 준수, 위협 방지, 그리고 가시성이라는 핵심 기능입니다.

가시성

이미 많은 조직에서 다양한 비즈니스 부서에 걸쳐 클라우드 컴퓨팅의 공식적인 도입을 가속화하고 있습니다. 이로 인해 IaaS(서비스형 인프라), PaaS(서비스형 플랫폼), SaaS(서비스형 소프트웨어)에 이어 이제는 FaaS(서비스형 기능) 리소스에서 자신의 보안 자격 증명을 관리하는 직원이 점점 더 많아질 수 있습니다. 이러한 환경에서 CASB는 중앙 집중식 ID 및 접속 관리(IAM)의 약화로 인해 발생하는 보안 격차를 해소하고 이러한 서비스 사용에 대한 제어를 개선하여 적절한 장벽을 제시하면서도 온프레미스 및 현장 직원들의 자연스러운 업무 수행에 지장을 주지 않습니다.

이러한 클라우드 액세스 제어의 통합은 어떤 클라우드 서비스를 사용하는지 알 수 있는 경우에는 도움이 되지만 섀도 IT에는 도움이 되지 않습니다. 이러한 서비스는 조직의 공식 IT 스택에서 인지되거나 실제 결함을 해결하기 위해 사용되거나 단순히 사용자 선호도를 반영하는 것일 수도 있습니다. 근절해야 할 활동이라기보다는 생산성, 효율성, 직원 만족도, 심지어 혁신의 원천으로서도 중요할 수 있지만 조직의 보안 정책이나 지원, 안정성, 가용성 등에 대한 기타 IT 요구사항에 부합하지 않을 수 있으며 치명적인 데이터 유출로 이어질 수 있는 멀웨어의 원인이 될 수도 있습니다.

CASB는 조직의 섀도 IT를 빛으로 끌어내어 미션에 영향을 주지 않으면서 필요한 업무 관행을 지원할 수 있을 뿐만 아니라 실제 클라우드 지출을 조명하여 비용 관리를 개선할 수 있도록 지원합니다.

데이터 보안

이미 많은 조직이 자체 데이터 센터에서 Amazon Web Services(AWS), Microsoft Azure, Google Cloud Platform(GCP) 및 SaaS 공급업체 시장에서 제공되는 다양한 온라인 애플리케이션을 비롯한 여러 클라우드로 IT 리소스를 마이그레이션하고 있습니다. 직원들은 이미 Office 365, Salesforce, Amazon S3, Workday 등의 서비스를 통해 민감한 데이터를 공유하고 있으며, 이러한 서비스 중 상당수는 데이터 보안에 대한 책임을 고객에게 지우는 일종의 공유 책임 모델을 채택하고 있습니다.

그러나 클라우드 자체의 보안에 대한 우려는 크게 잘못된 것입니다. 특히 주류가 된 서비스를 제공하는 대부분의 CSP의 인프라는 매우 안전하다는 것은 부인할 수 없는 사실입니다. 대신 CSP가 제공하는 보안 제어를 올바르게 구성하고 사용할 수 없는 필수 제어를 식별하는 데 중점을 두어야 합니다. 최근 보고서에 따르면 이러한 잘못된 설정 또는 누락된 설정으로 인해 클라우드 및 클라우드 관련 서비스(예: S3, rsync, SMB, FTP, NAS 드라이브, 웹 서버)에서 15억 개 이상의 파일이 노출된 것으로 나타났습니다(Digital Shadows, 2018). 2023년까지 클라우드 보안 장애의 최소 99%(% )가 CSP가 아닌 클라우드 서비스 소비자의 실수로 인해 발생할 것으로 예상됩니다(Gartner, 2018). 현재 일부 CASB는 암호화와 같은 추가 제어를 통해 IaaS, PaaS, SaaS 서비스의 구성 위험을 평가하고 줄이는 클라우드 보안 태세 관리(CSPM) 기능을 제공하지만, CASB는 잘못된 구성이 존재하더라도 민감한 데이터가 손상되지 않도록 조직에 추가적인 보험을 제공할 수 있습니다. 이러한 보험은 특정 클라우드 서비스에서 적절한 데이터 보호를 제공하지 않거나 CSP 자체에 대한 보호가 필요한 경우에 특히 필요합니다.

대부분의 CASB는 데이터 보안과 관련하여 데이터 손실 방지(DLP) 및 위협 탐지에 중점을 두거나 개인정보 보호 및 데이터 보존을 위한 암호화 또는 토큰화 제공이라는 두 가지 초기 태도 중 하나에서 발전했습니다. 이후 이러한 시작 위치는 이러한 모든 기능을 제공하도록 확장되었지만, 강력한 데이터 중심 보안 및 키 관리 기능을 제공하는 것에서 벗어나고 있습니다. 오늘날 대부분의 CASB에서 데이터 보안은 주로 DLP를 의미하며, 다양한 메커니즘을 사용하여 제재된 클라우드 서비스 내에서 또는 클라우드 서비스에 업로드되는 민감한 데이터(제재 또는 섀도)를 탐지한 다음 잠재적인 정책 위반으로 표시된 콘텐츠를 차단, 삭제, 법적 보류 또는 격리하는 것을 말합니다. 이는 일반적으로 모바일 애플리케이션, 웹 브라우저 또는 데스크톱 동기화 클라이언트 등 온프레미스 및 원격 클라우드 서비스 사용자를 모두 지원합니다. 그러나 DLP는 침해가 발생하기 전에 클라우드 서비스 내부 및 클라우드 서비스 간 데이터 공유가 점점 더 쉬워지는 환경에서는 한계가 있습니다. 클라우드를 사용하여 데이터를 저장하는 모든 조직은 CASB가 클라우드에서 데이터가 공유되는 방법이나 공유 대상, 심지어 누가 공유했는지조차 파악하지 못할 수 있다는 점을 인식해야 합니다.

강력한 데이터 중심 보호 메커니즘으로 이러한 침해 위험을 해결할 수 있지만, 많은 CASB가 클라우드로 전송되는 데이터를 암호화하거나 토큰화하는 기능을 광고하지만, 이러한 기능은 현재 Salesforce 및 ServiceNow와 같은 소수의 주요 서비스에만 제한되어 있는 경향이 있습니다. 애널리스트의 평가를 만족시키고 경쟁 우위를 달성하거나 유지하기 위해 이러한 기능을 추가하기 시작한 CASB는 암호화가 까다로운 기술 영역이라는 것을 알게 되었습니다. 암호화 시스템을 구현하고 유지 관리하려면 상당한 전문 지식이 필요하며, 이러한 전문 지식은 일반적으로 CASB 핵심 역량의 범위에 속하지 않습니다. 그 결과 일부 CASB는 이러한 기능을 철회하거나 더 이상 적극적으로 마케팅하지 않고 있으며, 일부는 DLP, 적응형 액세스 제어(AAC) 등만을 다루는 '데이터 보안'이라는 일반화된 주장을 통해 기능 부족 또는 제한된 적용 가능성을 은폐하고 있습니다.

또한, 미국의 CLOUD(Clarifying Legal Use of Data) 법 제정과 EU의 GDPR(일반 데이터 보호 규정) 에 대한 이해가 높아지면서 암호화와 키 관리가 중요한 기능이 되고 있지만(Gartner, 2019), SaaS 애플리케이션 외부에 적용되는 암호화 및 토큰화는 해당 기능뿐만 아니라 통합된 타사 서비스의 기능에 영향을 미칠 수 있기 때문에 도입을 주저하는 경우도 있습니다. 그러나 OpenText Voltage와 같은 일부 공급업체를 통해 제공되는 적용 암호화의 지속적인 혁신으로 인해 기능에 대한 이러한 영향이 최소화되었으므로 이제 필드 및 파일 수준 데이터 보호를 CSP에 위임하거나 전혀 적용하지 않을 경우의 비용 및 위험과 관련하여 남을 수 있는 모든 사항을 평가할 가치가 있습니다.

준수

많은 산업과 지역에서 더 엄격한 개인정보 보호법이 시행됨에 따라 운영에도 영향을 미칠 수 있습니다. GDPR, 캘리포니아 소비자 개인정보 보호법(CCPA), 브라질 일반 데이터 보호법(LGPD), 인도 개인정보 보호법안과 같은 지역 규정과 PCI DSS, SOX, HIPAA, HITECH, FINRA, FFIEC 등의 업계 규정으로 인해 많은 조직이 비즈니스와 고객의 민감한 데이터를 항상 어디서든, 가능한 가장 강력한 수준으로 보호해야 한다는 가장 보수적인 글로벌 포지션으로 나아가기 위한 다양한 준수 요건이 복잡하게 만들어지고 있습니다.

여러 애플리케이션에 걸쳐 강력한 데이터 개인정보 보호 제어 기능을 갖춘 CASB는 이를 달성하는 데 도움이 될 수 있으며, 정책 인식 및 데이터 분류 기능을 통해 데이터 보존 법률을 준수하고 지속적으로 업데이트되는 규제 요건에 대한 보안 구성을 벤치마킹하는 데 도움을 줄 수 있습니다.

위협 탐지 및 예방

CASB는 클라우드 스토리지 서비스 및 관련 동기화 클라이언트 및 애플리케이션을 통한 유입 및 전파를 포함하여 끊임없이 확장되는 멀웨어로부터 조직을 방어할 수 있습니다. CASB는 고급 위협 인텔리전스 소스를 사용하여 내부 및 외부 리소스에서 실시간으로 위협을 스캔 및 치료하고, 클라우드 서비스 및 데이터에 대한 무단 액세스를 탐지 및 방지하여 손상된 사용자 계정을 식별하며, 정적 및 동적 분석과 머신 러닝 및 UEBA (사용자 엔터티 행동 분석) 기능을 결합하여 비정상적인 활동, 랜섬웨어, 데이터 유출 등을 식별할 수 있습니다.

CASB는 어떻게 작동하나요?

CASB는 프록시 및/또는 API 브로커로 배포할 수 있습니다. 특정 CASB 기능은 배포 모델에 따라 달라지므로 프록시 모드와 API 모드를 모두 지원하는 '멀티모드' CASB는 클라우드 서비스를 제어하는 방법에 대해 더 폭넓은 선택권을 제공합니다.

프록시 모드로 배포된 CASB는 일반적으로 보안에 중점을 두며, 클라우드 서비스 소비자와 CSP 사이의 데이터 액세스 경로에서 역방향 또는 정방향 프록시로 구성될 수 있습니다. 역방향 프록시 CASB는 엔드포인트에 에이전트를 설치할 필요가 없으므로 구성 변경, 인증서 설치 등이 필요하지 않아 관리되지 않는 디바이스(예: BYOD)에 더 효과적일 수 있습니다. 그러나 포워드 프록시 CASB는 관리되는 엔드포인트의 모든 트래픽이 승인되지 않은 클라우드 서비스로 향하는 트래픽을 포함하여 관리되지 않는 클라우드 사용을 제어하지 않으므로 일부 관리되지 않는 디바이스가 네트워크를 통해 빠져나갈 수 있습니다. 따라서 정방향 프록시 CASB는 종종 엔드포인트에 에이전트 또는 VPN 클라이언트를 설치해야 합니다. 에이전트와 VPN 클라이언트가 잘못 구성되었거나 실수로 꺼져 있는 경우, 민감한 트래픽이 CASB로 전달되지 않아 검사를 우회할 수 있습니다.

API 모드로 배포된 CASB는 저장 데이터 검사, 로그 원격 분석, 정책 제어 및 기타 관리 기능을 포함하여 해당 서비스에서 제공하는 API를 통해 SaaS(그리고 점차 IaaS 및 PaaS) 애플리케이션을 관리하는 데 중점을 둡니다. 비관리형 디바이스에서는 잘 작동하지만, 일반적으로 주류 클라우드 서비스만 API 지원을 제공하므로(정도의 차이는 있지만) API 전용 CASB는 필요한 모든 보안 기능을 다루지 못할 가능성이 높습니다. SaaS 공급업체 및 기타 CSP가 이러한 격차를 줄이기 위해 API를 개선할 수는 있지만, 그 동안 API 전용 CASB는 확장성 및 가용성 요구 사항을 충족할 만큼 강력한 기능을 제공하지 못합니다. 또한 사용자와 클라우드 서비스 간에 교환되는 데이터의 양이 증가하여 CSP가 API 요청에 대한 응답을 스로틀링하면 API 모드 CASB는 관리할 수 없는 성능 저하를 경험하게 됩니다. 따라서 프록시 모드는 여전히 중요한 기능입니다.

CASB는 기업 데이터 센터, 데이터 센터와 클라우드가 모두 포함된 하이브리드 배포 또는 클라우드에서만 실행될 수 있습니다. 데이터 중심 보호에 중점을 두거나 개인정보 보호 규정 또는 데이터 주권을 고려해야 하는 조직은 보안 인프라를 완벽하게 제어하기 위해 온프레미스 솔루션이 필요한 경향이 있습니다. 또한, 클라우드 전용 CASB가 'BYOK(Bring Your Own Key)' 모델을 통해 부과하는 책임 위임 및 제3자 신뢰 요건은 내부 또는 외부 정책에 위배될 수 있으며, 이러한 문제점은 자연스럽게 CASB의 IP 주소를 화이트리스트에 등록해야 하는 CSP 자체에서 제공하는 보안 서비스로도 확대될 수 있습니다.

Voltage 보안 데이터 센트리는 CASB인가요?

Voltage 보안데이터 센트리는 클라우드 서비스뿐만 아니라 온프레미스 애플리케이션을 위한 데이터 보호에 특화된 보안 브로커입니다. 따라서 네 가지 기둥에 걸쳐 다른 기능을 제공하려고 하지 않는다는 점에서 전통적인 CASB가 아닙니다. 대신 Sentry는 이러한 보완 기능을 전문적으로 제공하는 CASB와 공존하면서 암호화 작업을 수행하여 내부 네트워크의 상용 및 자체 개발 애플리케이션뿐만 아니라 SaaS 및 기타 클라우드 서비스 전반에 적용할 수 있는 강력한 데이터 중심 보호 메커니즘을 추가합니다.

Voltage 시큐어데이터는 혁신적이고 표준을 기반으로 하며, 국제적으로 인정받는 독립적인 암호화 기관으로부터 보안 강도에 대한 독립적인 검증을 거쳤습니다. 공공 및 민간 부문과 여러 산업 분야의 많은 선도적인 글로벌 조직에서 세계에서 가장 민감한 데이터를 보호하는 데 신뢰를 받고 있습니다.

기존 데이터베이스 스키마나 SaaS 필드 유형 또는 크기 제한을 위반하지 않는 방식으로 필드 수준에서 보호가 적용되도록 하는 FPE(형식 보존 암호화)는 보안 관리자에게 추가적인 부담을 주지 않는 상태 비저장 키 관리 시스템과 결합되어 있습니다. 보안 상태 비저장 토큰화(SST)는 신용카드 번호 또는 SSN이 포함된 숫자 필드를 토큰 데이터베이스의 관리 또는 성능 오버헤드 없이 보호하는 동시에, 라우팅 또는 고객 확인을 지원하기 위해 처음 여섯 자리 또는 마지막 네 자리와 같이 필드에서 선택된 부분은 그대로 유지할 수 있도록 합니다. 형식 보존 해시(FPH)는 분석 및 기타 사용 사례에 대한 데이터 참조 무결성을 보장하는 동시에 GDPR의 삭제 권한과 같은 규정을 준수합니다. 또한 부분 및 와일드카드 검색어를 지원하는 보안 로컬 인덱스, SMTP 릴레이를 위한 보안 이메일 주소 형식 지정과 같은 추가적인 혁신을 통해 경쟁 솔루션의 영향을 받는 애플리케이션 기능을 보호합니다.

조직은 온프레미스 및/또는 클라우드에 Sentry를 배포할 수 있습니다. Sentry는 HTTP 프록시 및 로드 밸런서와 같은 ICAP(인터넷 콘텐츠 적응 프로토콜) 지원 네트워크 인프라와 통신하여 클라우드를 오가는 데이터에 보안 정책을 적용하고, JDBC(Java 데이터베이스 연결) 및 ODBC(오픈 데이터베이스 연결) API 호출을 차단하여 데이터베이스를 오가는 데이터에 보안 정책을 적용합니다. 어디에서 배포하든 기업은 암호화 키나 토큰 저장소를 다른 당사자와 공유할 필요 없이 인프라를 완벽하게 제어할 수 있으며, Sentry의 검사 모드를 통해 민감한 정보가 포함된 특정 데이터 필드와 첨부 파일을 대상으로 보안 정책을 적용할 수 있습니다.

클라우드 액세스 보안 브로커

지금 바로 시작하세요.

더 알아보기