Carbon Black Cloud 구축 확인 사항

관리자들은 환경에 솔루션을 구축을 진행하기 전에 확인해야 할 사항들이 있다.

이번 포스팅에서는 Carbon Black Cloud 구축 전에 확인이 필요한 사항들에 대해서 작성하고자 한다.
(내 피셜로 작성된 포스팅이므로 실 프로젝트를 구축할 때에 사용할 자료로는 적합하지 않으니 참고만 하시길...)

1. 제공 기능 검토 및 라이선스 선정

Carbon Black Cloud 는 단일 콘솔 및 단일 에이전트를 사용하여 NGAV, EDR, Threat Hunting, 취약성 관리 등의 기능을 제공하고 있다.
먼저 적합한 기능 및 라이선스를 고려하여 도입을 진행하게 된다.

Standard EDR
- 전통적인 안티바이러스 백신 솔루션의 확장
- 실시간 공격 조사
Enterprise EDR
- 위협 사냥 및 사고 대응(Incident Response)
- 알림 검증 및 선별
- 근본 원인 분석
- 포렌식 조사
- 호스트 격리
- Live Response
Audit and Remediation
- IT 위생 관리
- 드리프트 추적 * 드리프트 : 안전한 환경이 안전하지 않은 환경으로 전환되는 현상
- 규정 준수 및 유지관리
- 워크로드 작업 감사 및 보호
Managed Detection
- 보안 경고 처리 지원
- 환경에 대한 추가적인 시야 확보 지원
- 팀을 보완하는 보안 전문가 지원
Cloud Workload Protection
- vSphere Client 에서 실시간 취약점 확인 가능
- 워크로드의 행위 모니터링
- 효율적인 패치 방안 제시
Container Security
- 컨테이너 및 쿠버네티스 어플리케이션 보안
- 쿠버네티스 환경 가시성 제공
- 컨테이너 이미지 취약점 스캔
Vulnerability Management for Workloads and Endpoints
- 위험과 잠재적 가능성에 기반한 취약점 우선순위 평가 제공

라이선스는 Prevention < Standard < Advanced < Enterprise 순으로 제공되고 있으며, Enterprise 가 가장 많은 기능을 제공한다.
라이선스에서 제공하는 기능 외에 add-on 라이선스도 별도 제공되고 있다는 점도 고려하면 좋다.

https://www.vmware.com/products/carbon-black-cloud/endpoint-protection-bundles.html

Endpoint Protection Bundles

What Makes VMware Carbon Black Better? While other endpoint solutions focus on blocking file-based malware, the VMware Carbon Black Cloud monitors all endpoint activity to identify malicious attacks of all types. And by collecting endpoint data without fil

www.vmware.com

2. 서비스 리전 선택

Carbon Black Cloud 는 클라우드 상에 구축되어 운영되고 있다.
Carbon Black Cloud 서비스가 운영되는 클라우드 리전은 항목은 아래와 같다.

환경	AWS Region	지역 이름	Console / API	Sensor Service
Prod01	us-east-1	미국 동부 (버지니아 북부)	https://dashboard.confer.net	https://devices.confer.net
Prod02	us-east-1	미국 동부 (버지니아 북부)	https://defense.conferdeploy.net	https://dev5.conferdeploy.net
Prod05	us-east-1	미국 동부 (버지니아 북부)	https://defense-prod05.conferdeploy.net	https://dev-prod05.conferdeploy.net
Prod06	eu-central-1	유럽 (프랑크푸르트)	https://defense-eu.conferdeploy.net	https://dev-prod06.conferdeploy.net
ProdNRT	ap-northeast-1	아시아 태평양 (도쿄)	https://defense-prodnrt.conferdeploy.net	https://dev-prodnrt.conferdeploy.net
ProdSYD	AP-Southwest-2	아시아 태평양 (시드니)	https://defense-prodsyd.conferdeploy.net/	https://dev-prodsyd.conferdeploy.net/
UK Point of Presence	eu-west-2	유럽 (런던)	https://ew2.carbonblackcloud.vmware.com	https://ew2-device.carbonblackcloud.vmware.com
US GovCloud	us-gov-west-1	미국 서부 (AWS Gov Cloud)	https://gprd1usgw1.carbonblack-us-gov.vmware.com	https://gprd1usgw1-device.carbonblack-us-gov.vmware.com

클라우드 상에 위치한 Carbon Black Cloud 와 LAN 환경 사이의 통신 및 요청 트래픽이 존재하고 있다.
프록시 및 방화벽은 클라우드 센서와 백엔드 간의 통신을 방해할 수 있으므로 네트워크 환경 설정이 필요하다.

Carbon Black Cloud 서비스는 동적으로 관리되는 로드밸런서를 이용하여 통신이 되는 환경을 사용한다. 이는 확장성을 위한 구성이다.
이렇게 여러 IP 주소를 사용하게 되는 구성은 프록시 및 방화벽 설정에 문제가 발생할 수 있는데, Carbon Black 에서는 호스트이름을 사용하여 문제점을 해결하고 있다.
따라서 Carbon Black Cloud 는 프록시 및 방화벽 설정 시에 IP(서브넷) 설정은 사용하지 않는다.

3. 네트워크 구성

센서(엔드포인트)가 설치 및 운영 중에 네트워크 정책을 통하여 연결이 구성된다.

TCP 443 포트를 통한 직접 연결
TCP 54443 백업 포트를 통한 직접 연결
로컬 컴퓨터 OS 설정의 프록시(방화벽) 및 프록시 자격 증명을 통한 연결

3.1 방화벽 구성

방화벽 구성 시에는 리전 별로 허용할 URL 정보가 상이하다.
아래의 URL 포트 정보는 TCP 443, TCP 54443 기준으로 허용된다.

- US Region

Console or API URL
Server URL
UBS download URL
- https://cdc-file-storage-staging-us-east-1.3.amazonaws.com

- EU Region

Console or APL URL
- https://defense-eu.conferdeploy.net
Serve URL
- https://dev-prod06.conferdeploy.net
UBS download URL
- https://cdc-file-storage-staging-eu-central-1.3.amazonaws.com

- AP Region

Console or APL URL
- https://defense-prodnrt.conferdeploy.net
- https://defense-prodsyd.conferdeploy.net/
Serve URL
- https://dev-prodnrt.conferdeploy.net
- https://dev-prodsyd.conferdeploy.net/
UBS download URL
- https://cdc-file-storage-staging-ap-northwest-1.s3.amazonaws.com
- https://cdc-file-storage-staging-ap-southwest-2.s3.amazonaws.com

- ALL 적용 필요 (Incoming 및 Outgoing)

Content Management
- https://content.carbonblack.io:443
- https://content.carbonblack.io:8443
Signature URL
- http://updates2.cdc.carbonblack.io/update2
- https://updates2.cdc.carbonblack.io/update2
Third-Party Certificate Validation
- http://ocsp.godaddy.com
- http://crl.godaddy.com

* UBS(Unified Binary Store) :
- 엔드포인트에서 실행되는 바이너리를 수집
- 바이너리 메타데이터 분석 및 리버스 엔지니어링 및 디토네이션 위해 수집된 바이너리 다운로드 가능
- Enterprise EDR 라이선스 필요

3.2 프록시 구성

Carbon Black Backend 서버에는 서버 인증서를 포함하고 있다.
일부 네트워크 프록시와 게이트웨이에서는 AWS 에서 실행 중인 시스템의 인증서와 실제 호스트네임 간의 유효성 불일치로 인하여 연결을 거부할 수 있다.

사용자는 시스템 인증서 및 서버 인증서의 호스트네임에 접근이 불가하기 때문에, 시스템 인증서와 실제 호스트 간의 유효성 불일치로 인한 연결 거부 오류 발생 시에는 프록시 및 게이트웨이에서 백엔드 서버의 인증서를 검증하지 않도록 구성이 필요하다.

이 외에도 리전 정보를 포함하여 프록시 및 방화벽 구성 시에 추가할 정보가 VMware Docs 에 정리되어 있으므로, 정책 설정에 참고하면 된다.

https://docs.vmware.com/en/VMware-Carbon-Black-Cloud/services/cbc-sensor-installation-guide/GUID-06D2CB73-968A-466E-BD69-B7480CBA800A.html

Configure a Firewall

A sensor can connect to the backend in a firewall-protected network in several ways.

docs.vmware.com

4. 구축 요구 사항

4.1 하드웨어 요구 사항

Memory	4GB
Storage	41GB (Thick-provisioned)
vCPU	4 vCPU

4.2 네트워크 요구 사항

Domain	Port	비고
prod.cwp.carbonblock.io	TCP 443	어플라이언스 로깅 및 업데이트
vCenter Server Host	TCP 443	vCenter 서버 간의 통신
CBC Console URL	TCP 443	Carbon Black Cloud 와의 통신 (리전 별로 도메인 상이)

구축 전에 확인해야할 사항들에 대해서 정리해보았다.
이 포스팅에서는 하드웨어 및 네트워크 요구 사항, 솔루션 라이선스 및 방화벽(프록시) 의 설정에 대해서 작성하였다.

이 외에도 실 환경에서는 더 많은 부분을 고려해야 할 것이라고 생각이 든다.

다음에는 센서 배포와 정책 구성에 대해서 작성해보겠다.

저작자표시 비영리 변경금지

'VMware > Carbon Black' 카테고리의 다른 글

Carbon Black Cloud Workload 배포 및 구성 (0)	2023.08.17
Carbon Black Cloud Sensor Agent 관리 (0)	2023.08.11
Carbon Black Cloud 콘솔 사용자 계정 관리 (0)	2023.07.19
VMware Carbon Black 제품군 - 1 (0)	2023.03.22
VMware Carbon Black 관련 사이트 정리 (0)	2023.03.03