Google Cloud의 SecOps 서비스

‘Google Cloud의 SecOps 서비스‘

 

요즘은 보안의 경계가 없습니다. 엔터프라이즈 컴퓨팅의 경계가 온프레미스에서 클라우드, 엣지 등으로 넓어지면서 위협에 노출될 수 있는 표면적도 함께 넓어지고 있습니다. 뿐만 아니라 전통적인 애플리케이션 개발 방식과 달리 요즘에는 DevOps 파이프라인을 따라 민첩하게 개발되고 배포에서 운영까지 이루어집니다. 이를 통해 디지털 엔터프라이즈의 민첩성을 높이는 것이 추세입니다. 그러다보니 보안 운영 센터(Security Operation Center) 역시 같은 속도로 보조를 맞추어야 하는 것이 중장기 과제가 되었습니다. 이런 이유로 SecOps에 대한 관심이 커지고 있습니다.

SecOps는 IT 운영과 보안 운영을 따로 보지 않고 긴밀한 협업 관계 속에서 위협 모니터링, 탐지, 조사, 대응을 위한 도구와 절차 그리고 전략을 통합하는 접근을 뜻합니다.

이번 포스팅에서는 구글 클라우드 환경에서 어떻게 SecOps 체계를 갖출 수 있는지에 대해 소개해 드리고자 합니다. 😃

 

 

😃 탐지, 조사, 대응 삼박자 갖추기

 

구글 클라우드는 탐지, 조사, 대응을 위한 서비스를 제공합니다. 엔터프라이즈 보안 측면에서 보자면 보안 운영 센터의 핵심 도구인 보안 정보 및 이벤트 관리(SIEM)와 보안 오케스트레이션(SOAR)을 제공한다고 할 수 있습니다. 구글 클라우드에서 SIEM 역할을 하는 것은 Chronicle이고, SOAR는 Siemplify입니다. 

 

Chronicle은 구글의 위협 인텔리전스와 결합하여 효율적으로 보안 정보 및 이벤트를 수집하고 관리합니다.

Chronicle과 일반적인 SIEM의 차이는 무엇일까요? 바로 클라우드 네이티브 솔루션이냐 아니냐로 구분하면 됩니다.

Chronicle의 보안 정보와 이벤트 수집 및 분석 능력은 스케일이 남다릅니다. Chronicle은 페타바이트 규모의 원격 측정을 합니다. 이렇게 측정한 데이터는 구글의 최신 위협 인텔리전스를 바탕으로 위협 여부를 신속히 판별합니다. 따라서 오탐(실제로 오류가 존재하지 않지만 오류라고 보고하는 경우)으로 인한 보안 운영자의 피로가 적습니다. 꼭 봐야 할 경보(alert)에 집중할 수 있다는 말입니다. Chronicle은 보안 운영 센터가 사용하는 각종 도구와 대시보드의 통합을 위해 API를 제공합니다. 

 

 

Chronicle을 잘 사용하는 조직에 가보면 단순히 위협 탐지 용도로 쓰지 않고 위협 헌팅을 통한 선제적 대응을 위한 솔루션으로 이용하는 경우가 많습니다. 😎👍

방대한 원격 측정 데이터를 빠르게 수집 및 평가해 경보를 생성하면, 보안 운영자가 경보를 확인한 후, 각종 침해 지표를 기준으로 세부 내용을 파악할 수 있습니다. 

 

 

 

 

😃  SIEM _ SOAR의 막강 조합

 

다음으로 알아볼 것은 Siemplify입니다. 사실 Chronicle와 Siemplify는 짝을 이뤄 시너지를 내는 관계에 있습니다.

어떻게 두 솔루션이 연계되는지 간단하게 소개드리겠습니다. 😎

보안 운영자는 Chronicle을 통해 위협을 탐지하고 분석합니다. 그리고 실제 위협으로 판명되면 Siemplify를 이용해 즉각 침해 조사와 대응에 나섭니다. 

 

Siemplify는 원래 보안 전문 기업이었습니다. 포춘500대 기업 중 많은 조직이 Siemplify의 고객이고 가트너 매지쿼더런트에서 리더 그룹에 속할 정도로 시장에서 인정을 받은 기업입니다. 2022년 1월 구글이 인수하면서 지금은 구글 클라우드의 일부가 되었습니다. Siemplify 역시 Chronicle처럼 클라우드 네이티브 보안 솔루션입니다. 

 

 

 

Siemplify는 침해 조사와 대응을 자동화 기반으로 수행합니다. 보안 운영자는 Siemplify의 마켓플레이스에서 제공하는 플레이북을 통해 손쉽게 자동화를 구현할 수 있습니다. 플레이북을 직접 만드는 것도 가능합니다.

플레이북을 통하면 보안 운영자는 침해 조사와 대응을 위해 여러 보안 솔루션의 관리자 콘솔 화면을 옮겨 다니며 번거롭게 일하지 않아도 됩니다.

 

👇 경보 생성부터 플레이북 실행과 대응이 이루어지는 과정은 다음과 같습니다. 보안 운영자의 개입 없이 자동으로 탐지, 조사, 대응이 이루어짐을 알 수 있습니다. 

또한, Siemplify는 보안 운영 센터의 일상적인 보안 관제와 탐지 및 대응 활동을 지속적으로 개선하는 데에도 유용합니다.

머신 러닝 기반 권고와 고급 분석을 통해 보안 운영 센터 운영 효율을 높일 수 있도록 지원합니다. 

 

구글의 앞으로의 목표는 Chronicle와 Siemplify을 긴밀히 통합하여 SecOps를 더 많은 조직이 손쉽게 구현할 수 있도록 하는 것이라고 합니다. 😃👍

 

이상으로 구글 클라우드가 제공하는 SecOps 서비스를 알아보았습니다. 하이브리드 멀티 클라우드 환경을 위한 SIEM, SOAR 활용 방안이 궁금하다면? 메가존이 도움을 드리겠습니다. 

 

 

 

이상으로 『 구글 클라우드가 제공하는 SecOps 서비스 』 에 대해 알아보았습니다. 😎

 

하이브리드 멀티 클라우드 환경을 위한 SIEM, SOAR 활용 방안이 궁금하다면? 언제든지 메가존소프트로 문의 바랍니다. 👉 메가존소프트 문의 바로가기