더 나은 키 관리로 미국 정부를 괴롭히는 클라우드 보안 격차를 줄이는 방법

더 나은 키 관리로 미국 정부를 괴롭히는 클라우드 보안 격차를 줄이는 방법 - 두번째 시리즈

데이터보호/트렌드

by 탈레스 CPL DP 2024. 5. 13. 03:21

더 나은 키 관리로 미국 정부를 괴롭히는 클라우드 보안 격차를 줄이는 방법 - 두번째 시리즈

이 주제에 대한 첫 블로그에서 작년에 발표된 재무부 보고서에서 금융 부문 회사들이 직면한 여섯 가지 클라우드 보안 문제를 언급했었습니다.

최근 미국 정부 네트워크에 대한 해킹은 민감한 데이터를 클라우드에 저장하는 모든 조직이 이러한 문제를 직면하고 있음을 보여준다고 주장했습니다. Thales는 다음 네 가지 문제를 해결하는 데 도움을 줄 수 있습니다:

1. 클라우드 서비스를 안전하게 구현하기 위한 인적 자본 및 도구의 격차.

2. CSP에서 발생한 사고를 포함한 잠재적인 운영 사고에 대한 노출.

3. 시장집중도를 고려한 계약협상의 역동성 CSP의 수가 제한됨에 따라 금융기관과의 계약 시 CSP에게 큰 협상력을 부여할 수 있습니다.

4. 국제 지형 및 규제 단편화.

클라우드 서비스를 안전하게 구축하기 위한 인적 자본 및 툴의 격차

여기서 재무부의 요점은, 보고서에 대한 보도자료에서 밝혔듯이, "금융회사들이 그들의 고객들에게 더 나은 서비스를 제공하고 그들의 정보를 보호할 수 있도록 클라우드 서비스를 맞춤화하는 데 필요한 현재의 인재 풀은 수요보다 훨씬 낮다"는 것입니다. 이 보고서는 CSP에게 "직원을 전문가로 키워 늘리고, 금융 서비스 회사들이 그들의 고객들을 위해 탄력적이고 안전한 플랫폼을 설계하고 유지하도록 도울 수 있는 지원가능한 기술 도구와 채택 프레임워크를 개선해야 한다"는 것을 요구하고 있습니다

또한 모든 조직은 민감한 데이터에 대한 자체 통제를 강화함으로써 클라우드에서 보안을 강화할 수 있습니다.

첫 번째 단계는 어떤 민감한 데이터가 무엇이며, 그 위치를 아는 것입니다.

Thales CipherTrust Data Discovery and Classification은 기업 내 이기종 데이터스토어(클라우드, 빅데이터 및 기존 환경) 전반에 걸친 효율적인 데이터 검색, 분류 및 위험 분석을 통해 중요한 데이터의 위치를 완벽하게 파악할 수 있도록 지원합니다. 이를 통해 보유하고 있는 중요한 데이터와 데이터 위치 및 노출 위험을 명확하게 파악할 수 있습니다. 풍부한 시각화 및 상세 보고서를 통해 보안 격차를 보다 쉽게 파악하고 해소할 수 있으며, 타사 데이터 공유 및 클라우드 마이그레이션에 대한 보다 나은 의사 결정을 내릴 수 있으며, GDPR, CCPA, LGPD, PCI DSS 및 HIPAA를 비롯한 데이터 개인 정보 보호 및 보안 규정에 사전에 대응할 수 있습니다.

조직의 민감한 데이터를 발견한 후, 다음 단계는 그것을 보호하는 것이고, 그것은 클라우드에서 조직의 키를 보호하는 것을 의미합니다. 실제로, 마이크로소프트는 블로그에 "중국에 기반을 둔 위협 행위자인 스톰-0558은 획득한 마이크로소프트 계정(MSA) 소비자 키를 사용하여 OWA와 Outlook.com 에 액세스하기 위해 토큰을 위조했습니다."라고 썼습니다. 이 해킹에는 미국 정부 네트워크가 포함됐습니다.

Thales는 공급업체에 독립적인 암호화 및 키 관리 서비스를 제공합니다. 저희는 CSP 및 고객과 협력하고 혁신하여 클라우드 및 사내 공급업체 전반에 걸쳐 효율성과 운영 탄력성을 높입니다. CCKM(CipherTrust Cloud Key Management)은 클라우드 네이티브를 위해 지역별로 단일 창을 통해 데이터는 물론 시간을 보호하고 BYOK(자체 키)를 가져와 자체 키(HYOK) 키와 간단한 UI를 유지하여 모든 클라우드 키 관리 서비스를 관리합니다.

BYOK(Bring Your Own Key)는 기업이 데이터를 암호화하고 암호화 키의 제어 및 관리를 유지할 수 있도록 하는 암호화 키 관리 시스템입니다. 그러나 일부 BYOK 계획은 암호화 키를 CSP 인프라에 업로드합니다. 이러한 경우 기업은 키의 제어를 다시 한 번 상실했습니다. 이 BYOK 문제에 대한 최상의 해결책은 기업이 변조 방지 하드웨어 보안 모듈(HSM)에 강력한 키를 생성하고 키를 클라우드로 안전하게 내보내는 것을 제어하여 키 관리 관행을 강화하는 것입니다. BYOE(Bring Your Own Encryption)라고도 알려진 HYOK는 조직이 데이터를 클라우드로 보내기 전에 암호화하고 키를 클라우드로 보내지 않도록 함으로써 한 단계 더 나아갔습니다. 이러한 기술은 조직이 클라우드에서 데이터 보안 사고가 발생할 가능성을 크게 줄입니다. 클라우드 제공업체에서 제공하는 기본 암호화 솔루션과 비교하여 Thales BYOK 및 HYOK 솔루션은 데이터가 안전하고 명령을 준수한다는 더 높은 신뢰성을 제공합니다:

하드웨어 가속화 및 세분화된 접근 제어 정책을 통해 향상된 고성능 AES 암호화 특권 사용자 접근 제어를 포함합니다. BYOK와 HYOK는 특정 데이터를 볼 수 있는 사람, 어떤 프로세스를 통해, 어느 특정 시간에 볼 수 있는지 제어합니다.

구조화되지 않은 파일, 구조화된 데이터베이스 및 빅데이터 환경을 보호하고 암호 해독에 소요되는 시간과 비용 없이 클라우드 환경과 사내 서버 간에 데이터를 마이그레이션할 수 있는 아키텍처입니다. RESTful API 또는 업계에서 가장 강력하고 안전한 암호화 라이브러리를 사용하는 애플리케이션을 통해 포맷을 보존하거나 전통적인 암호화 또는 토큰화 기능을 제공하여 보다 세분화된 제어 기능을 제공하고 보다 광범위한 규정을 충족합니다.

CipherTrust Manager에 대한 제어를 중앙 집중화하여 사내 및 멀티 클라우드 구축 전반에 걸쳐 키 관리 간소화

BYOK 및 HYOK 확장 기능을 사용하면 Live Data Transformation(라이브 데이터 변환)을 사용하여 암호화 및 재키 작업을 수행하는 동안 데이터를 사용하거나 정책 기반 암호화 영역을 만들어 컨테이너 환경을 격리하고 보안할 수 있습니다. BYOK 및 HYOK 솔루션은 파일 액세스를 모니터링하고 로그를 기록하여 널리 사용되는 SIEM 도구와 Security Intelligence Log 통합을 통해 위협 탐지 속도를 높입니다.

CSP에서 발생한 사고를 포함하여 잠재적인 운영 사고에 대한 노출

재무부의 보도자료는 이 말에 대해 자세히 설명합니다: "금융 기관들은 CSP의 기술적 취약성과 관련된 위험에 여전히 노출되어 있으며 그러한 위험을 완화하거나 다른 제공업체로 운영을 이전하는 데 현실적인 어려움에 직면해 있습니다." MSA 소비자 키를 사용한 최근의 중국 해킹은 이것의 불행한 예입니다.

다시 한번 강조하지만, 업계를 불문하고 민감한 데이터를 보호하는 가장 좋은 방법은 데이터 보호에 대한 통제력을 강화하는 것입니다. 이전에 이런 상황에 해 블로그에 글을 올렸는데, 이는 바로 코스모스 DB/카오스 DB 취약점입니다.

내부 테스트 결과 탈레스의 [HYOK]가 코스모스 DB/카오스 DB 취약성을 차단했을 것입니다. 이 취약성은 CSP의 암호화 프로세스의 일부로 생성된 암호화 키를 본질적으로 사용할 수 있는 코스모스 DB 기본 키에 대한 액세스를 허용했기 때문에 작동했습니다. 탈레스 [HYOK]는 데이터가 클라우드로 전송되기 전에 암호화되어 CSP 암호화와 별도로 CSP 고객의 손에 남아 있었기 때문에 데이터를 보호했을 것입니다. 따라서 해커는 데이터를 암호화하는 데 필요한 키에 액세스할 수 없었습니다.

시장집중도를 감안한 계약협상의 역동성. 제한된 CSP의 수는 금융기관과의 계약 시 CSP에게 큰 협상력을 부여할 수 있음

이것 역시 당신의 CSP에게 당신의 데이터에 대한 너무 많은 통제권을 양보하지 않는 것에 관한 것입니다. Thales에서 우리는 데이터, 운영 및 소프트웨어 주권을 포함하는 디지털 주권을 옹호합니다.

데이터 주권은 소환장으로부터 데이터를 보호하고 GDPR 및 CCPA와 같은 규정을 준수하고 데이터를 비공개로 유지하는 것입니다.

국제 지형 및 규제 단편화

미 재무부 보고서는 이 문제를 다음과 같이 요약합니다:

클라우드 기술에 대한 글로벌 규제 및 감독 접근법의 패치워크는 미국 금융기관이 전 세계적 규모로 일관되게 클라우드를 채택하는 것을 거의 불가능하게 만들고, 시장에서 CSP 사용을 줄이고 클라우드 채택 전략에 대한 비용을 증가시켜 궁극적으로 소비자에게 영향을 미칠 수 있습니다. 또한 해외에서의 규제 변화는 CSP가 외국 금융 규제 기관의 직접적인 감독 대상이 될 수 있으며, 이는 모든 CSP 고객에게 서비스 품질 및 보안에 부정적인 영향을 미치는 규제 갈등을 유발할 수 있습니다.

디지털 보안과 컴플라이언스를 가장 걱정하하는 고객은 업계 모범 사례를 찾아 이를 활용합니다. 또한 가장 엄격한 국제 정부의 규제를 찾아 이를 준수합니다. 그래야 변수 앞에서 강력한 디지털 보안 태세를 갖추게 됩니다. 또한 보안 정책을 자주 수정합니다.

GDPR을 신속하게 준수한 조직은 이미 아르헨티나, 바레인, 브라질, 캐나다, 이스라엘, 일본, 뉴질랜드, 나이지리아, 남아프리카 공화국, 튀르키예, 우간다 등 GDPR과 유사한 데이터 개인 정보 보호법을 만든 수많은 국가의 규정에 이미 준비되어 있었습니다.

GDPR 및 기타 국제 데이터 보안 규정에서 요구되는 모범 사례 중에는 앞서 Thales의 HYOK 및 BYOK 솔루션과 관련하여 논의한 내용이 있습니다.

데이터 보유 요건과 관련하여 Thales는 이러한 전반적인 원칙을 따르는 국제 데이터 흐름을 보호하기 위해 신뢰할 수 있는 개인 정보 보호 프레임워크를 사용하여 GDPR 및 기타 데이터 보유 규정을 유지할 수 있도록 지원합니다.

중요한 데이터가 어디에 있든 발견하고 분류합니다. 그러면 무엇을 보호해야 하는지 알고 GDPR의 개요에 따라 적절한 보안 조치를 적용할 수 있습니다.
강력한 암호화를 사용하여 중요한 데이터를 보호합니다. 즉, 사내 데이터 센터 및 클라우드에 저장된 데이터를 보호하고 데이터의 국가 또는 출처 안팎의 권한 없는 사용자에게 노출되지 않도록 보장합니다.
데이터의 출처 국가에서 암호화 키를 생성, 저장 및 관리하여 데이터에 대한 액세스를 제어하고 중요한 데이터를 해독하기 위한 키에 대한 액세스 권한을 가진 사용자에 대한 제어를 유지합니다.

요약

미국 정부가 클라우드의 보안 영향에 대해 우려하는 해야 하는 것은 당연하지만, 민감하거나 규제를 받는 데이터를 클라우드에 저장하는 모든 산업이나 정부 기관에서도 고민하고 대비해야 합니다. 클라우드에 민감한 데이터를 보유한 조직은 데이터 보안을 최대한 면밀히 통제함으로써 보안 태세를 강화할 수 있습니다. Thales의 HYOK 및 BYOK 제품은 이를 돕기 위해 특별히 고안되었습니다.

'데이터보호 > 트렌드' 카테고리의 다른 글

QR 코드 스캠 : 이 피싱 전술에 대해 알아야 할 사항 (0)	2024.05.13
2024년 탈레스 데이터 위협 보고서 : 기업의 규정 준수 실패로 보안 침해에 취약해져 랜섬웨어 공격 증가 (0)	2024.05.13
랜섬웨어 공격: 지속적이고 진화하는 사이버 보안 위협 (0)	2024.05.13
클라우드 공유 책임의 과제 (0)	2024.05.13
암호화로 클라우드 구성 오류를 해결하는 방법 (0)	2024.05.13