오늘 Elastic에서 제공하는 새로운 Cloudflare Zero Trust 대시보드를 발표하게 되어 기쁩니다. Elastic을 사용하는 공유 고객은 이제 사전 구축된 대시보드를 사용하여 Zero Trust 로그를 저장, 검색, 분석할 수 있습니다.
조직에서 Zero Trust 아키텍처를 도입하려고 할 때 고려해야 할 요소가 많습니다. 제품이 잘못 구성되거나, 악의적으로 사용되거나, 프로세스 중에 어떻게든 보안이 침해되면, 조직은 데이터에서 빠르고 효율적으로 인사이트를 얻을 수 없는 근본적인 보안 위험에 노출될 수 있습니다.
Cloudflare 기술 파트너로서 Elastic에서는 Cloudflare 고객이 필요한 것을 더 빨리 찾고, 앱을 원활하게 실행하며 사이버 위협으로부터 보호되도록 지원합니다. “로그 및 분석 대시보드를 훨씬 더 쉽게 배포할 수 있게 해주는 Cloudflare 와의 협력 관계를 공유하게 되어 기쁩니다. 이 파트너십은 Elastic의 개방형 접근 방식과 Cloudflare 의 실용적인 솔루션을 결합하여, 기업 검색, 관찰 가능성, 보안 배포를 위한 간단한 도구를 제공합니다”라고 Elastic의 최고 매출 책임자인 Mark Dodds는 설명합니다.
Elastic에서 Zero Trust 로그의 가치
이 합작 솔루션 덕분에 저희는 고객이 Logpush 작업을 통해 Zero Trust 로그를 손쉽게 Elastic에 전달할 수 있도록 보장하게 되었습니다. RESTful API나 AWS S3 또는 Google Cloud와 같은 중간 스토리지 솔루션을 통해 직접 이를 수행할 수 있습니다. 또한, Cloudflare와 Elastic의 통합은 Cloudflare에서 생성되는 모든 Zero Trust 로그 범주를 포함할 수 있도록 개선되었습니다.
주요 기능 통합으로 제공되는 혜택은 다음과 같습니다.
- 포괄적인 가시성: Cloudflare Logpush를 Elastic에 통합함으로써 조직에는 Zero Trust 관련 이벤트를 실시간으로 포괄적으로 볼 수 있는 가시성이 제공됩니다. 이를 통해 누가 언제 어디서 리소스와 앱에 액세스하는지 세부적으로 파악할 수 있습니다. 향상된 가시성으로 비정상 행동과 잠재적인 보안 위협을 더 효과적으로 감지하여 조기에 대응하고 완화할 수 있습니다.
- 필드 정규화: Zero Trust 로그의 데이터를 Elastic에서 통합하면, Zero Trust 로그 뿐만 아니라 다른 소스에 대해서도 일관된 필드 정규화를 적용할 수 있습니다. 이를 통해 데이터가 균일한 형식으로 표시되므로 검색 및 분석 프로세스가 간소화됩니다. 또한 정규화를 거치면 경고 생성과 악의적 활동 또는 비정상적인 활동 패턴을 쉽게 식별할 수 있습니다.
- 효율적인 검색 및 분석: Elastic은 강력한 데이터 검색 및 분석 기능을 제공합니다. Elastic에서 Zero Trust 로그를 사용하면 특정 정보로 빠르고 정확하게 검색할 수 있습니다. 이는 보안 사고를 조사하고, 워크플로우를 이해하며, 정보에 입각한 결정을 내리는 데 아주 중요합니다.
- 상관관계 및 위협 감지: Zero Trust 데이터를 다른 보안 이벤트 및 데이터와 결합함으로써, Elastic은 더 심층적이고 효과적인 상관관계를 구축할 수 있습니다. 이는 각 데이터 소스를 개별적으로 분석할 때 눈에 띄지 않을 수 있는 테이블을 감지하는 데 필수적입니다. 상관 관계는 패턴을 식별하고 정교한 공격을 감지하는 데 도움이 됩니다.
- 사전 구축된 대시보드: 이 통합을 통해 주요 메트릭 및 패턴 시각화를 빠르게 시작할 수 있는, 즉시 사용 가능한 대시보드가 제공됩니다. 이러한 대시보드는 보안팀에서 보안 환경을 명확하고 간결한 방식으로 시각화하는 데 도움이 됩니다. 이를 통해 Zero Trust 데이터 세트용으로 설계된 미리 구축된 대시보드의 이점을 이용할 수 있을 뿐만 아니라 사용자가 직접 시각화를 큐레이션할 수 있습니다.
대시보드의 새로운 기능
이러한 통합의 주요 자산 중 하나는 바로 각 Zero Trust 로그 유형에 맞게 특별히 설계된 즉시 사용 가능한 대시보드입니다. 이러한 대시보드를 더 자세히 살펴보고 가시성 측면에서 도움이 되는 방법을 알아보겠습니다.
Gateway HTTP
이 대시보드에서는 HTTP 트래픽에 초점을 두고 Cloudflare의 보안 웹 게이트웨이를 통과하는 HTTP 요청을 모니터링하고 분석할 수 있습니다.
여기에서 트래픽 패턴을 식별하고 잠재적인 위협을 감지할 수 있으며 네트워크 내에서 리소스가 사용되는 방식을 더 잘 이해할 수 있습니다.
단계의 모든 시각화는 대화형으로 제공됩니다. 따라서 전체 대시보드가 활성화된 필터에 맞게 조정되며 대시보드 전체에 고정되어 회전시킬 수 있습니다. 예를 들어 도너츠의 다른 섹션 중 하나를 클릭하여 해당 값에 자동으로 필터를 적용하고 전체 대시보드는 해당 값을 기준으로 설정합니다.
CASB
또 다른 관점에서 볼 경우 CASB(클라우드 액세스 보안 브로커) 대시보드에서는 사용자가 이용하는 클라우드 앱에 대한 가시성이 제공됩니다. 이 시각화는 형태가 효과적으로 감지되도록 설계되어 있어 위험 관리와 규제 준수에 도움이 됩니다.
이 예에는 Cloudflare와 Elastic이 통합된 경우 대시보드에서 Zero Trust를 위한 실용적이고 효과적인 데이터 시각화가 제공되는 방법이 나와 있습니다. 이를 통해 데이터 기반 의사 결정을 내리고, 행동 패턴을 식별하며, 위협에 사전에 대응할 수 있습니다. 이 대시보드에서는 관련 정보가 시각적으로 접근하기 쉬운 방식으로 제공되므로 보안 상태를 강화하고 Zero Trust 환경에서 위험을 보다 효율적으로 관리할 수 있습니다.
시작 방법
설정과 배포는 간단합니다. Cloudflare 대시보드 또는 API를 사용하여 Elastic에서 수집하려는 각 데이터 세트에 대해 모든 필드를 활성화한 상태에서 Logpush 작업을 생성하세요. 지금 사용할 수 있는 8개의 계정 범위 데이터 세트(액세스 요청, 감사 로그, CASB 결과, DNS, 네트워크, HTTP를 포함한 게이트웨이 로그, Zero Trust 세션 로그)는 Elastic으로 수집할 수 있습니다.
다음과 같은 방법 중 하나로 Elastic 대상에 Logpush 작업을 설정합니다.
- HTTP 엔드포인트 모드 - Cloudflare에서는 Elastic 에이전트가 호스팅하는 HTTP 엔드포인트로 로그를 직접 푸시합니다.
- AWS S3 폴링 모드 - Cloudflare에서는 S3에 데이터를 쓰고, Elastic 에이전트는 S3 버킷의 콘텐츠를 나열하고 새 파일을 읽어 S3 버킷을 폴링합니다.
- AWS S3 SQS 모드 - Cloudflare에서는 S3에 데이터를 쓰고, S3에서 SQS에 새 개체 알림을 푸시하며, Elastic 에이전트가 SQS로부터 알림을 수신한 다음 S3 개체를 읽습니다. 이 모드에서는 여러 에이전트를 사용할 수 있습니다.
Elastic에서 통합 활성화하기
- Kibana에서 관리 > 통합으로 이동합니다
- 통합 검색 표시줄에 Cloudflare Logpush를 입력합니다.
- 검색 결과에서 Cloudflare Logpush 통합을 클릭합니다.
- Cloudflare Logpush 추가 버튼을 클릭하여 Cloudflare Logpush 통합을 추가합니다.
- HTTP 엔드포인트와 통합이나 AWS S3 입력이나 GCS 입력을 활성화합니다.
- AWS S3 입력에는 AWS S3 버킷을 사용하는 것과 SQS를 사용하는 것의 두 가지 유형이 있습니다.
- 로그를 Elastic 에이전트에 보내도록 Cloudflare를 구성합니다.
다음 단계
조직에서 점점 더 Zero Trust 아키텍처를 채택하는 경우가 많아짐에 따라 조직의 보안 상태를 이해하는 것이 무엇보다 중요해졌습니다. 대시보드는 가시성, 조기 감지, 효과적인 위협 대응을 중심으로 강력한 보안 전략을 구축하는 데 필요한 도구를 알려줍니다. 데이터 통합, 필드 정규화, 검색 활성화, 사용자 지정 대시보드 생성 활성화 등을 통해 이러한 통합은 보안 상태를 강화하려는 사이버 보안팀에 귀중한 자산이 됩니다.
저희는 Cloudflare 고객을 기술 파트너 커뮤니티와 연결하는 활동을 계속하여 Zero Trust 아키텍처를 채택하는 데 도움을 드릴 계획입니다.
이 새로운 통합을 지금 살펴보시기 바랍니다.