데이터 보호: 맬웨어에 대한 Qumulo의 예방 제어 사용 Qumulo의 파일 데이터 플랫폼에서 보안 제어 및 데이터 보호 기능을 활용하는 데 도움을 주기 위해 XNUMX월에 발행된 XNUMX부작 시리즈 중 두 번째입니다.
Qumulo 파일 데이터 플랫폼은 공격의 위험 표면을 효율적으로 최소화하도록 구축되었습니다. 에서 이 시리즈의 첫 번째 항목, 보안 아키텍처를 소개했습니다. 이제 우리는 다음과 같은 주요 예방 통제에 집중할 것입니다. 랜섬웨어 감지 파일 저장소에서 다른 맬웨어를 멀리 유지하는 데 도움이 됩니다.
잠긴 Linux 버전
쿠물로는 소프트웨어 정의 파일 데이터 플랫폼, 현재 버전의 우분투 Linux에서 실행되도록 빌드되었습니다. 기본 Linux 운영 체제는 파일 시스템의 작업을 수행하는 데 필요한 작업만 허용하기 위해 잠겨 있습니다. 다른 많은 표준 Linux 서비스는 공격에 대한 위험 표면을 줄이기 위해 비활성화됩니다.
사용자 공간 적용
Qumulo의 파일 데이터 플랫폼은 완전히 사용자 공간 애플리케이션으로 구축되었습니다. 이것은 많은 장점이 있으며 맬웨어에 대한 예방 제어와 관련된 사항은 다음과 같습니다.
- Qumulo 노드에 대한 직접 데이터 액세스가 없습니다. 공격자가 로컬 루트 사용자 권한 및 액세스 권한을 획득했더라도 노드의 데이터에 직접 액세스할 수 있는 방법은 없습니다. 이는 노드의 관리자가 모든 데이터를 로컬에서 액세스하고 조작할 수 있는 다른 스토리지 공급업체의 구현과 다릅니다. SMB 또는 NFS를 통해 데이터에 액세스하려면 노드에 추가 소프트웨어를 설치해야 합니다. (API 데이터 액세스는 여전히 가능하지만 API를 통해 원격으로 데이터에 액세스하는 것처럼 루트가 아닌 사용자의 API 데이터 액세스를 위한 액세스 토큰이 필요합니다.)
- 완전히 개발된 기본 프로토콜 스택. 데이터 액세스 프로토콜을 구현하는 데 사용되는 타사 또는 오픈 소스 구성 요소(예: Ganesha, Samba 등)가 없습니다. Qumulo는 모든 데이터 액세스 프로토콜에 대한 모든 단일 코드 라인을 개발하고 제어합니다. Qumulo가 모든 코드를 제어하기 때문에 타사 구성 요소의 알려진 취약점으로 인해 나타날 수 있는 위험은 낮거나 XNUMX입니다.
- OS와의 분리 수준. 기본 OS와 사용자 또는 권한을 공유할 수 있는 수단이 없습니다. 기본 Linux OS의 사용자는 Qumulo에서 "알 수 없습니다". Qumulo의 사용자는 일반적으로 Active Directory 또는 로컬 데이터베이스에서 유지 관리되지만 기본 OS와 공유되지 않습니다.
- 안전한 코딩 관행. Qumulo 소프트웨어는 보안 코딩 모범 사례에 따라 개발되었으며, 이는 표면 공격과 악용 가능한 취약점의 위험을 더욱 줄입니다. 운영 체제 취약점이 발견되어 악용되더라도 공격자는 사용자 권한을 얻지만 데이터에 액세스할 수 없습니다.
격주 업데이트
Qumulo의 업그레이드 프로세스는 매우 간단하므로 XNUMX주마다 새 코드를 배송할 수 있습니다. 이는 신속한 혁신을 가능하게 할 뿐만 아니라 향상된 보안을 가능하게 합니다. Qumulo 및 기본 OS에 대한 보안 수정 사항은 필요한 경우 격주로 새 버전과 함께 자동으로 제공됩니다. 사후 대응 패치가 필요한 경우 맬웨어에 대한 예방 제어를 위해 Qumulo의 가속 릴리스를 사용하여 더욱 빠르게 사용할 수 있습니다.
우리 릴리스는 보안 커뮤니티에서 최고의 취약성 평가 도구 중 하나로 인정하는 Qualys Vulnerability Manager를 사용하여 주기적으로 테스트됩니다.
역할 기반 액세스 제어
RBAC(역할 기반 액세스 제어)를 통해 관리자는 일반 사용자 또는 그룹에 세분화된 권한을 할당하고 필요한 경우 권한을 최소화하면서 권한을 완화할 수 있습니다. 이를 통해 관리자로부터 안전한 방법으로 작업을 위임할 수 있습니다. Qumulo Auditing 기능과 함께 매우 통제되고 안전한 관리 프레임워크를 배포하여 무단 액세스를 방지할 수 있습니다.
현재 세 가지 사전 정의된 역할이 있습니다.
- 관리자: Qumulo 관리자는 클러스터에 대한 전체 액세스 및 제어 권한을 갖습니다.
- 데이터 관리자: t데이터 관리자의 역할은 API/CLI 사용자에게 이상적입니다. 이 역할을 사용하면 사용자 또는 그룹은 웹 UI에 액세스할 수 없지만 일부 다른 사용자와 함께 관리자 역할과 동일한 파일 권한을 갖습니다.
- 관찰자: w관찰자 역할을 통해 사용자 또는 그룹은 몇 가지 예외(디버그 API 및 인증 설정)를 제외하고 웹 UI 및 읽기 전용 API에 액세스할 수 있는 권한을 갖습니다.
Qumulo의 RBAC 기능에 대한 자세한 내용은 다음을 참조하십시오. Qumulo Core를 사용한 RBAC(역할 기반 액세스 제어).
할당량
Qumulo 지원 지능형 할당량 모든 할당량이 실시간 쿼리 집합을 실행하는 정책임을 보장합니다. 전체 디렉토리 구조를 트리 워킹해야 하고 완료하는 데 며칠이 걸릴 수 있는 기존 시스템과 달리 지능형 할당량은 즉시 시행할 수 있습니다. 이 접근 방식의 이점에는 특정 시점에 스토리지가 할당되는 방식을 보여주는 실시간 가시성과 함께 악성 애플리케이션 및 사용자에 대한 실시간 진단 및 시행이 포함됩니다.
보안 관점에서 Intelligent Quotas는 파일 시스템에 무제한 데이터 쓰기로 인한 잠재적인 맬웨어의 영향을 줄입니다. 또한 의심스러운 동작이 감지되면 할당량을 0으로 설정하면 디렉터리에 대한 모든 쓰기가 즉시 중지됩니다.
승인되지 않은 사용자로부터 SMB 공유 숨기기
Qumulo 허용 SMB 공유 숨기기 승인되지 않은 사용자로부터. 공유를 탑재하려면 잠재적인 침입자가 공유를 탐색하지 못하도록 차단하는 공유 경로에 대한 명시적인 지식이 필요합니다. 또한, 액세스 기반 열거 모든 공유에 대해 활성화할 수 있습니다. 이렇게 하면 사용자에게 액세스 권한이 있는 파일과 폴더만 해당 사용자에게 표시됩니다. 사용자에게 폴더에 대한 읽기 또는 이에 상응하는 권한이 없는 경우 폴더는 사용자의 보기에서 숨겨집니다.
호스트 제한
클라이언트 IP 주소 범위에 따른 호스트 제한은 해당 공유의 사용자/그룹 권한과 관계없이 특정 호스트에 대한 공유/내보내기 액세스를 제한하여 위험 노출 영역을 줄이는 좋은 방법을 제공합니다. 이 제어는 현재 SMBv3 및 NFSv3 모두에서 사용할 수 있습니다.
배포 요구 사항에 따라 다른 주소 범위에 전체, 읽기 전용 또는 액세스 권한이 부여되지 않을 수 있습니다. 호스트 권한은 "최소 권한" 기준으로 사용자/그룹 공유 권한 및 파일 권한과 상호 작용합니다. 즉, 특정 파일에 대한 권한이 부여되기 위해서는 파일 권한, 공유 사용자 권한 및 공유 호스트 권한이 모두 있어야 함을 의미합니다. 허락해.
SMB 호스트 제한 사항 클라이언트 IP 주소 범위는 SMB 프로토콜의 일부가 아닙니다. 이 기능을 구현함으로써 Qumulo는 SMB 보안의 추가 계층을 제공합니다.
Qumulo Core를 사용한 SMB3 암호화
Qumulo 지원으로 SMB3 암호화, 클러스터 전체 수준 또는 공유 수준 암호화를 활성화할 수 있습니다. 환경 및 워크플로에 따라 클라이언트가 암호화가 필요한 단일 공유에 대해 암호화를 사용하고 동일한 세션에 없는 공유에 연결할 수 있도록 클러스터 전체 설정 대신 공유 수준 암호화를 구성할 수 있습니다.
미사용 데이터 암호화
쿠물로 코어 소프트웨어 기반 암호화 Qumulo Core 3.1.5 이상으로 생성된 모든 온프레미스 클러스터에 대해 미사용 데이터를 보호하여 파일 데이터의 완전한 암호화를 제공합니다. 키는 데이터를 암호화하고 데이터 키 자체를 암호화하는 데 사용됩니다. 마스터 키는 데이터 자체의 암호를 해독하는 데이터 키를 암호화하기 위해 추가 보안 계층을 위해 루트만 액세스할 수 있는 파일로 클러스터의 모든 부팅 드라이브에 사용 및 저장됩니다. 그렇게 하면 도난당한 디스크 또는 폐기된 디스크를 획득하는 공급망의 악의적인 행위자와 같은 잠재적인 위협으로부터 데이터를 보호할 수 있습니다.
이것은 멀웨어에 대한 Qumulo의 예방적 보안 제어입니다. 아래에 링크된 시리즈의 나머지 부분에서는 탐지 및 교정 제어에 대해 배웁니다.
자세히 알아보기
- 꾸 울로 맬웨어 대응을 위한 보안 아키텍처 및 모범 사례
- Qumulo 보안 아키텍처 소개 및 모범 사례
- 데이터 유출에 대해 Qumulo의 탐정 컨트롤을 사용하는 방법
- 데이터 손실을 최소화하기 위해 Qumulo의 수정 컨트롤을 사용하는 방법
문의하기
시승하기. 대화형 핸즈온 랩에서 Qumulo 클러스터를 데모하거나 데이터를 Amazon S3로 이동하십시오.
Qumulo 블로그 구독 고객 사례, 기술 통찰력, 업계 동향 및 제품 뉴스를 제공합니다.
