클라우드 네이티브 보안

CNAPP : Cloud Native Application Protect

클라우드 보안 카테고리인 CSPM과 CWPP을 가트너가 발표한지 10여년이 흘렀다. 그동안 가상머신(VM)위주의 클라우드환경은 컨테이너와 마이크로서비스, 즉 '클라우드 네이티브 환경'으로 변화가 이루어졌다. CSPM, CWPP와 같은 포인트 보안솔루션만으로는 더이상 클라우드 네이티브 환경을 보호하기는 한계가 있게 된것이다. 더불어 빠른속도로 진행되는 개발환경에 대해 개발 프로세스 초기에 보안성을 검증, 즉 Shift-Left 보안의 중요성이 부각되었다. 

가트너는 2020년 클라우드 네이티브 애플리케이션 보호 플랫폼(Cloud Native Application Protection Platform, 이하 CNAPP)의 개념을 정의하였다. CNAPP는 클라우드 네이티브 환경에 완전한 엔드투엔드(End-to-End) 보안을 제공하는 것을 목표로, 일부 문제만을 해결하는 포인트 솔루션이 아닌 통합적 플랫폼상에서의 접근 방식을 제공하는 것이 CNAPP라는 설명이다.CNAPP는 “개발 및 프로덕션 전반에 걸쳐 클라우드 네이티브 애플리케이션을 보호하고, 보안을 강화하도록 설계된 보안 및 컴플라이언스의 통합 세트”라고 정의하고 있다. 

한마디로 CNAPP은 기존의 CSPM, CWPP를 통합한 클라우드 네이티브 환경의 최적화된 클라우드 보안 아키텍처라고 정의할 수 있다.   

기업의 보안담당자들이 CNAPP를 통해 얻을 수 있는 다섯가지는 다음과 같다.  

아티팩트 스캐닝과, 인프라형코드가 새로운 기능이고, CIEM, CSPM, CWPP는 기존 포인트보안 솔루션의 통합이라 할 수 있다.  

1. 아티팩트 스캐닝(Artifact scanning)

패키지, 컨테이너, 구성 파일, 이미지 등 소프트웨어 개발 프로세스에 의해 생성된 파일에 대해 SAST/ DAST, API 스캐닝, 소프트웨어 구성 분석, CVE, 기밀·민감정보, 멀웨어 탐지, 공격 경로 분석 등 노출 검사(Exposure Scanning)를 수행. 

2, 코드형인프라 (IaC : Infrastructure as Code) 스캐닝

일반적인 클라우드 네이티브 템플릿 형식을 구문 분석한 후 보안 모범 사례를 기반으로 규칙을 적용함. 환경의 보안을 강화하기 위해 추가적인 강화가 필요할 수 있는 부분에 대한 이해를 사용자에게 제공. 

3, 클라우드 인프라스트럭처 권한 관리(CIEM)

과도한 클라우드 인프라 권한을 줄이고 최소 권한의 액세스 제어를 시행하도록 설계된 ID및 액세스 거버넌스 제어 기능을 제공함. 동적·분산 클라우드 환경에서 구현된 최소 권한 액세스 제어를 간소화. 

4, 클라우드 형상 보안 (CSPM : Cloud Security Posture Management & KSPM : Kubernetes Security Posture Management)

CSPM은 클라우드 서비스 구성, 보안 설정, 규정 준수, 클라우드 거버넌스 등 클라우드 문제를 기록, 감지, 보고함. CSPM 도구는 모니터링, 분석, 인벤토리, 자산 분류, 비용 관리 및 리소스 구성 등의 기능을 제공함. KSPM은 쿠버네티스와 도커의 CIS 벤치마크, 최소 권한 RBAC, 침투 테스트 및 Pod 배포 정책을 통해 지속적인 보안 구성을 보장. 

5. 클라우드 워크로드 보안 (CWPP : Cloud Workload Protection Platform)

조직이 클라우드 전반에서 워크로드를 지속적으로 보호하고 관리해 복잡한 클라우드 환경을 보호할 수 있도록 지원함. CWP는 관리 및 보안정책 정의를 중앙집중화하고 환경 전반에 걸쳐 가시성을 유지하며 확장된 보안 제어를 제공함. CWPP 시스템의 일반적인 기능에는 시스템 무결성 모니터링, 취약성 관리, 시스템 강화 및 호스트 기반 세분화가 포함.