.png)
EU 규정 준수 의무의 이해: GDPR, 사이버 에센셜
에서 첫 번째 부분 이 블로그 시리즈에서는 규정 준수 환경과 각 산업마다 사이버 보안에 대한 고유한 규제 또는 지침이 어떻게 적용되는지에 대해 논의했습니다.그 뒤를 이어 게시물 제가 직접 경험한 분야이자 사이버 보안이 발전함에 따라 저를 매료시킨 분야인 중요 시스템 및 운영 기술 부문의 규제 및 보안 통제에 관한 것입니다.그 후 저는 연구소로 자리를 옮겼습니다. 금융 서비스 규정 EU에 있습니다.
여기서는 GDPR이라는 약간 접선적인 의무로 넘어가고, 사이버 에센셜/사이버 에센셜 플러스를 사이버 보안에 관한 일련의 NCSC (영국 국립 사이버 보안 센터) 가이드라인으로 살펴보겠습니다.
일반 데이터 보호 규정 - GDPR
많은 분들이 일반 데이터 보호 규정 (GDPR) 이 EU에서의 삶과 업무에 직접적인 영향을 미치든, 당사와 작업하는 데이터 및 상호 작용하는 시스템에 적용되는지에 대해 잘 알고 있습니다.
GDPR은 자세히 설명하지 않고 주로 EU 시민의 데이터 보호, 데이터 처리 및 개인 정보 보호 문제에 중점을 둡니다. 개인 식별 정보 (PII).핵심 원칙은 개인이 자신의 데이터를 제어할 수 있도록 하고 데이터 컨트롤러 및 처리자가 이를 마련하도록 규정합니다. “적절한 기술적 및 조직적 조치” 데이터 보호 원칙을 구현합니다.2018년 봄에 시작되어 EU 시민의 데이터를 처리하는 모든 조직에 적용되는 GDPR은 광범위하지만 PII에 대한 제어를 지침 (지침) 이 아닌 규정 (통제) 으로 통합하는 것을 목표로 합니다.
근본적으로 GDPR은 사이버 보안 실무자에게 몇 가지 의미를 갖습니다.특히 조직은 다음을 수행해야 합니다.
- 보안 위험 관리
- 사이버 공격으로부터 개인 데이터 보호
- 보안 이벤트 탐지
- 영향 최소화
이러한 문제는 다음에서 해결할 수 있습니다. 여러 가지 방법, 의 구현을 포함하여 사이버 에센셜 영국의 가이드라인에 대해서는 이 글의 뒷부분에서 설명하겠습니다.
지금은 특히 마이크로 세분화, 보안 침해 방지, 측면 이동 감소라는 관점에서 요구 사항을 해석하고 적용하는 방법을 자세히 살펴보겠습니다.
GDPR의 핵심 원칙과 일루미오의 지원 방식
NCSC GDPR 보안 결과 가이드에 설명된 바와 같이 사이버 보안 관점에서 GDPR 표준을 충족하는 데 사용할 수 있는 여러 지침이 있습니다.마이크로 세분화의 관건은 다음과 같은 몇 가지 구체적 요구 사항을 들 수 있습니다.
A) 보안 위험 관리
개인 데이터에 대한 보안 위험을 이해, 평가 및 체계적으로 관리할 수 있는 적절한 조직 구조, 정책 및 프로세스를 갖추고 있습니다.
구체적으로:
A.3 자산 관리
이 요구 사항은 일반적으로 GDPR에 따른 데이터 자체를 다루지만 데이터 처리/데이터 호스팅 시스템 자체는 다음과 같을 수 있습니다. 시각화 및 매핑이후에 적절하게 세그먼트화하여 부당한 액세스 또는 손상을 방지합니다.
A. 4 데이터 프로세서 및 공급망
귀하는 데이터 처리자와 같은 제3자에 대한 종속성의 결과로 발생할 수 있는 처리 작업의 보안 위험을 이해하고 관리합니다.여기에는 적절한 보안 조치를 취하도록 하는 것도 포함됩니다.
를 통한 애플리케이션 종속성 매핑 일루미네이션는 Illumio Core의 주요 기능이며, 이를 통해 조직의 외부 시스템 연결을 더 잘 이해할 수 있습니다.
B) 사이버 공격으로부터 개인 데이터 보호
귀하는 처리하는 개인 데이터 및 해당 데이터를 처리하는 시스템을 포함하는 사이버 공격으로부터 보호하기 위한 적절한 보안 조치를 갖추고 있습니다.
위와 마찬가지로 여기의 핵심 지침은 사이버 공격 방지에 관한 것입니다. 즉, GDPR의 적용을 받는 데이터를 보관하는 시스템으로의 성공적인 측면 이동 방지에 관한 것입니다.마이크로 세그멘테이션이 방지하는 것은 바로 이것입니다.
C) 보안 이벤트 탐지
개인 데이터를 처리하는 시스템에 영향을 미치는 보안 이벤트를 탐지하고 해당 데이터에 대한 승인된 사용자 액세스를 모니터링할 수 있습니다.
C.1 보안 모니터링
귀하는 개인 데이터를 처리하는 시스템의 상태를 적절하게 모니터링하고 비정상적인 사용자 활동을 포함하여 해당 데이터에 대한 사용자 액세스를 모니터링합니다.
여기서도 애플리케이션 종속성 매핑이 그 진가를 발휘합니다.중요한 애플리케이션 또는 시스템으로 들어오고 나가는 애플리케이션 흐름을 모니터링하는 것은 손상이나 동작 변화를 모니터링할 때 매우 강력합니다.다음과 같은 기능이 함께 제공됩니다. 통합합니다 SIEM 및 SOAR과 같은 시스템을 사용하면 손상된 것으로 보이는 장치를 격리하는 등 공격에 신속하게 대응할 수 있습니다.
제로 트러스트 자세를 취하는 조직의 경우 Illumio 정책은 공격이 자리를 잡기도 전에 조직을 최전방에 두어 보안 침해 체인으로 향하는 측면 이동으로부터 중요한 시스템을 기본적으로 보호합니다.
D) 영향 최소화
다음을 수행할 수 있습니다.
개인 데이터 침해로 인한 영향 최소화
시스템 및 서비스 복원
폭발 반경, 특히 폭발 반경의 이해와 최소화에 대해 다룹니다.다시 말씀드리지만, 여기서는 데이터 자체와는 대조적으로 시스템을 구체적으로 언급합니다.
이러한 요구 사항을 충족하기 위해 참조할 수 있는 구체적인 지침이 많이 있으며, 전체 조직이 GDPR 규정 준수 표준에 대한 자문을 제공하고 방향을 제시하는 데 전념하고 있습니다.영국에서 출발점으로 참고할 수 있는 이러한 가이드라인 중 하나가 바로 사이버 에센셜이며, 외부 감사를 거친 버전인 사이버 에센셜 플러스는 다음과 같습니다.
사이버 에센셜, 사이버 에센셜 플러스
Cyber Essentials는 NCSC에서 발행한 간단한 사이버 보안 지침 모음으로, 모든 조직이 조직을 보호하는 데 사용할 수 있고 GDPR을 준수하려고 할 때 도움을 줄 수 있습니다.사이버 에센셜 자체는 자체 평가 옵션이며, 사이버 에센셜 플러스는 외부 검증을 거친 버전으로 제공됩니다.요구 사항은 둘 다 동일하지만 증명 방법만 변경됩니다.
범위에는 전체 IT 인프라 또는 하위 집합이 포함될 수 있습니다.웹 애플리케이션은 기본적으로 범위 내에 있습니다.
현재 버전 2.1 — 2020년 8월, 구체적인 요구 사항은 다음과 같은 몇 가지 주요 영역을 중심으로 이루어집니다.
- 방화벽
- 보안 구성
- 사용자 액세스 제어
- 멀웨어 보호
- 패치 관리
이 중 Illumio가 도움을 줄 수 있는 세 가지 주요 섹션은 방화벽, 보안 구성 및 맬웨어 방지입니다.사용자 액세스 제어의 일부 측면도 Illumio를 사용하여 해결할 수 있습니다. 적응형 사용자 세분화 기능성.
방화벽
모든 장치는 다른 장치 및 서비스와 일종의 통신을 생성하는 네트워크 서비스를 실행합니다.이러한 서비스에 대한 액세스를 제한하면 공격에 대한 노출을 줄일 수 있습니다.방화벽과 이에 상응하는 네트워크 장치를 사용하여 이를 달성할 수 있습니다.
경계 방화벽은 컴퓨터 및 모바일 장치 네트워크의 서비스에 대한 인바운드 및 아웃바운드 네트워크 트래픽을 제한할 수 있는 네트워크 장치입니다.소스, 대상 및 통신 프로토콜 유형에 따라 트래픽을 허용하거나 차단할 수 있는 '방화벽 규칙'이라고 하는 제한을 구현하여 사이버 공격으로부터 사이버 에센셜: IT 인프라 요구 사항을 보호하는 데 도움이 될 수 있습니다.
또는 디바이스에 호스트 기반 방화벽을 구성할 수도 있습니다. 이는 경계 방화벽과 같은 방식으로 작동하지만 방화벽이 구성된 단일 장치만 보호합니다.이 접근 방식은 보다 맞춤화된 규칙을 제공할 수 있으며, 이는 규칙이 사용되는 모든 장치에 해당 규칙이 적용된다는 것을 의미합니다.하지만 이로 인해 방화벽 규칙 관리에 따른 관리 오버헤드가 증가합니다.
Illumio는 주로 호스트 기반의 기존 OS 방화벽을 사용하며 동적인 제로 트러스트 보안 체계를 쉽게 구현할 수 있도록 프로그래밍합니다.기존의 개별 방화벽을 활용하면 보호해야 하는 장치 및 데이터에 가까운 매우 세분화된 정책을 적용할 수 있습니다.
보안 구성
컴퓨터와 네트워크 장치가 기본 구성에서 항상 안전한 것은 아닙니다.기본으로 제공되는 표준 구성에는 다음과 같은 약점이 하나 이상 포함되어 있는 경우가 많습니다.
- 미리 결정되고 공개적으로 알려진 기본 암호를 사용하는 관리자 계정
- 사전 활성화되었지만 불필요한 사용자 계정 (경우에 따라 특수 접근 권한이 있는 사용자 계정)
- 사전 설치되어 있지만 불필요한 애플리케이션 또는 서비스
컴퓨터와 네트워크 장치를 기본 설치하면 사이버 공격자가 조직의 민감한 정보에 무단으로 액세스할 수 있는 다양한 기회를 얻을 수 있습니다. 대개는 간편합니다.
여기서도 Zero Trust는 정책 모델로서 특정 워크로드의 보안을 크게 향상시키고 앞서 언급한 “불필요한 애플리케이션 또는 서비스”에 대한 액세스를 최소화합니다.
멀웨어 보호
인터넷에서 다운로드한 소프트웨어를 실행하면 장치가 맬웨어에 감염될 수 있습니다.
컴퓨터 바이러스, 웜 및 스파이웨어와 같은 멀웨어는 악의적인 행동을 수행하기 위해 의도적으로 작성되고 배포된 소프트웨어입니다.맬웨어 감염의 잠재적 원인으로는 악의적인 이메일 첨부 파일, 다운로드 (응용 프로그램 스토어에서 가져온 파일 포함), 승인되지 않은 소프트웨어의 직접 설치 등이 있습니다.
이 지침을 통해 두 가지 모두 일루미오 코어 과 일루미오 엣지 멀웨어 감염의 측면 이동 부분을 방지하여 폭발 반경을 최소화하고 중요한 비즈니스 애플리케이션의 후속 손상을 방지하는 데 도움이 됩니다.
결론적으로
통제와 지침의 경우 모두 해석이 중요한 경우가 많습니다.GDPR은 필요한 목표를 달성하기 위한 구체적인 방법에 대해 비교적 개방적인 방향으로 해석하고 시행하기 어려운 것으로 알려져 있습니다.GDPR과 관련된 벌금에는 구현된 통제의 기술적 세부 사항 외에도 요구 사항을 충족하는 데 필요한 의도와 노력이 고려됩니다.
마찬가지로 Cyber Essentials는 보안을 강화하는 방법에 대한 기본 개요를 제공하지만 보안 강화 방법을 다양하게 제공합니다.애플리케이션 종속성 매핑을 통해 제공되는 세분화된 가시성과 Illumio를 사용하여 가능해진 기본 거부 방식의 제로 트러스트 보안 태세는 조직이 이 두 가지 보안 지침을 모두 충족하는 데 매우 큰 도움이 됩니다.
Illumio의 제로 트러스트 접근 방식에 대해 자세히 알아보려면 다음 사이트를 방문하십시오. https://www.illumio.com/solutions/zero-trust.
