Cato 위협 방지 구현 모범 사례

Cato 보안 서비스 개요

Cato 클라우드에는 강력한 보안 서비스가 포함되어 있어 구성하기 쉽고 네트워크를 안전하게 보호합니다. 이 문서에서는 다양한 위협 방지 서비스에 대한 권장 사항과 모범 사례를 설명합니다.

Cato 클라우드는 계정을 위한 두 개의 보호 계층을 제공합니다:

  • 액세스 계층 - WAN 및 인터넷 트래픽용 방화벽 포함

  • 보안 계층 - Cato 위협 방지 서비스 포함: 안티멀웨어, NG 안티멀웨어, IPS

Cato 클라우드는 방화벽의 규칙을 적용하여 트래픽 허용 여부를 결정합니다. 또한, 위협 방지 서비스는 악성 소프트웨어, 네트워크 기반 취약성, 악성 네트워크 활동 등을 분석합니다.

액세스 계층

각 네트워크 흐름은 WAN 및 인터넷 방화벽에 의해 검사됩니다. WAN 방화벽은 사이트, 사용자, 호스트, 서브넷 등과 같은 조직 엔터티 간의 트래픽을 허용하거나 차단할 수 있습니다. 인터넷 방화벽을 통해 웹사이트 및 웹 기반 애플리케이션 액세스를 제어할 수 있습니다.

기본적으로 Cato의 WAN 방화벽은 허용 목록 접근 방식을 사용하며, 방화벽 규칙에 명시적으로 정의된 트래픽만 허용하고 모든 미확인 트래픽을 차단합니다. 인터넷 방화벽은 인터넷으로의 트래픽을 제어하며 차단 목록 접근 방식을 사용합니다. 최종 인터넷 방화벽 규칙은 암시적이며 모든 접근을 허용하는 규칙이기 때문에 인터넷에 대한 연결을 명시적으로 차단하는 규칙을 정의해야 합니다.

Cato는 즉시 사용할 수 있도록 네트워크 트래픽 관리에 도움을 주는 수십 개의 서비스와 애플리케이션을 포함하는 여러 사전 정의된 카테고리를 제공합니다. 이 카테고리는 Cato 보안 팀에 의해 정기적으로 업데이트됩니다.

기본적으로 인터넷 방화벽은 잠재적으로 위험한 트래픽 카테고리를 차단하는 규칙을 포함합니다. 해당 규칙을 비활성화 하지 않고 네트워크에 최고의 보안을 제공하는 것을 강력히 권장합니다.

보안 계층

Cato 보안 계층에는 WAN 및 인터넷 트래픽에 대한 악성 소프트웨어 및 보안 위험을 분석하기 위한 여러 엔진이 있습니다.

  1. 안티멀웨어는 클라우드의 안티 바이러스 게이트웨이로 다음을 포함합니다:

    • 명확하고 암호화된 트래픽에 대한 패킷 페이로드에 대한 심층 패킷 검사 (TLS 검사가 사용 설정된 경우).

    • 실제 파일 유형 감지가 파일 확장자나 콘텐츠 유형 헤더와 상관없이 네트워크를 통해 전송되는 파일의 실제 유형을 식별합니다.

    • 글로벌 위협 인텔리전스 데이터베이스를 기반으로 항상 최신 상태로 유지되는 서명 및 휴리스틱 데이터베이스를 사용하여 악성 소프트웨어를 감지하고 현재 알려진 위협으로부터 보호합니다. Cato는 고객 데이터의 기밀성을 보장하기 위해 클라우드 기반 저장소와 파일이나 데이터를 공유하지 않습니다.

  2. NG 안티-멀웨어는 AI 모델을 사용하여 휴대용 실행 파일, PDF 및 오피스 문서에서 위협을 감지하는 SentinelOne 엔진을 구현합니다. AI 모델은 악성 소프트웨어 저장소에 있는 수백만 개의 악성 소프트웨어 샘플에서 특징을 추출하여 개발됩니다. 그런 다음 감독 학습 머신 러닝을 사용하여 양성 및 악의적인 파일의 다양한 특징을 식별하고 연관시킵니다. NG 안티멀웨어는 알려지지 않은 악성 소프트웨어 및 바이러스를 예측하고 방지할 수 있습니다.

  3. IPS - Cato의 클라우드 기반 네트워크 침입 방지 시스템(IPS)은 인바운드, 아웃바운드 및 WAN 트래픽, TLS 트래픽까지 검사합니다 (TLS 검사가 사용 설정된 경우). IPS는 모니터 모드(IDS)에서도 작동할 수 있으며 트래픽을 차단하지 않습니다. IDS 모드에서 모든 트래픽이 평가되고 보안 이벤트가 생성됩니다.

위협 방지를 활성화하기 위한 모범 사례

계정을 위해 위협 방지 서비스를 활성화하는 것을 강력히 권장합니다. 최종 사용자는 안티멀웨어 및 IPS 처리로 인한 지연을 경험하지 않습니다. 악성 파일이 감지되면 사용자 액세스가 차단되고 사용자가 차단 페이지로 리디렉션됩니다.

Cato의 보안 팀은 위협 방지 데이터베이스를 항상 최신 상태로 유지하여 글로벌 위협 인텔리전스 데이터베이스를 기반으로 현재 위협에 대한 효과적인 보호를 보장합니다.

다음 워크플로는 위협 방지 서비스를 활성화하기 위한 모범 사례입니다:

  1. 모든 트래픽에 대해 모니터링 모드에서 위협 방지 정책을 활성화합니다. 모니터링 모드에서는 악성 트래픽이 기록되지만 차단되지 않습니다.

  2. 필요시 악성 소프트웨어가 감지되면 이메일 알림을 보내도록 추적 옵션을 구성할 수 있습니다(모니터링 모드에서는 차단된 트래픽에 대한 알림이 없습니다).

  3. 며칠 후 위협 방지 이벤트를 검토하고 정책을 점진적으로 차단 모드로 전환합니다.

  4. 위협 방지 엔진이 암호화된 트래픽을 분석할 수 있도록 TLS 검사를 사용합니다.

참고

참고: 최대 감지 결과를 위해 TLS 검사가 활성화되어야 합니다. TLS 검사는 악성 파일 또는 코드를 포함할 수 있는 암호화된 트래픽을 안전 엔진이 분석할 수 있도록 합니다. TLS 검사를 활성화하는 것은 악성코드 방지 및 IPS 사용의 마지막 단계입니다.

관련 문서

도움이 되었습니까?

0명 중 0명이 도움이 되었다고 했습니다.

댓글 0개