[CSA SDP 아키텍처 가이드] 제로 트러스트로 안전한 디지털 전환
상태바
[CSA SDP 아키텍처 가이드] 제로 트러스트로 안전한 디지털 전환
  • 데이터넷
  • 승인 2021.06.09 11:14
  • 댓글 0
이 기사를 공유합니다

SDP로 공격면 최소화…기존 보안 아키텍처와 통합 가능한 유연한 구성 모델 제안

[데이터넷] 세계적인 팬데믹으로 디지털 전환이 가속화되고 있으며, 클라우드 도입이 그 어느 때 보다 빨라지고 있다. 이에 안전하고 효과적으로 클라우드 전환을 이행할 수 있는 기술이 등장하고 있으며, 소프트웨어 정의 경계(SDP)가 그 대표적인 기술 중 하나로 꼽힌다. 클라우드 보안 연합(CSA)에서 발표한 ‘SDP 아키텍처 가이드’의 핵심 내용을 요약 소개하고, 실제 구현 방법과 기존 보안 솔루션의 연동 방안에 대해 소개한다.<편집자>

<한동우 엠엘소프트 대표 컨설턴트>

|연재순서|
1. SDP의 정의와 특징(이번호)
2. SDP 아키텍처에 대한 이해
3. SDP 구축모델 방법
4. SDP와 기존 보안장비와의 연동방안

디지털 전환 가속화로 클라우드 도입 속도가 빠르게 높아지고 있는데, 기존의 보안 솔루션으로는 고도의 확장성과 유연성, 보안성이 요구되는 클라우드 환경을 지원하지 못한다. 그래서 경량 암호인증에 의한 화이트리스트 기반의 제로 트 러스트를 구현하는 기술이 주류를 형성할 것으로 전망되며, 소 프트웨어 정의 경계(SDP)가 중요한 대안으로 부상하고 있다.

공격 대상 최소화로 보안 위험 줄여

SDP는 보호해야하는 애플리케이션이 외부에 공개되지 않도록 숨기고, 사람이나 기기가 애플리케이션에 접근하기 전 인증하며, 안전한 암호화 통신으로 접근하도록 통제하는 기술이다. 사용 가능한 공격 대상을 최소화하고 접근제어와 데 이터 통신을 분리해 잠재적인 공격을 막는다.

SDP는 접속을 허용하기 전 사용자에게 권한을 부여하고, 디바이스 유효성을 확인한다. 양방향 암호화 통신으로 통신 구간을 보호하며, ‘모두 거부(deny-all)’ 정책을 적용한 방화벽을 통해 서버를 은폐하고 동적으로 제어한다. 또 애플리케 이션 컨텍스트와 세밀한 접근 제어를 통합한다.

SDP의 장점은 다음과 같다.

  • 사용 가능한 공격 대상을 최소화해 보안 위험을 줄여 준다.
  • 접근 제어와 데이터를 분리하고, 이것을 보이지 않게 해서 잠재적인 네트워크 기반의 공격을 막고 중요한 자산이나 인프라를 보호한다.
  • NAC나 악성코드 방지와 같은 기존 보안 제품으로는 실현이 어려운 통합 보안 아키텍처를 제공한다.
  • IP 기반 대신 커넥션 기반의 보안 아키텍처를 제공한다. IP가 급증하고 클라우드 환경에서 경계가 없어짐에 따라 IP 기반 보 안이 취약 해지기 때문이다.
  • 누가 접속할 수 있는지, 어떤 디바이스에서 어떤 서비스, 인프 라 및 기타 매개 변수에 대한 사전 점검을 기반으로 모든 접속을 제어할 수 있다.

확장 가능한 보안 실현

SDP는 클라이언트 정보를 암호화된 방식으로 검증하는 양방향 전송계층보안(mTLS) 등 검증된 표준 기반 구성 요소를 활용하도록 설계됐다. 호스트가 원격 접근을 인증하는 경우 데이터 암호화 원격 증명을 제공하며, 적절한 접근을 보호하기 위해 암호화와 디지털 서명에 기반한 SAML과 공개키를 통해 접근을 확인하는 X.509 인증서 등을 사용할 수 있다. 이처럼 다양한 기술과 기타 표준 기반 기술을 연동하면 조직의 기존 보안 시스템과 통합될 수 있다.

SDP 아키텍처의 주요 구성 요소는 ▲클라이언트에서 접속 을 시작하는 호스트(IH: Initiating Host) ▲서비스 접속을 받 아 들이는 호스트(AH: Accepting Host) ▲IH와 AH 양쪽을 접속해 주는 SDP 컨트롤러로 구성돼 있다. 제어 패킷과 데이 터 패킷이 분리돼 확장 가능한 보안 시스템을 실현할 수 있도록 한다.

SDP Specification 1.0에서 CSA가 공개한 SDP 아키텍처
▲SDP Specification 1.0에서 CSA가 공개한 SDP 아키텍처

SDP는 네트워크 스택의 모든 계층에서 접속을 보호하는 프로토콜을 제공한다. 실제 SDP 구축 모델을 보면, 중요 위치에 게이트웨이와 컨트롤러를 설치해 조직에 가장 중요한 보안 에 집중할 수 있으며, 네트워크 기반·도메인 간 공격으로부터 이러한 접속을 보호할 수 있다.

SDP 구축 모델 별 보안 접속 방법은 다음과 같다.

■ 클라이언트 → 게이트웨이 모델
- 게이트웨이 뒤의 서버들을 보호하고자 할 때 사용
- 애플리케이션을 클라우드로 전환하는 기업에 적합
- 게이트웨이는 동일 네트워크나 전 세계 어디나 배치 가능

■ 클라이언트 → 서버 모델
- IaaS 제공자로, 엔드투엔드 접속 보호하려는 경우 사용
- 기업 내부의 부정 사용자의 위협으로부터 보호
- 게이트웨이는 서버 내 통합

■ 서버→ 서버 모델
- IoT 및 가상머신(VM) 환경에 적합
- IoT 및 VM 환경을 클라우드로 전환하는 기업에 적합
- 게이트웨이와 경량 SPA는 서버내 통합

■ 클라이언트 → 서버→ 클라이언트 모델
- IP전화, 채팅 및 화상회의 서비스에 적합
- 피어 투 피어 앱을 클라우드로 전환하는 기업에 적합
- 게이트웨이와 경량 SPA는 서버 내 통합

■ 클라이언트 → 게이트웨이 → 클라이언트 모델
- P2P 프로토콜 지원 (예 :메신저)
- 피어투피어 클라이언트가 직접 접속해야 하는 경우
- 게이트웨이는 방화벽 역할 수행

■ 게이트웨이 → 게이트웨이 모델
- IoT 환경에 적합
- 프린터, 스캐너, 센서, IoT 디바이스 통신에 적합
- 게이트웨이는 방화벽, 라우터, 프록시로 동작

현재 환경에 적합한 SDP 모델 검토해야

SDP를 도입할 때, 사용자 수, 네트워크, 서버 환경, 보안·규정 준수 요구 사항 등 다양한 요소를 고려해야 한다. 현재 구축된 네트워크에 적합한 방식이 무엇인지 면밀히 검토해야 한다. 설계자는 사용할 SDP 구축 모델을 결정해야 하는 데, 보호해야 할 서버를 은폐할 수 있도록 일부 모델의 경우 게이트웨이가 인라인 네트워크 구성 요소가 될 수 있다.

모니터링과 로깅 시스템에 어떤 영향을 주는지도 살펴봐야 한다. SDP는 사용자 접근에 대한 풍부하고 ID 중심적인 로깅을 제공하기 때문에 기존 모니터링 시스템을 보강하고 개선하는 데 사용할 수 있다. 또한 SDP 게이트웨이와 컨트롤러에서 통과되지 않은 모든 패킷을 SIEM에 기록해 자세히 분석할 수 있다. 누가, 언제, 무엇을, 어디서 접속하는지와 같은 모든 정보를 쉽게 수집할 수 있다.

API의 통합을 포함한 애플리케이션 배포나 데브옵스 프로세스, 툴 세트에 어떤 영향을 주는지 역시 중요한 검토 사항이다. 많은 조직이 데브옵스 또는 CI/CD와 같은 고속 애플리케이션 배포 프로세스를 갖고 있다. 이러한 프로세스와 이를 지 원하는 자동화 프레임워크는 보안 시스템과 적절한 통합이 필 요하며 SDP도 예외는 아니다.

SDP는 데브옵스 중 권한있는 사용자만 개발 환경에 효과 적으로 접속할 수 있도록 한다. 또한 SDP는 작업 중에 권한이 있는 사용자로부터 보호된 서버와 애플리케이션에 대한 접속을 보호할 수 있다.

보안 설계자는 SDP 구축 모델과 조직의 데브옵스 메커니즘이 SDP와 어떻게 통합되는지 이해해야 한다. API 통합은 데브옵스 툴셋 통합에 필요한 경우가 많기 때문에 보안 팀은 SDP 구현에 의해 지원되는 API 등을 검토해야 한다.

SDP가 사용자, 특히 비즈니스 사용자에게 어떤 영향을 주는지 가장 중요하게 접근해야 하는 사항이다. 보안 팀은 사용 자에게 최대한 투명하게 솔루션을 제공하기 위해 노력하고 있으며, SDP는 이 접근 방식을 지원한다. SDP 배포 모델에 따라 사용자는 디바이스에서 SDP 클라이언트 소프트웨어를 실행한 다. 보안 설계자는 IT와 협력해 사용자 환경, 클라이언트 소프트웨어 배포 및 디바이스 등록 프로세스를 계획해야 한다.

기존 보안 아키텍처 통합 방안 제시

SDP를 도입하기 위해서는 기존에 구축된 보안 아키텍처와 통합돼야 한다. 기업의 표준 구성 요소가 SDP와 통합되는 방법은 다음과 같다.

• 통합계정관리(IAM)

IAM 시스템은 사용자와 디바이스가 인증을 통해 신원을 확 인하고 해당 ID에 대한 관리 속성과 그룹 구성원 자격을 저장 할 수 있는 메커니즘을 제공한다. SDP 아키텍처는 LDAP, 액티브 디렉토리(AD), SAML과 같은 기존 엔터프라이즈 IAM 공급자와 통합되도록 설계됐다.

IAM과 SDP 통합은 초기 사용자 인증뿐만 아니라 중요한 시스템에 접근하기 위해 OTP를 요청하는 것과 같은 다단계 인증(MFA), 원격접근과 같은 특정 환경에서 사용될 수 있다.

• 방화벽

방화벽은 OSI의 2(데이터 링크), 3(네트워크), 4(전송) 계 층이 적용되는 7계층 개방형 시스템 상호 접속(OSI) 모델에 따라 네트워크 트래픽을 모니터링하고 제어한다. 이들은 소스·대상 IP와 포트를 기반으로 네트워크 패킷 데이터를 필터 링하고 접속을 통해 흐르는 네트워크 프로토콜의 정의를 필터 링하는 5튜플(5-tuple) 방법을 준수한다. 방화벽은 네트워크 주소 변환(NAT) 및 포트 주소 변환(PAT)을 비롯한 다른 기 능도 지원할 수 있다.

방화벽은 수십 년간 기업 네트워크 보안의 주축이었다. 그렇지만 보안 인프라의 일부에 불과하고 제한된 5튜플 환경 내 에서만 운영되기 때문에 많은 한계를 갖고 있다.

SDP는 5튜플의 제약 내에서 ID 중심 접근제어를 통해 정확 한 판단과 강제화를 가능하게 한다. 또한 자체 다이내믹 방화 벽을 지원해 복잡한 환경에서 방화벽 규칙을 작성, 테스트, 디 버그 및 배포하는데 필요한 노력을 줄일 수 있을 뿐만 아니라 보다 풍부하고 정확한 접근 제어 메커니즘을 제공한다.

• IDS/IPS

IDS/IPS는 네트워크나 시스템에서 악의적인 활동이나 정책 위반을 모니터링하는 보안 구성 요소다. IDS/IPS는 네트워크에 서 트래픽을 검사하거나 호스트에서 행위와 잠재적으로 위험한 네트워크 트래픽을 검사할 수 있다. 네트워크 기반의 경우 SDP는 IDS의 구성을 변경해야 할 수 있지만 IDS/IPS 시스템 구축을 강화할 수 있다. 단일 네트워크로 구성된 원격 사무소와 같은 소규모 환경에서는 IDS/IPS 없이 SDP로 구성 가능하다.

SDP를 구축할 때 IDS 시스템에 대한 일부 변경이 필요할 수 있지만, 승인되지 않은 모든 네트워크 트래픽을 차단해 시스 템의 노이즈를 줄이는 장점을 얻을 수 있다. 이러한 변화를 통 해 IDS와 이를 운영하는 팀은 네트워크 트래픽을 인증된 애플 리케이션으로 집중시키고 리소스를 내부자 위협 탐지로 전환 할 수 있다.

• VPN

VPN은 일반적으로 외근하는 직원이 회사와 통신할 때 안전 한 원격접근을 필요로 할 때, 안전한 사이트 간 통신이나 사이 트 간 엑스트라넷을 통한 다른 회사 간 통신에도 사용된다.

VPN은 광범위하고 지나치게 넓은 네트워크 접근을 제공한 다. 또 VPN은 서브넷 범위를 기반으로 한 기본 접근 제어 제 한만 제공한다. 이러한 제한은 많은 조직에서 보안 및 규정 준 수 위험으로 나타난다.

분산된 환경에서 VPN은 회사 데이터 센터를 통한 사용자 트래픽의 불필요한 백홀링을 요구해 지연 시간과 대역폭 비용 을 늘릴 수 있다. 그리고 VPN 서버 자체는 인터넷에서 서비스 로 노출돼 공격자에게 잠재적으로 취약해질 수 있다.

VPN은 SDP에 의해 대체되는 주요 대상이다. VPN과 마찬 가지로 SDP는 사용자의 디바이스에 클라이언트를 설치해야 한다. 조직은 VPN 대신 SDP를 사용해 원격접속, 사내 접속 및 모바일 기기 또는 사용자 관리 통제를 위한 일관된 단일 접 근 제어 플랫폼을 구축할 수 있다. 특히 인터넷에 노출된 서 비스들에게 SDP는 SPA 및 동적 방화벽을 통해 제로 가시성을 제공함으로써 일반적인 VPN 서버보다 공격에 훨씬 더 탄 력적인 보안을 제공한다

• SIEM

SIEM은 애플리케이션 및 네트워크 구성 요소에서 생성된 로그 정보와 보안 위협을 분석한다. SIEM은 실시간에 가까운 분석을 가능케 하므로 보안 담당자가 신속하게 방어 조치를 취할 수 있다. SIEM 시스템은 또한 규제 준수를 위한 자동화 된 중앙 집중식 보고 기능을 제공한다.

로그를 여러 소스에서 정보를 수집하는 기업의 SIEM 시스 템으로 SDP가 접속하면 그 가치가 확대된다. 기업 시스템은 분산된 SDP 구성요소에서 직접 정보를 수신하거나 계층적인 방식으로 여러 수집 에이전트를 배치할 수 있다.

SIEM은 사전에 정의되고, 사용자 정의된 이벤트를 중앙 관 리 콘솔에 전달하거나 이 메일을 통해 지정된 개인에게 경고를 보내는 방식으로 이상 징후를 알려주고 검사를 수행한다.

SDP는 ID와 디바이스를 검색하는 방식으로 접근을 제어하 기 때문에 SIEM에 기존의 네트워크 및 애플리케이션 모니터 링 툴보다 풍부한 정보를 제공한다. SDP는 모든 접속 정보 (누가, 무엇을, 어디서)를 실시간으로 제공해 SIEM 시스템의 활용성을 극대화한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.