Cloud Security Posture Management (CSPM)

Cloud Security Posture Management (CSPM)

클라우드 인프라의 보안 구성 오류(Misconfiguration)를 자동으로 탐지하고 규정 준수 상태를 지속적으로 모니터링하는 보안 솔루션으로, IaC 스캔, 런타임 모니터링, 자동 수정을 통해 클라우드 보안 태세를 강화

목적: 보안 구성 오류 탐지, 규정 준수 검증, 보안 위험 가시성, 자동 수정

특징: 자동 스캔, 지속적 모니터링, 멀티클라우드 지원, IaC 통합, 자동 수정

핵심 기능: 구성 오류 탐지(공개 S3/과도한 IAM 권한/암호화 미적용/보안그룹 오픈), 규정 준수 검증(CIS Benchmark/PCI-DSS/HIPAA/GDPR), 보안 점수(Security Score/우선순위화), 자동 수정(Auto-Remediation/Lambda/Cloud Functions), IaC 스캔(Terraform/CloudFormation 배포 전 검증)

주요 CSPM 솔루션: Prisma Cloud(Palo Alto/멀티클라우드/CWPP 통합/강력한 정책), Wiz(에이전트리스/그래프 기반/빠른 스캔/스타트업), Orca Security(에이전트리스/SideScanning/취약점+CSPM), AWS Security Hub(AWS 네이티브/통합 대시보드/AWS 중심), Azure Security Center(Azure 네이티브/Defender 통합), GCP Security Command Center(GCP 네이티브/통합 뷰)

탐지 사례: 공개 스토리지(S3 Public/Blob Anonymous), 과도한 권한(Admin 권한 과다/와일드카드 정책), 암호화 미적용(S3/RDS/Disk 암호화 없음), 네트워크 노출(0.0.0.0/0 SSH/RDP 오픈), 로깅 미활용(CloudTrail/VPC Flow Logs 비활성화), MFA 미사용(루트 계정 MFA 없음)

규정 준수 프레임워크: CIS Benchmark(클라우드 보안 모범 사례), PCI-DSS(카드 데이터 보안), HIPAA(의료 정보 보호), SOC 2(서비스 조직 통제), GDPR(개인정보 보호), ISO 27001(정보보안)

IaC 통합: Shift Left(배포 전 검증), CI/CD 파이프라인 통합, Terraform/CloudFormation 스캔, 정책 as Code(OPA/Sentinel), 자동 차단(정책 위반 시 배포 실패)

장점: 보안 구성 오류 조기 발견, 자동화된 규정 준수, 멀티클라우드 통합 관리, 비용 절감(보안 사고 예방)

단점: False Positive, 도구 비용, 초기 설정 복잡도, 정책 커스터마이징 필요

적용사례: 금융(규정 준수), 스타트업(보안 자동화), 대기업(멀티클라우드 거버넌스)

비교: CSPM(보안 구성) vs CWPP(워크로드 보호) vs CNAPP(통합 플랫폼)

연관: 클라우드 보안, IaC, DevSecOps, 규정 준수, Zero Trust