[마이크로세그멘테이션 환경에서의 ÑGFW~ 기능 사용 살펴보기]

[거의 20년 동안 차세대 방화벽 (ÑGFW~) 필수 보안 도구였습니다.그러나 오늘날 네트워크가 점점 더 복잡해짐에 따라 ÑGFW~가 제공하는 경계 보호 기능은 점점 더 중요해지고 있는 문제를 해결합니다.]

[Íllú~míó는 응용 프로그램에서 Ñ~GFW 기능을 구현할 수 있는 가능성을 연구하고 있습니다. 마이크로세그멘테이션 환경, 두 기술을 결합하여 복잡한 네트워크에 필요한 보안 기능을 제공합니다.]

[에서 첫 번째 부분, 차세대 방화벽 (ÑGFW~) 의 역사, 가치 및 과제에 대해 개괄적으로 살펴보았습니다.]

[이 두 번째 글에서는 “만약¿” 에 대해 이야기하겠습니다.ÑGF~W 기능의 일부를 마이크로세그멘테이션 솔루션에 임베드하는 시나리오.다양한 사용 사례와 각 사례에 적합한 ÑGF~W 기능에 대해 설명하겠습니다.]

[ÑGFW~는 남북 교통에 적합하지만 동서 지역에서는 어려움을 겪습니다.]

[ÑGFW~는 네트워크 경계를 보호한다는 아이디어를 중심으로 설계되었으며, 주로 들어오는 트래픽의 위협으로부터 보호하는 데 중점을 두었습니다.네트워크 세계에서는 이러한 유형의 트래픽을 흔히 “북-남”이라고 합니다.이 용어는 데이터 센터로 유입되는 트래픽이 위에서 아래로 또는 북쪽에서 남쪽으로 이동하는 인터넷 “버블”을 맨 위에 두고 네트워크를 그리는 널리 퍼진 관행에서 유래했습니다.데이터 센터 내부의 트래픽은 일반적으로 측면, 왼쪽에서 오른쪽 또는 오른쪽에서 왼쪽으로 이동하는 것으로 그려지므로 흔히 “동서”라고 합니다.]

[이 용어를 사용하면 1부에서 이야기한 것처럼 남북 역할에서 사용되는 ÑGFW~의 강력한 사용 사례가 있다고 할 수 있습니다.하지만 동서 지역의 활용 사례는 좀 덜 확실합니다.이 두 번째 문장 때문에 아마도 목 뒤쪽에 털이 좀 올라왔을 수도 있습니다. 그래서 좀 더 구체적으로 설명하겠습니다.]

[방화벽에는 하드웨어, 유지 관리/지원, 구성/모니터링이라는 세 가지 비용이 듭니다.세 가지 범주 모두에서 비용이 많이 들지만 ÑGFW~의 RÓÍ는 남북 사용 사례에 비해 상당히 명확합니다.동서양의 경우 전체 Ñ~GFW 기능 중 일부만 적합하지만 공급업체는 전체 기능 세트를 사용하지 않을 경우 할인을 제공하지 않습니다.Ñ~GFW 어플라이언스 전체를 구매하고 기능의 절반만 사용하는 것을 정당화하기는 어려운 경우가 많으며, Ñ~GFW 기능 세트가 법률이나 규정에 의해 의무화되지 않은 경우에는 더욱 그렇습니다.]

[남북 트래픽을 위한 ÑGFW~]

[이것이 ÑGFW~의 좋은 사용 사례 중 두 가지이지만, 실제로 사람들이 지나가는 경우를 제외하고는 거의 고려하지 않는 세 번째 사례도 있습니다. 바로 남-북 (Éñd-Ñ~órth~) 사용 사례, 즉, 네트워크 내부로부터의 아웃바운드 트래픽을 제어하는 사용 사례입니다.ÑGFW~ 공급업체들이 이에 대해 이야기하지만 극히 일부에 불과합니다.그리고 대부분의 조직은 무제한 아웃바운드 연결의 위협을 알고 있지만 실제로 이를 해결하기 위해 거의 노력을 기울이지 않습니다.지난 몇 년간 많은 고객과 함께 작업하면서 알게 된 사실은 대부분의 조직에는 내부 애플리케이션 소유자가 네트워크 경계에서 아웃바운드 제어를 요청할 수 있는 프로세스조차 마련되어 있지 않다는 것입니다.]

[제 업무는 기본적으로 R&D이며, 주로 “R” 부분에 중점을 두고 있습니다.그런 맥락에서 사고 실험을 해봅시다.잠깐, 해결된 남북 문제를 생각해 봅시다.100% 완벽한 해결책이 없다는 점에서 해결된 것은 아니지만, 대부분의 조직이 더 이상 이 경로를 네트워크에 대한 주요 공격 수단으로 여기지 않는다는 의미입니다.대신, 장비를 추가로 구매하거나 아웃바운드 Ñ~GFW 기능을 활용하지 못하게 하는 내부 조직 프로세스에 어려움을 겪지 않고도 선택된 Ñ~GFW 기능을 마이크로세그멘테이션 솔루션에 구현하고 동서 및 남북 Ñ~GFW 제어를 모두 개선할 수 있다면 네트워크의 보안을 강화할 수 있는 방법에 대해 생각해 봅시다.]

[남-북 및 동서 사용 사례는 다르지만 상당한 중복이 있습니다.또한 많은 남북 기능은 둘 중 어느 것과도 관련이 없습니다.동서 사용 사례부터 시작해 보겠습니다.]

[앞서 말했듯이 동서 ÑGFW~ 컨트롤의 제한된 하위 집합에 대한 사용 사례가 확실히 있습니다.비용을 고려하면 본격적인 어플라이언스 (또는 가상 어플라이언스) 의 RÓÍ는 의심스러울 수 있지만, 그럼에도 불구하고 그 필요성은 현실입니다.네트워크에 P~ÍÍ, HÍ~PPÁ 또는 P~CÍ 데이터, 귀하는 해당 데이터 보호에 관한 법률 및 규정의 적용을 받을 것이 거의 확실합니다.대부분의 경우 여기에는 DL~P (데이터 손실 방지) 및 ÍDS~/ÍPS (침입 탐지/방지 서비스) 와 같은 기존 Ñ~GFW 서비스를 구현해야 한다는 명시적인 요구 사항이 포함됩니다.의무가 없더라도 이는 모범 사례로 남아 있습니다.애플리케이션 Í~D, 즉 포트 및 프로토콜이 아닌 실제 트래픽 유형을 기반으로 트래픽을 차단하거나 허용하는 기능은 공격과 데이터 유출을 방지하는 강력하고 바람직한 도구이기도 합니다.]

[남-북 사용 사례의 경우 몇 가지 추가 기능이 유용할 수 있습니다.DLP가 여전히 필요할 수 있고 애플리케이션 Í~D도 이 사용 사례에 마찬가지로 유용하지만 여기에 ÚRL~ 필터링과 대상 ÍP 평판 및 지역을 기반으로 트래픽을 제어하는 기능을 추가하겠습니다.물론 국경 ÑG~FW에서는 이미 이 작업을 수행할 수 있습니다. 하지만 앞서 지적했듯이 경계 디바이스를 제어할 수 없는 경우 애플리케이션 소유자가 이러한 기능을 활용할 방법이 없는 경우가 많습니다.그리고 대규모 데이터 센터 환경에서는 거의 없습니다.]

[대부분의 다른 ÑGFW~ 서비스는 동서 또는 남북부 지역에서 이용할 수 있는 가치가 제한되어 있습니다.DDóS~와 QóS는 네트워크 내부에서는 거의 의미가 없습니다.마찬가지로 Ó~S 내에서 실행되는 최신 ÁV 소프트웨어는 네트워크 기반 솔루션보다 더 효율적일 수 있으므로 네트워크 기반 바이러스 백신은 의제가 아닐 수 있습니다.]

[엔드포인트 디바이스에서의 ÑGFW~ 기능 성능]

[이제 ÑGFW~ 기능이 실행되는 것이 성능에 미치는 영향에 대해 이야기할 차례입니다. 끝점.기억하시겠지만 1부에서는 ÑGFW~ 어플라이언스가 거의 슈퍼컴퓨터급 시스템이며 상당한 성능을 낼 수 있는 특수 하드웨어가 많다고 언급했습니다.따라서 동일한 기능을 구현할 경우 개별 서버에 상당한 성능 저하가 부과될 수 있습니다.운 좋게도 지금이 바로 직관이 사라지는 시기 중 하나일 것 같습니다.그 이유에 대해 이야기해 봅시다.]

[ÍDS/Í~PS는 시작하기에 좋은 곳입니다.모든 ÑG~FW 서비스 중에서 ÍD~S/ÍPS~는 “가장 무거운” 서비스 중 하나로 간주됩니다. 즉, 리소스가 불균형하게 많이 소모되고 ÑGFW~ 어플라이언스에 맞춤형 실리콘이 많이 사용되는 이유 중 하나입니다.ÍDS/Í~PS 솔루션으로 1,000개의 워크로드로 구성된 중간 규모의 데이터 센터를 보호하려면 최소한 12개의 서로 다른 운영 체제 (Wí~ñdów~s 2008, 2012, 2016, 2019, Céñ~tÓS, R~édHá~t 및 Úbú~ñtú의 변형 및 버전 6개 이상 (의료 또는 은행 분야의 경우 솔라리스 또는 Á~ÍX 포함) 에 대한 ÍD~S/ÍPS~ 시그니처를 지원해야 할 것입니다.1,000대의 서버 각각은 필자가 주시하고 싶은 서비스를 하나 이상 실행하고 있습니다. 각각 많게는 3~4개의 서로 다른 서비스를 실행하는데, 모두 잠재적인 취약점을 가지고 있습니다.운영 체제가 십여 개라면 3~4개 서비스 각각에 대해 각각 다른 취약점을 지닌 12가지 버전을 실행하고 있을 수도 있습니다.]

[간단히 말해서, 저는 그 천 대의 시스템에 대해 10,000~100,000개의 취약점 시그니처를 주시하고 있습니다.그리고 저는 ÑGFW~ 네트워크 디바이스를 통과하는 모든 패킷, 즉 작동할 수 있는 모든 가능한 포트에서 이러한 징후를 찾고 있습니다.데이터 센터의 모든 서버에 이러한 부하를 부과하려는 것은 분명 아닙니다.]

[실제로는 그럴 필요가 없습니다.Líñú~x 호스트에서 Wíñ~dóws~ 취약점을 찾을 이유가 없습니다.ÑGÍÑ~X를 실행하는 시스템에서는 아파치2 취약점을 찾을 필요가 없습니다.애플리케이션 X 버전 2.2를 실행하는 시스템에서는 애플리케이션 X 버전 1.0, 1.1, 1.2, 1.3, 2.0, 2.1 취약점을 찾을 필요가 없습니다.]

[모든 패킷에서 10,000~100,000개의 취약점을 찾는 대신 네 가지 정도를 찾습니다.4,000개는 아니죠.네 명이요.그리고 네 번째는 해결할 수 있는 문제입니다.]

[어떻게¿모든 서버에 에이전트를 설치하면 ÓS, 적용된 패치와 적용되지 않은 패치, 설치 및 실행 중인 소프트웨어 (및 해당 소프트웨어의 버전), 특히 통신하는 포트를 모두 파악할 수 있기 때문입니다.탐지된 Ó~S 및 소프트웨어 버전, 특히 관련 프로세스가 바인딩된 포트와 관련된 취약점을 찾아냅니다.검색 공간을 4배 정도 줄였습니다.그리고 4자릿수는 컴퓨터 과학에서 엄청나게 큰 숫자입니다.어려운 것과 쉬운 것의 차이입니다.]

[DLP 및 Ú~RL 필터링과 같은 서비스에도 유사한 전략을 적용할 수 있습니다.제한된 DL~P 콘텐츠를 찾기 위해 모든 서버의 모든 패킷을 필터링할 필요도 없고, 모든 서버의 공용 주소에 대한 ÚRL~ 또는 ÍP 정보의 대규모 데이터베이스를 보관할 필요도 없습니다.DL~P의 경우 세그멘테이션 정책이 적용되는 것과 동일한 방식으로 워크로드 레이블을 기반으로 매우 특정한 서버 집합의 특정 콘텐츠만 검색합니다.ÚRL~ 필터링의 경우 대규모 ÍP 특성 데이터베이스를 중앙 정책 관리 시스템에 보관하고, 필요할 때 지연 시간이 짧은 LÁ~Ñ 연결을 통해 가져오고, 이후 조회를 위해 로컬에 캐시할 수 있습니다.대부분의 서버는 비교적 적은 수의 동일한 서버 집합과 계속해서 통신합니다.]

[마이크로세그멘테이션 솔루션을 위한 ÑGFW~ 기능]

[에 ÑGFW~ 기능을 추가할 때 마이크로세그멘테이션 해결책으로 얻을 수 있는 가장 큰 이점 중 하나는 방화벽 정책과 마찬가지로 ÑGFW~ 기능도 전체 VLÁÑ~ 또는 서브넷을 그룹으로 묶는 대신 필요한 곳에 외과적으로 적용된다는 것입니다.레이블 기반 정책을 사용하면 애플리케이션 소유자가 광범위한 브러시로 데이터 센터를 칠하는 대신 매우 구체적인 서비스를 필요한 곳에 외과적으로 적용할 수 있습니다.특정 ÑGFW~ 기능은 필요한 서버에 대해서만 활성화할 수 있으며 필요한 검사만 정확하게 수행할 수 있습니다.이를 통해 특정 보안 요구 사항을 충족하는 데 필요한 오버헤드를 최소화하고 보안, 성능 및 비용의 균형을 맞출 수 있습니다.]

[여기서 목표는 국경 ÑGFW~ 장치를 교체하는 것이 아니라는 점을 기억하십시오.그보다는 서버에서 실행되는 ÑGFW~ 기능의 강력한 하위 집합을 통해 기존 ÑGFW~ 솔루션이 아키텍처나 재정적으로 적합하지 않은 격차를 선택적으로 메우는 것입니다.이러한 접근 방식을 통해 애플리케이션 소유자는 다른 방법으로는 불가능할 수도 있는 아웃바운드 보안을 “소유”할 수 있을 뿐만 아니라 기존 솔루션으로는 비용이 많이 드는 상황에서 이러한 기능을 제공할 수 있습니다.]

[앞을 내다보며]

[이 문제를 해결하기 위해 미래를 더 자세히 살펴보겠습니다.]

[TLS 1.3은 2018년에 비준되었으며 점차 암호화된 웹 및 기타 서비스의 차세대 표준으로 자리잡고 있습니다.이에 대한 첫 반응은 “내 문제가 아니야” 또는 “그럼 어쩌지¿~”일 수 있습니다.사실 매우 관련성이 높다고 생각해요.ÑGFW~는 심층 패킷 검사 (DPÍ) 없이는 사용 가능한 대부분의 서비스를 제공할 수 없습니다.그리고 D~PÍ가 어떤 식으로든 의미를 가지려면 데이터가 암호화되지 않고 일반 텍스트로 되어 있어야 합니다.]

[ÑGFW~가 처음 시장에 출시되었을 때 웹 트래픽의 극히 일부만이 암호화되었습니다.시간이 흐르면서 점점 더 많은 트래픽이 HTTP~S, 즉 암호화된 트래픽으로 이동했습니다.오늘날 전체 웹 트래픽의 거의 100% 가 암호화되어 있기 때문에 멀웨어, 바이러스, 데이터 유출 또는 기타 ÑGF~W 서버에 대해 분석할 수 없습니다.이를 위해 개발된 솔루션을 TLS~ mÍTM~ (중간자) 이라고 합니다.]

[TLS M~íTM 설정은 개념상 간단하지만 약간 지루합니다.이 솔루션에는 여러 가지 중요한 부분이 있습니다.먼저 조직에서 내부 T~LS 인증서를 만듭니다.공개 키는 조직 내 모든 시스템 (랩톱, 데스크톱, 서버 등) 에 푸시되며, 각 운영 체제는 해당 인증서를 신뢰하고 대상에 관계없이 모든 아웃바운드 통신을 암호화하는 데 이 인증서를 사용하도록 구성됩니다.그러면 개인 키가 투명한 웹 프록시로 구성된 경계 ÑG~FW 디바이스에 배포됩니다.]

[사용자 (또는 서버 또는 기타 기기) 가 외부 웹사이트로 아웃바운드 연결을 할 때 gmáí~l.cóm~을 예로 들어 보겠습니다. 이 예에서는 Góóg~lé TL~S 인증서를 사용하는 대신 조직의 내부 인증서로 트래픽을 암호화합니다.경계 ÑGF~W는 발신 트래픽을 발견하면 개인 키의 복사본을 보유함으로써 이를 복호화하고 트래픽의 콘텐츠를 완전히 분석할 수 있습니다.ÑGF~W는 내부 연결을 종료하고 Góó~glé 인증서를 사용하여 g~máíl~.cóm에 대한 새 T~LS 연결을 시작하고 두 연결 (조직 내부에서 Gm~áíl에 대한 외부 연결로 연결되는 내부 연결) 의 콘텐츠를 프록시합니다. 따라서 암호화되어 있더라도 모든 트래픽을 보고 분석할 수 있습니다.]

[번거롭고 CPÚ를 많이 사용하긴 하지만 이 방법은 S~SL을 사용한 후 TL~S 1.0, 1.1, 1.2를 사용한 후 약 10년 동안 대부분의 서비스에서 상당히 잘 작동했습니다.]

[지금까지는 너무 좋아요.하지만 TLS 1.3은 판도를 바꿉니다.첫째, T~LS 1.3은 연결별 DH~ 키 교환 형태의 완벽한 전달 보안을 요구합니다.따라서 패시브 디바이스는 사용 중인 개인 키에 액세스하더라도 페이로드를 해독할 방법이 없습니다.TLS 1.3에서는 스트림에 기기를 삽입하고 트래픽을 프록시해야 합니다.둘째, T~LS 1.3은 보안 수준이 낮은 암호의 사용을 중단하여 프록시 디바이스가 TL~S 1.2에 대한 프록시 연결을 강등할 수 없게 합니다. 이는 보안이 낮은 암호일수록 일반적으로 계산이 덜 필요하기 때문입니다.]

[암호학의 역사가 우리에게 가르쳐 준 것이 있다면 오래되고 신뢰할 수 있는 표준은 시간이 지남에 따라 거의 100% 확실하게 취약한 것으로 밝혀지는 경향이 있다는 것입니다.리소스 절약을 위해 수동적 암호 해독 및/또는 강등을 허용하기 위해 TLS 1.3을 T~LS 1.2로 강등하는 현재의 관행은 아직 시간이 지나지 않아 TL~S 1.2의 지원이 중단되기만을 기다리고 있습니다.그 날이 오면 대다수의 수동 검사 장치는 값비싼 문진으로 전락할 것이며, 많은 인라인 솔루션은 계산 비용이 더 많이 드는 암호화를 사용해야 한다는 이유로 순식간에 어려움을 겪게 될 것입니다.]

[ÑGFW~ 세계의 더러운 비밀은 적어도 이 글을 쓰는 시점에서는 WébS~ócké~t 트래픽이 어떤 종류의 위협도 검사되지 않을 수 있다는 것입니다.왜요¿일반적인 ÑG~FW는 트래픽을 실시간으로 해독할 수 없기 때문입니다.페이로드를 검사하려면 Wé~bSóc~két 트래픽을 브라우저 내에서 보거나 (개발자 도구를 사용하여) W~írés~hárk~와 같은 방법을 사용하여 캡처 및 암호 해독해야 합니다 (개인 키가 있다고 가정).웹 소켓은 Jává~Scrí~pt 애플리케이션이 브라우저와 웹 서버 간에 데이터를 주고받을 수 있는 훌륭한 솔루션을 제공하므로 웹 애플리케이션에서 점점 더 보편화되고 있습니다.말 그대로 Wé~bSóc~két 연결을 통해 무엇이든 이동할 수 있으며 Ñ~GFW에는 완전히 불투명합니다.]

[마지막으로, 웹 트래픽에 QÚÍC~을 사용하는 등 널리 보급되고 있는 다른 신기술도 잊지 말자.QÚÍC~은 브라우저로 트래픽을 더 빠르고 효율적으로 유도하기 위한 강력한 새 도구이지만 표준 TLS 암호화를 사용하지 않습니다.즉, 인라인 Ñ~GFW는 모든 Q~ÚÍC 트래픽을 차단 (T~LS로 강제 다운그레이드) 하거나 트래픽이 검사 없이 통과하도록 허용해야 합니다.첫 번째 해결책은 사용자 경험의 품질을 떨어뜨리고, 두 번째 해결책은 조직을 위험에 노출시킵니다.둘 다 이상적이지는 않습니다.]

[워크로드 수준에서 일부 ÑGFW~ 작업을 처리하면 기존 ÑGFW~ 어플라이언스에 대한 투자 수명을 연장하는 데 도움이 됩니다.이를 통해 컴퓨팅 비용이 많이 드는 프로세스를 워크로드별로 처리함으로써 일정 비율의 부담을 덜 수 있습니다.이를 통해 고객은 네트워크 장치에서 검사 페이로드의 일부를 오프로드하여 필요한 방화벽 업그레이드를 지연시키는 동시에 기술적으로나 재정적으로 의미가 없을 수 있는 네트워크 부분에 제로 트러스트의 이점을 제공할 수 있습니다.]