보안전문기업 모글리는 이스라엘의 데이터센터 전문 보안기업 가디코어(GuardiCore)와 국내 총판 계약을 체결하고, ‘가디코어 센트라(Centra)’로 데이터센터 내부보안 문제 해결에 나섰다. 가디코어 센트라는 최신 데이터센터의 효율적인 내부보안을 위해 필요한 핵심 기능인 애플리케이션 레벨의 프로세스 가시성, 마이크로 세그먼테이션, 침입탐지, 자동화된 분석과 대응을 실시간으로 제공해 데이터센터 내부보안 이슈를 해결할 수 있다. 가디코어 센트라는 가상머신(VM) 기반의 가상화 데이터센터와 전통적 방식의 데이터센터뿐 아니라 클라우드 환경에도 적용이 가능하다. <편집자>
가디코어 센트라(GuardiCore Centra)는 최신 데이터센터와 클라우드를 보호하는 5가지 주요 기능인 가시성, 마이크로 세그먼테이션, 침입 탐지, 자동 분석, 대응을 통해 이러한 문제를 해결한다.
모든 커넥션 모니터링하는 분산 컴포넌트
가디코어 센트라는 멀티 탐지 방법을 사용해 데이터센터의 모든 커넥션을 모니터링하는 분산 컴포넌트를 사용한다. 접속에 실패한 커넥션은 집중적인 모니터링을 위해 디셉션(Deception) 엔진으로 전달하며 성공적인 커넥션은 악의적 특성에 대해 분석하게 된다.
중앙 집중식 관리 서버는 커넥션 및 침입자 행동에 대한 시맨틱 분석(Semantic analysis)을 수행하고 승인된 행동패턴과 예상되는 행동패턴의 편차에 대한 경고를 제공한다. 또한 해커는 물론 APT와 봇(bots) 공격을 탐지하고 침입 확산을 조사해 감염된 서버를 자동으로 치료한다.
가디코어 센트라의 일부인 가디코어 리빌(Reveal)은 애플리케이션 전반의 프로세스 레벨 활동을 모니터링하고 추적하며 네트워크 이벤트와 연관시켜 전체 데이터센터 네트워크에 대한 시각화된 다이내믹 맵(Dynamic map)을 제공한다. 또한 의심되는 이상 징후와 인시던트를 탐지하고 보고함으로써 보안 관리자에게 모든 작업부하에 대한 퀵 뷰(Quick view)를 제공한다.
가디코어 센트라는 오픈스택, 클라우드스택, VM웨어 등의 인프라와 통합이 가능하며 물리적인 데이터센터 및 퍼블릭 클라우드에도 적용할 수 있다.
멀티 탐지 기술로 신속한 침입 탐지·대응
보안 담당자는 데이터센터 내부에서 발생하는 잠재적 위협에 대처하고 침입을 보다 신속하게 탐지하고 대응할 수 있어야 하며 탐지 방법은 대량의 수평(East-West) 트래픽을 커버할 수 있어야 한다. 또한 다이내믹한 오토스케일링(Auto-Scaling) 환경에서 보안 담당자는 침입이 발견되면 위반 사항을 이해하고 대응 조치의 우선순위를 정할 수 있는 자동화된 도구가 필요하다.
가디코어 센트라는 특허 받은 다이내믹 디셉션(Dynamic Deception) 기술, 정책 기반의 트래픽 분석과 도메인, IP 주소 및 파일 해시의 평판 분석 등 다양한 탐지 방법을 사용해 데이터센터 내부의 침입을 보다 빠르게 감지해 대응 시간을 단축하고 수평 이동을 차단한다.
자동 침입 분석은 공격 방법에 대한 실시간 정보와 종합적인 인텔리전스를 보안 관리자에게 제공함으로써 기존의 툴과 기술을 사용할 경우 상당한 시간이 소요되는 수동 분석에 비해 보안 대응 작업을 신속하게 처리할 수 있다. 또한 랜섬웨어 확산을 방지하고 감염된 시스템의 실시간 치료를 통해 사고 대응을 자동화한다.
■ 다이내믹 디셉션 기술로 침입 방법과 소스 확인
가디코어 센트라는 특허 받은 리디렉션(Redirection) 및 허니팟 기술을 사용해 잠재적 침입 지표인 수평 트래픽을 탐지하고 의심스러운 트래픽을 가디코어 디셉션 환경으로 유인해 모니터링한다.
■ 비인증·악성 탐지하는 정책과 평판 분석
보안 관리자는 가디코어 센트라의 정책 기반 탐지를 통해 애플리케이션간의 인증된 보안정책을 수립할 수 있다. 또한 정책을 준수하지 않은 트래픽, 허가되지 않은 통신 또는 기타 정책 위반 발생 시 침입자가 존재할 수 있음을 나타내는 경고가 자동으로 발동돼 위협을 확인하고 대응하기 위한 조사 프로세스가 가동된다.
평판 분석은 알려진 악의적 활동과 관련된 의심스러운 도메인, IP 주소 및 파일 해시를 식별하기 위한 것이다. 평판 분석은 가디코어 다이내믹 디셉션 엔진 네트워크, 위협 인텔리전스 피드와 가디코어 보안 전문가의 통찰력을 활용한다. 또한 가디코어는 조사가 필요한 신뢰할 수 없는 IT 자산을 의미하는 ‘부정적 프로세스(Negative Processes)’도 식별할 수 있다.
최신 데이터센터에 최적화된 설계
가디코어 센트라는 개체식별과 리포팅을 위해 서로 다른 컨트롤러 및 오케스트레이션 구성 요소와 긴밀하게 통합돼 있으며 모든 가상머신(VM)과 VM-투-VM 트래픽을 완벽하게 지원한다. 까다로운 환경을 수용할 수 있도록 설계된 3티어 아키텍처는 하이퍼바이저 성능에 최소의 영향을 미치면서 다양한 규모의 데이터센터 성능과 보안 요구사항을 충족할 수 있도록 확장이 가능하다. 특히 트래픽 부하가 높은 상황에서도 원활한 탐지와 치료가 가능하다.
