Cisco는 사용자 및 비-사용자형 아이덴티티를 통합적으로 보호합니다.

요약

Cisco는 CyberArk 아이덴티티 보안 플랫폼을 사용하여 사용자가 고객에게 서비스를 제공하고 개발하는 데 필요한 동적인 원클릭 특권 액세스를 제공하고 동적 기밀 관리 전략으로 DevOps 파이프라인을 가속화 및 보호합니다.

회사 소개

Cisco는 캘리포니아 산호세에 본사를 둔 미국 기반의 다국적 디지털 통신 기술 회사입니다. 전 세계 180개국에서 6가지 전략, 즉 안전하고 민첩한 네트워크, 하이브리드 업무, 최적화된 애플리케이션 경험, 엔드투엔드 보안, 미래를 위한 인터넷, 그리고 엣지에서의 역량 아래에서 서비스를 제공하고 있습니다.

직원 수: 100,000

도전 과제

세계에서 가장 유명한 IT 비즈니스의 고객, 직원, 자산 및 비즈니스 운영을 보호해야 하는 책임을 상상해 보십시오. 이러한 책임을 Cisco의 엔터프라이즈 보안팀 선임 리더인 Santosh Prusty가 맡고 있으며 그 과제는 막중합니다. 전 세계에 100,000명의 Cisco 직원, 수백명의 파트너 사업체와 그러한 사업체 및 Cisco의 고객을 지원하는 천 개 이상의 애플리케이션이 있습니다.

“과거, 특권 자사의 아이덴티티와 액세스 관리의 취약한점을 분석하였습니다.”라고 Prusty는 설명합니다. “포인트 솔루션은 있었지만 누가 무엇을 하고 있는지 거버넌스 관점도 없었고 모니터링 기능도 없었습니다. 그래서 우리는 이러한 격차를 해소하고 미래의 아이덴티티 보안 요구 사항을 충족하는 제품을 찾고 있었습니다.”

50년이 넘는 기간 동안 Cisco는 전 세계 대부분의 기술 네트워크 및 비즈니스 IT 인프라의 초석이 되어 왔습니다. 그러나 멀웨어 및 랜섬웨어와 같은 전통적인 위협뿐만 아니라 공급망 공격과 아이덴티티 보안의 중요성이 커지는 등 Cisco를 비롯한 많은 조직의 위협 환경이 변화하고 있습니다.

“지난 10년 동안 디지털화, 인프라 자동화 및 인공 지능의 변화로 인해 전체 위협 환경을 바라보는 방식이 바뀌었습니다,”라고 Prusty는 말합니다. “만약 우리가 자체 인프라를 사용한다면 자체 경계 내에 있기 때문에 안전하다고 느낄 것입니다. 하지만 분산된 기업, 원격 근무자, 재택근무의 증가로 인해 외부에서 네트워크에 연결할 수 있는 기회가 급격히 늘어나는 상황에서 어떻게 아이덴티티 보안이 손상되지 않도록 할 수 있을까요?”

Prusty는 주요 위협 환경 보고서가 지속적으로 보여주는 내용을 인용하며, 전체 침해 사고의 74%는 인적 요소를 포함하며, 사람들이 실수, 권한 오용, 도난당한 자격 증명 사용 또는 소셜 엔지니어링을 통해 연루된다고 설명했습니다. “예전에는 우리의 아이덴티티가 주로 사용자 이름과 비밀번호에 집중되어 있었죠,”라고 Prusty는 말합니다. “이제 아이덴티티에는 여러 유형의 자격 증명, 권한, 노트북 또는 업무에 사용하는 기타 모든 장치가 포함됩니다. 공격 가능한 범위는 방대합니다. 그리고 이는 사람뿐만이 아니며, 모든 조직이 보호, 제어 및 관리해야 하는 비인간 아이덴티티도 존재합니다.”

Cisco는 아이덴티티 보안을 세 가지 주요 축, 즉 내부, 외부 및 특권 아이덴티티로 구성했습니다. 하지만 특권 사용자 세션 모니터링에는 빈틈이 있었습니다. 감사 보고에 대한 중앙 집중식 보기라든가 누가 무엇을 하고 있는지 알 수 없었습니다. Cisco는 다양한 제품, 서비스 및 파트너를 보유한 대규모 글로벌 조직입니다. 거버넌스와 제어를 강화하기 위해 특권 액세스 및 아이덴티티 자산에 대한 더 나은 하향식 보기를 확보해야 했습니다.

솔루션

Cisco는 아이덴티티 보안 및 특권 액세스 관리(PAM) 분야에서 입증되고 인정받는 리더인 CyberArk를 사용하기로 결정했습니다. 사람 및 비인간 특권 액세스 제어와 아이덴티티를 통합 플랫폼에 결합하여 누가 어떤 항목에 액세스할 수 있는지 중앙에서 감사하고 보호할 수 있는 솔루션이 필요했습니다.

CyberArk Identity Security 플랫폼의 Cisco 구현은 CyberArk Privileged Access Manager와 CyberArk Conjur Enterprise로 구성되며, 가까운 시일 내에 차세대 CyberArk Secrets Hub 및 CyberArk Dynamic Privileged Access 제품을 배포할 계획입니다. Cisco는 CyberArk의 방대한 통합 기능을 활용하여 Cisco의 자체 다단계 인증(MFA) 솔루션인 Duo와 통합하고 SailPoint 및 Saviynt와 같은 다른 애플리케이션과 통합하여 아이덴티티 거버넌스 프로세스를 자동화하고 전체 DevOps 파이프라인 내에서 애플리케이션에서 사용하는 사용자 및 비밀의 온보딩을 간소화합니다. CyberArk Conjur는 AWS에서 호스팅되며 전사적인 하이브리드 및 멀티클라우드 인프라 전반에서 비밀 관리를 관리하고 제어하는 데 사용됩니다. DevOps 엔지니어는 전체 CI/CD(지속적 통합 및 지속적 배포) 파이프라인에서 애플리케이션이 워크로드를 수행하는 데 필요한 암호를 검색하는 API로 하드코딩된 자격 증명을 대체할 수 있는 간단한 프로세스를 이용할 수 있습니다.

“당사는 우리 프로그램을 통해 이룬 성과에 대해 매우 자랑스럽게 생각합니다. CyberArk Identity Security 플랫폼은 통합 솔루션에서 인간 및 비인간 아이덴티티를 보호하고 관리할 수 있도록 지원합니다. 당사는 50,000명의 사용자 특권 아이덴티티를 보호하고, 매월 25,000개 이상의 세션을 격리 및 모니터링하며, 하루에 천 시간 이상의 기록된 세션을 생성합니다. 비밀 관리 관점에서 볼 때, 우리는 애플리케이션에서 사용하는 수만 개의 자격 증명을 보관 및 순환하고, 한 달에 4천만 건 이상의 API 자격 증명 호출을 관리합니다.” – Cisco 엔터프라이즈 보안팀 선임 리더 Santosh Prusty

Cisco는 AWS, Azure 및 GCP를 비롯한 클라우드 인프라의 최대 소비자 중 하나이며, 인상적인 온프레미스 환경을 호스팅하는 진정한 하이브리드 및 멀티 클라우드 기업입니다. 따라서 다양한 클라우드 플랫폼과 온프레미스 전반에서 인간 및 비인간 액세스를 종합적으로 보호할 수 있는 아이덴티티 보안 솔루션이 필요했습니다.

다음 단계는 CyberArk 아이덴티티 보안 플랫폼의 두 가지 사용 사례와 기능에 초점을 맞출 것입니다. CyberArk Secrets Hub는 개발자가 익숙한 기본 AWS 및 Azure 비밀 관리 서비스를 사용할 수 있도록 지원하여 운영 효율성을 높이고 DevOps 파이프라인을 가속화하며, 보안팀은 CyberArk에서 애플리케이션의 자격 증명을 중앙에서 관리 및 감사합니다. 향후 Cisco는 CyberArk Conjur를 사용하여 클라우드 휴대용 애플리케이션을 구축하고, 클라우드 인스턴스를 프로비저닝하며, 사용자가 API 키 비밀, 애플리케이션 및 데이터베이스 자격 증명을 관리하고 저장할 수 있도록 지원할 것입니다. CyberArk Dynamic Privileged Access(DPA)는 속성 기반 액세스 제어(ABAC) 정책을 사용하여 대상 가상 머신 또는 서버에 임시 시간 제한 액세스를 생성하여 상시 액세스와 관련된 운영 공간 및 위험을 줄이는 데 도움이 됩니다. 보안팀은 관리자가 선호하는 RDP 및 SSH 클라이언트를 사용하고 위험 인식 적응형 다단계 인증(MFA)을 활용하여 관리자를 위한 적시 접속(JIT)을 통해 격리된 연결을 시작합니다. 에이전트나 VPN 없이도 보안, 격리 및 모니터링 세션을 중개할 수 있습니다.

결과

Cisco의 경우 CyberArk는 세 가지 핵심 가치를 제공합니다.

1. 클릭 한 번으로 최종 사용자 비밀 관리를 프로비저닝할 수 있어 비즈니스 운영이 개선됩니다.
2. 사용자 액세스를 모니터링하고 관리하여 보안 거버넌스를 강화합니다.
3. 전체 DevOps 파이프라인에서 하드코딩된 자격 증명을 제거하고 개발자가 API 호출을 쉽게 활용하여 비밀을 검색할 수 있는 방법을 제공함으로써 개발자에게 운영 효율성을 제공하여 개발자가 부가가치 활동에 집중할 수 있도록 합니다.

“이제 모든 것을 하나의 아이덴티티 보안 플랫폼으로 통합함으로써 특권 액세스에 대한 관리 및 운영 관점에서 효율성이 높아졌습니다,”라고 Prusty는 설명합니다. “우리는 관리자와 개발자에게 자산에 연결할 수 있는 안전하고 유연한 방법을 제공할 수 있었습니다. 그 결과 50,000개의 특권 계정이 CyberArk로 보호되었고, 플랫폼은 매월 4천만 건의 API 비밀 호출을 Conjur로 처리하는 등 우리의 요구 사항을 충족했습니다. 또한 사용자 및 애플리케이션 온보딩을 간소화하기 위해 여러 자동화 및 통합 기능을 구현했습니다. 과거에 온보딩은 몇 주가 소요되었습니다. 이제 몇 분 안에 자동으로 원활하게 처리할 수 있습니다.”

CyberArk의 또 다른 장점 중 하나는 가시성과 모니터링입니다. “CyberArk를 사용하면 모든 세션이 기록되고 저장됩니다,”라고 Prusty는 설명합니다. “어떤 일이 발생했는지, 누가, 어느 지역에서, 언제, 얼마 동안 로그온했는지 다시 검토할 수 있습니다. 이를 통해 분석과 감사를 위한 실질적인 인사이트를 얻을 수 있습니다.”

Cisco는 CyberArk와 전략적 파트너 관계를 맺었습니다. CyberArk Blueprint와 CyberArk Success Plan을 통해 양사는 측정 가능한 위험 감소를 지속적으로 달성하고 Cisco의 운영 효율성을 실현하기 위한 로드맵을 설정하고 이를 실행하기 위해 협력할 수 있게 되었습니다. “지난 3년 동안 CyberArk는 Cisco에 큰 도움이 되었습니다,”라고 Prusty는 인정했습니다. “이제 우리는 CyberArk가 개발 중인 새롭고 진보된 솔루션을 활용하기 위해 CyberArk Identity Security 플랫폼을 발전시킬 계획입니다. CyberArk Dynamic Privileged Access와 같은 제품을 Cisco에 도입하여 수천 명의 관리자 사용자에게 대기 액세스가 아닌 적시 액세스를 제공함으로써 공격 대상 범위를 크게 줄일 수 있습니다.”

“CyberArk Secrets Hub를 사용하면 개발자가 있는 곳에서 그들을 만날 수 있습니다. 개발자는 클라우드 공급업체의 기본 비밀 관리 도구를 사용하고 우리는 CyberArk에서 비밀을 중앙에서 관리하고 감사하게 됩니다.” – Cisco의 엔터프라이즈 보안팀 수석 리더 Santosh Prusty

Cisco의 시급한 도전 과제 중 하나는 공급업체 관리입니다. “Cisco는 전 세계 수백 개의 공급망 파트너와 협력하고 있습니다,”라고 Prusty는 말합니다. “이러한 파트너는 Cisco 비즈니스의 핵심이므로 우리는 파트너의 성공을 보장하고자 합니다. 하지만 공급망 파트너의 관리 및 거버넌스를 간소화하고 파트너에게 필요한 액세스 권한을 효율적으로 부여하는 방법을 고려해야 합니다. 이와 관련하여 우리의 기술 지원팀 및 공급업체 팀이 파트너와 협력하는 방식을 간소화하여 원활한 거래가 가능하도록 지원합니다. 이러한 문제를 해결하기 위해 CyberArk와 협의하고 있습니다.”

“CyberArk는 전체 플랫폼에서 AI를 활용하고 클라우드 보안을 강화하며 비밀번호가 필요 없는 액세스를 제공하는 CyberArk Secure Web Browser와 같은 중요한 이니셔티브와 솔루션 개발을 진행 중이며, 이러한 여정에 참여하게 되어 매우 기쁩니다,”라고 Prusty는 결론을 내렸습니다. “우리는 Password-less 전략을 추진 중이며 CyberArk가 이를 앞서서 고민하고 있다는 사실을 알게 되어 기쁘게 생각하며, 특정 사용 사례를 관리하고 통제하기 위해 이 회사와 협력하게 되어 자랑스럽습니다.”

주요 이점

• 특권 액세스 및 아이덴티티 보안을 하나의 플랫폼에 통합
• Conjur로 엔터프라이즈급 규모에 해당하는 매월 4천만 건의 API 비밀 호출을 처리
• 50,000개의 특권 액세스 계정 보호
• 매월 25,000개 이상의 세션 격리 및 모니터링
• 하루 1,000시간 이상의 세션 기록
• 비즈니스 시스템에 대한 빠르고 안전한 원클릭 액세스 지원
• 향후 도전 과제 및 개선을 위한 보안 로드맵 제공