더 이상 온프레미스만으로 운영되는 기업은 없습니다. 하지만 온프레미스는 클라우드만으로 운영되는 것도 아닙니다. 현재와 미래의 전망은 불투명합니다. 워크로드와 데이터가 분산된 혼합 현실이 존재하며, 데이터 센터, 클라우드, SaaS 플랫폼, 엔드포인트 등 다양한 곳에 존재합니다. 보안 팀은 이 거대한 생태계에서 각 요소를 연결해야 합니다. 바로 이 지점에서 SIEM 솔루션이 필요합니다.
기존 SIEM 도구는 이러한 복잡성을 고려하여 설계되지 않았습니다. 그렇다면 인프라가 하이브리드이고 역동적이며 끊임없이 변화하는 환경에서 클라우드 SIEM 보안은 실제로 어떤 모습일까요?
자, 자세히 살펴보겠습니다.
기존 SIEM 솔루션에서 클라우드 SIEM 보안으로의 진화
구식 SIEM 도구는 커넥터를 통해 서버, 네트워크 장치 및 소수의 클라우드 앱에서 로그를 수집하도록 설계되었습니다. 이러한 도구는 무겁고 리소스가 많이 소모되었으며, 값비싼 업그레이드 없이는 확장이 거의 불가능했습니다. 환경이 방화벽 너머로 확장됨에 따라 이러한 SIEM 도구는 시끄럽거나, 기능이 제한적이거나, 비용이 많이 들게 됩니다.
클라우드 기반 SIEM은 다릅니다. 쉽게 확장할 수 있도록 설계되었습니다. 클라우드 API에서 데이터를 가져오고, 컨테이너 워크로드와 서버리스 기능을 감시합니다. 스토리지 또는 컴퓨팅 한계에 도달하지 않고 매일 수십억 개의 이벤트를 처리할 수 있습니다. 하이브리드 보안 운영에서 이러한 확장성은 선택 사항이 아니라 기본입니다.
하이브리드 인프라가 SIEM 보안에 요구하는 사항 Security
1. 온프레미스와 클라우드 전반의 통합 가시성
SIEM은 모든 소스에서 데이터를 수집, 연결 및 분석해야 합니다. 여기에는 온프레미스 방화벽, 클라우드 워크로드, SaaS 앱, ID 공급자, 컨테이너 플랫폼 등이 모두 한곳에 포함됩니다. 온프레미스와 클라우드에 대한 별도의 모니터링 스택은 사각지대를 만들기 쉽습니다. SIEM은 AWS CloudTrail, Azure Monitor, GCP Logging 및 기존 온프레미스 도구와 기본적으로 통합되어야 합니다.
2. 탄력적인 확장성
하이브리드 워크로드는 예측 불가능한 데이터 볼륨을 생성합니다. SIEM 솔루션은 수동 재구성 없이 수집 버스트, 장기 보관 및 분석 확장을 처리해야 합니다. 그렇지 않으면 가장 필요한 시점에 사고 조사가 지연될 수 있습니다.
3. 클라우드 기반 고급 분석
진정한 이점 cloud SIEM 기존 SIEM으로는 관리할 수 없는 분석 기능을 제공하는 것이 핵심입니다. 여기에는 행동 분석, 사용자 경험 분석(UEBA), AI 기반 이상 탐지가 포함됩니다. 이러한 도구는 온프레미스 측면 이동 및 클라우드 IAM 남용과 같은 미묘한 위협을 식별할 수 있습니다.
4. 간소화된 위협 사냥 및 대응
최신 클라우드 SIEM은 알림에 자동으로 맥락 정보를 추가합니다. 여기에는 자산 중요도 및 IAM 정책과 같은 세부 정보가 포함됩니다. 또한 하이브리드 환경 전반의 대응을 조율합니다. 방화벽과 클라우드 보안 그룹에서 악성 IP를 동시에 차단하는 데 별도의 플레이북이 필요하지 않습니다.
5. 유연한 배포 모델
많은 공급업체가 이제 하이브리드 배포를 제공합니다. 이러한 환경에서는 민감한 데이터가 온사이트 또는 프라이빗 클라우드에 보관됩니다. 한편, 분석은 공급업체 환경에서 실행됩니다. 이는 엄격한 데이터 상주 요건을 갖춘 규제 산업에 중요합니다.
6. 규정 준수 및 감사 준비
SIEM은 규정 준수를 더욱 쉽게 만들어 줍니다. PCI DSS, HIPAA, ISO 27001과 같은 표준에 맞춰 로그를 정규화하여 규정 준수를 지원합니다. 또한 다양한 환경에서 보고를 자동화합니다. 통합된 가시성이 없다면 하이브리드 인프라는 규정 준수에 큰 어려움을 초래할 수 있습니다.
하이브리드 보안을 위한 클라우드 SIEM을 형성하는 주요 동향
- XDR과의 융합:SIEM은 엔드포인트 및 네트워크 감지 도구와 통합되어 확장된 감지 및 대응 기능을 제공합니다.
- AI 기반 감지 및 조사:머신 러닝 모델은 하이브리드 워크로드 전반에서 이상을 식별하는 데 핵심이 되고 있습니다.
- 분리된 스토리지와 컴퓨팅:이를 통해 필요에 따라 유연한 처리 능력을 제공하여 비용 효율적인 장기 데이터 보존이 가능합니다.
- 개방형 통합 생태계:폐쇄형 독점 SIEM은 다양한 도구와 통합되는 개방형 API 기반 아키텍처로 자리를 옮기고 있습니다.
- 개인 정보를 보호하는 분석:연방 학습과 같은 기술을 사용하면 데이터 상주성을 침해하지 않고도 여러 도메인에서 탐지가 가능합니다.
하이브리드 환경을 위한 클라우드 SIEM 보안 선택
클라우드 SIEM 보안 솔루션을 평가하는 경우 다음 사항을 질문하세요:
- 클라우드 제공업체 및 SaaS 앱과 기본적으로 통합됩니까?
- 급증하는 섭취량을 비용 급증 없이 처리할 수 있나요? spiraling costs?
- 클라우드와 온프레미스 데이터 전반에 걸쳐 분석을 통합합니까?
- 전체 환경에서 대응을 조율할 수 있나요?
- 보안 스택에 연결하기 위한 개방형 API를 지원합니까?
최종 생각
중요한 점은 하이브리드 인프라가 사라지지 않는다는 것입니다. 보안 팀에는 지속적인 가시성과 탐지 기능이 필요합니다. 바로 여기에 있습니다 NetWitness SIEM 차이를 만듭니다.
NetWitness SIEM을 사용하면 온프레미스, 가상, 하이브리드 또는 퍼블릭 클라우드 소스 등 어디에서든 로그를 한곳에서 모니터링할 수 있습니다. SIEM의 광범위한 로그 가시성은 팀의 관리 및 분석하다 분산 및 가상 환경 전반의 데이터를 통해 보다 빠른 탐지 및 대응이 가능합니다.
디지털 환경이 계속 확장되는 세상에서 NetWitness는 SIEM이 계속 발전할 수 있도록 보장합니다.
자주 묻는 질문
1. 클라우드 SIEM 보안이란 무엇인가요?
클라우드 SIEM은 클라우드에 호스팅되는 보안 정보 및 이벤트 관리 솔루션입니다. 온프레미스, 클라우드 및 하이브리드 환경에서 보안 데이터를 수집하고 분석하여 실시간으로 위협을 탐지합니다.
2. 클라우드 SIEM은 하이브리드 인프라를 어떻게 지원합니까?
클라우드 SIEM은 온프레미스 시스템, 퍼블릭 클라우드, 프라이빗 클라우드 및 SaaS 플랫폼과 호환됩니다. 전체 디지털 환경에 대한 명확한 가시성과 확장 가능한 분석을 제공합니다.
3. 기존 SIEM이 하이브리드 보안에 부적합한 이유는 무엇입니까?
기존 SIEM은 확장성, 클라우드 통합, 그리고 대용량 데이터 분석에 어려움을 겪습니다. 이로 인해 사각지대가 발생하고 위협 탐지 속도가 느려질 수 있습니다.
4. NetWitness SIEM이 하이브리드 보안에 효과적인 이유는 무엇입니까?
NetWitness SIEM은 명확한 로그 가시성과 중앙 집중식 모니터링을 제공합니다. 수집 구성 요소를 온사이트, 가상 또는 클라우드에 모두 배포할 수 있습니다. 이러한 설정은 신속한 탐지 및 대응에 도움이 됩니다.
5. 클라우드 기반 SIEM을 사용하면 어떤 주요 이점이 있나요?
클라우드 기반 SIEM은 하이브리드 인프라 전반에 걸쳐 탄력적인 확장성, 고급 분석, 자동화된 위협 대응 및 보다 쉬운 규정 준수 보고 기능을 제공합니다.