CWPP 의 개념

최근 CWPP 에 대해서 공부할 일이 생겨 개념에 대해서 정리하고 있다. 겸사겸사 습득한 내용을 정리해놓고자 한다😀

1. CWPP (Cloud Workload Protect Platform) 의 탄생 배경

클라우드 워크로드 보호를 이야기하고 있는 만큼 클라우드 시장이 발전한 계기를 살펴 보자면 아래와 같다.

- 코로나 19 사태로 인하여 원격/재택 근무 및 온라인 회의 등이 활성화 되며 디지털 전환(DT) 을 추구하는 기업 증가.
- 온라인 소비 증가, 비대면화의 활성화되며 "디지털 역량"이 국가의 핵심 요소로 부각되어 디지털 뉴딜 정책 이 선언됨.

클라우드 시장은 활성화 되었지만 기존의 온프레미스 보안 체계는 클라우드라는 새로운 환경을 제대로 보호하지 못했다.
기존 보안은 애플리케이션과 인프라 보안을 구분했지만 클라우드는 구분된 경계를 모호하게 만들고 있기 때문이다.

모든 클라우드 환경 및 워크로드에 대해 대응하고 보호할 수 있는 새로운 보안 플랫폼의 필요성이 강조되었다.
SASE, CASB, CWPP, CSPM, CIEM, KSPM 와 같이 다수의 클라우드 보안 솔루션이 등장하였으며, 이 중에서는 가장 많이 활용되고 있는 보안 솔루션은 CWPP 와 CSPM 이다.

* CWPP 와 CSPM 의 차이점

CSPM(Cloud Security Posture Management) 
: 컴플라이언스 또는 기업 보안 정책에 따른 클라우드 인프라 위험 요소 탐지/예방/대응/예측/모니터링
: 잘못된 환경 설정 등의 잠재적 취약점 발견 관리
CWPP(Cloud Workload Protect Platform)
: 클라우드 환경에서의 서버 워크로드를 보호하기 위한 솔루션 (내부 보호 관리)
: 취약점 발견 관리 기능도 있지만 클라우드 워크로드 보안에 초점.

2. 클라우드 보안

2.1 온프레미스 보안 vs 클라우드 보안

왜  '기존 온프레미스 보안 체계는 클라우드라는 새로운 환경을 제대로 보호하지 못한다' 라고 하는 것 일까?
경계의 모호성 때문이라고 간략하게 설명 되고 있지만 자세한 내용이 궁금했다. 

우선 기존 온프레미스 보안은 경계를 구분하고 정의된 경계의 보호 대상과 자원을 정의하여 보안 솔루션을 운영한다.
온프레미스 보안 솔루션은 정책을 기반으로 동작한다. 예를 들면 백신, IPS, 접근제어 등이 있다.

* 온프레미스 환경 경계 : 내부/외부, 엔드포인트/네트워크 등

클라우드는 자원을 공유하는 클라우드의 특성 상 환경에 대한 경계가 모호하기 때문에 '워크로드(Wordload)' 대상으로 보안 솔루션을 운영하고 있다. 경계가 모호한 클라우드 환경은 경계를 보호하는 것 보다는 클라우드 상에 운영되는 워크로드에 대한 통합 보안이 더 효과적이기 때문이다.

클라우드 환경 개발 프로세스  '데브옵스 프로세스' 와 컨테이너 소프트웨어인 '도커'와 '쿠버네티스' 환경을 이해해야 한다.
컨테이너 기반의 워크로드는 수명 주기가 매우 빠르게 진행되기 때문에 기존 온프레미스 보안 방식처럼 바이러스 검사에 시간을 쏟을 수 없다는 의견도 있었다. 

* 워크로드 (workload) : OS, VM, Container, Serverless, Kubernetes, PaaS 등등 

2.2 Gartner의 CWPP

CWPP 는 Gartner 에서 정의한 용어이다.

Gatner가 정의한 클라우드 보안 툴의 보호 영역

Gartner 는 "CWPP는 하이브리드 멀티클라우드 데이터 센터 환경에서 서버 워크로드를 보호하는 워크로드 중심 보안 제품" 이며, "위치에 관계없이 물리적 머신, 가상 머신(VM), 컨테이너 및 서버리스 워크로드에 대한 일관된 가시성과 제어를 제공" 해야한다고 한다고 설명하고 있다. 

Gartner 는 2016년 부터 CWPP 가이드에 대해서 발표하고 있었다고 한다.
초반에는 클라우드 서버 워크로드 중 물리적 환경과 가상머신 등의 운영상의 보안을 중심으로 한다고 정의했지만,
최근에는 클라우드 환경으로 전환하는 기업이 증가하면서 운영 뿐만 아니라 개발 단계로 까지 보호 영역이 확장되었다.

가트너가 정의한 CWPP 솔루션의 8가지 주요 기능

---

1. 보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management)
2. 네트워크 방화벽, 가시성 확보 및 마이크로 세그멘테이션(Network Firewalling, Visibility and Micro segmentation)
3. 시스템 무결성 보장(System Integrity Assurance)
4. 애플리케이션 제어(Application Control/Whitelisting)
5. 익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection)
6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지/대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response)
7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding)
8. 안티 멀웨어(Anti-malware Scanning)

---

3. CWPP 주요 방법

CWPP로 워크로드를 보호하는 방법에는 마이크로 세분화와 베어메탈 하이퍼바이저 방식이 있다. 

- 마이크로 세분화 (micro segmentation) 
마이크로 세분화라는 네트워크 보안 기술을 이용하여 데이터 센터를 개별 워크로드 수준까지 개별 보안 세크먼트로 구분.
기존 엔드포인트 보호는 보호 대상이 위협에 침입하는 것을 방지하는 것을 목적으로 함.
그러나 마이크로 세분화를 사용하면 멀웨어가 환경 내 서버 간의 마이그레이션 하는 것을 방지할 수 있음.

- 베어메탈 하이퍼바이저 
베어메탈 하이퍼바이저 방식은 하이퍼바이저 1 유형에 해당.
하이퍼바이저 환경에서의 가상 머신은 서로 격리되어 있기 때문에 서로 공격의 영향을 받지 않음.
즉, 환경 내의 한 가상머신에서 공격을 받을지라도 격리된 환경 덕분에 다른 가상머신은 영향을 받지 않는다는 것을 의미.

 

---

CWPP 솔루션으로 VMware 의 클라우드 워크로드 플랫폼인 Carbon Black Cloud Workload 이 있다.
VMware는 지난 2019년 사이버 보안 업체인 Carbon Black 을 인수하며 사이버 위협 탐지 분석 대응 분야를 강화하였다.

다음에는 Carbon Black Cloud Workload 에 대한 내용을 포스팅 할 수 있도록.. 노력해보자 !!