CASB란? | 클라우드 액세스 보안 브로커

클라우드 액세스 보안 브로커(CASB)는 데이터 유출 및 사이버 공격으로부터 클라우드 컴퓨팅을 사용하는 회사를 보호하기 위해 다양한 서비스를 제공합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 클라우드 액세스 보안 브로커(CASB)의 정의
  • CASB가 하는 일 알아보기
  • CASB의 네 가지 요소 살펴보기

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

클라우드 액세스 보안 브로커(CASB)란?

CASB

클라우드 액세스 보안 브로커(CASB)는 클라우드 호스팅 서비스를 보호하는 데 도움이 되는 보안 솔루션의 한 유형입니다. CASB는 서비스형 인프라(IaaS)서비스형 플랫폼(PaaS) 서비스와 함께 기업 서비스형 소프트웨어(SaaS) 앱을 사이버 공격 및 데이터 유출로부터 안전하게 유지하는 데 도움이 됩니다. 일반적으로 CASB 벤더는 클라우드 호스팅 소프트웨어로 서비스를 제공하지만, 일부 CASB는 온프레미스 소프트웨어 또는 온프레미스 하드웨어 징비도 제공합니다.

다양한 보안 기술이 CASB에 속하며 CASB 솔루션은 일반적으로 이러한 기술을 하나의 번들 패키지로 제공합니다. 이러한 기술에는 섀도우 IT 검색, 액세스 제어, 데이터 손실 방지(DLP) 등이 있습니다.

CASB는 경비원 한 명이 아니라 시설을 안전하게 유지하기 위해 여러 서비스(감시, 도보 순찰, 신원 확인 등)를 제공하는 물리적 보안 회사와 같다고 생각하면 이해하기 쉽습니다. 마찬가지로 CASB는 하나가 아닌 다양한 서비스를 제공하여 클라우드 데이터 보호 프로세스를 단순화합니다.

CASB 보안의 4가지 기둥은?

CASB 기능

영향력 있는 산업 분석 회사인 Gartner에서는 클라우드 액세스 보안 브로커를 위한 4가지 "요소"를 정의합니다.

  1. 가시성: CASB 솔루션은 공식적으로 문서화되지 않고 알려지지 않은 보안 위험을 초래할 수 있는 시스템과 프로세스, 특히 클라우드 서비스인 "섀도우 IT"를 발견하는 데 도움이 됩니다.
  2. 데이터 보안: CASB는 기밀 데이터가 회사에서 관리하는 시스템을 벗어나는 것을 방지하고 해당 데이터의 무결성을 보호합니다. 이 기능은 특히 직원들이 보호된 데이터를 업로드하려고 시도할 수 있는 AI 도구의 확산과 관련이 있습니다. 이 영역의 중요한 기술로는 액세스 제어데이터 손실 방지(DLP)가 있습니다.
  3. 위협 보호: CASB는 데이터 유출을 차단하는 것 외에도 외부 위협 및 공격을 차단합니다.맬웨어 방지 감지, 샌드박싱, 패킷 검사, URL 필터링, 브라우저 격리는 모두 사이버 공격을 차단하는 데 도움이 될 수 있습니다.
  4. 규정 준수: 클라우드는 광범위하게 퍼져 있고 회사의 통제 아래 있지 않으므로 클라우드에서 운영되는 회사가 SOC 2, HIPAA, GDPR 등의 엄격한 규제 요건을 충족하기 어려울 수 있습니다.특정 산업 및 지역에서 규정을 준수하지 않는 회사는 처벌을 받고 벌금이 부과될 수 있습니다.CASB는 강력한 보안 제어를 구현하여 클라우드에서 데이터를 저장하고 비즈니스 프로세스를 실행하는 기업이 규정 준수를 달성할 수 있도록 지원합니다.

CASB는 어떤 보안 기능을 제공할까요?

대부분의 CASB 솔루션에서는 다음 보안 기술 중 일부 또는 전부가 제공됩니다.

  • ID 확인: 비밀번호나 물리적 토큰 보유와 같은 여러 ID 요소를 확인하여 사용자가 본인임을 확인합니다
  • 액세스 제어: 회사 제어 애플리케이션 내에서 사용자가 보고 수행할 수 있는 것을 제어
  • 섀도우 IT 검색: 내부 직원이 적절한 승인 없이 비즈니스 목적으로 사용하는 시스템 및 서비스를 식별
  • 데이터 손실 방지(DLP): 데이터 유출을 차단하고 데이터가 회사 소유 플랫폼을 떠나는 것을 방지
  • URL 필터링: 공격자가 피싱 또는 맬웨어 공격에 사용하는 웹 사이트 차단
  • 패킷 검사: 네트워크에 들어오거나 나가는 데이터에 악의적인 활동이 있는지 검사
  • 샌드박싱: 프로그램 및 코드를 격리된 환경에서 실행하여 악의적 여부 판단
  • 브라우저 격리: 사용자의 장치가 아닌 원격 서버에서 사용자의 브라우저를 실행하여 브라우저에서 실행할 수 있는 잠재적인 악성 코드로부터 장치를 보호
  • 맬웨어 방지 감지: 악의적 소프트웨어 식별

CASB는 위에 나열된 것 외에도 많은 다른 보안 제품을 제공할 수 있으므로 이 목록은 완전하지 않습니다. 이러한 기술 중 일부는 다른 유형의 보안 제품에도 포함되어 있습니다. 예를 들어, 많은 방화벽은 패킷 검사를 제공하고 많은 엔드포인트 보안 제품은 맬웨어 방지 기능을 제공합니다. 그러나 CASB는 특히 클라우드 컴퓨팅을 위해 이러한 기술을 패키징합니다.

CASB 서비스를 완전히 보완하기 위해 많은 주요 CASB는 이전에 존재하는 다른 제품과 함께 번들로 제공되는 제품이나 회사를 어느 시점에서 인수했습니다. 주요 CASB는 또한 추가 서비스를 제공하기 위해 외부 회사와 파트너 관계를 맺을 수 있습니다.

CASB 및 DLP

GDPR과 같은 데이터 규제 프레임워크가 조직에 개인정보 보호와 데이터 유출 방지에 대한 압박을 가하면서 DLP의 중요성이 커지고 있지만, 기존 DLP 제품은 최신 데이터 환경을 보호하는 데 있어 약점이 있습니다. 독립형 DLP 서비스는 클라우드 서비스를 위한 추가 계층으로 구현하기 어렵습니다. CASB 솔루션에 DLP를 번들로 제공하면 이러한 문제를 해결하여 조직에서 데이터를 보호하고 규제 준수를 유지할 수 있습니다.

CASB의 이점은?

클라우드 컴퓨팅에서 데이터는 원격으로 저장되고 인터넷을 통해 액세스됩니다. 따라서 클라우드를 사용하는 회사에서는 데이터가 저장되는 위치와 사용자가 데이터에 액세스하는 방법을 제한적으로 제어할 수 있습니다. 사용자는 회사 내부 관리 네트워크뿐만 아니라 인터넷에 연결된 모든 장치와 네트워크에서 클라우드 데이터와 애플리케이션에 액세스할 수 있습니다. 예를 들어, 사용자는 개인 장치의 보안 기능이 제공되지 않은 네트워크에서 회사 관리 SaaS 앱에 로그인할 수 있습니다. 이는 일반적으로 사내 컴퓨터 및 서버에서 실행되는 애플리케이션(원격 데스크톱을 사용하지 않는 한)에서는 불가능합니다.

또한 클라우드를 사용하면 개인 공간이 아닌 공공 장소에서 대화할 때 낯선 사람이 도청하는 것을 방지하기가 더 어려운 것처럼 데이터를 비공개로 안전하게 유지하기가 더 어려워집니다.

클라우드의 데이터를 완전히 보호하기 위해 조직에서는 일반적으로 클라우드 기반 보안 서비스도 사용합니다. 때로는 DLP용 플랫폼, ID용 플랫폼, 맬웨어 방지용 플랫폼 등 다양한 벤더로부터 이러한 서비스를 받습니다. 그러나 클라우드 보안에 대한 이러한 접근 방식으로 문제도 야기됩니다. 여러 계약을 별도로 협상해야 하고, 보안 정책을 여러 번 구성해야 하며, 여러 플랫폼을 구현하고 관리하므로 IT가 복잡해집니다.

CASB는 이러한 과제에 대한 하나의 네트워크 보안 솔루션입니다. 여러 벤더가 아닌 하나의 클라우드 보안 브로커로부터 이러한 보안 조치를 구매하는 것은 다음을 의미합니다.

  1. 관련된 모든 기술이 함께 잘 작동합니다.
  2. 클라우드 보안 도구 관리 간소화. IT 팀에서는 대여섯 개의 벤더가 아니라 한 벤더와 협력할 수 있습니다. 또한 많은 CASB에서 고객에게 단일 대시보드에서 모든 클라우드 보안 서비스를 관리할 수 있도록 해줍니다.

CASB 사용의 어려움은?

확장성: CASB는 많은 데이터와 여러 클라우드 플랫폼 및 애플리케이션을 관리해야 합니다.기업은 CASB 벤더가 성장함에 따라 함께 확장할 수 있도록 해야 합니다.

완화: 모든 CASB가 식별된 보안 위협을 차단하는 기능을 제공하는 것은 아닙니다.상황에 따라 완화 기능이 없는 CASB는 회사에서 사용이 제한될 수 있습니다.

통합: 기업에서는 CASB가 모든 시스템 및 인프라와 통합되도록 해야 합니다.완전히 통합되지 않으면 CASB는 승인되지 않은 IT 및 잠재적인 보안 위협에 대한 완전한 가시성을 확보할 수 없습니다.

데이터 개인 정보 보호: CASB 벤더는 데이터를 비공개로 유지할까요? 아니면 중요한 데이터를 취급하는 외부 당사자 중 하나일 뿐일까요?CASB가 고객의 데이터를 클라우드로 옮기면 얼마나 안전하고 비공개로 유지될까요?이는 엄격한 데이터 개인 정보 보호 규정에 따라 운영되는 조직에 있어서 특히 중요한 질문입니다.

CASB가 필요한 사람은 누구일까요?

부분적으로 또는 전적으로 클라우드에 의존하는 대부분의 기업은 CASB 벤더와 협력하여 이점을 얻을 수 있습니다. 오늘날 많은 기업의 주요 관심사인 섀도우 IT의 성장을 억제하기 위해 어려움을 겪는 기업은 특히 CASB 서비스의 이점을 누릴 수 있습니다.

CASB는 SASE와 어떻게 통합될까요?

보안 액세스 서비스 에지(SASE)는 네트워킹 및 보안 서비스를 단일 서비스 공급자로 통합하는 클라우드 기반 네트워크 인프라 모델로, 기업이 연결된 모든 장치에서 네트워크 액세스를 보다 간단하게 보호하고 관리할 수 있도록 해줍니다.CASB가 다양한 보안 서비스를 번들로 제공하는 것과 같은 방식으로 SASE는 SD-WAN(다른 네트워크 기능 중에서)을 CASB, 보안 웹 게이트웨이(SWG), Zero Trust 네트워크 액세스(ZTNA), 서비스로서의 방화벽(FWaaS), 기타 네트워크 보안 기능과 함께 번들로 제공합니다.SASE 솔루션은 단일 전역 네트워크 위에 구축됩니다.

Cloudflare에는 CASB 제품이 있을까요?

Cloudflare One은 CASB, DLP, Zero Trust, SWG, 브라우저 격리 기능을 단일 플랫폼에 통합합니다. 이러한 서비스는 최종 사용자에게 최대한 가까운 Cloudflare 네트워크에서 제공되며, 온프레미스, 클라우드, 하이브리드 네트워크 앞에 위치할 수 있습니다. Cloudflare One에 대해 자세히 알아보세요.