클라우드 도입이 확대되고 애플리케이션 개발 시의 보안 위협이 늘어나면서 각 위협에 대응하는 각각의 솔루션들(CWPP, CSPM, CIEM 등)이 발달해왔다. 여러 솔루션들을 통합해 간편하고 일관된 시점에서 클라우드와 애플리케이션 개발 시의 보안 위협을 효율적으로 관리하할 수 있도록 하기위해 CNAPP가 등장했습니다.
CNAPP(클라우드 네이티브 애플리케이션 보안 플랫폼 )
End-to-End 보안을 목표로 일부 문제만 해결하는 포인트 솔루션이 아니라 통합적 플랫폼 상에서의 접근을 제공.
잠재적인 보안 위협 및 취약성에 대한 모니터링, 탐지 및 조치를 간소화하고 통합 기능을 통해 클라우드 네이티브 애플리케이션의 안전성을 강화합니다.
가트너에서 정의한 CNAPP 범주
아티팩트 스캐닝과 IaC 스캐닝이 새로운 기능이고 CIEM, CSPM, CWPP는 기존 솔루션의 통합이라고 볼 수 있습니다.
- Artifact scanning(아티팩트 스캐닝)
패키지, 컨테이너, 구성 파일, 이미지 등 소프트웨어 개발 프로세스에 의해 생성된 파일에 대해 SAST/ DAST, API 스캐닝, 소프트웨어 구성 분석, CVE, 기밀·민감정보, 멀웨어 탐지, 공격 경로 분석 등 노출 검사(Exposure Scanning)를 수행함. - CIEM (Cloud Infrastructure Entitlement Manage: 클라우드 인프라스트럭처 권한 관리)
클라우드 환경에서 사용자 권한 및 권한을 관리하는 프로세스를 자동화. 최소 권한의 액세스 제어를 시행하도록 설계된 ID및 액세스 거버넌스 제어 기능을 제공함. - CSPM (Cloud Security Posture Management) & KSPM
CSPM은 클라우드 서비스 구성, 보안 설정, 규정 준수, 클라우드 거버넌스 등 클라우드 문제를 기록, 감지, 보고함. CSPM 도구는 모니터링, 분석, 인벤토리, 자산 분류, 비용 관리 및 리소스 구성 등의 기능을 제공함. KSPM은 쿠버네티스와 도커의 CIS 벤치마크, 최소 권한 RBAC, 침투 테스트 및 Pod 배포 정책을 통해 지속적인 보안 구성을 보장함. - IaC 스캐닝(InfraStructure as Code)
일반적인 클라우드 네이티브 템플릿 형식을 구문 분석한 후 보안 모범 사례를 기반으로 규칙을 적용함. 환경의 보안을 강화하기 위해 추가적인 강화가 필요할 수 있는 부분에 대한 이해를 사용자에게 제공함. - CWPP (Cloud Workload Protection Platform: 클라우드 워크로드 보호 플랫폼)
조직이 클라우드 전반에서 워크로드를 지속적으로 보호하고 관리해 복잡한 클라우드 환경을 보호할 수 있도록 지원함. 관리 및 보안정책 정의를 중앙집중화하고 환경 전반에 걸쳐 가시성을 유지하며 확장된 보안 제어를 제공함. CWPP 시스템의 일반적인 기능에는 시스템 무결성 모니터링, 취약성 관리(어플리케이션 제어, 악성코드 탐지), 시스템 강화(방화벽, IPS 등) 및 호스트 기반 세분화가 포함됨.
* Cloud Workload
컴퓨팅에서 워크로드는 일정량의 메모리와 컴퓨팅 성능을 사용하는 프로그램 또는 애플리케이션입니다.
클라우드 컴퓨팅에서의 워크로드도 클라우드 컴퓨팅 환경에서 실행되는 작업이나 프로세스를 의미합니다.
클라우드에서 실행되는 애플리케이션, 서비스, 데이터 처리 등을 포함.
'study > 보안' 카테고리의 다른 글
| 방화벽/IDS/IPS (0) | 2024.03.12 |
|---|