검색
이 검색 상자를 닫습니다.

차례

아키텍처

  • 솔루션 아키텍처
  • 프로세스 흐름
  • 구성 요소들

솔루션 이점

  • 잠재적 사용 사례

고려

  • 확장 성 및 성능
  • 보안
  • 유효성
이 시나리오 배포
참여자
다음 단계
관련 자료

참조 아키텍처 – ANQ와 Varonis 통합

Qumulo와 Varonis는 클라우드 및 온프레미스 환경에서 SMB 워크로드에 대한 랜섬웨어 공격으로부터 Qumulo 고객을 보호하는 엔드투엔드 솔루션을 제공하기 위해 협력했습니다. 이 문서에서는 Varonis SaaS를 사용하여 악의적인 행위자에 대한 강력한 보안 방어를 제공하는 Azure 네이티브 Qumulo 확장 가능 파일 서비스(ANQ) 배포에서 맬웨어 및 무단 데이터 액세스를 감지하고 대응하기 위한 실시간 솔루션에 대해 설명합니다.  

아키텍처

Azure 네이티브 Qumulo 클러스터의 감사 로그는 파일 액세스 및 수정, 데이터 공유 및 권한 관리, 시스템 구성 변경과 같은 사용자 중심 작업을 추적합니다.

이 솔루션에서 Qumulo 감사 로그는 Azure 기반 Varonis 인스턴스로 스트리밍되며, 여기서 독점 패턴 인식 알고리즘을 사용하여 분석되어 비정상적인 활동을 감지합니다. 결합된 솔루션은 랜섬웨어 및 맬웨어를 삽입하려는 악의적인 행위자의 시도로부터 보호하기 위해 권한 강화 및 지속적인 분석을 통한 방지, 스토리지 및 데이터 계층 전반에 걸친 비정상적인 활동 탐지, 성공 시 데이터 복구라는 세 가지 주요 측면에서 작동합니다. 공격.

솔루션 아키텍처

프로세스 흐름

위에 표시된 것처럼 통합 프로세스에는 Qumulo 클러스터가 감사 로그를 Qumulo Broker로 보내는 작업이 포함되며, Qumulo Broker는 로그를 필요한 형식으로 변환하여 Varonis Collector로 전달합니다. Qumulo Broker는 이벤트를 Varonis Collector에 전달하는 서비스인 RabbitMQ 메시지 트래픽용 API 서비스도 제공합니다.

Varonis 수집기는 ANQ에 연결하고, 폴더를 검색하고, 파일 내용을 분류하고, 액세스 이벤트를 추출합니다. 추출된 메타데이터(폴더 및 파일 권한, 분류 레이블, 액세스 이벤트)는 Varonis Data Security Platform 클라우드에 업로드됩니다.

이 아키텍처는 세 가지 주요 차원을 통해 랜섬웨어 및 맬웨어로부터 보호하는 데 중점을 둡니다.

  • 예방: Varonis Data Security Platform은 Qumulo 클러스터에서 Varonis SaaS 애플리케이션으로 전송된 감사 로그를 지속적으로 모니터링하여 랜섬웨어 예방에 중요한 역할을 합니다. Varonis는 이러한 로그를 분석하여 사용자 권한을 이해하고 액세스 수준을 평가합니다. 사용되지 않는 권한을 제거할 것을 권장하고 의심스럽거나 비정상적인 권한 변경이 감지되면 관리자에게 경고합니다. 그런 다음 사용자는 Varonis SaaS 애플리케이션 내에서 수정 조치를 취할 수 있습니다.
  • 발각: Varonis는 알려진 랜섬웨어 및 공격 패턴을 식별하기 위해 위협 피드 및 블랙리스트를 포함한 위협 인텔리전스를 사용합니다. 악의적인 활동을 나타낼 수 있는 비정상적인 동작을 감지하기 위해 새로운 공격 방법에 대한 Qumulo 감사 로그에 기계 학습이 적용됩니다. 여기에는 파일 활동, 액세스 권한 및 액세스 패턴의 변경 사항을 모니터링하고 이상이 감지되면 경고를 트리거하는 것이 포함됩니다.

회복: 공격이 발생한 경우 복구 계획을 마련하는 것이 중요합니다. Qumulo를 사용하면 관리자는 시간이 지남에 따라 여러 데이터 복사본을 유지하는 스냅샷 정책을 만들 수 있습니다. 공격자가 상승된 권한을 얻어 데이터 암호화를 시도하더라도 Qumulo의 스냅샷 잠금 기능은 공격자가 기존 스냅샷을 삭제하거나 암호화하는 것을 방지합니다. 이 접근 방식은 공격을 격리하여 관리자가 손상되지 않은 데이터로 되돌리고 필요할 때 정상적인 작업을 재개할 수 있도록 합니다.

구성 요소들

솔루션 이점

Qumulo와 Varonis SaaS의 통합은 다음을 포함하여 조직에 여러 가지 이점을 제공합니다.

  • 포괄적인 데이터 보안: Varonis SaaS는 ANQ의 데이터 보호 기능을 보완하는 고급 위협 탐지, 데이터 분류 및 액세스 제어 기능을 제공합니다. 이러한 통합을 통해 데이터는 항상 보호되고 잠재적인 위협은 신속하게 감지 및 완화됩니다.
  • 향상된 데이터 관리: Qumulo의 실시간 분석과 Varonis의 데이터 분류 기능을 통해 조직은 데이터에 대한 더 나은 가시성과 제어력을 확보할 수 있습니다. 민감한 데이터를 식별하고, 사용량을 추적하고, 보다 효율적으로 관리할 수 있습니다.
  • 규정 준수 준비: Varonis의 규정 준수 기능을 통해 조직은 GDPR, CCPA 및 HIPAA와 같은 다양한 데이터 보호 규정을 준수할 수 있습니다. Qumulo와의 통합을 통해 데이터가 규정을 준수하는 방식으로 저장되고 관리됩니다.

잠재적 사용 사례

  • 액세스 제어 관리: Varonis SaaS는 세분화된 액세스 제어 기능을 제공하므로 관리자는 자신의 역할과 책임에 따라 사용자 액세스를 관리할 수 있습니다. 이는 여러 프로토콜에 대한 Qumulo의 지원을 보완하여 인증된 사용자만 데이터에 액세스할 수 있도록 보장합니다.

Varonis는 근접 일치, 제외 키워드 및 알고리즘 검증과 같은 고급 기술을 사용하여 Qumulo 파일 공유 내의 민감한 데이터를 식별합니다. 이는 정규 표현식을 뛰어넘어 고정밀 결과를 제공합니다.

  • 위협 탐지 및 위험 관리: Varonis는 행동 기반 위협 모델을 사용하여 비정상적인 데이터 활동을 실시간으로 식별하고 데이터 침해를 사전에 예방합니다.

Varonis는 데이터 보안 상태를 실시간으로 볼 수 있는 맞춤형 대시보드를 제공합니다. 사용자는 특정 사용자 또는 그룹을 자세히 살펴보고 데이터 액세스 권한 및 활동을 확인할 수 있으므로 위험을 효과적으로 관리하고 완화할 수 있습니다.

고려

ANQ와 Varonis의 통합은 조직에 포괄적인 데이터 보호 및 관리 솔루션을 제공합니다. Qumulo의 데이터 보호 기능을 보완하는 고급 위협 탐지, 데이터 분류 및 액세스 제어 기능을 제공합니다. 이러한 통합을 통해 데이터가 보호되고 효율적으로 관리되며 다양한 데이터 보호 규정을 준수할 수 있습니다.

확장 성 및 성능

Qumulo Broker 미들웨어 계층은 ANQ를 Varonis와 통합하는 데 중요하며 표준 Rsyslog 서비스 기능 및 Docker를 기반으로 구축되었습니다. 이 통합을 위해 선호하는 Linux 배포판을 사용할 수 있습니다. 감사 로그는 빠른 변환을 위해 컴퓨터 메모리에 저장되며 Rsyslog는 수신 로그 번호에 따라 자동으로 스레드 수를 늘릴 수 있습니다.

기본 설계를 통해 하나 이상의 ANQ 서비스에서 발생하는 과도한 작업 부하를 쉽게 처리할 수 있습니다. 그러나 성능에 병목 현상이 발생하는 경우 첫 번째 접근 방식은 Qumulo Broker 시스템의 CPU 및 메모리 리소스를 늘리는 것입니다. 

Varonis SaaS는 본질적으로 확장 가능한 데이터 보안 플랫폼입니다. 성능 및 용량 요구 사항에 따라 확장할 수 있습니다.

보안

Azure 네이티브 Qumulo 확장 가능 파일 서비스는 완전히 라우팅 가능하고 안전하며 리소스에만 표시되는 VNet 주입을 사용하여 Azure 환경에 연결합니다. 사용자 환경과 ANQ 클러스터 간의 IP 공간 조정은 필요하지 않습니다.

Qumulo의 스냅샷 잠금 기능은 기존 스냅샷 수정을 방지합니다. 이 기능을 통해 스토리지 관리자는 공격을 격리하고 억제할 수 있으며, 정규 작업을 위해 영향을 받지 않은 데이터로 되돌릴 수 있습니다.

Qumulo는 HIPAA, SOC 2 Type II 및 FIPS 140-2 Level 1을 포함한 여러 표준 보안 프레임워크 및 프로토콜을 준수합니다. 자세한 내용은 다음을 참조하세요. Qumulo 규정 준수 자세 Qumulo 코어 관리자 가이드에서.

유효성

솔루션에는 개별적으로 고려하고 비즈니스 정책에 따라 가용성 시나리오를 제공할 수 있는 다양한 구성 요소가 있습니다. 자세한 내용은 Qumulo 또는 Varonis 담당자에게 문의하세요.

이 시나리오 배포

인바운드 및 아웃바운드 네트워킹에 대한 자세한 내용은 다음을 참조하세요. Qumulo Core에 필요한 네트워킹 포트

참여자

이 기사는 Qumulo에서 관리합니다. 원래 다음 기여자가 작성했습니다.

주요 저자:
베라트 G. 울루알란 | Qumulo의 솔루션 아키텍트

다음 단계

관련 리소스

위쪽으로 스크롤