[컬럼] “SDN 활용해 네트워크 보안·효율성 강화하자”
상태바
[컬럼] “SDN 활용해 네트워크 보안·효율성 강화하자”
  • 데이터넷
  • 승인 2014.10.14 10:53
  • 댓글 0
이 기사를 공유합니다

김기태 블루코트코리아 대표 “SDN 아키텍처로 손쉬운 전환 지원”

네트워크 내 여러 보안 기기들과 라우터 및 스위치 계층들이 결합돼 있는 전통적인 네트워크 아키텍처는 이제 노후화되기 시작했다. 최근의 라우터와 스위치는 각 네트워크에 대해 스스로 판단을 내릴 수 있는 ‘지능적인’ 기기로 인식된다. 

전통적인 네트워크 아키텍처는 트래픽의 경로를 결정하는 제어 영역(control plane)과 최종 목적지까지 트래픽을 전달하는 데이터 영역(data plane)이 하나의 동일한 장비에 존재하고 있다. 따라서 한 장비에 제어(control) 및 데이터(data)를 처리하기 위한 프로세싱 능력이 요구되다 보니 고가의 라우팅 및 스위칭 하드웨어가 필요했다.

최근에는 가상 머신 기술로 애플리케이션이 다양한 기기에 나뉘어 있는 상황이다. 따라서 네트워크 유연성과 관리성이 저하될 수밖에 없다. 게다가 복잡한 엔터프라이즈 혹은 서비스 제공업체 네트워크들의 정책 변화로 인해 수 백, 수 천 개의 기기에서 각각 실행이 필요할 수도 있다. 예를 들어 애플리케이션별 QoS 파라미터의 변화는 다양한 벤더들의 네트워크 기기 모두에 시간 소모적인 수동 운영을 야기시킬 수도 있다.

SDN, 네트워크와 보안 통합 가속화
최근 몇 년간 소프트웨어 정의 네트워크(SDN)가 네트워크 산업을 장악하기 시작했다. SDN은 네트워크의 컨트롤 플레인과 데이터 플레인을 분리해 라우터·스위치로부터 네트워크 제어를 분리시키는 것이다.

SDN이라는 새로운 아키텍처에서 보안 기술의 역할에 대해서는 많은 논의가 이뤄지지는 않은 상황이다. 그러나 SDN 기술이 발전하고 표준이 점차 수립됨에 따라, 컨트롤러에 의해 정의된 보안을 위해 논리적인 방식으로, 네트워크에 보안 기기를 연결시킬 수 있을 것으로 기대된다.

하나의 사용 사례로, 네트워크가 SDN API 콜을 통해 이벤트 기반 패킷을 캡처해 흥미로운 트래픽을 기록하는 것을 생각해볼 수 있다. 이 같은 시나리오에서, IPS 기기는 미심쩍은 흐름과 신호를 감지하고 SDN 컨트롤러는 트래픽 캡처를 시작한다.

이후 컨트롤러는 적합한 인터페이스와 필터를 지정한다. 이를 블루코트 보안 분석 플랫폼과 같은 보안 솔루션으로 전송해 트래픽을 분석한다. 정상적인 플로우와 패킷은 보안 분석 시스템으로 전달되지 않고 바로 시스템 내부로 유입되며, 백홀 트래픽은 최소화된다.

의심스러운 SSL 트래픽 복호화로 지능형 위협 방어
SSL 암호화 트래픽에도 마찬가지 경우가 발생할 수 있다. SDN API 콜을 통해 이벤트 기반 SSL 복호화 및 캡처를 할 수 있어 의심스러운 SSL 트래픽만 복호화해 기록한다.

SIEM이 의심스러운 SSL 흐름을 감지한다면, SDN 컨트롤러가 트래픽 캡처를 시작하는 신호일 수 있다. 컨트롤러는 트래픽을 재전송하고 적절한 인터페이스와 필터를 지정한다. 의심스러운 SSL 흐름은 SSL 가시성 어플라이언스를 통해 보안위해 요소가 있는지 분석할 수 있도록 복호화돼 보안분석 플랫폼으로 전송된다.

블루코트는 기업들이 SDN 아키텍처로 손쉽게 마이그레이션할 수 있도록 지원하기 위해 빅스위치와 같은 SDN 벤더와 협업하고 있다. 우리의 목적은 단순히 SDN 구축에 보안을 적용하는 것이 아니라, SDN 개념을 활용해 네트워크 보안 및 효율성을 강화하는 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.