Qumulo를 사용하여 랜섬웨어로부터 파일 데이터를 보호하세요

작성자 :

모든 조직의 CISO는 자신의 감시에 대한 악성 코드 공격이 여부가 아니라 시기의 문제라는 것을 알고 있습니다. "최근 랜섬웨어 발생"을 Google에서 빠르게 검색하면 방어가 침해되어 데이터 손실, 데이터 도난, 수익 손실, 랜섬웨어 지불 등 다양한 결과를 겪은 대기업 및 중소기업 모두의 냉철한 목록이 나타납니다. 

공격 범위에 따라 그 영향은 회사 자체의 수익에만 영향을 미칠 수 있습니다. 민감한 재무 또는 의료 기록을 포함한 직원 또는 고객 데이터의 도난은 회사의 대차대조표를 넘어서는 후속 위험과 결과를 초래합니다. 더욱이 병원에 랜섬웨어 공격이 발생할 경우 진료가 지연되거나 거부될 수 있습니다. 

수익 및 비즈니스 손실 외에도 일부 산업에서는 중요한 비즈니스 시스템 및 데이터를 보호하지 못하면 벌금, 화해, 심지어 형사 책임까지 추가적인 규제 및 법적 처벌을 받을 수 있습니다. 그것만으로는 충분하지 않은 것처럼 스토리지 관리자, IT 책임자, CSO의 평판에 미치는 영향은 오래 지속되거나 영구적일 수도 있습니다.

랜섬웨어는 어떻게 침입합니까? 내가 방법을 세게 해줘…

사이버 범죄자는 영리한 전술을 사용하여 여러 계층에서 회사 환경에 침투하고 랜섬웨어를 배포합니다. 가장 일반적인 것 중 하나는 사회 공학입니다. 회사 내부자를 속여 자격 증명을 공유하거나 맬웨어를 다운로드하고 위협을 허용하는 피싱 이메일일 수 있습니다. 

USB 드라이브, 파트너 네트워크, 패치되지 않은 취약점, 쉽게 얻을 수 있는 비밀번호 등은 모두 맬웨어가 침투할 수 있는 잠재적인 위협 벡터입니다. 하이브리드 작업 모델은 더 많은 것을 창출합니다. 그렇기 때문에 보안에 대한 전체적인 접근 방식을 취하여 랜섬웨어 침입을 방지하고, 랜섬웨어 발생 시 감지 및 억제하며, 복구 계획을 마련하는 것이 중요합니다.

랜섬웨어: 공격의 해부

랜섬웨어는 네트워크 장치, IoT 장치, 데스크톱 컴퓨터, 서버, 디지털 카메라, 프린터, 외부 USB 드라이브 등 운영 체제나 디지털 연결이 있는 거의 모든 장치를 감염시킬 수 있습니다. 대부분의 랜섬웨어 공격의 목표는 데이터를 유출하거나 데이터를 암호화하여 조직이 데이터를 해독하기 위한 키 비용을 지불하도록 하는 것입니다. 공격은 일반적으로 다음 단계로 발생합니다.

  1. 네트워크 및 최소 하나의 초기 장치에 액세스
  2. 정보를 수집하기 위해 가능한 한 많은 추가 장치를 감염
  3. 데이터 추출
  4. 다음과 같은 추가 모듈을 배포합니다. 예를 들어 데이터 암호화
  5. 갈취를 위해 데이터 암호화

첫 번째 단계에서 침입자는 인프라(사용자, 데이터 흐름, 네트워크 토폴로지, 장치)에 대한 추가 정보를 계속 수집합니다. 그런 다음 이후 단계에서 데이터를 유출하거나 추가 악성코드를 로드하여 데이터에 액세스하고 파일을 암호화할 수 있는 다른 스레드를 시작합니다. 

그렇기 때문에 감염을 예방하거나 감염이 발생한 네트워크 및 컴퓨팅 장치의 지점에서 초기 단계를 감지하기 위해 공격 벡터에 중점을 둔 효율적인 위험 관리 전략이 필요합니다. 데이터 저장은 감염 주기의 마지막에 있습니다. 멀웨어가 오래 실행될수록 감염이 더 확산되어 재해 복구 및 작업 재개가 복잡해집니다.

Qumulo의 전체적 보안 아키텍처: 개요

에 대한 전체적인 보안 접근 방식 랜섬웨어 탐지 분석 및 상관 관계 분석을 위해 진입점에서 의심스러운 이벤트를 식별하기 위해 가능한 한 많은 장치에서 데이터를 캡처합니다. 탐지되면 랜섬웨어가 파일 저장소를 포함한 후속 계층에 액세스하지 못하도록 차단하는 조치가 취해집니다.

네트워크, 컴퓨팅, 장치 및 이벤트 모니터링 기술을 포함하는 전체론적 보안 접근 방식 구현 데이터 상관관계 및 분석, 스토리지 시스템에 내장된 사일로 보안 솔루션보다 선호됩니다. 목표는 랜섬웨어가 파일 데이터 근처에 접근하지 못하도록 하는 것입니다.

모든 Qumulo 시스템은 보안을 핵심으로 설계되었으며 데이터를 안전하게 유지하도록 설계된 광범위한 최신 기술과 데이터 서비스를 포함합니다. Qumulo의 소프트웨어 아키텍처는 기본적으로 개발된 프로토콜 스택을 갖춘 특수 목적 파일 시스템입니다. 파일 데이터 액세스 프로토콜에 타사 코드를 사용하지 않습니다. 정기적인 무중단 소프트웨어 업데이트에는 Qumulo 이미지 업데이트 및 버그 수정이 포함되며 알려진 취약점 및 노출(CVE) 문제가 발견되면 해결됩니다. 

이러한 이유로 Qumulo는 세 가지 도메인에 걸쳐 전체적인 보안 전략을 지원할 수 있습니다. 예방은 이 게시물에서 다룹니다. 침입 탐지는 시리즈의 두 번째 주제이며, 세 번째 게시물에서는 세 부분으로 구성된 시리즈의 두 번째 기사에서 데이터 복구 및 비즈니스 재개에 대해 다룰 것입니다.

Qumulo 소프트웨어 스택의 고유한 보안

랜섬웨어의 첫 번째 목표는 방화벽 뒤와 네트워크로 침투하여 악의적인 행위자가 감시하고 이동하며 더 심층적인 공격을 계획할 수 있도록 하는 것입니다. Qumulo의 소프트웨어 아키텍처에는 다음을 포함하여 랜섬웨어 및 기타 악용에 사용할 수 있는 위협 표면을 줄이기 위해 스택의 모든 수준에서 특정 보호 기능이 포함되어 있습니다.

보안 시스템 아키텍처

Qumulo 소프트웨어 스택은 처음부터 가장 엄격한 시스템 보안을 위해 설계되었습니다. 이러한 조치 중 상당수는 운영 환경 자체에 내재되어 있으며 모든 배포에서 모든 Qumulo 고객이 자동으로 사용할 수 있습니다.

Linux 환경 적응

Qumulo의 소프트웨어는 온프레미스 배포에서 Ubuntu 장기 지원 릴리스와 결합된 표준 엔터프라이즈급 하드웨어에서 실행되지만 기본 Linux 운영 체제는 잠겨 있어 Qumulo 소프트웨어의 필수 지원 작업을 수행하는 데 필요한 작업만 허용됩니다. 스택. 공격 위험을 더욱 줄이기 위해 다른 표준 Linux 서비스는 비활성화되었습니다.

완전 기본 소프트웨어 스택

Linux에는 NFS와 SMB 클라이언트 및 서버 서비스(예: Samba, Ganesha 등)를 모두 제공하는 오픈 소스 구성 요소가 포함되어 있지만 이러한 서비스는 Qumulo 소프트웨어 스택을 지원하는 강화된 Ubuntu 이미지에 포함되어 있지 않습니다. Qumulo는 Qumulo 운영 환경에서 데이터 액세스 프로토콜 NFS, SMB, FTP 및 S3에 사용되는 모든 코드를 개발하고 제어합니다. 타사 구성 요소의 알려지거나 발견된 취약점으로 인해 발생할 수 있는 모든 위험은 Qumulo의 독점 코드 제어를 통해 효과적으로 무력화됩니다.

사용자 공간 애플리케이션 실행

Qumulo 소프트웨어는 보안 코딩 모범 사례에 따라 개발되어 잠재적인 공격 표면과 악용 가능한 취약점의 위험을 더욱 줄일 뿐만 아니라 기본 Linux 운영 체제의 사용자 공간 내에 완전히 포함되어 있습니다. Linux 취약점이 발견되어 악용되더라도 공격자는 기본 어플라이언스에 대한 사용자 권한을 탈취할 수 있지만 여전히 Qumulo의 독점 관리 제어 또는 파일 시스템 데이터에 액세스할 수는 없습니다.

Qumulo의 보안 시스템 아키텍처 다이어그램

운영 체제와의 분리 수준

기본 운영 체제의 사용자 또는 권한을 Qumulo 운영 환경 내의 사용자 및 권한과 공유할 수 있는 경로나 수단은 없습니다. 기본 Linux 이미지의 모든 사용자 계정은 일반적으로 사용자 기반이 유지되는 Qumulo 플랫폼에서 인식되지 않습니다. Active Directory 또는 클러스터 내의 로컬 데이터베이스에 있습니다. 이는 스토리지 노드 또는 컨트롤러에 대한 로컬 액세스 권한이 있는 관리자 또는 루트 수준의 사용자가 파일 시스템 또는 로컬 볼륨 내를 포함하여 모든 데이터에 쉽게 액세스하고 조작할 수 있는 다른 파일 스토리지 플랫폼과는 다른 접근 방식입니다. .

즉각적인 업그레이드

Qumulo의 컨테이너 기반 아키텍처는 사용자 및 워크플로 중단을 최소화하는 고유한 업그레이드 프로세스를 지원합니다. 롤링 방식으로 노드별로 새로운 운영 소프트웨어가 이전 버전에 대한 병렬 컨테이너에 배포됩니다. 새 인스턴스가 초기화되면 이전 환경이 정상적으로 종료되고 전체 클러스터가 업그레이드될 때까지 다음 노드로 업그레이드가 진행됩니다.

이 프로세스는 몇 달에 한 번씩 사소한 업데이트를 출시하고 매년 주요 업데이트를 출시하여 새로운 보안 허점을 해결할 기회가 덜 빈번해지는 다른 스토리지 플랫폼의 프로세스와 비교하면 유리합니다.

미사용 소프트웨어 기반 데이터 암호화

온프레미스 Qumulo 클러스터의 모든 데이터는 AES 256비트 호환 알고리즘을 사용하여 디스크에 기록될 때 자동으로 암호화되므로 Qumulo 시스템의 모든 데이터는 시스템에 액세스할 수 있는 경우에도 악의적인 행위자로부터 보호됩니다. 물리적 미디어 자체. 

온프레미스 배포의 경우 소프트웨어 암호화는 파일 시스템 스택의 일부입니다. 암호화 알고리즘은 초기 클러스터 구축 프로세스의 일부로 초기화되고 모든 파일 시스템 데이터와 메타데이터를 블록 수준에서 압축합니다. 

클라우드의 Qumulo 클러스터는 클라우드 스토리지 계층 내의 블록 수준 암호화를 사용하므로 모든 Qumulo 인스턴스의 모든 미사용 데이터가 완전히 암호화됩니다.

Qumulo 시스템 및 데이터 보호 및 보안

그러나 Qumulo 아키텍처에 내재된 보안 기능 외에도 Qumulo 인스턴스와 인스턴스 자체의 데이터를 보호하기 위한 구성 가능한 제어 및 서비스 계층이 있습니다.

관리 보안

이 섹션에서는 높은 수준의 보안을 유지하기 위해 사용 가능한 옵션과 기타 권장 사례를 간략하게 설명합니다.

Active Directory 통합

승인된 계정으로만 시스템 액세스를 제한하고 암호화를 통해 디스크 수준에서 데이터를 보호해야 하는 필요성을 넘어 데이터 보호의 다음 계층에는 스토리지 및 데이터 액세스 권한과 사용 권한을 관리할 수 있는 사용자 계정의 안전한 디렉터리가 필요합니다.

Qumulo 소프트웨어는 관리 및 사용자 권한 모두에 Microsoft Active Directory(AD)를 활용하도록 설계되었습니다. 클러스터 관리 및 클라이언트 액세스 모두에 대해 AD 계정을 구성할 수 있습니다.

역할 기반 액세스 제어

RBAC(역할 기반 액세스 제어)를 사용하면 관리자는 일반 사용자 또는 그룹에 세분화된 권한을 할당하고 필요한 경우 권한을 최소화하면서 권한을 최소화할 수 있습니다. 이를 통해 사용자에게 전체 관리 권한을 부여하지 않고도 사용자에게 시스템 관리 및 관리 작업을 위임할 수 있습니다.

내장 된 것 외에 관리자 Qumulo 클러스터에 대한 모든 액세스 권한과 제어권을 가진 그룹에는 현재 두 가지 사전 정의된 역할이 더 있습니다.

  • 데이터 관리자: 데이터 관리자 역할은 API/CLI 사용자 계정에 이상적입니다. 이 역할을 사용하면 사용자 또는 그룹은 웹 UI에 액세스할 수 없지만 다른 일부 역할과 함께 관리자 역할과 동일한 파일 권한을 갖게 됩니다.
  • 관찰자: 관찰자 역할을 사용하면 사용자 또는 그룹은 몇 가지 예외(디버그 API 및 인증 설정)를 제외하고 웹 UI 및 읽기 전용 API에 액세스할 수 있는 권한을 갖게 됩니다.

현지와 마찬가지로 관리자, 이러한 그룹은 적절한 Active Directory 사용자 계정으로 채워져 필요한 권한을 부여하는 동시에 액세스 및 권한 사용에 대한 검증 가능한 감사 추적을 보장할 수 있습니다.

다단계 인증을 사용한 Single Sign-On

SSO(Single Sign-On)를 사용하면 관리자가 시스템에 액세스하기 위해 로그인 자격 증명을 다시 입력할 필요가 없습니다. 기업에서는 SSO가 로그인 프로세스를 간소화하여 관리자가 보다 편리하게 인증할 수 있을 뿐만 아니라 로그인 시도가 네트워크를 통과할 때 키 입력 로거를 통한 계정 도용이나 가로채기의 위험을 줄이기 때문에 SSO를 원합니다.

다중 요소 인증(MFA)은 로그인 프로세스에 또 다른 보안 계층을 추가하여 관리자가 별도의 장치에 있는 키 토큰이나 챌린지 요청에서 일회성 코드를 검색해야 합니다. 둘 다 소유하고 있지는 않습니다. 침입자. Qumulo는 OneLogin, Okta, Duo 및 Azure AD를 포함하되 이에 국한되지 않고 클러스터에 등록된 AD 도메인과 통합되는 모든 ID 공급자(IdP)를 지원합니다.

관리 트래픽 제한

관리자에게 Active Directory 계정을 사용하고 MFA를 사용한 SSO를 통해 인증하도록 요구하면 손상된 관리자 계정에서 액세스할 위험이 상당 부분 제거됩니다. 그러나 일부 조직에는 엔터프라이즈 시스템에 대한 관리자 액세스를 하나 이상의 특정 네트워크 또는 VLAN으로 제한하도록 요구하는 추가 보안 정책이 있습니다. 

개별 VLAN 수준에서 특정 TCP 포트를 차단하는 기능을 제공함으로써 Qumulo는 클라이언트 트래픽(예: SMB 및 NFS)에서 관리 트래픽(예: API, SSH 및 웹 UI)과 복제를 분할할 수 있습니다.

파일 시스템 및 데이터 보안

Qumulo에 내장된 모든 보안 제어 기능에 대해 업계 표준, Qumulo 모범 사례 및 자체 내부 보안 정책에 따라 시스템과 데이터를 구성하는 것은 여전히 ​​기업 관리자의 몫입니다.

지분 확보 및 수출

단일 테넌트 VLAN 내의 일부(전부는 아님) 사용자가 액세스해야 하는 클라우드 기반 클러스터 또는 공유/내보내기와 같이 멀티 테넌시가 실현 가능하지 않은 시나리오의 경우 Qumulo는 가시성을 제한하는 추가 옵션을 제공합니다. 주식과 수출.

액세스 기반 열거

Qumulo를 사용하면 무단 사용자로부터 SMB 공유를 숨길 수 있습니다. 또한 모든 공유에 대해 ABE(액세스 기반 열거)를 활성화할 수 있습니다. 이렇게 하면 사용자가 액세스 권한을 가진 파일과 폴더만 해당 사용자에게 표시됩니다. 사용자에게 폴더에 대한 읽기 또는 이와 동등한 권한이 없으면 해당 폴더는 사용자 보기에서 숨겨집니다.

공유 권한(SMB)

SMB 공유에 대한 액세스 수준은 개인 수준이나 그룹 멤버십을 기반으로 관리할 수도 있습니다. 권한 모델은 디렉터리 및 파일 수준 ACL보다 간단하여 읽기, 쓰기 및 변경 권한만 제공할 뿐만 아니라 개별 사용자 또는 그룹에 대해 해당 권한을 허용하거나 거부하는 옵션도 제공합니다.

액세스 권한 부여 여부에 관계없이 모든 사용자에게 SMB 공유를 숨길 수도 있습니다. 숨겨진 공유를 마운트하려면 잠재적인 침입자가 공유를 탐색하지 못하도록 차단하기 위해 공유 경로에 대한 명시적인 지식이 필요합니다.

수출 제한 및 호스트 액세스 규칙

클라이언트 IP 주소 범위에 따른 호스트 제한은 해당 공유의 사용자/그룹 권한과 관계없이 특정 호스트에 대한 공유/내보내기 액세스를 제한하여 공격 표면을 줄이는 좋은 방법을 제공합니다. 이 컨트롤의 버전은 현재 SMBv3 및 NFSv3 모두에서 사용할 수 있습니다.

파일 시스템 및 네트워크 수준 보안

공유 및 내보내기에 대한 액세스 보안에 초점을 맞춘 위에 설명된 제어 외에도 Qumulo는 각 공유 또는 내보내기 내의 디렉터리 및 파일에 대한 액세스를 관리하기 위한 다양한 보안 조치도 지원합니다.

Qumulo 운영 환경은 다양한 파일 액세스 프로토콜에 의해 정의된 보안 표준을 준수하고 Qumulo는 크로스 프로토콜 환경에서 데이터 보안을 극대화하기 위한 프로세스를 단순화하기 위해 다양한 사용자 정의 크로스오버 기능을 설계했지만 여전히 일부 프로토콜이 있습니다. 데이터 보안 관리에 있어서 수준 차이가 있습니다.

액세스 제어 목록

SMB 및 NFSv4를 통해 액세스되는 워크로드의 경우 Qumulo는 두 프로토콜에서 공유할 수 있는 Active Directory 및 Windows 스타일 액세스 제어 목록(ACL)을 통한 인증을 지원합니다.

유선 데이터 암호화

적절한 공유 및 데이터 수준 보안 설정이 있더라도 일부 기업에서는 무단 액세스로부터 데이터를 보호하기 위해 추가 데이터 보안 계층이 필요합니다. 공유 암호화는 필요한 경우 모든 SMB 공유에 대해 클러스터 전체에 구현하거나 일부 데이터에만 필요한 경우 공유별로 구현할 수 있습니다. 이를 필요로 하는 NFSv4.1 워크로드의 경우 Qumulo는 krb5i 패킷 보안을 지원하여 데이터 무결성을 보장하고 krb5p 패킷 암호화를 지원하여 전송 중에 데이터가 가로채거나 읽히는 것을 방지합니다.

전체적인 보호 전략

데이터를 보호하고 위험을 최소화하기 위해 고안된 모든 예방 조치, 정책 및 모범 사례에도 불구하고 악성 코드 공격이나 침입자가 중요한 시스템 및 데이터에 무단으로 액세스할 가능성에 대한 완벽한 보장은 없습니다. 

이 블로그 게시물은 Qumulo의 고유하고 구성 가능한 보안 기능 및 제어에 대한 높은 수준의 개요를 제공했습니다. 전체적인 보호 전략에는 발생하는 모든 공격을 신속하게 검색 및 억제하고 손실된 데이터나 영향을 받은 서비스를 신속하게 복원할 수 있도록 추가 전략과 사례가 필요합니다.

상세보기

문의

0 0 투표
좋아요^^
확인
나에게 알려주세요
손님
0 코멘트
오래된
최신 대부분의 투표
인라인 피드백
모든 댓글보기

관련 게시물

0
의견을 부탁드립니다.x
위쪽으로 스크롤