클라우드 워크로드 보호란?
클라우드 워크로드 보호는 여러 클라우드 환경 간에 이동하는 워크로드의 보안을 유지하는 프로세스입니다. 클라우드 기반 애플리케이션이 보안 리스크 없이 제대로 작동하려면 전체 워크로드가 작동해야 합니다. 따라서 애플리케이션 서비스를 위한 클라우드 워크로드 보안 및 워크로드 보호는 데스크톱 머신의 애플리케이션 보안과 근본적으로 다릅니다.
사이버 범죄자는 랜섬웨어 공격 횟수를 늘리고 기업을 표적으로 삼고 있습니다. 클라우드 컴퓨팅 인프라가 확산되면 취약점이 증가합니다. 예방적 엔드포인트 보호를 활용하거나 엔드포인트 기기에 대한 액세스를 제한하는 보안 전략은 클라우드에서 발생하는 상황을 놓치고 있습니다. 프라이빗 및 퍼블릭 클라우드를 사용하는 기업은 사이버 공격으로부터 스스로를 방어하려면 엔드포인트뿐 아니라 워크로드 수준에서 스스로를 보호하는 데 집중해야 합니다.
VMware 워크로드 보안 개요
최신 데이터 센터를 위한 고급 워크로드 보호
클라우드 워크로드 보호가 중요한 이유
워크로드는 애플리케이션 및 애플리케이션과의 상호 작용을 지원하는 모든 프로세스와 리소스로 구성됩니다. 클라우드 기반 워크로드에는 애플리케이션, 애플리케이션에서 생성되거나 애플리케이션에 입력된 데이터, 사용자와 애플리케이션 간의 연결을 지원하는 네트워크 리소스가 포함됩니다. 워크로드의 일부가 손상되면 클라우드 기반 애플리케이션이 제대로 작동하지 않습니다.
워크로드 보안은 물리적 온프레미스 머신에서 여러 퍼블릭 클라우드 IaaS(Infrastructure as a Service) 환경, 컨테이너 기반 애플리케이션 아키텍처에 이르기까지 모든 항목을 사용하는 하이브리드 데이터 센터 아키텍처에서 특히 복잡합니다. 클라우드 워크로드 보안은 워크로드가 여러 벤더와 호스트 간에 전달되므로 워크로드 보호에 대한 책임을 공유해야 하기 때문에 특히 복잡합니다.
CWPP를 통한 클라우드 워크로드 보호
Gartner는 클라우드 워크로드 보호 플랫폼(CWPP)을 "퍼블릭 클라우드 IaaS(Infrastructure as a Service) 환경에서 서버 워크로드를 보호하는 데 주로 사용되는" 기술 솔루션으로 정의합니다. CWPP를 사용하면 여러 퍼블릭 클라우드 공급업체와 고객이 도메인을 통과하는 워크로드를 안전하게 유지할 수 있습니다.
CWPP로 워크로드를 보호하는 두 가지 주요 방법은 마이크로 세분화와 베어메탈 하이퍼바이저입니다.
마이크로 세분화: 워크로드를 보호하는 한 가지 방법은 마이크로 세분화라는 네트워크 보안 기술을 구현하는 것입니다. 마이크로 세분화를 통해 보안 아키텍트는 데이터 센터를 개별 워크로드 수준까지 개별 보안 세그먼트로 나눈 다음 각 세그먼트에 대한 보안 제어를 정의합니다. 네트워크 가상화 기술은 물리적 방화벽을 대체하며 마이크로 세분화를 통해 개별 워크로드를 격리하고 보호하는 유연한 보안 정책을 정의할 수 있습니다. 엔드포인트 보호는 위협이 환경에 침입하는 것을 방지하도록 설계된 반면, 마이크로 세분화는 멀웨어가 환경 내에서 서버 간에 마이그레이션되는 것을 방지합니다.
베어메탈 하이퍼바이저: 베어메탈 하이퍼바이저는 추가적인 워크로드 보호를 제공할 수 있습니다. 하이퍼바이저는 컴퓨터의 소프트웨어를 하드웨어에서 분리하여 가상 머신의 생성 및 관리를 지원하는 가상화 소프트웨어의 일종입니다. 베어메탈 하이퍼바이저는 하드웨어와 운영 체제 사이의 물리적 머신 하드웨어에 직접 설치됩니다. 하이퍼바이저는 서로 격리된 가상 머신을 생성하므로, 한 가상 머신에 문제가 발생하거나 공격을 받을 경우 해당 서버로 문제가 격리되어 다른 가상 머신의 워크로드는 영향을 받지 않습니다.
일부 CWPP 솔루션은 클라우드 워크로드를 보호하도록 특별히 설계된 하이퍼바이저 기반 보안 계층을 지원합니다.
워크로드 보호와 애플리케이션 보안의 차이점
애플리케이션 보안은 한 명의 사용자가 애플리케이션의 각 인스턴스에 액세스하여 데스크톱에 로컬로 배포되는 애플리케이션을 말합니다. 데스크톱 애플리케이션의 유일한 보안 허점은 애플리케이션 코드 내의 취약점으로, 환경의 나머지 부분은 무시할 수 있습니다. 지금까지 IT 조직은 데스크톱을 보호하고 위협이 데스크톱에 도달하지 않도록 방지하여 애플리케이션의 보안을 보장할 수 있었습니다.
클라우드 기반 애플리케이션에는 다른 형태의 애플리케이션 보안이 필요합니다. 사용자와 애플리케이션 간의 추상화로 인해 특히 조직이 퍼블릭 클라우드를 사용하여 환경의 일부를 제어하지 않는 경우 더 많은 취약점이 발생할 수 있습니다. 클라우드 기반 애플리케이션은 워크로드의 모든 부분이 제대로 기능하지 않으면 작동할 수 없으므로 비즈니스는 애플리케이션뿐만 아니라 워크로드의 각 부분을 보호하고 모니터링해야 합니다.
워크로드 보호의 이점
클라우드 기반 애플리케이션의 당면 과제는 워크로드가 여러 벤더와 기술이 소유하고 보호하는 여러 환경에 걸쳐 이동할 수 있다는 점입니다. CWPP는 이러한 여러 환경에 걸쳐 워크로드 보호를 제공할 수 있습니다. CWPP를 통해 워크로드 보호를 구현하면 다음과 같은 많은 이점이 있습니다.
워크로드 동작 모니터링: 워크로드 동작 모니터링은 클라우드 워크로드 보호의 중요한 부분입니다. CWPP는 워크로드 모니터링을 통해 탐지 및 대응이라는 두 가지 중요한 워크로드 보안 측면을 제공합니다. CWPP는 워크로드 동작을 모니터링하여 침입이 발생하는 모든 위치를 탐지하고 알림을 전송할 수 있습니다.
워크로드에 대한 가시성 및 구성 기능: 개별 워크로드에서 발생하는 상황을 파악하고 워크로드 구성을 통해 취약점을 관리하는 것은 워크로드 보호의 중요한 측면입니다.
통합 로그 관리 및 모니터링: 워크로드의 부분마다 다른 보안 기술이 연결된 경우, 모든 부분을 모니터링하는 데 시간이 많이 걸릴 수 있습니다. CWPP는 모든 환경에서 워크로드의 모든 부분에서 발생하는 상황을 보여주는 단일 창 방식을 제공합니다.
시스템 강화 및 취약점 관리: CWPP는 보안 리스크를 야기할 수 있는 불필요한 애플리케이션, 사용 권한, 프로그램, 계정, 기능, 코드 등을 식별하여 잠재적인 공격 벡터를 제거하는 데 도움이 될 수 있습니다.
메모리 보호: 일부 CWPP에만 포함된 메모리 보호는 해커가 메모리의 약점을 악용하고 기존 보안 방식을 쉽게 우회하는 새로운 기술을 개발함에 따라 중요성이 커지고 있는 새로운 보안 제어입니다.
최신 위협 인텔리전스: 일부 CWPP는 고객층 전반에 걸쳐 위협 인텔리전스를 공유하여 새로운 위협에 대한 조기 경고 시스템을 제공합니다.
보안 환경은 계속해서 변화하고 있으며, 컴퓨팅 인프라의 일부로 클라우드를 사용하는 조직에는 더 이상 레거시 보안 시스템이 충분하지 않습니다. 비즈니스는 여러 멀티 클라우드 환경에 걸친 워크로드 보호를 계획해야 합니다. 클라우드 워크로드 보호 플랫폼은 여러 환경에 대한 가시성을 제공하는 동시에 하나의 대시보드에서 보안 알림을 통합하고 이에 따라 조치를 취할 수 있습니다.
