성공적인 비즈니스 트랜스포메이션 지원하는 SDP
상태바
성공적인 비즈니스 트랜스포메이션 지원하는 SDP
  • 데이터넷
  • 승인 2022.07.28 09:00
  • 댓글 0
이 기사를 공유합니다

클라우드 보안 연합 ‘소프트웨어 정의 경계와 제로 트러스트’
사용자·기기 인증 후에도 지속적인 모니터링으로 보호 … IT 기민성 증대 및 비용·노동력 절감

[데이터넷] 소프트웨어 정의 경계(SDP)는 제어 패킷과 데이터 패킷을 분리하고 각각 은닉처리해 공격 대상을 최소화시킨다. 다른 ZTNA 솔루션는 사용자와 기 기가 접속을 시도할 때에만 검증하지만, SDP는 지속적인 관리와 감시로 보안 경계를 우회한 공격까지 막을 수 있다. CSA의 기술백서 ‘SDP와 제 로 트러스트’ 마지막회에서는 SDP의 장점과 성공사례를 소개한다.

<연재순서>
1. 제로 트러스트와 SDP의 개념
2. 왜 제로 트러스트인가
3. SDP 제로 트러스트의 장점(이번호)

<한동우 엠엘소프트 대표 컨설턴트>

제로 트러스트 네트워크 액세스(ZTNA)를 구현하는 기술이 다양하게 제안되지만, 가장 효과적으로 비즈니스를 보호 할 수 있는 방법은 소프트웨어 정의 경계(SDP)라고 평가된다. SDP는 제어 패킷과 데이터 패킷을 분리하고, 각각 은닉 처리해 중요한 자산과 기반 구조를 보호해 잠재적인 네트워크 기반 공격을 차단하고 공격 대상을 최소화시킨다.

클라우드 애플리케이션을 은닉시켜 중요 자산과 기반 구조를 보호한다. 비즈니스·시스템 소유자에게 더 심도있는 통제 을 부여하며, 인증된 접속이라 해도, 누가·언제·어디서·무엇을 했는지 추적해 가시성을 제공한다. 또한 통합된 통제로 즉각적인 모니터링 사용자·장치가 인증되고 자산에 접근할 수 있는 권한이 부여될 때까지 모든 게이트웨이에 대한 접속 거부를 기본으로 제공하며, 엔드포인트 위협 방지·탐지를 위 한 비용 절감과 사고 대응 비용 절감, 제어 통합 복잡성을 감소시키고 보안 비용을 줄인다.

사각지대 없는 통합 보안 지원

클라우드 환경에서 보안 경계가 사라지고, 사용하는 디바이스 증가로 인해 늘어나는 IP를 통제하기 어려운 상황이 됐다. 특히 NAC 또는 악성 프로그램 방지와 등 기존 보안 제품으로는 구현하기 어려운 보안 제어가 증가하고 있다.

SDP는 IP 기반 접속이 아니라 접속 기반 보안 아키텍처를 제공하며 ▲사용자 인식 애플리케이션 ▲클라이언트 인식 장치 ▲네트워크 인식 방화벽과 게이트웨이를 통합해 사각지대 없는 통합보안을 제공한다.

단일 패킷 인증을 사용해 접속을 결정하고 인증 및 권한 부여를 위한 통합 제어를 지원하며, 어떤 사용자, 기기, 서비스, 인프라 및 기타 매개 변수에 연결할 수 있는지 사전 검사를 기반으로 모든 연결을 제어할 수 있다.

제어 채널과 데이터 채널이 분리돼 자원 접근을 허용하기 전에 인증하도록 하는데 ▲TLS/TCP 핸드셰이크 전 유효성 검 사 ▲설계에 포함된 세분화된 접근 제어 제공 ▲쌍방향 상호 암호화된 통신 실행 허용 등을 지원한다.

비즈니스 개선으로 경쟁력 높여

SDP는 보안을 강화할 뿐 아니라 비즈니스를 개선하는 효 과를 볼 수 있다. 기존 네트워크 보안 구성 요소가 SDP로 대체되기 때문에 라이선스와 지원 비용을 절감할 수 있다. SDP를 사용해 보안 정책을 구현, 시행하기 때문에 운영 복잡성을 줄이고, 기존 보안 툴에 대한 의존도를 감소시킬 수 있다. MPLS 또는 임대 회선 활용률을 최소화하거나 대체해 비용을 절감한다. 조직은 사설 백본 네트워크 사용을 줄이거나 제거할 수 있으며, 조직에 효율성과 단순성을 제공해 노동 요구를 감소시킬 수 있다.

디지털 트랜스포메이션을 이끌어야 하는 IT가 오히려 비즈 니스 프로세스의 걸림돌로 작용하고 있는데, SDP 구현은 IT 또는 IAM 이벤트에 의해 자동으로 수행해 IT 혁신을 가속화하고 비즈니스와 보안 요구에 신속하게 대응하도록 한다.

SDP는 기존 접근 방식에 비해 위험을 줄이고 위협을 억제하며 공격면을 줄임으로써 네트워크 기반 공격과 애플리케이션 취약점 악용을 방지한다. SDP는 SIEM과 통합되는 경우와 같이 GRC 시스템에 공급 및 대응해 시스템·애플리케이션에 대 한 규정 준수 작업을 간소화할 수 있다.

SDP는 등록된 장치의 사용자로부터 특정 애플리케이션·서 비스로의 접속을 중앙집중식으로 제어함으로써 컴플라이언스 데이터 수집, 보고·감사 프로세스를 개선할 수 있다. SDP는 온라인 비즈니스에서 추가적인 접속 추적 기능을 제공할 수 있다.

SDP가 제공하는 네트워크 세분화는 컴플라이언스 범위를 줄이기 위해 자주 사용되며, 컴플라이언스 보고 작업에 상당한 영향을 미칠 수 있다.

또한 퍼블릭 클라우드, 프라이빗 클라우드, 데이터센터, 혼합 환경에서 애플리케이션을 지원하는 데 필요한 보안 아키텍처의 비용과 복잡성을 줄임으로써 기업이 클라우드 아키텍처를 빠르고, 확실하고, 안전하게 채택할 수 있도록 지원한 다. 새로운 애플리케이션은 다른 옵션들과 동등하거나 더 나 은 보안을 통해 더 빠르게 구축할 수 있다.

SDP는 비즈니스상의 우선 사항들을 신속하고 안전하게 구현하게 해 비즈니스 기민성을 높이고 혁신을 촉진할 수 있다. 예를 들어 사내 콜센터 에이전트에서 홈 기반 에이전트로 전환시켜 원활한 재택근무를 지원할 수 있으며, 비핵심 비즈니스 기능을 전문 제3자에게 아웃소싱할 수 있도록 지원한다. 원격 타사 네트워크와 위치에서 고객 대면 키오스크 지원이 가능하며, 고객 사이트에 회사 자산을 배치해 고객과 강력하게 통합하고, 새로운 수익 창출을 이끌어 낼 수 있다.

또한 SDP는 세분화 및 사용 권한을 통해 IoT 채택을 촉진시킨다. 기존 서비스에 영향을 주지 않으면서 혁신 엔지니어에 대한 접근을 허용하며, IoT와 개인 사용 블록체인을 결합한 차세대 보안 시스템을 구축할 수 있게 한다.

▲하이브리드 클라우드 환경에서 SDP와 SDN
▲하이브리드 클라우드 환경에서 SDP와 SDN

서비스 설계 단계부터 보안 정책 적용

대규모 기업 침해에 비춰볼 때, 중요한 정보 자원은 보안성이 높은 네트워크로 분리해 필수 서비스를 제공하고 데이터 개인정보를 보호하는 중요한 조치가 취해져야 한다. CSA ‘클라우드 보안 위협 보고서’에 따르면, 클라우드 악성 프로그램 주입, 디도스 사건과 함께 데이터 침해라는 위협들이 지속되고 있는 것으로 나타났다.

CSA의 SDP 프로토콜로 알려진 네트워크 아키텍처 패러다임은 2013년에 시작됐다. 이 프로토콜은 중요한 데이터에 접 근하기 전에 단일 패킷 검사에 의해 네트워크 접속을 확실하게 식별할 수 있는 아키텍처를 만들기 위해 설계됐다.

이 아키텍처는 실제 데이터가 전송되는 데이터 패킷으로부터 신뢰가 설정되는 제어 패킷이 분리된 것이다. 이를 통해 TCP 및 TLS 종료에 내재된 취약점뿐만 아니라 IP NAT(Network Address Translation) 테이블에 의한 네트워크 방화벽의 다양성도 제거된다.

SDP는 클라우드에서 기업, 법적 보안 제어를 우회하는 사 람이 초래하는 부정적인 결과에 대한 방지책을 간단하게 제공한다. SDP 구현을 채택하면 데이터 전송에서 신뢰 구축이 분리된다. 멀티 클라우드 구현에 매우 중요한 네트워크 세분화와 세부 네트워크 구축은 소프트웨어 정의 경계 제로 트러스트 아키텍처를 채택함으로써 얻을 수 있는 이점도 제공한다.

다중 인증과 함께 소프트웨어 정의 경계를 결합하는 행위 및 접근 컨트롤·인증 메커니즘을 개선시키는 행위는 각 기관 들로 하여금 보안 취약성과 대규모의 침입 행위에 대한 전략 적 방법을 취할 수 있게 한다. 소프트웨어 정의 경계는 실행시간 탐지 및 응답 외에도 구성 및 배포 시 보안 정책을 적용할 수 있게 한다.

하이브리드·멀티 클라우드도 보호

SDP 아키텍처의 개념 증명(PoC)은 어떻게 SDP가 하이브리드·멀티 클라우드 환경에서 애플리케이션 전송의 문제를 다루는지 보여준다. 특별히 개념 증명은 아래의 사항을 설명한다.

  • 매우 민감하게 분류되는 통신은 SDP 접근방식을 사용해 네트워크 계층에서 애플리케이션 계층까지의 보안 문제를 실행할 필요 없이 한 보안 환경으로부터 다른 보안 환경까지 어떤 유형의 네 트워크, 심지어 인터넷에서도 보안이 될 수 있다.
  • 소프트웨어 정의 네트워크의 발전은 별도의 컨트롤 플레인, 데이터 플레인을 지원하며, 방화벽 구현 거부·허용함으로써 SDP를 지원할 수 있다.
  • 하이브리드 멀티 클라우드 구축에서 네트워크 포워딩에 대한 SDP 접근 방식은 단일 패킷 검사에 기반한 제로 트러스트 네트 워킹 원칙과 완벽하게 일치한다.

네트워크 계층에 적용되는 SDP 배포는 초기 호스트에서 SDP 컨트롤러로 접속을 라우팅하기 위해 SDN 컨트롤러의 인 터페이스를 사용한다. 이 라우팅을 구성하기 위해 기본 인터페이스는 셀프서비스 구성을 지원하는 REST 인터페이스다. 이러한 네트워크 계층 SDP 데모를 제공하는 근거는 TLS 종료 후 애플리케이션 계 층에서 제로 트러스트를 적용함으로써 발생하는 문제를 해결하기 위한 것이다.

기존의 ‘제로 트러스트’ 보안 조치의 대부분은 인증 시 적용되며, 가끔씩 TLS 인증서 종료 후 정책에 의한 인증에 적용돼 왔다. 인증서 검증은 복잡한 검증 및 검증 프로세스이며, TLS 1.2, TLS 1.3 및 상호 TLS에는 취약성이 있다고 알려져 있다.

제로 트러스트 접근 방식을 주요한 클라우드 서비스 공급업체의 콘텐츠 제공에 적용하기 위한 많은 주도권 경쟁이 있다. 현재까지 네트워크 계층에만 제로 트러스트 애플리케이션이 없으며, 특히 하이브리드 멀티 클라우드 구축과 관련돼 있다.

이 경우 ‘하이브리드 클라우드’는 프라이빗 클라우드에서 엔터프라이즈, 데이터 센터에 이르는 접속을 의미하며, ‘멀티 클라우드’는 서로 다른 퍼블릭 클라우드와 프라이빗 클라우드 간의 네트워크 접속을 의미한다. 대부분의 기업이 현재 하 이브리드 멀티 클라우드 전략을 보유하고 있거나 이를 구축하려는 것으로 나타났다.

PoC는 네트워크의 가상화가 SDP 구현의 제어 영역에서 보 안 관련 작업을 수행할 수 있게 한다는 사실을 활용한다. 이러 한 관점에서 볼 때, SDN의 광범위한 채택과 진화는 서비스 제 공 업체들이 네트워크 관리를 단순화할 수 있게 한다.

그러나 이러한 SDN의 광범위한 채택은 네트워크 라우팅의 API 기반의 통합적 이용을 위해 다른 것들 간에 적절한 인증, 접근 제어, 데이터 개인 정보 보호 및 데이터 무결성을 제공하는 방법에 실질적인 문제를 제기하고 있다.

SDN은 효율적인 데이터 전송과 세분화된 제어 서비스를 위해 가상 네트워크를 온디맨드로 전망할 수 있지만, 현재의 보안 방식은 이러한 소프트웨어 정의 기반 구조의 통합에서 발생하는 복잡성과 당면 과제를 해결하도록 설계되지 않았다. 그러나 소프트웨어 정의 네트워크 패러다임을 사용하면 SDN 컨트롤러가 소프트웨어 정의 경계 서비스를 호출해 SDP ID 및 요청 장치 확인에 따라 네트워크 접속에 대한 허용/거부 작업을 수행할 수 있다.

그런 다음 SDP 컨트롤러는 SDN에 수신 호스트에 대한 접속을 라우팅하거나 패킷 식별 속성이 필요한 검사를 통과하지 못할 때 접속을 끊도록 지시한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.