차세대 New IP를 통한 네트워크 보안 강화가 해답이다

[Expert Column] 차세대 New IP를 통한 네트워크 보안 강화가 해답이다

927
0

[Expert Column] 차세대 New IP를 통한 네트워크 보안 강화가 해답이다. 

이용길 브로케이드코리아 지사장

 기존의 IP 네트워크에서 보안은 엣지단에 구축된 기기를 통해 실행됐다. 하지만, 데이터센터와 네트워크가 융합되고, 모바일 접근이 보편화 되고 있는 지금의 클라우드 시대에는 네트워크 경계라는 개념 자체가 사라지고 있다. 이런 환경에서 네트워크 보안의 새로운 패러다임이 되고 있는 것이 차세대 New IP를 통한 보안이다.

이용길 브로케이드 지사장
이용길 브로케이드 지사장

네트워크 가상화를 통한 보안 개선

네트워크 기능 가상화(NFV)를 통해 인프라를 구축하면 강력한 대응책을 쉽게 마련할 수 있다. 라우팅, 로드 밸런싱, 애플리케이션 딜리버리, 보안, 웹 및 네트워크 방화벽, 그리고 가상사설망과 같은 서비스들을 실시간으로 이동하거나, 물리적 재구축 또는 인력의 개입 없이 원격 관리할 수 있게 됨으로써 운영비용 및 자본비용을 상당히 절감할 수 있다. 이렇게 비용을 절감함으로써 같은 성능의 기능성을 더욱 적절하게 분배할 수 있는 유연성이 실현된다. 보안을 필요한 곳에만 또는 어디에나 구축할 수 있고, 더 이상 필요 없는 서비스는 제거할 수 있다. 이를 통해, 지리적 위치, 기능, 그룹, 개인, 그리고 애플리케이션에 따라 보안을 맞춤화 할 수 있게 된다.

이렇게 보안 기능을 내재화함으로써 기업들은 사이트에서 클라우드까지, 그리고 직원들과 애플리케이션 리소스 사이의 컴플라이언스를 보장할 수 있다. 또한, IP 보안 프로토콜 암호화, 원격 접근 VPN, 네트워크 연결 상태 추적이 가능한 방화벽, 그리고 가상 라우터와 가상 애플리케이션 딜리버리 컨트롤러에 내장되어 있는 웹 애플리케이션 보안 등을 통해 보안을 여러 겹 설정할 수 있다.

SDN 컨트롤러상의 보안

기본 네트워크 패브릭으로 단순화된 플랫(flat) 구조의 가상머신 인지 가능 네트워크 토폴로지를 만들어낼 수 있는데, 이는 본질적으로 보안을 향상시키는 구조이다. 플로우(flow) 기술과 프로그래머블 SDN 컨트롤러를 사용하면 네트워크 행동에 대한 중앙에서의 감시가 가능해져 인프라상의 보안 위협에 대해 즉각 조치를 취하고 실시간으로 네트워크에 정책을 실행할 수 있다. 고급 메시징 기능으로 네트워크의 모든 요소가 자동으로 상황과 상태를 진단하고 실시간 분석을 위해 중앙 저장고로 보내져 머신러닝을 통한 보안에 한걸음 더 가까워 질 수 있다.

실행 중의 정보 암호화

네트워크가 끊임없는 공격에 노출되어 있는 상황에서는, 데이터센터 및 LAN과 WAN 내의 네트워크 기기에서 자체 정보 암호화를 통해 정보가 링크를 넘어가는 것을 막을 수 있다. 성능에는 어떤 영향도 미치는 일 없이, 그리고 분석 기기로 트래픽을 전달하기 위한 추가 비용이나 복잡성을 발생시키지 않고도 가능하다. 이는, 데이터센터 간, 사이트 간, 그리고 사이트와 클라우드 간에서처럼 네트워크 링크가 기업의 물리적 제어를 받지 않고 있는 경우에는 특히 더 의미가 있다.

클라이언트-애플리케이션 간의 보안을 위한 애플리케이션과 사용자 인식

핵심 비즈니스 애플리케이션에 대한 접속은 다층의 보호막을 필요로 한다. 앱 트래픽 용량이 점점 증가하는 상황에서는 기업과 소비자 사이의 상호작용을 위해 보다 안전한 웹 기반 애플리케이션이 요구되기 때문이다. 통합 웹 애플리케이션 방화벽을 통해 점점 확장되는 SSL 기반 트래픽을 처리할 수 있는 애플리케이션 딜리버리 컨트롤러가 필요하다. 또한, 애플리케이션 별 독특한 보안 요건으로 개별 사용자 또는 고객 그룹을 겨냥할 수 있는 유연성이 요구된다.

개방형 보안

기존의 IP 네트워크에서는 방화벽, IPS/IDS, DPI, 애널리틱스 도구, 실행하지 않을 때의 암호화, 그리고 실행 중의 암호화 등의 포인트 보안 기기들은 각각 특정 보안 문제만 다뤘다. 기기 사이의 어떤 정보 교환 또는 협업도 없었으며, 모든 기기에서 얻어진 핵심 정보를 이용할 수 있는 보안 서비스 추상화 계층이 없었다.

그러나, 하드웨어와 소프트웨어가 혼재하는 차세대 New IP 네트워크에서는 SDN 컨트롤러를 통해 표준화된 방식으로 어느 기기나 센서(물리적 혹은 가상)와도 교류하고 소통할 수 있다. 센서로부터 모든 정보를 취합하여 분석 엔진으로 전달함으로써 가상화, 식별 및 적절한 액션을 이행할 수 있다. 사용자가 소통하고, 프로그램하고, 스스로 작성하면서 모든 기기의 행동을 바꿀 수 있다.

신원뿐만 아니라 행동에 기반한 보안

New IP 네트워크는 보안 정책을 적용할 때 단지 신원뿐만 아니라 행동도 고려한다. 행동 기반의 보안으로 시스템은 정형과 비정형 액션에 대한 보다 깊은 통찰력을 갖고, 이미 일어나고 있는 공격을 완화할 뿐만 아니라 잠재적 공격도 방지할 수 있다. 대부분의 보안 허점은 내부 요소에 기인한다는 것을 명심하고 신원 관리에만 의존해서는 안 된다. 내부 공격을 감지하고 접근 권한을 갖고 있는 자들로부터 시스템을 보호할 방도를 마련해야 한다. 위험 요인의 행동적 분석, 비정상 활동 지표, 그리고 맥락을 벗어난 행동의 감지가 매우 중요하다.

정적 보안이 아닌 스스로 학습하는 보안

New IP 아키텍처의 보안 시스템은 주기적으로 업데이트 되는 데이터베이스와의 패턴 매칭(pattern matching)에 의존하는 기존의 시스템과는 달리 꾸준히 배우고 자율최적화 하는 능력을 갖고 있다. 패턴 매칭의 경우, 공격이 정해진 패턴과 일치하지 않으면 보안 시스템은 이를 위협으로 인식하지 못 한다. New IP 아키텍처는 더 민첩하고 스스로 개선할 수 있다. 네트워크 행동에 빅데이터와 머신러닝을 접목함으로써 대응적인 보안에서 사전에 방지하는 보안으로, 서술적 분석에서 예측적 분석으로, 그리고 궁극적으로 정적인 보안에서 자체 학습을 통해 스스로 적응해 나가는 네트워크로의 변화가 가능하다.

NO COMMENTS

LEAVE A REPLY