네트워크 토폴로지 전반에 걸쳐 SSL Orchestrator와 Cisco Web Security Appliance 구조화
클라이언트(컴퓨터, 태블릿, 휴대전화 등)와 서버 간에 이동하는 데이터는 주로 SSL(Secure Sockets Layer)이나 보다 현대적이고 보안성이 높은 TLS(Transport Layer Security)를 사용하여 암호화됩니다. (참조로 F5 Labs의 2019 TLS 원격 측정 보고서 요약을 참조하세요.) 오늘날 암호화가 널리 보급되면서 트래픽을 해독하지 않는 한 보안 검사에서는 위협이 숨겨지고 보이지 않게 됩니다.
Cisco Web Security Appliance(WSA)와 같이 보안 기능을 수행하는 다양한 장치에서 데이터를 암호화하고 복호화하면 오버헤드와 지연 시간이 증가할 가능성이 있습니다. SSL 가시성 문제와 보안 스택의 분산된 특성으로 인해 기업은 지속 가능한 포괄적 보안 전략을 설계하는 데 어려움을 겪고 있습니다.
이 시스템 참조 아키텍처는 네트워크 토폴로지에서 SSL Orchestrator와 Cisco WSA 제품을 구성하는 다양한 방법을 다룹니다. 또한 가시성, 개인 정보 보호 및 규정 준수 과제를 해결합니다.
F5 SSL Orchestrator는 IT 인프라와 인터넷 사이에 위치하여 검사에 사용할 수 있는 암호 해독 영역을 만듭니다. 복호화 영역 내에서 Cisco FTD와 같은 보안 장치는 데이터에 액세스하여 맬웨어와 같은 숨겨진 위협을 탐지하고 완화할 수 있습니다.
F5의 고급 SSL/TLS 복호화 기술, 강력한 암호화 지원, 유연한 아키텍처는 리소스 사용을 최적화하고, 지연 시간을 제거하고, 보안 검사 인프라에 복원력을 추가하는 데 도움이 됩니다. 모든 통신이 SSL Orchestrator를 통해 이루어지므로 운영상의 위험(성능, 가용성, 보안)을 해결하는 정책이 시행되는 전략적 제어 지점 역할도 합니다.
SSL Orchestrator는 인터넷 사용자에서 웹 애플리케이션으로의 인바운드와 기업 사용자에서 인터넷으로의 아웃바운드 SSL/TLS 트래픽 모두에 대한 고성능 복호화를 제공합니다. 그림 1에서 볼 수 있듯이, 아웃바운드 트래픽은 복호화되어 검사 및 탐지를 위해 Cisco WSA 시스템으로 전송됩니다.
그림 1 : 아웃바운드 트래픽이 해독되어 Cisco WSA로 전송됩니다.
다양한 환경에는 다양한 아키텍처가 필요합니다. SSL Orchestrator는 다양한 아키텍처 요구 사항을 충족하기 위해 여러 가지 폼 팩터와 크기로 제공됩니다.
폼 팩터 |
용량 옵션 |
F5 SSL Orchestrator iSeries 플랫폼 |
고성능 SSL Orchestrator iSeries 하드웨어는 1GB, 5GB, 10GB, 20GB 복호화 처리량을 제공하도록 최적화되었으며 지역 및 중앙 기업 사이트에 이상적입니다. |
F5® BIG-IP® 가상 에디션 |
고성능 SSL Orchestrator 가상 에디션을 사용하면 SSL 복호화 아키텍처를 강화하여 소규모 사무실 사이트도 포함할 수 있습니다. |
F5® VIPRION® 플랫폼(섀시) |
하이엔드 VIPRION 플랫폼은 100GB가 넘는 복호화 처리량을 제공하므로, 끊임없이 증가하는 네트워크 트래픽 양을 집계하고 관리할 수 있습니다. 모듈식 설계와 클러스터링 기능을 통해 VIPRION은 네트워크 요구 사항의 변화에 따라 쉽게 확장할 수 있습니다. |
일반적인 보안 스택은 차세대 방화벽(NGFW), 침입 탐지 또는 방지 시스템(IDS/IPS), 데이터 손실 방지, 맬웨어 분석 도구 등 여러 시스템으로 구성되는 경우가 많습니다. 이러한 모든 시스템은 검사를 위해 복호화된 데이터에 액세스해야 합니다.
SSL Orchestrator는 기존 보안 아키텍처와 쉽게 통합되고 보안 스택의 여러 검사 장치에서 SSL/TLS 암호 해독을 중앙화합니다. "한 번 복호화하고 여러 검사 장치로 전송" 설계는 모든 보안 장치가 복호화를 수행하는 경우 발생할 수 있는 지연, 복잡성 및 위험 문제를 해결합니다. 컨텍스트 엔진을 사용하면 다양한 트래픽 흐름에 대해 여러 개의 서비스 체인을 생성할 수도 있습니다.
그림 2: 한 번 해독하면 동적 서비스 체이닝을 사용하여 여러 검사 장치 설계로 전환할 수 있습니다.
SSL Orchestrator의 컨텍스트 엔진은 분류 기준, URL 범주, IP 평판 및 흐름 정보를 사용하여 내린 정책 결정에 따라 트래픽을 지능적으로 조정할 수 있는 기능을 제공합니다. 컨텍스트 엔진을 사용하면 법률 또는 개인정보 보호 목적으로 금융, 정부 서비스, 의료 등과 같은 애플리케이션과 웹사이트에 대한 암호 해독을 우회할 수도 있습니다.
그림 3: 서비스 체이닝과 정책 기반 트래픽 조정을 제공하는 컨텍스트 엔진입니다.
SSL Orchestrator는 액티브-스탠바이 HA 아키텍처를 지원합니다. 즉, 한 시스템은 트래픽을 액티브하게 처리하는 동안 다른 시스템은 필요할 때까지 대기 모드를 유지합니다. 목표는 가동 중지 시간을 줄이고 단일 실패 지점을 제거하는 것입니다. 시스템은 구성 및 사용자 연결 정보를 자동으로 동기화합니다.
F5 SSL Orchestrator는 2계층 또는 3계층 모드에서 인라인으로 배포되며 명시적 포워드 프록시 또는 투명 포워드 프록시로 구성할 수 있습니다. Cisco WSA는 SSL Orchestrator 서비스 체인 내부에 명시적 포워드 프록시 또는 투명 포워드 프록시로 배포될 수 있습니다. 또한 두 모드 모두에서 SSL Orchestrator에 대한 업스트림 프록시로 배포되어 검사를 위해 복호화된 트래픽을 수신할 수 있습니다.
그림 4: F5 SSL Orchestrator가 지원하는 Cisco WSA 배포 토폴로지입니다.
그림 5는 SSL Orchestrator가 엔터프라이즈 아키텍처에 통합되어 검사 인프라 전반의 아웃바운드 트래픽 복호화를 중앙화하는 방식을 보여줍니다.
그림 5: F5 SSL 오케스트레이션을 엔터프라이즈 네트워크 아키텍처에 통합합니다.
아래 그림 6에서 볼 수 있듯이 SSL Orchestrator는 IEEE 802.1q VLAN 태그 프로토콜을 사용하여 링크 집계를 지원하여 장애 내구성을 높여 링크 중복성을 제공합니다.
그림 6: 포트 중복성을 위한 링크 집계.
SSL과 그 후속인 TLS는 인터넷의 IP 통신을 보호하기 위해 점점 더 널리 사용되고 있습니다. 이는 좋을 수도 있고 나쁠 수도 있다. 좋습니다. 모든 의사소통은 엿보는 눈으로부터 차단되니까요. 하지만 공격자가 암호화된 트래픽 내부에 맬웨어를 숨길 수 있으므로 잠재적으로 나쁠 수 있습니다. 암호화된 트래픽이 단순히 통과된다면 보안 시스템은 이를 가로챌 수 없습니다. 그러면 보안 기능을 여러 계층으로 구성하는 심층 방어 전략 전체가 무너지게 됩니다.
Cisco WSA와 같은 고급 위협 보호 시스템을 갖춘 F5 SSL Orchestrator는 기업 경계 내에서 SSL/TLS 복호화를 중앙화하여 이러한 SSL/TSL 과제를 해결할 수 있습니다. 복호화된 트래픽을 전체 보안 스택을 통해 조정하여 검사를 실시하고, 이를 통해 제로데이 익스플로잇을 식별하고 차단할 수 있습니다. 이 솔루션을 사용하면 맬웨어 보호 및 차세대 방화벽에 대한 기존 보안 서비스 투자를 극대화할 수 있습니다.
F5(나스닥: FFIV)는 세계 최대 규모의 기업, 서비스 제공업체, 정부 및 소비자 브랜드에 모든 앱을 어디서나 안전하게 전송할 수 있는 자유를 제공합니다. F5는 조직이 속도와 제어력을 희생하지 않고도 원하는 인프라를 도입할 수 있도록 하는 클라우드 및 보안 애플리케이션 서비스를 제공합니다. 자세한 내용은 f5.com에서 확인하세요. F5, 파트너 및 기술에 대한 자세한 정보를 알아보려면 Twitter에서 @f5networks를 팔로우하거나 LinkedIn 과 Facebook 에서 당사를 방문하세요.
