보안된 애플리케이션 전달

지난 몇 년 동안 IT 시스템, 나아가 IT 보안 시스템 분야에서는 늘 그렇듯 엄청난 변화가 일어났습니다. 무어의 법칙은 컴퓨팅 능력의 발전을 설명하는 것 외에도 암호화를 위한 더 복잡한 알고리즘을 탄생시켰습니다. 예를 들어 더 많은 정보를 처리할 수 있는 능력 덕분에 10년도 채 안 되는 기간에 SSL 암호화 키 크기가 256비트에서 4Kb로 줄었습니다. 필수적인 컴퓨팅 성능을 이러한 보호에 전담할 수 있다고 가정하면, 과거보다 오늘날의 애플리케이션은 더 잘 보호될 수 있습니다.

안타깝게도 공격의 수와 공격 벡터는 동시에 증가하고 있습니다. 새로운 익스플로잇이 꾸준히 늘어나면서 애플리케이션을 보호하기 위한 견고한 SSL 암호화 환경에 대한 필요성이 그 어느 때보다 커졌습니다. 컴퓨팅 성능과 보안의 발전은 인터넷에서 민감한 데이터를 교환하는 모든 조직에 필요하며, 보호되지 않은 웹 페이지가 보호된 데이터로 가는 관문이 될 수 있기 때문에 인터넷에 접속한 모든 조직에도 필수적입니다.

이제 조직이 분산 서비스 거부(DDoS), 사이드재킹, SSL 중간자 공격 및 재협상 공격에 직면함에 따라 IT 보안팀은 가장 교활한 공격에서도 살아남을 수 있는 적응력을 갖추고 조직의 전체 웹 존재를 포괄하는 보호 조치를 취해야 합니다. 모든 것을 보호해야 하기 때문에 암호화 알고리즘, 특히 타원 곡선 암호화(ECC)의 새로운 발전조차도 업계가 관련 성능 영향을 무시하기에 충분하지 않습니다.

그리고 이 모든 보안은 여전히 네트워크 공간에서 SSL 도입을 가로막는 가장 큰 장애물인 가시성 때문에 어려움을 겪고 있습니다. 조직이 데이터 유출 방지부터 고급 레이어 4에서 레이어 7 라우팅까지, 전송되는 데이터를 조사하는 데는 여러 가지 타당한 이유가 있습니다. 따라서 사용 중인 보안 솔루션은 네트워크에서 입출력되는 데이터에 대한 가시성, 바람직하게는 100% 가시성을 제공할 수 있어야 합니다.

F5는 보안 알고리즘 간 변화에 대한 적응성부터 가시성, 키 관리 및 통합까지 복잡한 문제에 대한 해답을 제공합니다. 공격은 계속해서 진화하고, 정부와 산업계에서는 보안을 강화해야 하며, 직원들은 위험이 커짐에 따라 네트워크와 데이터 접근성을 높여야 합니다. 네트워크 게이트웨이 역할을 하는 전략적 제어 지점이 보안 서비스를 통해 이런 문제를 해결할 수 있습니다. F5® BIG-IP® 플랫폼은 네트워크 지연 시간을 늘리지 않고도 보안을 강화할 수 있는 다양한 솔루션을 제공하며, 별도 제품을 관리하는 것보다 관리에 걸리는 시간을 상당히 단축합니다.

설문 조사에 참여한 회사의 45%가 F5 솔루션을 도입하여 보안 위험을 해결했습니다.

SSL 암호화에 대한 필요성은 계속해서 증가하고 있습니다. 개인 식별 정보(PII)에 대한 접근은 보호되어야 하며, 제한된 정보에 대한 접근도 마찬가지로 보호되어야 합니다. 점점 더 웹사이트와 원격 업로드 위치도 보호해야 할 필요성이 커지고 있습니다. 실제로 많은 조직이 거의 100%에 가까운 연결 암호화를 적용했거나 적용을 고려하고 있습니다. 조직에서는 모든 공격으로부터 보호하기 위해 테스트, QA, 프로덕션 등 모든 환경을 보안하는 방향으로 움직이고 있습니다. 기업들은 진정으로 안전한 환경이 목표라면 모든 데이터, 애플리케이션, 세션 정보를 보호하는 것이 필수적이라는 점을 깨닫기 시작했습니다.

과거에는 애플리케이션, 더 정확히는 신용카드 번호 및 기타 PII와 같은 민감한 데이터 항목만 SSL로 보호되었습니다. 정보, 세션 쿠키, 정적 페이지 등을 담고 있는 웹사이트의 나머지 부분은 그렇지 않았습니다. 하지만 보호되지 않은 페이지는 공격자에게 보호된 페이지를 호스팅하는 시스템에 침입할 수 있는 경로를 제공해주는 장애물이 되었습니다.

조직은 고객 및 기타 민감한 데이터를 보호하기 위해 주의를 기울여야 하며, 법적으로는 공격이 명백히 침투하지 못하도록 충분한 보호를 제공하는 "적절한 주의"를 기울여야 합니다. 따라서 오늘날 많은 조직에서는 상시 SSL 연결로 전환하고 있으며, 일부 조직에서는 내부 또는 외부 모든 연결에 SSL을 적용하고 있습니다.

하지만 암호화에는 비용이 따릅니다. RSA 스타일 암호화는 CPU 사이클과 키 유지 관리 측면에서 비용이 많이 들고, 암호화된 스트림의 내용을 조작하는 것이 사실상 불가능해집니다. 암호화가 존재하는 주된 이유는 바로 이것이지만, 암호화를 구현하는 조직에서는 콘텐츠 필터링에서 부하 분산까지 다양한 이유로 데이터를 수정해야 할 타당한 필요성이 있습니다.

따라서 필요한 것은 다음과 같습니다.

• 암호화를 수행하는 조직이 스트림 및/또는 데이터를 조작할 수 있도록 허용하는 암호화입니다.
• 특히 서버의 CPU 시간을 비롯해 많은 리소스를 소모하지 않는 암호화입니다.
• 네트워크 키 저장소를 활용할 수 있는 암호화.
• 내부 및 외부 트래픽을 구별할 수 있는 암호화.
• 암호 다양성은 광범위한 암호화 알고리즘을 지원하는 능력입니다.

알고리즘 선택, 가시성, 통합 및 관리를 통해 SSL 서비스를 제공할 수 있는 보안 게이트웨이가 필요합니다. 수신 및 송신 트래픽의 암호화를 처리하는 도구는 키 보호를 위해 하드웨어 보안 모듈(HSM)을 활용하고, 서버에서 컴퓨팅 리소스와 관련 운영 비용을 오프로드하고, 수신 및 송신 SSL을 종료하거나 확인할 수 있습니다.

이 이상적인 보안 게이트웨이는 암호화로 서버 CPU에 부담을 주지 않고 클라이언트에 암호화를 제공하며, 필요한 경우 서버에도 암호화를 제공합니다. 여러 키에 대한 별도의 관리가 필요하지 않으며, 게이트웨이 역할을 하는 동안 수신 연결 오프로드와 백엔드에 대한 SSL 연결 생성 사이에 암호화되지 않은 데이터가 필요할 수 있는 다른 서비스를 활용해야 합니다. 이러한 시나리오에서는 백엔드의 소프트웨어에서 절감되는 비용이 빠르게 늘어날 수 있는데, 이는 동일한 수의 연결을 처리하는 데 필요한 서버의 수가 줄어들기 때문입니다.

조직의 요구 사항에 따라 이러한 아키텍처를 구현하는 데에는 다양한 옵션이 있습니다.

이러한 솔루션의 장점은 전략적 통제 지점에 배치된다는 것입니다. 네트워크와 인터넷이 만나는 지점에 위치하는 이상적인 장치는 들어오는 SSL 연결을 종료하고 스트림의 페이로드에서 작업을 수행한 다음 필요한 경우 내부 네트워크의 키를 사용하여 다시 암호화할 수 있습니다. 반대 방향으로 가는 트래픽에도 동일한 것이 가능합니다. 단, 아웃바운드 트래픽에 필요한 보안 조치는 인바운드 트래픽에 필요한 보안 조치와 다릅니다. (사용자가 인증되어야 하고 악성 콘텐츠가 있는지 페이로드를 확인해야 하는 인바운드 시나리오와, 데이터 센터를 떠나는 중요한 데이터가 있는지 아웃바운드 스트림을 확인해야 하는 시나리오를 생각해 보세요.) 이러한 전략적 통제 지점을 통해 조직의 필요에 따라 모두 유효한 세 가지 스타일의 암호화 조작이 가능합니다.

내부 및 외부 트래픽이 모두 암호화되어 있으므로, 제어의 전략적 지점에 있는 장비는 전체 네트워크를 보호하는 동시에 트래픽을 관리하고 콘텐츠를 적응 및 최적화할 수 있습니다.

IT 팀은 클라이언트에서 서버까지 전체 연결에 대해 단일 라운드의 암호화를 유지하는 솔루션을 모색하는 경향이 있으며, 다양한 도구(데이터 유출 방지(DLP), 사전 액세스 인증, 부하 분산 등)를 사용하기 쉽도록 개입하여 데이터 조작을 허용합니다.

SSL 가시성을 입력하세요. 이 시나리오에서 서버와 제어의 전략적 지점에 있는 장치는 SSL 인증서를 공유하여 게이트웨이 장치가 SSL 연결을 통과하는 스트림에 액세스할 수 있도록 허용하며, SSL 연결을 완전히 종료하고 다시 시작할 필요가 없습니다.

문제는, 이 세 번째 시나리오에서 암호화 처리의 부담은 서버에 있다는 것입니다. 이는 과거에는 큰 단점이었을 것이지만 ECC 암호화가 등장하면서 암호화에 필요한 CPU 사이클이 크게 줄어들었고 키를 저장하는 데 필요한 공간도 줄었습니다. 이는 ECC 알고리즘의 기능으로, 훨씬 더 작은 키로 동일한 수준의 보안을 제공할 수 있으므로 클라이언트의 처리 비용이 크게 절감됩니다. (과거에는 많은 사람이 "클라이언트가 문제가 아니다"라고 말했지만, 오늘날 우리는 전례 없는 수의 모바일 클라이언트에 직면해 있으며, CPU 사용량은 배터리 수명을 소모하는 요소 중 하나입니다. 그러니 이제는 모두가 고객에 관심을 가져야 합니다.)

세 가지 공개 키 암호화 시스템은 모두 안전하고 효율적이며 상업적으로 실행 가능하지만, 기반으로 하는 수학적 문제의 종류가 다릅니다. 이는 공격자가 자주 사용하는 무차별 대입 공격에 대한 취약성에 영향을 미칠 뿐만 아니라, 특정 수준의 보안을 제공하기 위해 알고리즘에서 생성하는 키 크기에도 차이가 생길 수 있습니다. 미국 국립표준기술원(NIST)은 필요한 보안 수준에 따라 각각의 최소 키 크기에 대한 지침을 제공합니다. 물론 조직에 암호화된 생물다양성이 있는 경우 선택할 수 있는 암호화 알고리즘이 여러 개 있습니다. 즉, 최대 2KB 길이의 RSA 키에 대한 실행 가능한 해킹이 내일 나온다면 서버에서 사용하는 알고리즘을 간단히 변경하고 밤에 잠을 잘 수 있을 것입니다.

하지만 ECC는 동일한 키 길이에서 더 안전합니다. 실제로 대부분의 경우 ECC는 매우 짧은 키로도 현대 알고리즘이 매우 긴 키로 제공하는 기능을 수행할 수 있습니다. 이러한 효율성은 ECC 알고리즘(여러 개가 있음) 내부에서 사용되는 수학의 함수입니다. ECC는 암호화를 위한 CPU 오버헤드를 줄이는 동시에 더 작은 키 크기를 사용하여 보안을 유지하거나 향상시킨다는 아이디어로, 안전한 클라이언트-서버 통신을 가능하게 하는 강력한 새로운 도구입니다.

F5 플랫폼은 이 중요한 새로운 도구를 활용합니다. 현재 BIG-IP 장치는 서명을 위한 DSA와 암호화를 위한 ECC를 제공합니다. 이는 F5가 항상 지원해 온 RSA, AES, 3DES 알고리즘에 더해진 것입니다.

ECC가 암호화의 CPU 비용을 해결하는 데 도움이 되면서 암호화가 전통적으로 어려움을 겪어 온 또 다른 큰 문제인 가시성이 남게 됩니다. 모든 것이 암호화되어 있다면, 데이터 유출 방지(DLP) 및 외부 인증을 위한 장치는 암호화되지 않은 콘텐츠에 어떻게 접근할 수 있습니까?

네트워크 HSM 도구를 소개합니다. HSM 솔루션은 점점 보편화되고 있지만 일반적으로 자격 증명을 저장하는 데만 사용됩니다. 하지만 올바른 연결과 활용이 이루어지면 유용한 기술이 될 수도 있습니다. 네트워크 가장자리에 있는 매우 유연한 장치와 네트워크 중심에 있는 서버 간에 인증서를 공유하면, 가장자리에 있는 장치에서 스트림을 종료하지 않고도 암호화되지 않은 트래픽을 볼 수 있습니다. 게이트웨이 장치는 대칭 키, 비대칭 개인 키(디지털 서명 포함) 등을 저장하여 중요한 정보를 보호하고 이를 네트워크 전체에서 사용할 수 있도록 합니다. 이를 통해 예를 들어 LDAP 장치에 로그인 정보를 보내고, 바이러스 검사 프로그램을 통해 들어오는 스트림을 보내고, DLP 장치를 통해 나가는 데이터를 보낼 수 있습니다.

F5가 지원하는 하드웨어 보안 모듈은 변조 증거와 NIST 140-2 레벨 3 지원을 갖춘 강화된 장치입니다. 네트워크의 전략적 제어 지점에 보안 게이트웨이로 배치함으로써 조직은 효율적인 SSL 서비스뿐만 아니라 암호화된 데이터에 대한 가시성도 확보할 수 있습니다. 그 결과, 종료 및 양방향 프록시의 모든 기능을 갖추면서도 보안이 강화된 완전한 시스템이 탄생했습니다.

이런 전략적 통제 지점을 통해 얻을 수 있는 가능성은 엄청납니다. F5® iRules® 스크립팅 언어를 사용하면 조직은 민감한 정보를 데이터 센터 내부에 보관할 수 있습니다. 예를 들어, F5® DevCentral™에서 공유되는 커뮤니티에서 관리하는 iRule을 사용하면 대부분의 신용카드 정보를 포착하여 건물 밖으로 나갈 때 삭제할 수 있습니다.

또 다른 예로, IPv6 게이트웨이 기능이나 SPDY 변환 기능을 F5 장치에 구현할 수 있습니다.

이러한 옵션 중 대부분은 일반 SSL 환경에서는 불가능합니다. 그러나 들어오는 연결에 액세스하면 BIG-IP 장치는 데이터 스트림의 페이로드에도 액세스하여 스트림뿐만 아니라 해당 데이터에 대해 지능적으로 조치를 취할 수 있습니다. 그리고 장치가 연결을 종료할 필요가 없기 때문에 두 개의 별도 SSL 연결을 유지해야 하는 경우보다 성능이 크게 저하되지 않습니다.

BIG-IP 장치는 보안 페이지에 대한 요청을 인증으로 전달하여 사용자가 성공적으로 로그인하고 인증 서버가 사용자에게 해당 페이지에 대한 권한이 있는지 확인한 후에만 페이지를 반환합니다. 여기서 핵심은 인증, 권한 부여, 계정 관리(AAA)가 이루어지고 있으며, 실패 시 사용자는 핵심 네트워크에서 제거된 페이지로 리디렉션될 수 있다는 것입니다. 즉, 승인되지 않은 사용자는 BIG-IP 장치를 통과해 내부 네트워크로 진입할 수 없고, 유효한 사용자로 위장한 공격자가 중요한 시스템에 접근해 악용을 시도할 수 없습니다. 내부 네트워크에 들어가기 전에 차단되고 인증되기 때문에 그들의 연결은 그렇게 멀리 가지 않습니다. DDoS 시나리오에서 공격 연결을 격리된 네트워크로 리디렉션할 수 있는 고성능 장치는 공개된 네트워크를 실제 사용자가 계속 사용할 수 있도록 유지하여 DDoS 공격의 의도를 좌절시킵니다.

대개 키 보호는 대규모 암호화 방법으로 인해 발생하는 가장 큰 문제입니다. 인증서를 최신 상태로 유지하고, 각 장치에 어떤 인증서가 있는지 관리하고, 인증서를 한 기계에서 다른 기계로 옮길 수 있는 시점을 결정해야 하는 필요성(특히 가상화된 환경에서)은 배포되는 인증서 수를 제한하고 아키텍처 결정에도 영향을 미칠 수 있습니다.

FIPS 140-2 레벨 2 지원이 필요한 조직의 경우 많은 BIG-IP 장치 모델에 이 지원 기능을 추가할 수 있습니다. FIPS 140-2 지원이 필요하지 않지만 키와 인증서 암호문구와 같은 정보를 보호하려는 조직은 내장된 Secure Vault 기술을 사용하여 이를 해결할 수 있습니다.

BIG-IP 장치는 HSM으로 작동하거나 네트워크에 이미 있는 HSM을 활용할 수도 있습니다. HSM은 인증서를 안전하게 저장하므로 이를 활용하면 키 사용 및 만료를 관리하는 단일 참조 지점을 제공하고, 인증서 관리를 간소화하며 IT 직원이 다른 중요한 비즈니스 기능을 처리하는 데 집중할 수 있게 됩니다.

모든 BIG-IP 플랫폼에는 비용의 일부로 라이선스된 최대 암호화 처리량이 제공되지만, 이 F5 보안 솔루션의 또 다른 높은 가치의 장점은 추가 기능을 추가하거나 켤 수 있는 기능입니다. 내장된 DDoS 보호 기능은 공격 중에도 웹사이트를 온라인 상태로 유지하고 보안을 강화하며, 다양한 보안 및 성능 모듈을 추가할 수 있는 기능은 IT가 조직의 애플리케이션 제공 요구 사항을 충족하기 위해 여러 대의 장치가 아닌 하나의 장치만 관리하면 된다는 것을 의미합니다. 단일 처리 지점, 즉 전략적 제어 지점을 통해 관리가 간소화되고 대응 시간이 빨라집니다.