2018.07.16

"브랜치 보안 강화하기"··· SD-WAN의 '마지막 1%'

Lee Doyle | Network World
신뢰할 수 없는 인터넷 링크를 격리하고 비정상적인 트래픽 흐름을 식별하는 것은 SD-WAN의 핵심 기능이다. 이 때문에 SD-WAN 업체는 지속해서 자체 보안 기능을 강화하고 네트워크 보안 파트너와의 견고한 생태계를 만들기 위해 노력한다.



SD-WAN 도입을 검토하는 기업의 IT 관리자는 고유 보안 기능과 네트워크 보안 공급자와의 파트너 관계를 포함해 브랜치 네트워크 보안 요구를 고려하고 주요 SD-WAN 공급자의 보안 기능을 꼼꼼하게 비교해야 한다.

브랜치 네트워크 보안 위협
네트워크 보안은 IT 전문가의 영원한 숙제다. 그러나 여러 조사 결과를 보면 문제는 오히려 악화하고 있다. 특히 브랜치(branch)의 보안은 PC와 태블릿, 전화기, POS 장치와 사물인터넷(IoT) 엔드포인트 등 브랜치 네트워크에 연결된 기기가 늘어나면서 어려움을 겪고 있다. 이러한 모든 엔드포인트는 기업 네트워크를 노리는 악성코드와 중요한 정보를 빼내려는 해커의 목표가 되곤 한다. 더구나 브랜치는 숙련된 IT/보안 직원이 부족한 데다 IP VPN과 IDS/IPS, 방화벽을 비롯한 여러 보안 장비를 관리하는 복잡성으로 인해 보안이 악화할 가능성이 크다.

브랜치 보안이 어려운 또다른 이유는 전체 네트워크의 보안 측면에서 조율해야 하기 때문이다. 브랜치의 보안 시스템은 엔드포인트 보안 제품, 캠퍼스/데이터센터 네트워크 보안 시스템과 연동할 필요가 있다. 브랜치에서 트래픽을 검사한 후 여기서 식별된 의심스러운 트래픽은 중앙 집중식 시스템이나 클라우드 기반 보안 시스템으로 분석하는 것이다. 이상적인 브랜치 보안 시스템은 완전히 자동화되고 클라우드 기반 인텔리전스를 사용하는 것이다.

SD-WAN 보안 기능
현재 SD-WAN 시장에는 수십개 업체가 경쟁하고 있다. SD-WAN 제품의 가장 큰 가치는 기업이 저비용 인터넷 회선을 안전한 기업용 회선으로 활용할 수 있다는 점이다. 네트워크 보안은 SD-WAN 기술 관련 주요 차별화 요소이며, 각 업체는 자사만의 고유 방법을 사용해 트래픽 흐름을 보호하고 '안전한' 사이트를 식별한다.

거의 모든 SD-WAN 업체는 기본적으로 방화벽 기능을 제공한다. 그들은 트래픽 흐름을 이해하기 위해 패킷 식별 기술을 사용한다. 예를 들어, 트래픽이 신뢰할 수 있는 위치 또는 클라우드 기반 서비스를 통해 오가는지를 구별한다. 이밖에도 콘텐츠 필터링, 엔드포인트 식별 및 관리, 정책 시행 등의 기능을 지원한다.

또한, SD-WAN 업체는 팔로 알토(Palo Alto)와 지스케일러(Z-Scaler), 체크포인트(CheckPoint), 포티넷(Fortinet) 같은 주요 네트워크 보안 업체에 차세대 방화벽과 UTM 기능을 탑재한 자사 SD-WAN 기술을 통합하기 위해 적극 노력하고 있다. SD-WAN과 네트워크 보안 업체 간의 통합 작업은 고성능과 낮은 대기 시간을 보장하기 위해 더 간소화할 필요가 있다. 애플리케이션 간 트래픽 전달이 대기 시간에 영향을 줄 수 있기 때문이다. 최종적인 목표는 세분된 트래픽 검사를 제공하는 것, 그리고 중요한 트래픽 흐름과 애플리케이션의 우선 순위를 정하기 위해 효과적으로 화이트리스트 클라우드 사이트를 사용하는 것이다.

SD-WAN 보안 기능 사례
주요 제품을 살펴보자. 먼저 아루바 클리어패스 폴리시 매니저(Aruba ClearPass Policy Manager)는 SD-WAN 솔루션 전체에 일관된 정책을 적용하기 위해 사용자, 장치, 애플리케이션과 WAN 컨텍스트를 제공한다. 역할 기반 시행, 장치 프로파일링과 액세스 제어는 IT 기업이 브랜치 위치 전체에 대한 LAN과 WAN 보안 정책을 중앙에서 제어할 수 있게 지원한다. 이를 통해 다양한 네트워크 상황에 맞춰 정책을 간편하게 적용할 수 있도록 지원한다. 수동으로 환경을 설정할 필요도 줄어든다.

리버베드(Riverbed)의 스틸커넥트(SteelConnect)는 네이티브 경계 방화벽, 네트워크 주소 변환 및 정책 기반 네트워크 영역 지정을 지원해 네트워크 침입 위험을 줄이고, 추가 위협 요소가 확산하는 것을 막는다. 사이트 간 AES-256 암호화와 함께 보안 IPsec VPN 터널을 자동으로 구성하고 SSL/HTTPS와 같은 암호화된 애플리케이션에 대한 심층 패킷 검사를 제공한다. 스틸커넥트 매니저(SteelConnect Manager)는 중앙 집중형 관리와 가시성을 제공하므로 IT 부서가 애플리케이션 기반 보안과 트래픽 경로를 지정할 수 있다.

탈라리 네트웍스(Talari Networks)의 페일세이프 SD-WAN(Failsafe SD-WAN)은 통합 방화벽을 사용해 브랜치에서 ㄴ신뢰할 수 있는 URL 트래픽을 자동으로 인터넷에 리디렉션 할 수 있도록 지원한다. 탈라리는 엣지 어플라이언스에 대한 관리 접근을 위해 래리우드(RADIUS) 인증을 지원한다. 패킷은 기본적으로 암호화된다.


SD-WAN 보안 생태계 사례
SD-WAN 보안 측면에서 제품을 비교할 때 핵심은 SD-WAN 플랫폼이 고급 방화벽과 UTM, 보안 웹 게이트웨이 및 클라우드 기반 네트워크 보안을 비롯한 선도적인 네트워크 보안 제품과 통합되고 상호 운용되는지 여부다. 주요 SD-WAN 공급 업체의 보안 생태계를 정리하면 다음과 같다(아루바, 시스코, 클라우드 제닉스, 크레이들포인트, 리버베드, 실버 피크, 탈라리, VM웨어는 필자의 직장인 도일 리서치(Doyle Research)의 고객사임을 미리 밝힌다).

- 시스코(Cisco) SD-WAN (빕텔라(Viptela)): 시스코 시큐리티 솔루션(Cisco Security solutions) (다양함), 블루코트(Bluecoat), 팔로 알토, 지스케일러
- 클라우드 제닉스(Cloud Genix): 팔로 알토, 시만텍(Symantec), 지스케일러
- 크레이들포인트(Cradlepoint): 시스코, 트렌드 마이크로(Trend Micro), 웹루트(Webroot), 지스케일러
- 실버 피크(Silver Peak): 체크 포인트, 포티넷, 팔로 알토, 지스케일러
- VM웨어(VMware) (벨로클라우드(VeloCloud)): 체크 포인트, 팔로 알토, 시만텍, 지스케일러

SD-브랜치(SD-Branch)는 통합된 중앙 집중형 관리 기능을 갖춘 하나의 플랫폼에서 SD-WAN, 라우팅, 네트워크 보안 및 LAN/와이파이(Wi-Fi) 기능을 모두 수행하는 것을 의미한다. SD-브랜치의 이점은 여러 공급 업체의 다양한 소프트웨어/어플라이언스 모듈을 하나의 플랫폼으로 통합해 쉽게 배포, 사용할 수 있다는 것이다. 많은 SD-WAN 공급 업체가 SD-브랜치 솔루션을 보유하고 있거나 곧 출시할 예정이다.

IT 관리자를 위한 권장 사항
SD-WAN은 분산된 조직을 연결하는 강력한 기술이며 보안은 공급 업체 차별화의 중요한 포인트이다. 각 공급 업체는 자체 보안 기능과 관련해 독점 코드를 가지고 있다. 현재 이를 도입하려는 기업이라면 광범위한 네트워크 보안 생태계를 개발할 수 있는 능력과 더불어 브랜치, 클라우드에서의 기본 보안 기능을 기준으로 SD-WAN 기술을 평가해야 한다.

공급 업체 또한 파트너 생태계를 통해 널리 사용되는 광범위한 네트워크 보안 제품과의 통합을 더 확대하고 심화할 필요가 있다. IT 관리자는 쉽게 향상할 수 있는 능력, 특정 보안 환경과 기존 공급 업체를 통합할 수 있는 능력을 토대로 SD-WAN 보안을 평가해야 한다.

Lee Doyle는 돌리 리서치(Doyle Research)의 수석 애널리스트다. 지능적 네트워크의 혁신 측면에서 고객 중심 분석을 제공한다. 그는 25년 이상 IT와 네트워크, 통신 시장에서 경력을 쌓았다. ciokr@idg.co.kr 



2018.07.16

"브랜치 보안 강화하기"··· SD-WAN의 '마지막 1%'

Lee Doyle | Network World
신뢰할 수 없는 인터넷 링크를 격리하고 비정상적인 트래픽 흐름을 식별하는 것은 SD-WAN의 핵심 기능이다. 이 때문에 SD-WAN 업체는 지속해서 자체 보안 기능을 강화하고 네트워크 보안 파트너와의 견고한 생태계를 만들기 위해 노력한다.



SD-WAN 도입을 검토하는 기업의 IT 관리자는 고유 보안 기능과 네트워크 보안 공급자와의 파트너 관계를 포함해 브랜치 네트워크 보안 요구를 고려하고 주요 SD-WAN 공급자의 보안 기능을 꼼꼼하게 비교해야 한다.

브랜치 네트워크 보안 위협
네트워크 보안은 IT 전문가의 영원한 숙제다. 그러나 여러 조사 결과를 보면 문제는 오히려 악화하고 있다. 특히 브랜치(branch)의 보안은 PC와 태블릿, 전화기, POS 장치와 사물인터넷(IoT) 엔드포인트 등 브랜치 네트워크에 연결된 기기가 늘어나면서 어려움을 겪고 있다. 이러한 모든 엔드포인트는 기업 네트워크를 노리는 악성코드와 중요한 정보를 빼내려는 해커의 목표가 되곤 한다. 더구나 브랜치는 숙련된 IT/보안 직원이 부족한 데다 IP VPN과 IDS/IPS, 방화벽을 비롯한 여러 보안 장비를 관리하는 복잡성으로 인해 보안이 악화할 가능성이 크다.

브랜치 보안이 어려운 또다른 이유는 전체 네트워크의 보안 측면에서 조율해야 하기 때문이다. 브랜치의 보안 시스템은 엔드포인트 보안 제품, 캠퍼스/데이터센터 네트워크 보안 시스템과 연동할 필요가 있다. 브랜치에서 트래픽을 검사한 후 여기서 식별된 의심스러운 트래픽은 중앙 집중식 시스템이나 클라우드 기반 보안 시스템으로 분석하는 것이다. 이상적인 브랜치 보안 시스템은 완전히 자동화되고 클라우드 기반 인텔리전스를 사용하는 것이다.

SD-WAN 보안 기능
현재 SD-WAN 시장에는 수십개 업체가 경쟁하고 있다. SD-WAN 제품의 가장 큰 가치는 기업이 저비용 인터넷 회선을 안전한 기업용 회선으로 활용할 수 있다는 점이다. 네트워크 보안은 SD-WAN 기술 관련 주요 차별화 요소이며, 각 업체는 자사만의 고유 방법을 사용해 트래픽 흐름을 보호하고 '안전한' 사이트를 식별한다.

거의 모든 SD-WAN 업체는 기본적으로 방화벽 기능을 제공한다. 그들은 트래픽 흐름을 이해하기 위해 패킷 식별 기술을 사용한다. 예를 들어, 트래픽이 신뢰할 수 있는 위치 또는 클라우드 기반 서비스를 통해 오가는지를 구별한다. 이밖에도 콘텐츠 필터링, 엔드포인트 식별 및 관리, 정책 시행 등의 기능을 지원한다.

또한, SD-WAN 업체는 팔로 알토(Palo Alto)와 지스케일러(Z-Scaler), 체크포인트(CheckPoint), 포티넷(Fortinet) 같은 주요 네트워크 보안 업체에 차세대 방화벽과 UTM 기능을 탑재한 자사 SD-WAN 기술을 통합하기 위해 적극 노력하고 있다. SD-WAN과 네트워크 보안 업체 간의 통합 작업은 고성능과 낮은 대기 시간을 보장하기 위해 더 간소화할 필요가 있다. 애플리케이션 간 트래픽 전달이 대기 시간에 영향을 줄 수 있기 때문이다. 최종적인 목표는 세분된 트래픽 검사를 제공하는 것, 그리고 중요한 트래픽 흐름과 애플리케이션의 우선 순위를 정하기 위해 효과적으로 화이트리스트 클라우드 사이트를 사용하는 것이다.

SD-WAN 보안 기능 사례
주요 제품을 살펴보자. 먼저 아루바 클리어패스 폴리시 매니저(Aruba ClearPass Policy Manager)는 SD-WAN 솔루션 전체에 일관된 정책을 적용하기 위해 사용자, 장치, 애플리케이션과 WAN 컨텍스트를 제공한다. 역할 기반 시행, 장치 프로파일링과 액세스 제어는 IT 기업이 브랜치 위치 전체에 대한 LAN과 WAN 보안 정책을 중앙에서 제어할 수 있게 지원한다. 이를 통해 다양한 네트워크 상황에 맞춰 정책을 간편하게 적용할 수 있도록 지원한다. 수동으로 환경을 설정할 필요도 줄어든다.

리버베드(Riverbed)의 스틸커넥트(SteelConnect)는 네이티브 경계 방화벽, 네트워크 주소 변환 및 정책 기반 네트워크 영역 지정을 지원해 네트워크 침입 위험을 줄이고, 추가 위협 요소가 확산하는 것을 막는다. 사이트 간 AES-256 암호화와 함께 보안 IPsec VPN 터널을 자동으로 구성하고 SSL/HTTPS와 같은 암호화된 애플리케이션에 대한 심층 패킷 검사를 제공한다. 스틸커넥트 매니저(SteelConnect Manager)는 중앙 집중형 관리와 가시성을 제공하므로 IT 부서가 애플리케이션 기반 보안과 트래픽 경로를 지정할 수 있다.

탈라리 네트웍스(Talari Networks)의 페일세이프 SD-WAN(Failsafe SD-WAN)은 통합 방화벽을 사용해 브랜치에서 ㄴ신뢰할 수 있는 URL 트래픽을 자동으로 인터넷에 리디렉션 할 수 있도록 지원한다. 탈라리는 엣지 어플라이언스에 대한 관리 접근을 위해 래리우드(RADIUS) 인증을 지원한다. 패킷은 기본적으로 암호화된다.


SD-WAN 보안 생태계 사례
SD-WAN 보안 측면에서 제품을 비교할 때 핵심은 SD-WAN 플랫폼이 고급 방화벽과 UTM, 보안 웹 게이트웨이 및 클라우드 기반 네트워크 보안을 비롯한 선도적인 네트워크 보안 제품과 통합되고 상호 운용되는지 여부다. 주요 SD-WAN 공급 업체의 보안 생태계를 정리하면 다음과 같다(아루바, 시스코, 클라우드 제닉스, 크레이들포인트, 리버베드, 실버 피크, 탈라리, VM웨어는 필자의 직장인 도일 리서치(Doyle Research)의 고객사임을 미리 밝힌다).

- 시스코(Cisco) SD-WAN (빕텔라(Viptela)): 시스코 시큐리티 솔루션(Cisco Security solutions) (다양함), 블루코트(Bluecoat), 팔로 알토, 지스케일러
- 클라우드 제닉스(Cloud Genix): 팔로 알토, 시만텍(Symantec), 지스케일러
- 크레이들포인트(Cradlepoint): 시스코, 트렌드 마이크로(Trend Micro), 웹루트(Webroot), 지스케일러
- 실버 피크(Silver Peak): 체크 포인트, 포티넷, 팔로 알토, 지스케일러
- VM웨어(VMware) (벨로클라우드(VeloCloud)): 체크 포인트, 팔로 알토, 시만텍, 지스케일러

SD-브랜치(SD-Branch)는 통합된 중앙 집중형 관리 기능을 갖춘 하나의 플랫폼에서 SD-WAN, 라우팅, 네트워크 보안 및 LAN/와이파이(Wi-Fi) 기능을 모두 수행하는 것을 의미한다. SD-브랜치의 이점은 여러 공급 업체의 다양한 소프트웨어/어플라이언스 모듈을 하나의 플랫폼으로 통합해 쉽게 배포, 사용할 수 있다는 것이다. 많은 SD-WAN 공급 업체가 SD-브랜치 솔루션을 보유하고 있거나 곧 출시할 예정이다.

IT 관리자를 위한 권장 사항
SD-WAN은 분산된 조직을 연결하는 강력한 기술이며 보안은 공급 업체 차별화의 중요한 포인트이다. 각 공급 업체는 자체 보안 기능과 관련해 독점 코드를 가지고 있다. 현재 이를 도입하려는 기업이라면 광범위한 네트워크 보안 생태계를 개발할 수 있는 능력과 더불어 브랜치, 클라우드에서의 기본 보안 기능을 기준으로 SD-WAN 기술을 평가해야 한다.

공급 업체 또한 파트너 생태계를 통해 널리 사용되는 광범위한 네트워크 보안 제품과의 통합을 더 확대하고 심화할 필요가 있다. IT 관리자는 쉽게 향상할 수 있는 능력, 특정 보안 환경과 기존 공급 업체를 통합할 수 있는 능력을 토대로 SD-WAN 보안을 평가해야 한다.

Lee Doyle는 돌리 리서치(Doyle Research)의 수석 애널리스트다. 지능적 네트워크의 혁신 측면에서 고객 중심 분석을 제공한다. 그는 25년 이상 IT와 네트워크, 통신 시장에서 경력을 쌓았다. ciokr@idg.co.kr 

X