• >
  • Partner & Business
  • >
  • Community
  • Partner & Business

최근 소식

동훈아이텍은 가치창출을 통한 고객만족과 지속적인 성장을 추구하고 있습니다.

전체소식게시판
[동훈아이텍] 지능적 웹 기반 공격 방어, 클라우드 WAF가 최적 (2)
첨부파일 Incapsula_cloud(2).jpg

 클라우드 이전 위한 WAF 요구사항

 

 

 

퍼블릭 클라우드 보안 모델 필수

 

주요 클라우드 벤더들은 클라우드 보안을 위해 공동 책임 모델을 도입했다. 아마존은 "AWS에 '클라우드의 보안에 책임(security of the cloud)'이 있고, 고객은 '클라우드 상에서의 보안에 책임(security in the cloud)'이 있다"고 말한바 있다. 동일한 모델이 마이크로소프트 애저, 구글 클라우드 외 기타 클라우드 벤더에서도 채택됐다.

 

다시 말해 '공동책임'의 의미는 클라우드 벤더가 네트워크, 컴퓨터와 같은 인프라 보안을 위한 도구와 서비스를 제공하고, 고객은 네트워크 트래픽 보호와 데이터 보안 등을 담당한다는 뜻이다.

 

예를 들어 클라우드 벤더는 보안 그룹이나 방화벽 등을 사용해 웹 서버가 설치된 컴퓨팅 인스턴스 (AWS EC2, 에저 VM, 구글 CE)에 대한 접근을 제한한다. 또한 퍼블릭 엔드포인트(일반적으로 로드 밸런서)에 필요한 HTTP나 HTTPS리스너만 설정해 제한된 포트에 액세스하는 웹 트래픽을 차단한다.

 

퍼블릭 클라우드 벤더는 OWASP 상위 10개 위협이나 자동화된 공격과 같은 애플리케이션 취약성을 완벽하게 보호하는 데 필요한 도구는 제공하지 않는다. 물리적 데이터센터에서와 마탄가지로 인증된 트래픽만 클라우드 기반 데이터센터에 들어갈 수 있도록 보안 조치를 수립해야 하는 일은 고객의 책임이다. 물리적 데이터센터상의 웹 트래픽 보안은 일반적으로 WAF로 수행되며, 퍼블릭 클라우드에도 이를 적용할 수 있다.

 

클라우드 애플리케이션 계층 공격 제거해야


여러 웹 애플리케이션 위협을 제거하기 위해서는 솔루션을 선택할 때 알맞은 툴이 사용되는지 확인하는 것이 중요하다. 첫 번째 방어 계층은 평판이 나쁜 소스(악성IP)의 액세스를 거부하고, 미리 정의된 시그니처를 기반으로 요청을 차단하는 등 모든 공격자에게 일반적으로 사용된다.

 

이 계층은 봇넷 공격과 같은 일반적인 유형의 공격에 유용할 수 있다. 공격이 타깃화될수록 보안팀에서 요구하는 제어 수준의 공격을 방하는데 필요한 도구가 세분화된다. 공격자가 특정 웹 서비스를 타킷으로 공격하려고 할때 이를 차단하기 위해서는 사용자 지정을 제공하는 툴이 필요하다.

 

지능적이고 사용자 지정이 가능한 WAF를 프라이빗 네트워크에 설치해 설치 토폴로지와 보안 구성을 비롯한 완벽한 제어기능을 보안 담당자에게 제공할 수 있다.

 

 퍼블릭 클라우드에 설치되는 WAF는 다음의 몇 가지 주요 기능을 지원해야 한다.

 

- 확장성: 클라우드 환경에서 확장성이 매우 중요한 만큼 WAF 솔루션 또한 로드가 증가할수록 더 많은 웹 트래픽을 처리할 수 있도록 확장이 가능해야 한다. 가꿈 WAF에서 알아채기 어려울 정도로 낮은 트래픽이 대규모 백엔드 응용을 필요로 할 때가 있으므로 WAF 계층은 웹 애플리케이션 계층과 독립적으로 확장이 가능해야 한다. 이 경우 웹서버에 추가 리소스가 필요할 수 있지만 WAF는 확장할 필요가 없다. 각 계층에 서로 다른 로드 밸런서를 사용하면 이와 같은 독립적인 확장을 지원할 수 있다.

 

- 고가용성: 비즈니스 연속성을 항상 유지하기 위해서는 WAF의 고가용성이 보장돼야 한다. AWS의 가용 영역에 걸쳐있거나, 애저에 설정된 가용성의 일부를 차지하고 있을 때 WAF의 고가용성을 위해 클라우드 고유 툴을 사용해야 한다. 

 

- 자동화: 클라우드 환경은 매우 동적인 만큼 전체 환경의 자동화가 필요하다. 자동화를 통해 환경을 설정하고, 확장하며, 정책을 조정하고, 유지 작업을 처리할 수 있다. 클라우드 환경의 WAF는 자동화를 용이하게 하는 툴을 제공해야 한다. AWS 클라우드포메이션(CloudFormation), 애저 ARM과 같은 사업자가 제공하는 조정 서비스, 혹은 Puppet, Chef 등 툴을 이용할 수 있다. 

 

- 하이브리드 설치를 위한 중앙 집중식 관리: 퍼블릭 크라우드로의 이동은 어느 정도의 시간이 필요하며, 물리적 데이터센터와 클라우드에 워크로드의 일부를 나눠 함께 사용하는 하이브리드 설치 모드가 일반적이다. 물리적 데이터센터와 클라우드 모두에서 동일한 보안 정책을 어떻게 적용하는지 운영 측면의 질문이 제기된다. 두 위치 모두에서 WAF를 제어할 수 있는 중앙 집중식 관리 솔루션이 적합하다.

 

 

클라우드서 검증된 솔루션 도입해야

 

잘 알려지고, 잘 보호해온 데이터센터를 클라우드로 옮기는 것은 대규모 프로젝트지만, 이미 많은 기업의 성공사례가 축적된 만큼, 안전하게 수행될 수 있다. 신중하게 계획하고 적합한 툴과 적절한 아키텍처를 택한다면 클라우드 이전을 성공적으로 수행할 수 있다. 그 첫 번째 단계는 민첩하면서도 강력한 WAF를 선택하는 것이다.

 

동훈아이텍은 가트너 매직 쿼드런트에서 4년 연속 리더로 선정된 임퍼바의 총판 파트너로 포털, 게임사 및 공공기업 등에 어플라이언스 구축을 진행하고 있다.

 

클라우드 기반 웹 보안 서비스와 웹사이트 가속을 위해 임퍼바의 '인캡슐라(Incapsula)'를 제안한다. 인캡슐라는 SQL인젝션, XSS와 같은 웹 공격과 디도스 공격을 방어한다. 또한 글로벌 콘텐츠 전송 네트워크(GCDN)를 사용해 웹 페이지 로딩 시간 감소와 로드밸런싱 기술을 통해 웹 트래픽을 최적화할 수 있다.

 

여러 글로벌 평가기관으로부터 디도스 방어에 우수한 평가를 받은 바 있으며, 글로벌 네트워크가 38개의 데이터센터로 구성돼 있고, 3.5Tbps를 보호할 수 있는 용량을 보유하고 있다. 국내에서도 꾸준히 관심이 증가하고 있는 인캡슐라는 10월부터 국내에 위치한 데이터센터를 이용할 수 있다.

 

 

 

 

 

 

본 포스팅은 <네트워크타임즈 10월호>에 기재된 기사 TECH GUIDE를 바탕으로 작성되었습니다.