올리버 슈에르만 및 트레버 포트 주니퍼네트웍스 엔터프라이즈 마케팅 시니어 디렉터

▲ 트레버 포트(좌) 및 올리버 슈에르만 주니퍼 네트웍스 마케팅 시니어 디렉터

[컴퓨터월드] 비즈니스에 대한 요구 사항이 늘어나고, 안전하며 안정적인 사용자 경험을 보장하는 상시가동 환경에 대한 기대가 높아지면서 각 기업의 IT 인프라는 계속해서 확장되고 있다. 인프라가 확장되고 복잡성 또한 증가하면서 보안 운영팀의 업무 부담은 가중되고 있으며, 기존 방어체계에 사각지대도 생겨나고 있다. 인프라를 안전하게 보호하기 위해서는 인프라 전반에 대한 가시성을 강화하고, 여러 지점에 보안 조치를 적용해야만 하는 이유이다.

해커들은 인프라 복잡성 증가와 동시에 이에 맞는 위협 기법을 고도화하면서 정보 보안을 더욱 위태롭게 만들고 있다. 따라서 모든 규모의 네트워크에 커넥티드 시큐리티(Connected Security) 전략이 필수적으로 구현돼야 한다. 이를 위해서는 네트워크 전반에 걸쳐 심층적인 가시성과 다수의 실행 포인트를 확보하는 것이 중요하다.

그러나 기업의 현실은 이를 따라가지 못하고 있다. 기업의 인프라 규모가 확대되고 복잡성이 증가되고 있음에도 대부분 조직의 보안팀은 제자리 수준에 머물러 있다. 숙련된 보안 엔지니어가 문제를 해결하고는 있지만 변화하는 환경에 대처하기 위해서는 현재의 보안팀으로서는 한계가 있을 수밖에 없다.

이런 문제를 해결하기 위해서는 네트워크의 모든 연결 지점에 위협 인텔리전스를 통합할 수 있는 보안 솔루션이 필요하다. 보안 효율성을 높이기 위해서는 여러 방어 지점을 통합해야 한다. 가시성을 확보해 보다 신속하게 위협을 식별하고, 여러 지점에 보안 조치를 적용함으로써 공격이 탐지됐을 때 손쉽게 위협을 격리할 수 있는 체계를 갖춰야 하는 것이다.

주니퍼 커넥티드 시큐리티(Connected Security)는 네트워크 사용자와 애플리케이션에 대한 가시성을 제공해 사용자와 애플리케이션, 인프라를 보호해 준다. 즉, 전체 인프라와 통합함으로써 엔드포인트에 최대한 가까운 위치에서 보안을 제공하는 것이다. 주니퍼의 컨테이너 방화벽인 ‘cSRX’의 최신 업데이트와 뛰어난 확장성을 제공하는 라우팅 플랫폼인 ‘MX’의 강화된 보안 인텔리전스 기능은 모든 지점의 보안을 통합하려는 주니퍼의 노력을 잘 나타내 준다.


cSRX 컨테이너 방화벽

cSRX는 클라우드 네이티브 애플리케이션이 상주하는 지점으로 보안을 확대해 프라이빗 클라우드, 퍼블릭 클라우드 및 IoT 인프라 전반에 걸쳐 일관된 정책을 적용할 수 있도록 해준다. 오늘날 고객은 애플리케이션과 서비스를 물리적 환경에서 가상 환경과 컨테이너로 이동시키고 있다. cSRX를 사용하면 최상의 네트워크 보안 기능으로 네트워크를 컨테이너화할 수 있다.

cSRX는 기존 보안 관리 기능뿐 아니라 텅스텐 패브릭(Tungsten Fabric) 또는 주니퍼의 콘트레일(Contrail) 같은 SDN 컨트롤러와도 통합이 가능하다. 예를 들어, 콘트레일을 사용해 네트워킹된 cSRX는 심층적이고 광범위한 위협 관리와 레이어 4~7 보안 기능을 통해 마이크로세그먼테이션을 보호한다. 애플리케이션팀 관점에서는 cSRX가 네트워킹의 웨이포인트(waypoint)로 인식돼 정책을 투명하게 적용할 수 있으며, 단순화된 관리를 구현할 수 있다.


MX 시리즈 라우터를 위한 보안 인텔리전스

MX 시리즈 라우터에 통합된 SecIntel(Security Intelligence, 보안 인텔리전스)은 하드웨어 레벨에서 C&C(command and control) 트래픽을 차단함으로써 라우팅 인프라로 보안을 확대해 준다. 타사 위협 피드 또는 주니퍼 Sky ATP(Juniper Sky ATP) 및 주니퍼 위협 연구소(Juniper Threat Labs)에서 탐지한 악성 트래픽을 라우터에서 바로 차단할 수도 있다. 따라서 연결 레이어가 자동화된 방어 레이어로 전환된다.

SecIntel은 추가적인 하드웨어 투자없이 진정한 심층 방어 아키텍처를 구현해 준다. 이를 통해 제휴 파트너 코레로(Corero)와 주니퍼가 공동 개발한 분산 서비스 거부 공격(DDoS) 솔루션을 더욱 강화시킨다. 이같은 솔루션들이 연동돼 추가적인 인스펙션 필요 없이 노이즈를 여과함으로써 업스트림 보안 리소스에 대한 부담을 줄이고, 연산 집약적인 보안 리소스를 대규모로 활용할 수 있게 만들어 준다. MX 라우터와 SecIntel의 통합은 JUNOS 19.3.에서 제공된다.


1. 모든 연결 지점으로 보안 확장: cSRX를 통한 컨테이너 보안

작고 빠른 컨테이너를 사용해 마이크로서비스(Microservices)를 만들면 여러 이점을 얻을 수 있지만, 부수적으로 보안 문제가 발생한다. 그러나 주니퍼 커넥티드 시큐리티(Connected Security)를 활용할 경우 컨테이너화된 워크로드에 최상의 보안 기능을 제공하고, 애플리케이션 내 개별 마이크로서비스 간 통신까지 가시성과 정책 적용을 확대할 수 있다.

IT의 다른 모든 부문과 마찬가지로 컨테이너에는 보안이 필요하며, 관리자는 이러한 컨테이너로 유입 및 유출되는 데이터 플로우에 대한 가시성을 확보해야 한다. 모놀리식 애플리케이션(Monolithic Application)은 확장이 어렵고 확장이 된다 하더라도 대단히 비효율적이다. 그 결과 지난 20년 동안 애플리케이션은 마이크로서비스로 분할돼 왔으며, 이러한 마이크로서비스가 컨테이너 도입을 가속화하고 있다.

주니퍼의 컨테이너화된 SRX, 즉 cSRX는 SDN(Software-Defined Networking) 컨트롤러인 콘트레일(Contrail)을 통해 네트워크 기능 서비스 체인에서 최강의 컨테이너 보안 인스턴스를 제공한다. 데이터 플로우와 대상 컨테이너 간 'BITW(Bump in the wire)' 역할을 하는 cSRX를 사용해 이전에 없던 새로운 보안 실행 포인트를 추가하고, 도커(Docker) 컨테이너에 대한 가장 포괄적인 네트워크 보안을 제공할 수 있다. 콘트레일을 통해 애플리케이션 개발자에게 부담을 주지 않으면서 보안을 추가할 수 있는 것이다.

또한 cSRX는 추가적인 네트워크 가시성을 제공해, 새로 출현한 위협에 보다 빠르게 대응할 수 있도록 해준다. 컨테이너화된 개별 애플리케이션이나 마이크로서비스는 자체 차세대 방화벽과 함께 제공되거나, 필요에 따라 전체 네트워크 보안 서비스 체인과 함께 제공될 수 있다.


cSRX 컨테이너 방화벽의 이점

o 컨테이너 보안을 위한 설계: cSRX는 컨테이너화된 방화벽이다. cSRX에는 민첩성을 유지하기 위해 vSRX 또는 하드웨어 SRX 방화벽의 동적 라우팅이나 네트워킹 기능이 의도적으로 제외돼 있다. 컨테이너화된 환경에서는 수요에 대응하기 위해 워크로드가 빠르게 생성 및 폐기될 수 있다. 초 단위의 대응 시간이 무엇보다 중요하기 때문에 cSRX의 짧은 인스턴스화 시간은 고객에게 큰 이점으로 작용한다.

o 뛰어난 민첩성: cSRX 방화벽 인스턴스는 초 단위로 인스턴스화할 수 있으며, 컨테이너화된 애플리케이션의 작고 가벼운 이점을 제공한다. 이는 컨테이너 보안 프로비저닝에 마이크로서비스 방식을 도입했기 때문에 가능하다.

o 보다 정교해지는 위협 환경에 대한 보호: 고급 위협 방지와 위협 피드 기반 IP 및 URL 차단 등의 기능이 통합된 cSRX는 컨테이너 구축 환경에서 점차 일반화되고 있는 베어본(Bare-Bone) 방화벽 이상의 역할을 수행한다. cSRX는 컨테이너화 인프라의 핵심적인 요소다.

o 최신 기술 지원: 가볍고 신속한 인스턴스화가 가능한 cSRX를 사용하면 5G 셀 타워 베이스에서 마이크로 데이터센터 등 새롭게 부상하는 기술을 보다 유연하게 지원할 수 있다.

o IoT 디바이스에 구축 가능: cSRX는 UTM(Unified Threat Management)과 최상급 방화벽 기능이 몇 초만에 인스턴스화가 가능하도록 컨테이너화된 리소스가 제한된 디바이스를 보호하고, 인스턴스당 단 몇 메가바이트의 RAM 용량 절감이 필요한 환경에서 규모의 운영을 할 수 있도록 지원한다.

o 묵시적 존(Implicit Zone) 사용: cSRX는 존(Zone)으로 트래픽을 분리할 수 있도록 지원한다. 따라서 단일 cSRX 컨테이너가 여러 개의 컨테이너화된 애플리케이션이나 마이크로서비스를 각각의 보안 구성에 따라 보호하고, cSRX 사용 용량을 더욱 낮춰줄 수 있다.

o 네트워크 기능 서비스 체인 구현 가능: cSRX는 네트워크 기능 서비스 체인에 구현돼 고가용성과 함께 필요에 따라 개별 네트워크 기능을 확장할 수 있는 컨테이너화된 보안을 제공할 수 있다.


주니퍼 커넥티드 시큐리티(Connected Security)

위협 조짐이 있는 트래픽을 검사하고, 보안을 적용하는 데 연결 지점보다 더 나은 곳은 없다.

주니퍼 커넥티드 시큐리티(Connected Security)는 네트워킹 및 정보 보안 제품을 통합해 네트워크 내 여러 지점에서 위협을 탐지하고 정책을 적용할 수 있도록 해 준다. 주니퍼 커넥티드 시큐리티(Connected Security)는 경계 방어, 클라우드 방어, 네트워크 세그먼테이션은 물론, 가상화 및 컨테이너화된 보안과 에지 컴퓨팅에 대한 방어까지도 제공한다.


마이크로세그먼테이션(Microsegmentation)의 실현

콘트레일은 고급 마이크로세그먼테이션 기능을 제공하지만, 마이크로세그먼테이션은 비용이 큰 부담으로 작용할 수 있다. 마이크로세그먼트는 가상 네트워크 세그먼트 또는 규칙 기반 컨테인먼트(containment) 그룹으로 단일 애플리케이션이나 단일 티어를 구성하는 모든 마이크로서비스를 캡슐화하는 데 사용하는 것이 가장 이상적이다. 각 마이크로세그먼트는 자체적인 소형 네트워크로 효율성이 뛰어나며, 해당 세그먼트를 벗어나 통신하기 위해서는 데이터 플로우가 라우터를 통과해야만 한다. 콘트레일에서 해당 라우터는 v라우터(vRouter)로, 모든 컴퓨팅 호스트에 분산돼 있다.

데이터가 라우터를 통과하기 위해서는 마이크로세그먼트에서 유입 및 유출되기 때문에, 네트워크 기능이 구현될 수 있는 위치에는 병목 현상이 존재할 수 밖에 없다. 기존에는 이같은 네트워크 기능에 고가의 하드웨어가 필요했고, 각 데이터 플로우는 다양한 하드웨어를 통해 컨테이너화된 호스트 외부로 전송돼 다시 목적지로 전송돼야만 했다.

컨테이너를 위한 콘트레일 서비스 체인과 cSRX는 기존 판도를 바꿔 놨다. 서비스 체인에 적용할 수 있는 네트워크 보안 기능에는 다음과 같은 내용이 포함된다.

o AppFW(Application Firewall)

o AppID(Application ID)

o IPS(Intrusion Prevention System)

o NAT(Network Address Translation)

o UTM(Unified Threat Management)

o 강화된 웹 필터링(EFW)

o 스크린

콘트레일은 cSRX를 사용해 매우 강력한 경계의 초소형 마이크로세그먼트를 생성해 빠르게 네트워크 기능 서비스 체인을 인스턴스화하고, 각 마이크로세그먼트를 보호할 수 있다. 전체 서비스 체인이 단 몇 초만에 구성되기 때문에 마이크로세그먼트 및 모든 필수 네트워크 기능이 신속하게 서비스로 제공된다. 이는 컨테이너나 가상 머신이 자체적으로 보호하는 애플리케이션을 구성하는 속도보다도 빠른 것이다.

콘트레일 엔터프라이즈 멀티클라우드(Contrail Enterprise Multicloud)와 함께 cSRX는 오케스트레이션, 자동화, 보안, 분석의 전체 기능을 갖춘 업계 최초의 실제 서비스 가능한(Production-Grade) 솔루션으로, 비용/공간 효율적인 방식으로 컨테이너에 다이내믹한 소비자 및 엔터프라이즈 서비스를 구축할 수 있도록 지원한다.

오픈시프트(OpenShift) 또는 쿠버네티스(Kubernetes) 등 컨테이너화된 애플리케이션 플랫폼의 경우, 언터프라이즈 멀티클라우드(Enterprise Multicloud)는 콘트레일 네트워킹(Contrail Networking) 및 콘트레일 시큐리티(Contrail Security) 컨트롤러, 콘트레일 v라우터(Contrail vRouter, L4 보안 적용), cSRX 및/또는 vSRX(L7 보안 적용), 앱포믹스 애널리틱스 에이전트(AppFormix Analytics Agent) 및 쿠버네티스 CNI 플러그인으로 구성된다.

▲ CONTRAIL의 운영효과

주니퍼 커넥티드 시큐리티는 클라우드 네이티브 애플리케이션이 상주하는 지점으로 보안을 확장해 프라이빗 클라우드, 퍼블릭 클라우드 및 IoT 인프라 전반에 걸쳐 일관된 정책을 제공한다. 주니퍼의 cSRX 컨테이너 방화벽은 가상화에 특화된 일련의 강력한 고급 보안 서비스를 제공해 컨테이너화된 애플리케이션과 마이크로서비스를 보호한다. 또한 제조사가 IoT 디바이스에 구축할 수 있을 정도로 작고 가볍다.

cSRX는 풍부한 기능을 갖추고 있다. 또한 vSRX 및 하드웨어 SRX 방화벽을 사용하는 관리자에게 친숙한 관리 인터페이스와 기능도 제공한다. cSRX는 주니퍼 커넥티드 시큐리티 솔루션에서 핵심적인 역할을 하며 리소스가 제한된 환경에서 개별 디바이스와 워크로드를 보호해 준다.


2. MX 시리즈 라우터를 위한 보안 인텔리전스

네트워크 오퍼레이터와 보안 엔지니어는 네트워크 관리에 따른 워크로드와 비용 증가에 대응하면서, 동시에 위협을 방어하고, 네트워크를 보호하기 위해 노력하고 있다. 주니퍼 네트웍스의 보안 인텔리전스는 MX 시리즈 라우터와 통합될 때 라우터 인프라로 보안을 확장해 연결 레이어를 대규모의 자동화된 방어 레이어로 전환할 수 있는 장점을 갖고 있다. 네트워크 오퍼레이터는 주노스(JUNOS) 19.3에서 지원하는 이같은 통합으로 한 차원 더 높은 보안 제공이 가능하다.


작동 방식

주니퍼 네트웍스의 SecIntel(보안 인텔리전스)은 변화하는 상황에 자동으로 대응하는 트래픽 필터링을 통해 실시간 위협 인텔리전스를 제공한다. 기존에는 SecIntel에 두 개 이상의 주니퍼 네트웍스의 SRX 시리즈 서비스 게이트웨이가 필요했지만, 현재는 SecIntel 기능을 MX 시리즈 라우터에서 사용할 수 있다.

SecIntel을 MX 라우터로 확장하면 주니퍼 SKY ATP(Juniper Sky ATP)와 주니퍼 위협 연구소(Juniper Threat Labs)에서 탐지한 C&C(Command and Control) 트래픽과 커스텀 블랙리스트를 네트워크 하드웨어 레벨에서 차단하는 또 하나의 네트워크 보안 레이어가 제공된다. 따라서 연결 레이어가 자동화된 방어 레이어로 전환되고, 라우터는 수천 명의 고객을 위한 정보 보안 실행 포인트 기능을 수행하게 된다.

이를 통해 네트워크의 모든 사용자가 이용하는 인터넷을 동시에 보호할 수 있다. 고객은 새로운 SecIntel 기능의 이점을 활용하기 위해 추가적인 하드웨어 투자가 필요치 않다. 단지 최신 소프트웨어 버전으로 업데이트한 후, 몇 줄만 구성을 추가하면 된다. 이것만으로도 네트워크 통합을 단순화하고 관리 부담을 대폭 줄일 수 있다.


통합

주니퍼 커넥티드 시큐리티(Connected Security)는 네트워크의 모든 연결 지점으로 보안 인텔리전스 및 정책 적용을 확대해 사용자, 애플리케이션 및 인프라를 보호해 준다. 고객은 엔드-투-엔드 가시성 및 보안을 확보하면서, 동시에 기존 투자도 보호할 수 있다. 주니퍼 커넥티드 시큐리티는 주니퍼 제품과 기술 파트너, 경쟁사 제품 간의 즉각적이고 자동화된 통합을 제공한다. 주니퍼는 SecIntel 기능을 MX 시리즈 라우터에서 구현해, 연결 지점의 트래픽에 대한 가시성을 고객에게 제공하고 있다.

MX 시리즈 라우터를 사용해 하드웨어/PFE 레벨에서 악성 IP/URL을 차단함으로써 DDoS 보호 같은 기존 보안과 통합 기능을 보완할 수도 있다. MX 시리즈 라우터가 알려진 C&C 통신을 차단하도록 구성해 네트워크 레이어에 대한 직접적이고 잠재적인 위협을 방지할 뿐만 아니라, SRX 시리즈 디바이스로부터 리소스를 확보하여 알려지지 않은 대상에 대한 위협을 방어하는 기능도 제공한다.

SRX 시리즈 방화벽의 SecIntel과 마찬가지로, 개방형 표준 기반 리포팅을 사용한 상세 리포팅 및 분석이 제공된다. 이는 개방형 표준과 상호운용성에 대한 주니퍼의 부단한 노력을 확인할 수 있는 부분이다. 개방형 표준과 상호운용성은 주니퍼 커넥티드 시큐리티의 모든 측면에서 기술적으로 중요한 토대가 되고 있다.

저작권자 © 컴퓨터월드 무단전재 및 재배포 금지