SSL/TLS: 가시성만으로는 충분하지 않습니다. 오케스트레이션이 필요합니다.
F5 Networks의 SSL Orchestrator 4.0 버전이 출시되면서 지난 5년간 가장 난제였던 보안 문제 중 하나인 암호화된 사용자 트래픽에 대한 가시성이 해결되었습니다. 보안 예산은 샌드박싱, 심층 패킷 검사, 인공 지능 분야에서는 놀라운 수준의 고급 보안 제어 기능에 수십억 달러를 투자했지만 암호화에 관해서는 아무런 대책도 없습니다. F5 Labs의 2017 TLS 원격 측정 보고서 에 따르면, 암호화된 사용자 트래픽의 비율이 2014년 이후 두 배 이상 증가해 80%를 넘어 상황이 심각합니다. 따라서 이제는 보안 제어를 통해 무엇을 하고 있는지 확인할 수 있는 복호화 서비스를 제공하는 SSL 가시성 솔루션이 있습니다.
하지만 가시성 자체만으로는 충분하지 않습니다. 보안팀과 네트워크 운영팀에서는 암호 해독 구역을 설정하는 것이 쉽지 않다는 것을 알게 되었습니다. 전혀 쉽지 않아요. 보안팀은 전체 보안 스택에서 복호화/암호화를 관리하기 위해 수동 데이지 체이닝이나 지루한 구성을 사용해야 하는 경우가 많습니다. 그리고 그들은 예외가 매우 많다는 것을 깨닫게 됩니다. 기본적으로, *확인 노트*에 있는 것은 골치 아픈 일이었습니다.
F5의 SSL Orchestrator 4.0 버전이 출시되면서 가시성은 확실히 확보되었지만 오케스트레이션 측면에서는 차별화를 이루었습니다. 오케스트레이션은 위험과 동적 네트워크 상황에 따라 서비스 체인에 대한 정책 기반 트래픽 조정을 제공합니다.
SSL Orchestrator는 SSL/TLS 와 HTTP 모두에 대한 풀 프록시 역할을 하기 때문에 보안 스택 내의 서비스 체인으로의 인바운드 및 아웃바운드 트래픽을 유도하기 위한 지능적인 결정을 내릴 수 있습니다. 다른 해결책은 이를 할 수 없습니다.
이 글을 끝까지 읽지 않았더라도 꼭 알아두어야 할 중요한 사실은 인바운드 및 아웃바운드 암호화 요구 사항이 아무리 복잡하더라도 SSL Orchestrator가 수백만 달러짜리 검사 하드웨어에 대한 가시성을 확보할 수 있다는 것입니다.
더욱 동적인 서비스 체이닝
F5는 SSL Orchestrator의 이전 버전에서 보안 서비스 체이닝이라는 개념을 도입했습니다. 다양한 종류의 네트워크 트래픽은 각기 다른 종류의 검사를 받아야 한다고 생각하시나요? 예를 들어, 관리 워크스테이션에서 나가는 트래픽은 가장 많은 감시를 받아야 하며 암호화되지 않은 모든 기존 보안 제어를 통과해야 합니다. 하지만 사업부 계약자의 VDI 세션은 샌드박스와 IPS를 건너뛸 수 있습니다.
버전 4.0은 아래에 설명된 것과 같은 주요 방식으로 보안 제어 삽입 체이닝, 부하 분산 및 모니터링 방법을 개선했습니다.
가시성이 (더욱) 시각적으로 향상되었습니다!
이 말이 복잡하거나 혼란스럽다고 생각된다면, 문장 중간까지 읽어주세요. SSL Orchestrator가 서비스 체이닝을 쉽게 만들어주기 때문입니다! Orchestrator의 Visual Policy Editor(VPE)를 사용하면 체인을 아키텍처로 끌어서 놓아서 트래픽 가시성이 활성화되는 방식을 실제로 볼 수 있습니다.
가시성: 더 이상 HTTPS만을 위한 것이 아닙니다
물론, 트래픽 대부분은 HTTPS이지만 대규모 조직이고 키트를 통해 다양한 프로토콜이 흐르는 경우 FTP(S), IMAP, POP3, ICAP도 처리해야 할 수 있습니다. 최근 기회 주의적 암호화 에 대한 관심이 높아지고 있기 때문에 많은 애플리케이션이 해당 서비스에 STARTTLS를 사용하고 있습니다. 여러분은 아마도 "F5가 처리하기에는 너무 발전된 거야"라고 생각할 겁니다. 케니, 당신이 틀렸어요. SSL Orchestrator는 이제 FTP, IMAP, POP3, ICAP 내의 STARTTLS와 같은 기회주의적 암호화를 감지하고 올바르게 해독 할 수 있어요 .
ICAP 최적화
우리가 통합하는 ICAP 서비스의 대부분은 바이러스 백신(AV)입니다. AV는 당연히 상당한 지연 시간을 추가할 수 있으므로 SSL Orchestrator는 몇 가지 조정 사항을 추가했습니다. 이제 ICAP을 통해 특정 유형의 요청/응답 만 전송하는 정책을 만들 수 있습니다. 일반적인 예 중 하나는 POST 요청만 스캔하고 나머지 페이로드는 우회하는 것입니다. 이것이 권장되는 방법이라고 말하는 것은 아니지만, 사람들이 원하는 것이기에 우리는 그것을 제공했습니다.
그 모든 것과 칩 한 봉지
SSL Orchestrator 버전 4.0에 담긴 맛있는 맛에 대해 자세히 알고 싶다면 여기에 요점이 나와 있습니다(그리고 자세한 정보에 대한 링크는 아래에 있습니다).
버전 4.0의 새로운 기능
- 리소스 프로비저닝 기능이 있는 업데이트된 설정 유틸리티
- 모든 트래픽에 대한 맬웨어 및 데이터 유출 검사
- 전체 보안 인프라를 통합할 수 있는 유연한 배포 모드
- 분석 및 향상된 로깅 설정 및 범주
- 특정 트래픽(IMAP, SMTPS, POP3, FTP, HTTP)에 대한 L7 애플리케이션 설정
- 동급 최고의 부하 분산, 상태 모니터링 및 SSL 오프로드 기능을 갖춘 고가용성
그리고 마지막으로, 이것을 기억하세요: 내일의 위협에 대비해 인바운드 및 아웃바운드 트래픽을 스캔해야 하며, SSL Orchestrator는 보안 제어를 통해 조직의 이름이 (비유적인) 서류에 남지 않고 귀찮은 GDPR 벌금에서 벗어날 수 있도록 해주는 도구입니다.