2017.11.10

차세대 방화벽 구축 시 고려할 점

Brandon Butler | Network World
지난 10년 동안 방화벽이 기업들에 보급되었지만 새로운 다양한 접근 방법의 등장과 함께 점차 정교해지는 공격으로 네트워크 운영자와 보안 전문가들은 방어 상태를 계속해서 평가할 수밖에 없다.

가트너 연구원 아담 힐스에 따르면, 일반적으로 방화벽은 5년 갱신 주기를 거치며 이를 통해 조직은 어떤 종류의 방화벽과 기능이 필요에 가장 적합한지 정기적으로 평가할 수 있다.

그러면 차세대 방화벽을 구축할 때 고려해야 할 주된 요소는 무엇인가? 처리 용량, 도입 기준, 구축 등의 선택이 모두 중요하다.

차세대 vs. 전통적인 방화벽
우선 잠재적으로 덜 비싼 이전 세대 버전이 아닌 차세대 방화벽(NGFW)이 필요한 이유는 무엇일지가 첫 번째 질문이 될 것이다. PAN(Palo Alto Networks) 백서에 따르면 전통적인 포트 기반의 네트워크 연결 상태를 추적할 수 있는 방화벽은 ‘선견지명이 있는 것’으로 여겨진다. “그것들은 일반적인 사물의 형태를 볼 수 있지만 실제로 일어나는 일을 자세하게 알 수는 없다”고 백서는 전했다. NGFW에는 여러 새로운 기능이 있어 훨씬 미묘한 수준에서 트래픽을 점검할 수 있다. 기능은 다음과 같다.

-IPS(Intrusion Prevention Systems): 이 시스템은 네트워크 패킷 서명을 점검하고 고급 비정상 감지 기능을 사용하여 위협을 식별할 뿐 아니라 차단한다.

-DPI(Deep Packet Inspection): 이 기술은 단순한 패킷 헤더(Packet Header) 검사를 넘어 트래픽 패킷이 NGFW 내의 ‘검사 포인트’를 통과하면서 그 내부의 알려진 위협을 찾아 차단한다.

-SSL 검사: 이 기술은 암호화된 트래픽을 검사하여 알려진 위협이 암호화된 상태라도 차단한다.

IPS, DPI, SSL 검사 등 NGFW의 여러 기능을 단독으로 구매할 수 있다. NGFW는 이런 기능을 하나의 시스템에 통합한다.
 


보안 전략 수립 
NGFW 구축에 대해 업체와 상의할 때 먼저 조직의 보안 행동에 관해 이야기하게 된다. 환경 평가와 보호할 가장 중요한 업무에 필수적인 자산의 우선순위 결정 작업을 대체할 수 있는 기술은 없다. 이 대화에는 IT부터 네트워크와 보안 서비스 그리고 HR 및 임원까지 여러 부서가 포함될 수 있다.

가트너의 연구원 힐스는 “기본적으로 조직은 데이터의 핵심이 어디에 있는지 이미 모르고 있는지를 파악하고 이를 보호하는 계획을 수립해야 한다”고 말했다. 일반적으로 기업은 이런 요건을 수집하고 여러 업체로부터 견적을 받는다.

대부분 방화벽은 여전히 데이터센터의 경계에 배치되지만 고객이 최소 구분과 네트워크 가상화를 도입했는지에 따라 데이터센터 내에 방화벽이 구축될 수도 있다.

최근 방화벽 업체들은 고객사가 본질적인 크라우드 소싱(Crowd-sourcing) 보안 보호를 위해 차단되는 위협을 공유하도록 허용하고 있다. 방화벽 소프트웨어는 업체가 정기적으로 업데이트하여 모든 최신 위협과 취약성에 대해 최신 보호를 확보할 수 있도록 한다.

업체 선택 
NGFW의 아이디어를 채택하고 보안 요건을 고려한 후에는 NGFW를 제공하는 업체로 구성된 포화 시장을 평가해야 한다. 가트너의 최신 매직 쿼드런트(Magic Quadrant)에서는 PAN, 포티넷, CPST(Check Point Software Technologies)를 차세대 방화벽 시장의 선두주자로 꼽았다. 가트너는 파이어파워(Firepower) NGFW를 갖춘 시스코와 화웨이를 이 시장의 도전자로 꼽았다.

이 시장에는 NGFW뿐 아니라 웹 및 이메일 보안 플랫폼을 제공하는 중간 규모의 순수 보안 업체인 포스포인트(Forcepoint) 같은 기업들도 있다. 소포스(Sophos), 주니퍼 네트웍스, 바라쿠다 네트웍스(Barracuda Networks), 워치가드(WatchGuard), 생포(Sangfor), 힐스톤(Hillstone), 소닉월(SonicWall), 안랩, 스톰쉴드(Stormshield), 새로운 H3C 그룹(H3C Group) 모두 NGFW 시장에서 경쟁하고 있다.

방화벽 비용 분석 
방화벽 도입 시 방화벽 하드웨어의 초기 자본 비용 외에도 고려할 비용이 있다. 방화벽은 하드웨어와 연동된 복잡한 소프트웨어 시스템을 운영한다. 대부분의 기업 방화벽 설비에는 여러 개의 하드웨어와 이를 제어하는 중앙 관리 시스템이 필요하며, 이는 소프트웨어로만 구성되거나 하드웨어 및 소프트웨어로 구성될 수 있다. 기타 비용으로 설치, 지속적인 유지보수, 지원, 업데이트가 있다.

인프라 설비에 대한 시험을 운영하는 NSS 랩스(NSS Labs)는 업체들이 다양한 수준의 네트워크 처리량을 제공하기 때문에 방화벽 제품을 1:1로 비교하기가 어려울 수 있다고 말한다. 5개의 방화벽과 중앙 관리 시스템이 포함된 시스템의 초기 구매 가격은 30,000~715,000달러며 평균은 약 200,000달러다.

처리량 측정
또한 NSS는 업체의 최대 광고 처리량과 테스트 및 실제 시나리오에서의 처리량 사이에는 차이가 있을 수 있다고 경고했다. NSS는 일부 업체의 경우 테스트한 방화벽의 처리량이 광고한 것보다 최대 80%나 작을 수 있기 때문에 구매 전에 자신의 환경에서 시스템을 테스트해 볼 것을 권장한다.

방화벽을 구축할 때 중대한 결정 중 하나는 얼마나 큰 하드웨어 상자가 필요한지다. 네트워크 연결의 처리량은 이런 결정에 영향을 끼치는 주된 요소이다. 네트워크 구성 방식은 방화벽이 처리할 수 있는 처리량에 영향을 끼친다. 미국 알메다 카운티 교육청(Alameda County Education Office)은 최근 처리 속도가 최대 20Gbps인 팔로알토의 5050 네트워크 버전에서 최대 200Gbps의 처리량을 지원하는 7080으로 업그레이드했다. 

왜 이렇게 증가한 것일까? 새 시스템 이전에는 해당 자치주에 있는 수십 개의 학교들이 저마다 자체 네트워크 연결과 방화벽을 관리했다. 재설계 후 해당 교육청은 해당 자치주 전체의 중앙 합동 리소스가 되었다. 새로운 모든 유입 및 유출 트래픽은 이 중앙 교육청의 방화벽을 통해 이동한다. 중앙에서 방화벽 하드웨어 구축을 관리하는 소프트웨어인 방화벽 컨트롤러를 통해 네트워크 내의 특정 사용자 또는 사이트에 따라 조밀한 정책 실행이 가능하다. 방화벽은 차단된 위협을 학습할 뿐 아니라 최신 취약성에 대한 지속적인 업데이트를 확보한다.

알메다 카운티 교육청 방화벽 업그레이드를 담당했던 이사 라이언 초어트는 “위협과 위험의 수는 많고 콘텐츠 필터 시스템뿐만이 아니라 완전한 방화벽이 있어야 이 모든 위협을 일, 시간, 분 단위로 확인할 수 있다”며 “우리는 숨지 않는다. 우리는 공공 기관이고 공격자들에게 상당히 큰 표적이다. 양심상 해당 환경에서 방화벽을 운영하지 않을 수 없었다”고 말했다. ciokr@idg.co.kr
2017.11.10

차세대 방화벽 구축 시 고려할 점

Brandon Butler | Network World
지난 10년 동안 방화벽이 기업들에 보급되었지만 새로운 다양한 접근 방법의 등장과 함께 점차 정교해지는 공격으로 네트워크 운영자와 보안 전문가들은 방어 상태를 계속해서 평가할 수밖에 없다.

가트너 연구원 아담 힐스에 따르면, 일반적으로 방화벽은 5년 갱신 주기를 거치며 이를 통해 조직은 어떤 종류의 방화벽과 기능이 필요에 가장 적합한지 정기적으로 평가할 수 있다.

그러면 차세대 방화벽을 구축할 때 고려해야 할 주된 요소는 무엇인가? 처리 용량, 도입 기준, 구축 등의 선택이 모두 중요하다.

차세대 vs. 전통적인 방화벽
우선 잠재적으로 덜 비싼 이전 세대 버전이 아닌 차세대 방화벽(NGFW)이 필요한 이유는 무엇일지가 첫 번째 질문이 될 것이다. PAN(Palo Alto Networks) 백서에 따르면 전통적인 포트 기반의 네트워크 연결 상태를 추적할 수 있는 방화벽은 ‘선견지명이 있는 것’으로 여겨진다. “그것들은 일반적인 사물의 형태를 볼 수 있지만 실제로 일어나는 일을 자세하게 알 수는 없다”고 백서는 전했다. NGFW에는 여러 새로운 기능이 있어 훨씬 미묘한 수준에서 트래픽을 점검할 수 있다. 기능은 다음과 같다.

-IPS(Intrusion Prevention Systems): 이 시스템은 네트워크 패킷 서명을 점검하고 고급 비정상 감지 기능을 사용하여 위협을 식별할 뿐 아니라 차단한다.

-DPI(Deep Packet Inspection): 이 기술은 단순한 패킷 헤더(Packet Header) 검사를 넘어 트래픽 패킷이 NGFW 내의 ‘검사 포인트’를 통과하면서 그 내부의 알려진 위협을 찾아 차단한다.

-SSL 검사: 이 기술은 암호화된 트래픽을 검사하여 알려진 위협이 암호화된 상태라도 차단한다.

IPS, DPI, SSL 검사 등 NGFW의 여러 기능을 단독으로 구매할 수 있다. NGFW는 이런 기능을 하나의 시스템에 통합한다.
 


보안 전략 수립 
NGFW 구축에 대해 업체와 상의할 때 먼저 조직의 보안 행동에 관해 이야기하게 된다. 환경 평가와 보호할 가장 중요한 업무에 필수적인 자산의 우선순위 결정 작업을 대체할 수 있는 기술은 없다. 이 대화에는 IT부터 네트워크와 보안 서비스 그리고 HR 및 임원까지 여러 부서가 포함될 수 있다.

가트너의 연구원 힐스는 “기본적으로 조직은 데이터의 핵심이 어디에 있는지 이미 모르고 있는지를 파악하고 이를 보호하는 계획을 수립해야 한다”고 말했다. 일반적으로 기업은 이런 요건을 수집하고 여러 업체로부터 견적을 받는다.

대부분 방화벽은 여전히 데이터센터의 경계에 배치되지만 고객이 최소 구분과 네트워크 가상화를 도입했는지에 따라 데이터센터 내에 방화벽이 구축될 수도 있다.

최근 방화벽 업체들은 고객사가 본질적인 크라우드 소싱(Crowd-sourcing) 보안 보호를 위해 차단되는 위협을 공유하도록 허용하고 있다. 방화벽 소프트웨어는 업체가 정기적으로 업데이트하여 모든 최신 위협과 취약성에 대해 최신 보호를 확보할 수 있도록 한다.

업체 선택 
NGFW의 아이디어를 채택하고 보안 요건을 고려한 후에는 NGFW를 제공하는 업체로 구성된 포화 시장을 평가해야 한다. 가트너의 최신 매직 쿼드런트(Magic Quadrant)에서는 PAN, 포티넷, CPST(Check Point Software Technologies)를 차세대 방화벽 시장의 선두주자로 꼽았다. 가트너는 파이어파워(Firepower) NGFW를 갖춘 시스코와 화웨이를 이 시장의 도전자로 꼽았다.

이 시장에는 NGFW뿐 아니라 웹 및 이메일 보안 플랫폼을 제공하는 중간 규모의 순수 보안 업체인 포스포인트(Forcepoint) 같은 기업들도 있다. 소포스(Sophos), 주니퍼 네트웍스, 바라쿠다 네트웍스(Barracuda Networks), 워치가드(WatchGuard), 생포(Sangfor), 힐스톤(Hillstone), 소닉월(SonicWall), 안랩, 스톰쉴드(Stormshield), 새로운 H3C 그룹(H3C Group) 모두 NGFW 시장에서 경쟁하고 있다.

방화벽 비용 분석 
방화벽 도입 시 방화벽 하드웨어의 초기 자본 비용 외에도 고려할 비용이 있다. 방화벽은 하드웨어와 연동된 복잡한 소프트웨어 시스템을 운영한다. 대부분의 기업 방화벽 설비에는 여러 개의 하드웨어와 이를 제어하는 중앙 관리 시스템이 필요하며, 이는 소프트웨어로만 구성되거나 하드웨어 및 소프트웨어로 구성될 수 있다. 기타 비용으로 설치, 지속적인 유지보수, 지원, 업데이트가 있다.

인프라 설비에 대한 시험을 운영하는 NSS 랩스(NSS Labs)는 업체들이 다양한 수준의 네트워크 처리량을 제공하기 때문에 방화벽 제품을 1:1로 비교하기가 어려울 수 있다고 말한다. 5개의 방화벽과 중앙 관리 시스템이 포함된 시스템의 초기 구매 가격은 30,000~715,000달러며 평균은 약 200,000달러다.

처리량 측정
또한 NSS는 업체의 최대 광고 처리량과 테스트 및 실제 시나리오에서의 처리량 사이에는 차이가 있을 수 있다고 경고했다. NSS는 일부 업체의 경우 테스트한 방화벽의 처리량이 광고한 것보다 최대 80%나 작을 수 있기 때문에 구매 전에 자신의 환경에서 시스템을 테스트해 볼 것을 권장한다.

방화벽을 구축할 때 중대한 결정 중 하나는 얼마나 큰 하드웨어 상자가 필요한지다. 네트워크 연결의 처리량은 이런 결정에 영향을 끼치는 주된 요소이다. 네트워크 구성 방식은 방화벽이 처리할 수 있는 처리량에 영향을 끼친다. 미국 알메다 카운티 교육청(Alameda County Education Office)은 최근 처리 속도가 최대 20Gbps인 팔로알토의 5050 네트워크 버전에서 최대 200Gbps의 처리량을 지원하는 7080으로 업그레이드했다. 

왜 이렇게 증가한 것일까? 새 시스템 이전에는 해당 자치주에 있는 수십 개의 학교들이 저마다 자체 네트워크 연결과 방화벽을 관리했다. 재설계 후 해당 교육청은 해당 자치주 전체의 중앙 합동 리소스가 되었다. 새로운 모든 유입 및 유출 트래픽은 이 중앙 교육청의 방화벽을 통해 이동한다. 중앙에서 방화벽 하드웨어 구축을 관리하는 소프트웨어인 방화벽 컨트롤러를 통해 네트워크 내의 특정 사용자 또는 사이트에 따라 조밀한 정책 실행이 가능하다. 방화벽은 차단된 위협을 학습할 뿐 아니라 최신 취약성에 대한 지속적인 업데이트를 확보한다.

알메다 카운티 교육청 방화벽 업그레이드를 담당했던 이사 라이언 초어트는 “위협과 위험의 수는 많고 콘텐츠 필터 시스템뿐만이 아니라 완전한 방화벽이 있어야 이 모든 위협을 일, 시간, 분 단위로 확인할 수 있다”며 “우리는 숨지 않는다. 우리는 공공 기관이고 공격자들에게 상당히 큰 표적이다. 양심상 해당 환경에서 방화벽을 운영하지 않을 수 없었다”고 말했다. ciokr@idg.co.kr
X