CWPP(클라우드 워크로드 보안 플랫폼)

Cloud Workload Protection Platform

CWPP는 하이브리드 및 멀티 클라우드 아키텍처에서 서버 워크로드를 보호하는 보안 솔루션입니다. 애플리케이션의 개발부터 배포까지 모든 단계에서 보안 현황을 점검하고 일관적인 워크로드 가시성과 통제 역량 확보를 위해 여러가지 기능들을 제공합니다.

CWPP의 핵심이자 존재 이유는 서버, 가상머신, 컨테이너 등 다양한 환경에서 워크로드 위협을 신속하게 탐지해 대응하는 것입니다.

 

출처:IT위키(https://itwiki.kr/w/CWPP)

 

< CWPP 솔루션의 8가지 주요 기능 >

가트너는 하이브리드/멀티 클라우드 데이터센터에서의 워크로드 보호를 위해 중요한 기능을 8개 레이어로 설명합니다.

1. 보안 강화 및 설정/취약점 관리(Hardening, Configuration and Vulnerability Management)
워크로드 이미지는 필요한 코드와 소프트웨어로만 구성된다. 텔넷/FTP, 브라우저 등 불필요한 애플리케이션이 제거됐는지, 산업 표준이나 기업 가이드라인 등에 맞게 시스템 보안 설정이 구성됐는지, 취약점이 존재하는지 등을 점검하고 관리한다.


2. ID 세그멘테이션 및 네트워크 가시성(Identity-based segmentation and Network Visibility)
워크로드별 방화벽 및 세그멘테이션 기능으로 각 워크로드를 보호하고 네트워크 가시성을 제공한다. 사용자는 CSP(클라우드 서비스 제공 기업)가 기본적으로 제공하는 세그멘테이션(AWS Security group, Azure Network Security Group 등)을 활용하거나 CWPP가 제공하는 보안 기능을 이용할 수도 있다. 이스트-웨스트(East-West) 통신에서의 네트워크 공격 탐지를 위해 요구되고 있다.


3. 시스템 무결성 보장(System Integrity Assurance)
워크로드를 인스턴스화(시작)하는 동안 무결한지 검증하거나, 워크로드가 부팅된 후 시스템 파일 및 구성에 주요한 변경사항이 있는지 실시간으로 모니터링한다. 일반적으로 FIM(File Integrity Monitoring, 파일 무결성 모니터링)과 같이 중요 파일에서 레지스트리, 시작폴더, 부트로더(Boot loader) 등을 모니터링한다.


4. 애플리케이션 제어(Application Control/Whitelisting)
일반적으로 서버는 단일(Single) 애플리케이션을 구동한다. 서버에서 무슨 실행 파일을 구동할 것인지 제어함으로써 보안을 강화할 수 있으며, 자동거부(Default Deny) 또는 제로트러스트 보안 형상(Zero-Trust Security Posture)을 적용할 수 있다.


5. 익스플로잇 예방 및 메모리 보호(Exploit Prevention/Memory Protection)
운영체제 및 실행 가능한 애플리케이션 취약점에 대응하며, 메모리상 악성코드 실행 등 파일리스 공격으로부터 서버 워크로드를 보호한다.


6. 서버 워크로드 EDR, 행위 모니터링 및 위협 탐지/대응(Server Workload EDR, Behavioral Monitoring and Threat Detection/Response)
워크로드의 네트워크 통신, 프로세스 시작, 파일 오픈, 로그 등을 모니터링해 의심스러운 행위를 탐지하고 이에 대응한다. 또는 허용된 애플리케이션 행위에서 벗어난 비정상적인 행위가 있는지 탐지하는 형태이기도 하다. 호스트 기반 에이전트 방식으로 탐지되거나, 네트워크 또는 클라우드 베이스 기반으로 탐지되는 형태도 존재한다.


7. 호스트 기반 침입 탐지 시스템(Host-Based IPS With Vulnerability Shielding)
워크로드 환경으로 유입되는 네트워크 트래픽을 분석해 알려진 취약점에 대한 공격을 탐지/차단한다. 네트워크 기반 IPS만으로는 워크로드 보호 외에 가상머신 간(Inter-VM), 컨테이너 간(Inter-Container-Based) 공격으로부터의 보호는 어렵다. 반면 HIPS(호스트 기반 IPS)는 패치되지 않거나 또는 패치될 수 없는 호스트를 제로데이 취약점 공격로부터 보호하며, 서버 워크로드를 보호하는 데 중요한 역할을 수행할 수 있다.


8. 안티 멀웨어 스캐닝(Anti-malware Scanning)
시그니처 기반의 안티 멀웨어 스캐닝을 말한다. 일반적으로 관리되고 있는 서버 워크로드에서는 필요성이 크지 않으며, NFS 서버나 FTP 서버 등의 파일 공유가 진행되는 저장소(Repository) 서버를 대상으로 활용된다. 컴플라이언스 요구사항 중 하나로 제시될 수 있는 기능이다.

출처 : 아이티데일리(http://www.itdaily.kr)