‘마이크로세그먼테이션 정책’ 주목…애플리케이션·데이터 보호

브이아머 ‘DSS’, 네트워크 자산과 활동에 깊이 있는 모니터링 제공

데이터센터 내부와 확장된 애플리케이션 보안을 향상시키는 효율적이고 획기적인 접근방법으로 ‘마이크로세그먼테이션(Microsegmentation)’이 부상하고 있다. 마이크로세그먼테이션 기술을 적용해 모든 애플리케이션과 워크로드의 특성에 맞는 정책을 설정하고 적용해 프로세스 레벨에서 세밀하고 강력한 보안 정책을 구축할 수 있고, 이를 통한 소프트웨어 기반의 분산보안 접근법으로 모든 워크로드에 대해 하드웨어 기반의 방화벽 없이도 통합적인 보안을 제공할 수 있기 때문이다. 마이크로세그먼테이션 정책을 적용하기 위해서는 프로세스 레벨의 깊이 있는 가시성과 애플리케이션에 대한 지식이 필요하기 때문에 네트워크 자산과 활동에 대한 깊이 있는 모니터링을 제공하는 브이아머(vArmour)의 ‘DSS(Distributed Security System)’와 같은 전문 툴의 중요성이 높아지고 있다. <편집자>

오늘날 다양한 네트워크 특성으로 인해 데이터센터의 보안에 대한 관심이 기존 하드웨어 및 경계방어에 집중해 대응하는 것과 다양한 보안제품으로 대처하는 것에 한계가 드러남에 따라 새로운 대응책이 절실해지고 있다. 이에 새로운 관점에서 특정 시스템이나 인프라스트럭처에 의존하지 않고 애플리케이션 등 내부 자산 및 모든 워크로드에 개별적으로 세밀한 보안 정책을 설정하고 적용하고 있는 기업들이 증가하고 있다.

마이크로세그먼테이션 접근법
마이크로세그먼테이션은 데이터센터 내부와 확장된 애플리케이션 보안을 향상시키는 효율적이고 획기적인 접근방법으로 새롭게 떠오르고 있다. 마이크로세그먼테이션 기술을 적용해 모든 애플리케이션 및 워크로드의 특성에 맞는 정책을 설정하고 적용해 프로세스 레벨에서 세밀하고 강력한 보안 정책을 구축할 수 있고, 이를 통한 소프트웨어 기반의 분산보안 접근법으로 모든 워크로드(물리적, 가상, 클라우드)에 대해 하드웨어 기반의 방화벽 없이도 통합적인 보안을 제공할 수 있다.

보안 기능은 네트워크와 데이터센터 기반 시설 자체 내에 임베디드돼 있어야 하고, 관리자들은 모든 애플리케이션과 워크로드에 보안을 적용할 수 있어야 한다. 마이크로세그먼테이션은 가장 진보된 보안 정책 방법의 하나로 조직은 중요 자산, 사용자 그리고 데이터를 외부 해커와 악의적인 내부자들 모두로부터 보호할 수 있어야 한다.

L4~L7 가시성 확보해야
마이크로세그먼테이션 도입에 가장 큰 고려사항은 4계층과 7계층 모두에서 보호해야 할 자산과 워크로드에 대한 통찰력과 가시성이 요구되면서도 매우 제한적이어서 ‘무엇을 할 수 있는가’와 ‘어떻게 할 수 있는가’를 엄격하게 제한하는 특성을 갖고 있다. 네트워크 내의 모든 프로세스, 애플리케이션, 사용자, 서비스에서 인가되지 않은 모든 것을 거부하고 적용 가능한 정책의 의도를 해석하는 적절한 툴 없이 각 요소가 무엇을 하고 어떻게 통신하는지를 이해하는 것은 매우 어려운 일이다.

그리고 그들 각각이 무엇을 할 수 있는가, 어떻게 상호작용 하는가를 허가하는 일은 그들의 의도를 강제할 수 있는 정책으로 변환할 수 있는 검증된 툴 없이는 매우 어렵다. 만약 정확하게 적용되지 않는다면 마이크로세그먼테이션은 뜻하지 않게 정상적인 통신을 제한하거나 애플리케이션이 의도한 대로의 기능을 제대로 수행하지 못할 수도 있다.

마이크로세그먼테이션 정책을 적용하기 위해서는 프로세스 레벨의 깊이 있는 가시성과 애플리케이션에 대한 지식이 필요하기 때문에 브이아머의 ‘DSS’와 같은 전문 툴은 네트워크 자산과 활동에 대한 깊이 있는 모니터링을 제공한다. 이는 다양한 애플리케이션에서 사용하는 포트와 활동에 대한 많은 통찰력을 제공할 뿐만 아니라 이 데이터는 세그먼테이션의 일부로 새로운 정책을 정의하는 좋은 출발점이 되기 때문이다.

▲ 브이아머 ‘DSS(Distributed Security System)’

보안결과 신속하게 정의하는 ‘앱 컨트롤러’ 솔루션
이것은 마이크로세그먼테이션 정책을 적용한 기업과 기관에서 이미 입증됐으며, 적용과정에서 새롭게 인지한 것은 기존 애플리케이션을 잘 이해하지 않고는 보안정책을 생성하면서 애플리케이션을 보호하는 것이 매우 어렵다는 것이다. 특히 하이브리드 클라우드에 걸쳐 있는 애플리케이션의 복잡성을 고려하면 문제는 더욱 커질 수 있다. 이 문제에 대응하기 위해서는 보안결과를 신속하게 정의할 수 있는 ‘앱 컨트롤러’ 솔루션이 필요하다.

앱 컨트롤러는 보안 담당자 또는 애플리케이션 도메인 전문가에게 애플리케이션의 보안 결과를 간단하고 안전하게 그리고 매우 신속하게 정의하고 하이브리드 클라우드에서 적용하는 기능을 제공해야 한다. 앱 컨트롤러가 수행할 수 있는 기능은 다음과 같다.

· 식별된 보안 위험을 포함해 간단하고 의미 있는 방식으로 제시되는 환경(예: 워크로드의 역할과 종속성을 정확하게 분류)에 대한 정보 검색
· 발견된 애플리케이션의 종속성과 활동으로부터 애플리케이션 보안 정책을 정의하는 모델 생성
· 대상 정책을 다시 테스트해 애플리케이션 활동 관찰
· 조직이 보다 역동적인 클라우드 기반 운영 모델로 이동함에 따라 애플리케이션 주변에서 안전한 SDLC(Soft ware Development Life Cycle)를 생성하고, 애플리케이션 컨트롤러는 하이브리드 클라우드에서 여러 환경에 대한 개념을 제공해 보안 정책 관련 복잡한 위험 축소

앱 컨트롤러(정책 아키텍처)는 최적의 적용 방안과 제로 트러스트 화이트리스트를 포함하는 다양한 보안 정책 모델을 지원한다. 정책 생성은 정책 컴퓨테이션을 통해 완전 자동화 되며, 운용자는 전체 유효성 검사 및 테스트를 포함해 배포 전에 계산된 정책을 관리할 수 있다.

각각의 워크로드에 대한 정책들은 워크로드 형태(데이터베이스, 앱, 웹 등), 사용 의도(생산, 개발, 운영 등), 데이터 종류(개인정보식별, 금융기록 등)를 처리해야 한다. 정책 아키텍처는 가상화 시스템, 베어메탈 및 클라우드 또는 컨테이너 환경 전반에 걸쳐 지원된다.

베어메탈 환경으로 L7 스페이트풀 보안 기능 확장
마이크로세그먼테이션 툴을 사용하고 있는 기관의 담당자는 데이터센터와 하이브리드 클라우드에서 다양한 프로세스 환경에 접해있다고 지적한다.

이들은 높은 디스크 IO를 필요로 하는 데이터베이스, SWIFT(규제된 네트워크) 게이트웨이와 같은 타사 소프트웨어 패키지, 또는 때때로 운용기록, 목록 등과 같이 매우 중요한 기능을 제공하지만 베어메탈 서버에 호스팅된 서버에 종속적이어서 보안에 취약한 상태로 운용하는 애플리케이션들을 갖고 있다.

비즈니스 환경을 보호하기 위해 가상환경에서 제공하는 L7 스테이트풀(네트워크 연결 상태를 추적할 수 있는) 보안은 베어메탈 컴퓨팅 환경까지 확장돼야 한다. 따라서 가상 데이터센터를 위한 아키텍처 패턴을 적용하고, 랙 상단 스위치에서 데이터센터 네트워크의 백본인 VPC(Virtual Port Channel) 또는 MLAG(Multi-Chassis Link Aggregation Group)를 사용해 투명한 서비스로 분산 애플리케이션 방화벽 기술을 구현했다.

이러한 환경에서 네트워크 복원력과 성능 요구 사항으로 인해 뛰어난 탄력성과 성능(40Gbps에서 100Gbps로 증가)은 마이크로세그먼테이션 툴의 L7 스페이트풀 보안 기능을 베어메탈 환경으로 확장할 수 있다. 금융서비스 SWIFT 결제와 같이 가상화된 기존의 유닉스 서버가 애플리케이션 스택을 제공하는 환경에서 이 아키텍처를 채택해 운용하고 있는 기업들도 있다.

최근 많은 기업들은 소프트웨어 개발 프로세스와 애플리케이션 아키텍처를 최적화하기 위해 마이크로서비스, 컨테이너, PaaS 등을 받아들이고 있다.

퍼블릭 클라우드 및 프라이빗 데이터센터 호스트 환경에서 일관된 방식으로 이러한 신규 IT 플랫폼에 보안을 구축할 필요가 있지만 애플리케이션 종속성이 마이크로서비스와 전통적인 컴퓨팅 환경 사이에서 애플리케이션간에 확장되므로 나머지 IT 자산과 일치하는 방식으로 보안을 구축해야 한다.

브이아머 DSS 패브릭, 컨테이너 환경 일부로 기본 제공
마이크로세그먼테이션 툴인 브이아머 DSS의 패브릭은 컨테이너 포드와 네트워킹 네임 스페이스 사이의 인터페이스에 보안 기능을 삽입할 수 있기 때문에 보안 아키텍처를 컨테이너 아키텍처에 삽입하기 위한 유용한 솔루션이 될 수 있다. 쿠버네티스(Kubernetes), 오픈시프트(Openshift) 등과 같은 표준 플레인과 CNI와 같은 표준을 준수하는 네트워크 구현과 함께 동작하는 모델 내에서 고도로 자동화되고 투명한 방법으로 이를 수행한다.

이처럼 고도로 자동화된 환경에서 새로운 호스트가 클러스터 안에 적용됨에 따라 마이크로세그먼테이션 툴 패브릭을 자동으로 배포하며, 라벨을 통한 이벤트 버스 제어 플레인을 통해 소비하는 메타데이터에 따라 보안 정책을 적용한다.

마이크로세그먼테이션 툴 패브릭은 컨테이너 환경의 일부로 기본 제공되고 있으며, 흔히 사용되는 방법인 데브옵스(DevOps) 메소드 라인을 따라 완전히 보완된다. 하지만 마이크로세그먼테이션 툴의 고유한 접근법은 컨테이너만을 위한 특별한 보안 솔루션 구축보다는 다른 곳의 하이브리드 클라우드 환경에서도 동일한 보안 정책과 결과를 유지할 수 있어야 한다.

브이아머는 의도된 정책 생성, 자산형태(레거시, 베어메탈, 가상, 컨테이너) 및 배포옵션(온 프레미스, PaaS, 클라우드) 전반에 걸쳐 일관된 보안 정책인 마이크로세그먼테이션을 사용해 강력한 보안을 구현하는 효율적인 방법을 제공하는 가상화 및 클라우드 보안 솔루션을 제공하고 있다.

강석오 기자 다른기사 보기