Stellar Cyber: Oracle Cloud에서 AI 기반 개방형 위협 감지 및 대응 플랫폼 실행

기업이 디지털 운영을 전체적으로 방어하고 데이터 보안 침해를 방지하기 위해 Stellar Cyber의 AI 기반 개방형 위협 탐지 및 대응 플랫폼(Open XDR)은 모든 보안 도구를 원활하게 통합하여 전 세계 보안 분석가에게 즉각적인 위협 탐지, 사고 상관관계, 자동화된 위협 사냥 및 대응 기능을 제공합니다.

Stellar Cyber는 다음을 사용하여 보안 운영 팀이 사이버 공격을 즉시 감지, 조사 및 대응하여 비즈니스에 미치는 영향과 리스크를 줄입니다.
  • 네트워크 트래픽에 대한 센서
  • 운영 체제 원격 측정
  • 로그 수집
  • 에지에서의 API 데이터 수집
  • 방화벽, 엔드포인트 감지 및 응답(EDR) 및 ID 플랫폼과 같은 로컬 보안 도구에 대한 응답을 조정하기 위한 보안 채널

2015년에 설립된 Stellar Cyber는 Oracle Cloud Infrastructure(OCI)에서 클라우드 전용 보안 플랫폼을 운영합니다. Stellar Cyber는 로그 처리 및 전달을 자동화하고 3,500개 이상의 네트워크 애플리케이션에 대한 심층 패킷 검사(DPI) 및 네트워크 트래픽 분석(NTA)을 제공합니다. 배포에는 제로데이 맬웨어 감지, 데이터 버퍼링 등을 위한 샌드박스가 포함되어 있습니다.

처음에는 온프레미스 애플리케이션으로 개발된 Stellar Cyber의 배포는 서비스형 소프트웨어(SaaS) 플랫폼으로 리팩토링되어 OCI로 이전되었습니다.

Stellar Cyber 배포의 주요 내용은 다음과 같습니다.

  • ElasticSearch(OpenSearch) 엔진은 데이터 레이크에서 인덱스 및 샤드를 관리합니다.

  • Oracle Cloud Infrastructure Block Volumes는 30~90일 동안 분석할 데이터의 빠른 검색을 제공합니다.

  • Oracle Cloud Infrastructure Object Storage는 1년 이상 장기 콜드 스토리지를 위한 데이터 저장소를 제공합니다.

  • Oracle Cloud Infrastructure DevOps에서는 CI/CD(지속적인 통합/지속적인 개발) 파이프라인을 구축하기 위한 툴을 제공합니다.

  • Oracle Cloud Infrastructure Registry는 Docker 이미지를 저장, 공유 및 관리합니다.

  • Oracle Cloud Infrastructure 이메일 딜리버리는 Stellar Cyber의 고객에게 경고 및 통지를 보냅니다.

구조

Stellar Cyber는 자체 보안 센서와 로그 수집 엔진, API 커넥터의 조합을 사용하여 고객 전체 기업의 보안 관련 데이터를 수집합니다.

센서 데이터 및 로그는 원치 않거나 악의적인 네트워크 트래픽으로부터 Stellar Cyber Oracle Cloud Infrastructure(OCI) 테넌시를 보호하는 WAF(Oracle Cloud Infrastructure Web Application Firewall)를 통해 전송됩니다. Stellar Cyber의 아키텍처는 Oracle Cloud Infrastructure Container Engine for Kubernetes(OKE) 클러스터의 4개 노드 풀에서 실행되는 컨테이너로 구축된 오픈 소스 구성요소를 사용합니다. Apache Kafka 및 Apache Flink가 포함된 노드 풀은 스트림 서비스를 위해 배포됩니다. 여기서 수집된 데이터는 Kafka에서 처리되고 정규화 및 보강을 위해 Flink에 전달됩니다. 데이터 스트림은 Oracle Cloud Infrastructure Load Balancing을 사용하여 로드 밸런싱됩니다.

다음 다이어그램은 토폴로지를 통한 단순화된 데이터 플로우를 보여 줍니다.



stellar-cyber-oci-data-flow-oracle.zip

Elastic Stack은 Elasticsearch(마스터)용과 Elasticsearch 데이터 레이크(데이터)용의 두 가지 개별 OKE 노드 풀에 배치됩니다. Flink의 정규화 및 강화 데이터는 검색 및 분석을 위해 Elasticsearch에 전달됩니다. 원시 데이터는 Elasticsearch 데이터 레이크에 저장됩니다.

마이크로서비스용 노드 풀은 사용자가 데이터를 검사, 분석 및 시각화할 수 있도록 상관관계, 머신 러닝 및 서비스(API 및 UI)를 위한 컨테이너를 제공합니다.

머신 러닝 컨테이너는 Elasticsearch와 상호 작용하고 사용자에게 제공할 서비스 컨테이너에 데이터를 제공합니다. 머신 러닝 알고리즘은 비지도 학습 및 행동 분석을 통해 시계열 및 피어 그룹을 분석하고 감독 학습을 통해 알려진 공격 패턴을 일반화하여 위협을 분류합니다. Graph ML 기반 상관 관계 엔진은 경보에서 높은 레벨의 장애를 식별하는 데 사용됩니다. 이메일 경고가 필요한 고객의 경우 Oracle Cloud Infrastructure 이메일 딜리버리가 통지를 생성합니다. Oracle Cloud Infrastructure DNS(Domain Name Service)는 Stellar Cyber DNS 영역을 관리합니다.

Oracle Cloud Infrastructure Block Volumes는 평균 30~90일 사이에 데이터가 저장되는 핫 스토리지를 관리합니다. 장기간 콜드 스토리지의 경우 Oracle Cloud Infrastructure Object Storage는 1년 이상 데이터를 보존하는 데 사용됩니다. 핫 스토리지는 1TB에서 300TB까지 다양할 수 있습니다. 계층적 멀티테넌시를 통해 플랫폼은 동시에 여러 고객을 지원할 수 있으며, 고객이 자체 테넌트를 보유한 MSP(관리 서비스 제공업체)가 될 수도 있습니다. 수집된 데이터 스트림을 분리하기 위해 추가 스토리지 버킷을 생성할 수 있습니다.

Stellar Cyber는 OCI의 CI/CD 도구(코드 저장소 및 컨테이너 레지스트리)와 OCI DevOps를 활용하여 OKE 클러스터를 확장하고 모니터링합니다. 배스천 호스트는 시스템을 관리하는 점프 서버로 사용됩니다.

Stellar Cyber는 다음과 같은 OCI의 추가 PaaS 오퍼링을 활용할 계획입니다.
  • Oracle Functions - 서버리스 아키텍처 제공
  • Oracle Cloud Infrastructure Streaming 및 Oracle Stream Analytics로 Kafka를 스트리밍 데이터 처리기로 대체
  • 고객 접근을 위해 자체 API 서비스를 대체할 수 있는 Oracle API Gateway
  • 데이터 레이크용 Oracle Autonomous Data Warehouse
  • Oracle Cloud Infrastructure 서비스 메시 - 암호화되고 상호 인증된 마이크로 서비스-마이크로 서비스 통신용

Stellar Cyber는 PaaS 제품을 사용하여 이러한 서비스를 운영 및 유지 관리하는 데 필요한 노력을 줄일 수 있습니다.

다음 다이어그램은 이 참조 아키텍처를 보여줍니다.



stellar-cyber-oci-architecture-oracle.zip

이 구조에는 다음과 같은 구성 요소가 있습니다.

  • 테넌트

    테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 안전하고 격리된 파티션입니다. 테넌시 내 Oracle Cloud에서 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 한 회사는 단일 테넌시를 가지며 해당 테넌시 내에 조직 구조를 반영합니다. 일반적으로 단일 테넌시는 단일 구독과 연결되며, 단일 구독은 하나의 테넌시만 갖습니다.

  • 지역

    Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며 거리가 멀면 국가 또는 대륙을 가로질러 분리할 수 있습니다.

  • 구획

    구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 분할 영역입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하며, 사용 할당량을 설정합니다. 지정된 구획의 리소스에 대한 액세스를 제어하기 위해 리소스에 액세스할 수 있는 사용자와 수행할 수 있는 작업을 지정하는 정책을 정의합니다.

  • 가용성 도메인

    가용성 도메인은 한 지역 내에 있는 독립형 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 특정 가용성 도메인에서 장애가 발생하면 해당 지역의 다른 가용성 도메인에 영향을 주지 않습니다.

  • VCN(가상 클라우드 네트워크) 및 서브넷

    VCN은 Oracle Cloud Infrastructure 지역에서 설정한 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN은 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 세그먼트할 수 있으며, 지역 또는 가용성 도메인으로 범위를 지정할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속된 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

  • 보안 목록

    각 서브넷에 대해 서브넷에 들어오고 나가야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.

  • 경로 테이블

    가상 라우팅 테이블에는 일반적으로 게이트웨이를 통해 서브넷에서 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다.

  • 인터넷 게이트웨이

    인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용합니다.

  • NAT(Network Address Translation) 게이트웨이

    NAT 게이트웨이를 사용하면 VCN의 전용 리소스가 수신 인터넷 연결에 이러한 리소스를 노출시키지 않고 인터넷의 호스트에 접근할 수 있습니다.

  • 서비스 게이트웨이

    서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스로의 접근을 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.

  • WAF(Web Application Firewall)

    Oracle Cloud Infrastructure Web Application Firewall(WAF)은 로드 밸런서 또는 웹 애플리케이션 도메인 이름과 같이 적용 지점에 연결된 PCI(Payment Card Industry) 호환, 지역 기반 및 에지 적용 서비스입니다. WAF는 악성 및 원치 않는 인터넷 트래픽으로부터 애플리케이션을 보호합니다. WAF는 인터넷에 접속하는 모든 끝점을 보호할 수 있으며 고객의 애플리케이션에 대해 일관된 규칙을 적용합니다.

  • DNS

    Oracle Cloud Infrastructure DNS(Domain Name System) 서비스는 확장성이 뛰어난 글로벌 애니캐스트 DNS(도메인 이름 시스템) 네트워크로, 향상된 DNS 성능과 복원성 및 확장성을 제공하여 최종 사용자가 어디에 있든 최대한 빨리 고객의 애플리케이션에 연결할 수 있습니다.

  • 로드 밸런서

    Oracle Cloud Infrastructure Load Balancing Service는 단일 시작점에서 백엔드의 여러 서버로 트래픽을 자동으로 배포합니다.

  • 계산

    Oracle Cloud Infrastructure Compute 서비스를 사용하면 클라우드에서 컴퓨트 호스트를 프로비전하고 관리할 수 있습니다. CPU, 메모리, 네트워크 대역폭 및 스토리지에 대한 리소스 요구사항을 충족하는 구성으로 컴퓨트 인스턴스를 실행할 수 있습니다. 컴퓨트 인스턴스를 생성하면 안전하게 액세스하고, 재시작하며, 볼륨을 연결 및 분리하고, 더 이상 필요하지 않을 때 종료할 수 있습니다.

  • Kubernetes용 컨테이너 엔진

    Oracle Cloud Infrastructure Container Engine for Kubernetes는 컨테이너화된 애플리케이션을 클라우드에 배포하는 데 사용할 수 있는 확장 가능하고 가용성이 높은 전담 관리 서비스입니다. 애플리케이션에 필요한 컴퓨트 리소스를 지정하고 Kubernetes용 컨테이너 엔진이 기존 테넌시의 Oracle Cloud Infrastructure에서 프로비저닝합니다. Kubernetes용 컨테이너 엔진은 Kubernetes를 사용하여 호스트 클러스터에서 컨테이너화된 애플리케이션의 배포, 확장 및 관리를 자동화합니다.

  • 블록 볼륨

    블록 스토리지 볼륨을 사용하면 스토리지 볼륨을 생성, 연결(attach), 연결(connect) 및 이동하고 볼륨 성능을 변경하여 스토리지, 성능 및 애플리케이션 요구사항을 충족할 수 있습니다. 볼륨을 연결하고 인스턴스에 연결한 후에는 일반 하드 드라이브처럼 볼륨을 사용할 수 있습니다. 데이터 손실 없이 볼륨 연결을 해제하여 다른 인스턴스에 연결할 수도 있습니다.

  • 파일 스토리지

    Oracle Cloud Infrastructure File Storage 서비스는 내구성과 확장성이 뛰어나며 안전한 엔터프라이즈급 네트워크 파일 시스템을 제공합니다. VCN의 베어메탈, 가상 시스템 또는 컨테이너 인스턴스에서 파일 스토리지 서비스 파일 시스템에 연결할 수 있습니다. VCN 외부에서 Oracle Cloud Infrastructure FastConnect 및 IPSec VPN을 사용하여 파일 시스템에 접근할 수도 있습니다.

  • 저장소

    Oracle Cloud Infrastructure Vault를 사용하면 클라우드에서 리소스에 대한 액세스를 보호하는 데이터 및 보안 자격 증명을 보호하는 암호화 키를 중앙에서 관리할 수 있습니다. 저장소 서비스를 사용하여 저장소, 키 및 암호를 만들고 관리할 수 있습니다.

  • 통지

    Oracle Cloud Infrastructure Notifications 서비스는 게시-구독 패턴을 통해 분산된 구성요소로 메시지를 브로드캐스트하며, Oracle Cloud Infrastructure에서 호스트된 애플리케이션에 대해 안전하고 신뢰성이 높으며 대기 시간, 지속 가능한 메시지를 제공합니다.

  • 감사

    Oracle Cloud Infrastructure Audit 서비스는 지원되는 모든 Oracle Cloud Infrastructure 공용 API(애플리케이션 프로그래밍 인터페이스) 엔드포인트에 대한 호출을 로그 이벤트로 자동으로 기록합니다. 현재 모든 서비스는 Oracle Cloud Infrastructure Audit의 로깅을 지원합니다.

  • 정책

    Oracle Cloud Infrastructure Identity and Access Management 정책은 어떤 리소스에 접근할 수 있는지와 방법을 지정합니다. 액세스는 그룹 및 구획 레벨에서 부여됩니다. 즉, 특정 구획 내에서 또는 테넌시에 특정 유형의 액세스 권한을 그룹에 부여하는 정책을 작성할 수 있습니다.

내장 및 배포 기능 받기

Oracle Cloud Infrastructure에서 구축한 것을 보여주고 싶으십니까? 학습 내용, 모범 사례 및 참조 아키텍처를 글로벌 클라우드 아키텍트 커뮤니티와 공유해 보십시오. 시작하도록 도와드리겠습니다.

  1. 템플리트(PPTX) 다운로드

    아이콘을 샘플 와이어프레임으로 끌어 놓아 고유 참조 아키텍처를 설명합니다.

  2. 아키텍처 자습서 보기

    참조 아키텍처 생성 방법에 대한 단계별 지침을 확인하십시오.

  3. 다이어그램 제출

    다이어그램이 포함된 전자메일을 전송해 주십시오. 오라클의 클라우드 설계자는 다이어그램을 검토하고 귀사의 아키텍처에 대해 논의하기 위해 연락을 취할 것입니다.

감사의 글

  • Authors: Robert Huie, Sasha Banks-Louie
  • 기여자: Ganesh Pitchaiah, Robert Lies