운영관리 지원으로 인한 보안 수준 지속 관리 가능
[컴퓨터월드] 최근 ISMS 인증 및 갱신 및 내·외부기관의 감사에 있어 기존의 보안 장비에 대한 운영관리가 이슈가 되고 있다. 예전 감사 항목이 단순히 보안장비를 도입했는지의 여부와, 보안 장비에 대한 운영 프로세스를 세우고 있는지에 대한 단순 감사였던 것에 비해, 최근의 감사에서는 실질적인 보안장비 내부의 정책들이 근거에 의해서 관리가 되고 있는지가 주요 이슈 사항으로 대두되고 있다.
이에 따라 방화벽 내 과다허용 정책, 미사용 정책, 중복 정책, 불필요한 정책 등에 대한 내부관리 규정을 가지고 있는지와 이를 주기적으로 관리를 하고 있는지 확인하는 세분화되고 실질적인 감사로 변경되고 있다.
하지만 기존 업무 이외의 관리 항목이 늘어감에 따라 새로운 업무가 생겨나고, 이를 기존의 인력으로 관리하기란 현실적으로 어려운 것이 사실이다. 이에 많은 기업 및 금융기관들이 해당 관리기준에 부합하기 위해 파이어몬(FireMon)을 검토, 적용하고 있다. 파이어몬은 보안 장비 중 가장 중요 시 되는 방화벽에 대한 지속적인 관리를 통해 내·외부감사에 대응하고 실질적인 운영관리를 지원함에 따라 기업 및 기관의 보안 수준을 지속적으로 관리하는데 도움을 주는 제품이다.
파이어몬 시큐리티 매니저(FireMon Security Manager)는 방화벽, 스위치, 라우터 등 이기종 네트워크 장비에 대한 통합 관리 기능을 제공하는 보안관리 솔루션이다. 각 네트워크 장비의 설정 및 정책/룰 정보를 기반으로 토폴로지 맵(Topology Map)을 통해 인터페이스, 라우팅 및 전체 네트워크 구성 현황을 쉽게 확인할 수 있으며 ▲정책/룰 변경 사항에 대한 실시간 모니터링 ▲방화벽의 정책/룰별 사용률 ▲과다허용정책 및 서비스 리스크 분석 기능 등 전체 네트워크의 구성 및 운영 현황에 대한 가시성을 늘리고, 관리자가 필요로 하는 다양한 정보 및 보고서를 제공한다.
네트워크 보안 관리자는 파이어몬 시큐리티 매니저에서 제공하는 분석 정보를 토대로 장기간 사용되지 않거나 숨겨진, 또는 중복된 룰과 오브젝트를 삭제하고 사용률이 높은 룰의 순번을 조정하는 등 방화벽에 대한 최적화를 진행할 수 있으며, 이를 통해 장비의 성능 향상 및 보안 강화 효과를 기대할 수 있다.
파이어몬 시스템 아키텍처(구성)
파이어몬 시큐리티 매니저는 파이어몬 GUI(FireMon GUI), 애플리케이션 서버, 데이터베이스와 분산형 데이터 수집기로 구성돼 있다. 방화벽, 네트워크 장비와의 연동 방식은 제조사 별로 차이가 있지만 기본적으로 데이터 수집기에서 시스로그(Syslog) 데이터를 수집/분석한 후, 변경사항이 있을 경우 해당 장비의 정책/룰 정보를 가져와 파이어몬에서 필요한 데이터를 추출, 메타 데이터로 변경해 애플리케이션 서버의 DB에 저장하고 원본 시스로그는 삭제하는 구조로 이뤄져 있다.FireMon Security Manager의 주요기능
1) 이기종 방화벽/네트워크 장비의 통합 관리
이기종 방화벽/네트워크 장비를 통합관리 기능을 제공한다. 대부분의 외산 장비와 연동이 가능하며, 유일하게 국산방화벽과 연동도 지원한다.
-외산 방화벽: 체크포인트(CheckPoint), 시스코(Cisco), 포티게이트(Fortigate), 팔로알토(Palo Alto) 등 연동 지원
-국산 방화벽: 시큐아이 MF2/SNXG, 안랩 트러스트가드, 퓨쳐시스템 위가디아 연동 지원
2) 자동화된 토폴로지 맵 구성
연동된 방화벽/네트워크 장비의 인터페이스/라우팅 정보를 활용해 자동화된 토폴로지 맵을 구성하고, 이를 통해 기업 내부의 네트워크 구성을 쉽게 파악할 수 있다.
3) 정책 변경 사항에 대한 비교분석 및 이력관리
정책 변경 사항에 대한 차수 별 비교분석 기능을 제공하고, 정책 변경 시간, 변경 내역, 담당자 계정 및 IP 정보 등 상세 변경 이력정보를 제공한다.
4) 방화벽 정책 사용률 분석
조회 기간에 대한 정책, 오브젝트별 상세 사용률 분석 정보를 제공하며, 사용률 분석 정보를 토대로 정책을 최적화해 운영 성능 및 보안성을 강화할 수 있다.
5) 과다 허용된 정책(ANY 또는 대역)에 대한 상세 분석
파이어몬 시큐리티 매니저의 트래픽 플로우 분석(Traffic Flow Analysis) 기능을 통해 ANY 또는 대역으로 과다 허용된 정책에 대한 상세 트래픽 분석 기능을 제공하며, 분석 정보를 토대로 정책을 세분화해 보안성을 강화할 수 있다.
6) 중복 정책 분석
중복돼 불필요한 정책에 대한 분석 기능을 제공하며, 중복 정책 제거를 통해 정책을 최적화 하고 보안성을 강화할 수 있다.
| <구축사례>
■ 금융권 1. 제1금융권인 00은행에서는 방화벽 정책관리 부재로 인한, 담당자들의 과중한 업무, 최근 지속되는 내·외부 감사에 대응하고자 파이어몬을 검토, 도입했다. 1차 사업으로 주요 구간의 방화벽 연동을 통한 방화벽 정책의 통합관리, 최적화 및 이력관리 시스템을 파이어몬을 통해 구축했다. 특히, 사용자 사전 검색 시스템 개발을 통해, 신청자가 사전에 정책을 조회할 수 있는 일부 기능을 구현해 방화벽 담당자에 대한 과도한 문의 및 요청을 감소시키는 효과를 가져왔다. 2. 신용카드 결제 관련 업무를 하고 있는 00사는 글로벌 결제 관련 업무 회사에 적용이 되고 있는 PCI-DSS의 인증 및 재심사에 대응하기 위해 파이어몬을 검토했으며, 파이어몬에서 제공하고 있는 해당 컴플라이언스 최신버전(3.1)에 대한 템플릿을 통해 해당 인증에 필요한 항목들을 주기적으로 관리할 수 있는 시스템을 구축했다.
1. 내부 감사 기준이 매우 강화돼 있는 국내 대기업 및 해당 그룹의 네트워크 보안을 관리하는 기업에서는 내부감사 중 불필요하게 과다 허용된 일부 정책에 대해 감사 지적사항이 발생했으며, 이에 대응하기 위한 방안으로 기존의 로그관리 시스템을 이용해 세분화 작업을 진행 중 파이어몬을 도입했다. 한 개의 과다 허용되어 있는 오브젝트에 대한 분석에 4개월의 기간이 소요됐던 것을 파이어몬 도입과 동시에 실시간으로 분석하고 리포트로 제공된 트래픽 패턴을 통해 서비스의 장애 없이, 룰을 세분화했다. 또한, 실제 방화벽 정책과 그룹웨어를 통한 방화벽 신청 이력이 상이한 부분에 대한 검증을 위해, 방화벽 정책 이력을 관리할 수 있는 파이어몬을 통해 시스템화 했으며, 이를 통해 방화벽 현황과 신청시스템의 이력에 대한 정합성을 확인, 관리할 수 있는 시스템을 별도의 연동 개발을 통해 구축했다. 2. 최근 ISMS의 인증 심사를 받은 국내 대기업에서는 인증심사 시, 지적 사항으로 나왔던 방화벽 정책 관리를 대응하고자 파이어몬을 검토, 도입하게 됐다. ISMS는 인증 후, 매년 사후 심사 및 갱신을 통해 지속적으로 관리되고 있는 바, ISMS 인증기준 세부점검항목 11.2.2에서 요구하고 있는 방화벽에 대한 내부 보안정책위배 정책관리, 과다허용 정책 세분화, 미사용 정책 최적화, 중복 정책관리를 파이어몬의 기본 기능을 통해 주기적으로 관리할 수 있는 시스템을 구축했다. |