[데이터넷] 컨테이너 기반 NGFW은 주니퍼네트웍스가 업계에서 가장 먼저 출시했다. 주니퍼는 VM 기반 vSR, 컨테이너 기반 cSRX를 공급하며 진보하는 클라우드 인프라를 보호한다. cSRX는 작은 크기로 공간 효율을 극대화하고, 컨테이너 관리 시스템 역할을 하는 도커를 탑재하고 있어 민첩한 고집적 보안 서비스 구축을 지원한다. 기존 보안 관리 기능뿐 아니라 텅스텐 패브릭(Tungsten Fabric) 또는 주니퍼의 콘트레일(Contrail) 같은 SDN 컨트롤러와도 통합이 가능하다.

게스트 OS가 오버헤드 없이 실행되고, 훨씬 작은 설치 공간만 차지하며, 마이그레이션 또는 다운로드가 훨씬 간편하다. 또한 적은 양의 메모리 사용과 스핀업 시간이 1초 미만으로 측정되기 때문에 더 낮은 비용으로 더 높은 집적도를 구현한다.

vSRX는 클라우드 가상환경의 요구에 맞게 확장 가능하도록 폼팩터를 구현했으며, 코어 방화벽, 강력한 네트워킹, 모든 차세대 기능, 자동화된 수명 주기 관리 등 SRX 어플라이언스의 기능을 그대로 제공한다.

박달수 한국주니퍼 이사는 “vSRX, cSRX는 주니퍼 콘트레일, 오픈콘트레일 및 타사 SDN 솔루션을 지원해 모든 클라우드 환경에 민첩하게 대응할 수 있다. 프라이빗·퍼블릭 클라우드에 필요한 보안 기능을 제공하며, IoT·5G 서비스에서도 유용하게 사용될 수 있다”며 “주니퍼의 고급 위협 방지 기술이 더해져 클라우드를 타깃으로 하는 수많은 공격과 지능적인 접근으로부터 클라우드 자산을 보호할 수 있다”고 설명했다.

위협 인텔리전스 적용해 탐지 효과 높여

시스코는 마이크로세그멘테이션으로 컨테이너에 대한 가시성과 일관된 통제를 지원하는 ‘테트레이션’을 소개한다. 이 솔루션은 컨테이너 내부 혹은 컨테이너 간 이상통신을 모니터링한다.

또한 차세대 방화벽과 차세대 IPS 가상화 버전으로 클라우드 환경을 보호한다. 특히 차세대 IPS ‘파이어파워(Firepower)’는 ‘파이어파워 매니지먼트 센터’를 사용해 네트워크에서 더 많은 컨텍스트 데이터를 보고 보안을 강화할 수 있다. 하드웨어 변경 없이 구축할 수 있고, 2시간마다 새로운 정책을 내려받아 항상 최신 상태의 보안을 유지할 수 있도록 하며, 위협 탐지 네트워크인 ‘탈로스(Talos)’를 이용해 보안 효율을 높인다. 방화벽 뒤에서 모든 트래픽을 검사해 미션 크리티컬 자산과 게스트 액세스, WAN 연결을 검사한다.

컨테이너 기반 웹방화벽으로 웹 보안 강화

컨테이너 기반 웹방화벽으로 컨테이너 환경을 보호하는 솔루션도 시장에서 호평을 받고 있다. 라드웨어의 웹방화벽은 호스트에 탑재돼 컨테이너 간 통신을 보호할 뿐 아니라 컨테이너 내에 들어가 컨테이너 자체의 오류나 취약점까지 제거할 수 있다. 컨테이너 생성·삭제·이동 등의 변경이 있을 때 자연스럽게 컨테이너 이미지 내에 웹방화벽이 추가돼 컨테이너 상에서 발생하는 모든 위협을 제거할 수 있다.

F5는 컨테이너 기반 웹서버 NGINX를 인수하고 컨테이너 기반 웹방화벽을 설계해 발표했다. NGINX는 거의 모든 포털과 클라우드 개발자가 선택한 완성도 높은 솔루션이다. 여기에 F5의 웹방화벽 기술을 통합해 ‘NGINX 앱 프로텍션 모듈’을 발표했다.

신기욱 F5코리아 상무는 “컨테이너에서 웹서버 부팅 시간은 2초 이내로, 클릭하면 바로 생성되는 수준이다. 이를 보호하는 웹방화벽은 가벼우면서도 고성능 트래픽 처리와 지능형 보안 기능을 제공할 수 있어야 한다”며 “F5는 업계에서 인정받은 최고의 웹방화벽 기술을 경량화 NGINX에 통합시켜 컨테이너 내부와 외부에서 발생하는 모든 위협에 대응할 수 있다”고 설명했다.

라드웨어는 쿠버네티스 기반으로 설계된 웹방화벽(K8S WAF)으로 컨테이너 보안 문제를 해결한다. 쿠버네티스 포드 앞에 설치되는 K8S WAF는 컨트롤러가 보호할 애플리케이션(POD)으로 유입되는 트래픽을 상시 체크하다가 공격 발생 시 공격을 차단한다. 네거티브·포지티브 보안 모델을 제공해 제로데이·알려지지 않은 취약점 공격도 방어한다.

국내 기업도 가상화·컨테이너 보호 시장 진출

국내 기업들도 가상화·컨테이너 환경 지원 기술과 솔루션을 공개하면서 시장 진출 속도를 높이고 있다. 시큐아이는 CWPP ‘클라우드맥스’가 컨테이너·서버리스 환경을 지원할 수 있다고 설명한다.

클라우드맥스는 에이전트 없이 작동되기 때문에 에이전트 설치가 불가능한 컨테이너는 물론이고, 젠킨스와 같은 CI/CD 플랫폼과 AWS 람다(Lambda)와 같은 퍼블릭 클라우드 서버리스 서비스까지 보호할 수 있다. 시큐아이는 이 기술을 더 발전시켜 실시간으로 취약점과 컴플라이언스를 점검하고, 위협 탐지를 할 수 있는 서비스를 출시할 예정이다.

또한 시큐아이는 가상환경에 최적화된 NGFW ‘블루맥스 NGF VE’가 좋은 평가를 받고 있다고 개한다. 이 솔루션은 이미 여러 기업에 공급돼 성공적으로 사용되고 있으며, 소프트웨어 정의 데이터센터(SDDC) 구축을 위한 솔루션 사업에 연동 테스트를 완료하는 등 가시적인 성과를 거두고 있다.

송항섭 시큐아이 그룹장은 “다양한 국내외 클라우드 서비스 사업자 마켓플레이스에 ‘블루맥스 NGF VE’를 등록해 국내외 사업을 확대할 계획이다. 앞으로도 최적의 클라우드 환경 전환을 위해 시장 니즈에 적합한 클라우드 보안 제품을 지속적으로 제공하겠다”고 밝혔다.

클라우드 네트워크 보안 시장에 보안 솔루션 유통 전문기업도 출사표를 던져 주목된다. 글로벌 보안 솔루션 유통을 전문적으로 수행해 온 엔큐리티가 도커 기반 침입탐지 시스템 ‘엔큐리온(Ncurion)’을 출시했다.

엔큐리온은 도커를 기반을 개발돼 자유로운 스케일 아웃/인이 가능하다. 40Gbps 성능을 별도의 하드웨어 없이 제공할 수 있으며, SNORT 포맷을 지원해 새로운 공격에 빠르게 대응할 수 있다.차기 버전에서는 쿠버네티스도 지원할 계획이다. 이 솔루션은 국내 대형 인터넷 서비스 사업자 등에 공급됐으며, 트래픽의 변화가 심한 클라우드 환경에서 비용 효율적으로 지능적인 공격 탐지에 활용되고 있다.

양승호 엔큐리티 기술연구소장은 “대부분의 클라우드가 도커 기반으로 구성되기 때문에 IDS도 도커 기반으로 설계돼야 한다. 그래야 클라우드의 빠른 속도에 맞춰 보호할 수 있기 때문”이라며 “엔큐리티는 클라우드·웹 보안 솔루션을 고객에게 공급하면서 쌓은 전문성을 기반으로 ‘엔큐리온’을 개발했다. 이를 통해 클라우드 보안을 고민하는 고객에게 최적의 대안을 제공한다”고 밝혔다.

김선애 기자 다른기사 보기