솔루션 개요
F5 BIG-IP APM ID 인식 프록시(IAP): 제로 트러스트 아키텍처로 가는 관문
가상 사설망 보안
재택근무나 원격근무가 일반화됨에 따라 조직에서는 애플리케이션이나 사용자가 어디에 있든 애플리케이션과 리소스에 대한 안전하고 승인된 액세스를 제공해야 합니다. 많은 조직에서는 원격 사용자가 애플리케이션과 리소스에 액세스하는 것을 보호하기 위해 가상 사설망(VPN)을 사용합니다. 하지만 VPN은 사용자의 안전한 접속을 가능하게 하지만, 동시에 다루기 어려울 수도 있습니다.
사용자가 VPN을 통해 네트워크의 애플리케이션에 액세스한 다음 퍼블릭 클라우드나 SaaS(Software-as-a-Service) 애플리케이션에 액세스하는 경우, 기본 클라우드나 SaaS 앱의 데이터와 코드가 네트워크를 거쳐 사용자에게 전달됩니다. 이로 인해 VPN 내에서 병목 현상이 발생할 수 있습니다. 이로 인해 지연 시간이 늘어나 사용자 경험과 생산성에 부정적인 영향을 미칠 수 있습니다. 게다가 VPN은 해킹될 수도 있습니다 . VPN이 중간자 공격(MitM)의 희생자가 되는 사례가 많이 있었습니다. 특히 사용자가 공공 Wi-Fi를 통해 원격 위치에 있는 리소스와 애플리케이션에 액세스하는 경우 더욱 그렇습니다. 재택 근무자에게도 발생할 수 있는데, 가정용 라우터가 감염되어 MitM 공격 및 데이터 유출이 가능하기 때문입니다. VPN 액세스는 또한 보안을 위해 이제는 구식인 "성과 해자" 접근 방식을 사용합니다. 사용자에게 올바른 자격 증명이 있으면 네트워크 내에서 권한이 부여된 모든 애플리케이션과 리소스에 액세스할 수 있습니다. 이런 종류의 접근은 편리하지만 조직에 치명적일 수 있습니다. 신뢰하고 알려진 사용자조차도 자신도 모르게 의도치 않게 내부 위협이 될 수 있습니다.
공격자는 조직의 VPN 로그인에 대한 자격 증명 채우기 공격을 시작하여 네트워크, 애플리케이션 및 데이터에 액세스할 수 있습니다. 이들은 데이터를 훔치고, 네트워크에 추가 맬웨어를 유포하고, 사용자 계정을 인수하여 BEC(비즈니스 이메일 침해) 공격을 시작할 수 있습니다. 심지어 네트워크 내에서 수평적으로 이동하여 다른 사용자를 감염시키거나 더 많은 데이터를 훔칠 수도 있습니다. 더 나쁜 점은 이들이 네트워크 내에서 상류나 하류로 이동하여 공급망을 공격할 수 있다는 것입니다. 이는 귀하의 조직, 사용자, 심지어 파트너와 공급업체에게도 피해를 줄 수 있습니다.
제로 트러스트 아키텍처의 발전
여러분과 같은 많은 조직이 Zero Trust 아키텍처를 채택하고 있습니다. Zero Trust는 공격자가 이미 네트워크에 침투하여 공격을 시작할 기회만 노리고 숨어 있는 것처럼 보안에 접근하도록 권장합니다. 보안에 대한 Zero Trust 접근 방식은 정의된 네트워크 경계 내의 신뢰할 수 있는 내부자라는 개념을 제거합니다. 수십 년 동안 사용되어 온 "성과 해자" 보안 접근 방식과 달리 보안 네트워크 경계가 제한적이거나 전혀 없다고 가정합니다. 그리고 많은 애플리케이션이 퍼블릭 클라우드로 이전되거나 SaaS 애플리케이션으로 대체되고 , 네트워크 리소스가 클라우드에 있는 애플리케이션에 의해 빼앗기면서, Zero Trust 접근 방식은 그 어느 때보다 더 관련성 있고 적용 가능합니다.
Zero Trust의 명제는 "절대 믿지 말고, 항상 확인하세요"입니다. 사용자가 이미 인증되고, 권한이 부여되고, 애플리케이션과 리소스에 대한 액세스 권한이 부여된 경우에도 절대 사용자를 믿지 마세요. 항상 사용자 신원, 장치 유형 및 무결성, 위치, 액세스가 요청된 애플리케이션 및 리소스 등을 확인하고 자세히 살펴보세요. 사용자가 액세스를 요청할 때뿐만 아니라 애플리케이션이나 리소스에 액세스할 수 있는 전체 시간 동안, 그리고 이후의 모든 액세스 요청 및 시도 시에도 확인합니다. Zero Trust 접근 방식은 사용자 액세스에 최소 권한을 적용하는 것을 의미합니다. 즉, 사용자에게 권한이 부여된 애플리케이션과 리소스에만 액세스를 허용하고 한 번에 하나의 애플리케이션이나 리소스에만 액세스를 제한하는 것입니다.
Zero Trust 아키텍처의 핵심 원칙은 ID와 컨텍스트입니다. 신뢰할 수 있고 검증 가능한 신원 출처를 활용하여 사용자가 주장하는 본인인지 항상 확인하세요. 그리고 적절한 사용자만이 적절한 장소에서 적절한 기기를 사용하여 적절한 시간에 적절한 앱에 안전하게 액세스할 수 있도록 보장합니다.
ID 인식 프록시: 제로 트러스트에 대한 게이트웨이
ID 및 컨텍스트 인식은 IAP(Identity Aware Proxy)를 통해 가능해지고 제공되는 기능입니다. Identity Aware Proxy는 사용자 인증 및 권한 부여에 대한 세분화된 접근 방식을 활용하여 특정 애플리케이션에 대한 안전한 액세스를 제공합니다. IAP는 요청당 애플리케이션 액세스만 허용하는데, 이는 세션 기반 액세스를 적용하는 VPN의 광범위한 액세스 방식과는 매우 다릅니다. 차이점은 사용자 접근 권한을 허가된 특정 애플리케이션이나 리소스에만 제한하는 것과, 허가된 모든 애플리케이션이나 리소스에 접근하도록 허용하는 것의 차이입니다. 권한 부여를 중앙화하면 애플리케이션 수준의 액세스 제어를 생성할 수 있습니다.
IAP에서는 맥락이 매우 중요합니다. 사용자 신원, 장치 무결성, 사용자 위치 등을 비롯한 상황적 속성을 기반으로 세분화된 애플리케이션 액세스 정책을 만들고 시행할 수 있습니다. IAP는 네트워크 계층에서 부과된 규칙이 아닌 애플리케이션 수준의 액세스 제어를 사용합니다. 구성된 정책은 포트와 IP 주소가 아닌 사용자 및 애플리케이션의 의도와 상황을 반영합니다. 마지막으로, IAP는 사용자와 해당 기기를 검증하고 액세스 권한이 있는 항목을 엄격하게 적용하기 위해 신뢰할 수 있는 강력한 신원이 필요합니다.
Identity Aware Proxy란 무엇입니까?
Identity Aware Proxy는 F5 BIG-IP Access Policy Manager(APM)의 주요 기능입니다. BIG-IP APM과 F5 Access Guard는 모든 액세스 요청에 대해 Zero Trust 모델 검증을 사용하여 Identity Aware Proxy를 제공합니다. 특정 애플리케이션에 대한 인증되고 승인된 보안 액세스를 제공하며 F5의 동급 최고 액세스 프록시를 활용합니다. BIG-IP APM은 사용자 신원과 권한을 중앙화합니다. 권한 부여는 최소 권한 액세스 원칙에 따라 이루어집니다. BIG-IP APM은 IAP 접근 방식을 통해 애플리케이션 액세스 요청을 조사, 종료하고 승인할 수 있습니다. Zero Trust에 필요한 상황 인식은 매우 세부적인 권한 부여 정책을 개발하고 시행할 것을 요구합니다. BIG-IP APM은 IAP 지원을 통해 바로 그러한 기능을 제공합니다. BIG-IP APM 내의 정책을 생성하여 사용자 신원을 확인하고, 장치 적합성과 상태를 확인하고, 사용자 권한을 검증할 수 있습니다.
다음과 같은 정책을 생성할 수도 있습니다.
- 애플리케이션 무결성 및 민감도 확인
- 시간 및 날짜 접근성 확인
- 사용자의 위치가 부정확하거나 부적절하거나 안전하지 않다고 간주되는 경우 액세스를 제한하거나 중단합니다.
- 사용자의 위치나 액세스가 요청되는 장치 또는 애플리케이션 또는 파일의 민감한 특성이 이를 보증하는 경우 다중 인증(MFA)을 포함한 추가 인증 형식을 요청합니다.
- 사용자 및 엔터티 동작 분석(UEBA) 및 기타 API 기반 위험 소스의 데이터를 통합합니다.
그림 1 : 가장 안전한 원격 액세스를 허용하려면 신원 및 컨텍스트 검증이 필수적입니다.
장치가 적절하고 안전한지 확인하고 사용자를 인증하고 애플리케이션 액세스가 허가되기 전에 BIG-IP APM은 BIG-IP APM에 포함된 F5 Access Guard를 통해 장치의 보안 상태를 확인합니다. 그러나 BIG-IP APM과 F5 Access Guard는 인증 시 단순히 장치 무결성을 확인하는 데 그치지 않습니다. 대신, 지속적이고 진행 중인 장치 포스처 검사를 제공하여 사용자 장치가 사용자의 애플리케이션 액세스 전반에 걸쳐 엔드포인트 보안 정책을 충족할 뿐만 아니라 지속적으로 준수하는지 확인합니다. 그리고 BIG-IP APM이 장치 무결성의 변화를 감지하면 사용자의 애플리케이션 액세스를 제한하거나 중지하여 공격이 시작되기 전에 잠재적인 공격을 제한하거나 제거할 수 있습니다.
Identity Aware Proxy는 원격 또는 재택 근무자의 애플리케이션 액세스를 간소화하고 조직의 애플리케이션 접근성을 보다 효과적으로 지원하고 보호합니다. VPN 액세스를 통해 사용자는 권한이 있는 모든 애플리케이션이나 리소스에 액세스할 수 있으므로 Zero Trust 모델을 따르지 않습니다. 그러나 Identity Aware Proxy를 사용하면 사용자가 특정 애플리케이션에 직접 액세스를 요청하고 암호화 보호 기능을 사용할 수 있습니다. 이를 통해 VPN에 대한 필요성이 크게 줄어들어 조직의 시간과 비용이 절감되는 동시에 보다 안전한 대안을 제공하게 됩니다.
Zero Trust를 위한 ID 브리지
그러나 진정한 Zero Trust 보안 접근 방식은 사용자에게 권한이 부여된 모든 애플리케이션에 대한 액세스를 보호해야 하며, 여기에는 퍼블릭 클라우드에 기본 제공되지 않거나 SaaS(Software-as-a-Service)로 제공되는 애플리케이션도 포함됩니다. 여기에는 클라우드 기반 ID와 호환되지 않거나 호환되지 않는 기존 또는 맞춤형 애플리케이션(예: IDaaS(Identity-as-a-Service))도 포함되어야 합니다. 이러한 애플리케이션 중 다수는 온프레미스, 데이터 센터 또는 프라이빗 클라우드에 남아 있습니다. 이러한 애플리케이션의 대부분은 Kerberos, 헤더 기반 등과 같은 기존 인증 방법도 지원합니다. 그들은 SAML(Secure Assertion Markup Language), OIDC(OpenID Connect), OAuth와 같은 최신 인증 및 권한 부여 프로토콜을 지원할 수 없습니다. 그들은 ID 연합, SSO(Single Sign-On), 심지어 MFA도 지원할 수 없습니다.
BIG-IP APM은 이런 문제를 해결합니다. BIG-IP APM은 Microsoft(Azure Active Directory), Okta 등을 비롯한 IDaaS 공급자와 긴밀히 협력하여 현대적 인증과 기존 인증 간의 ID 격차를 메웁니다. BIG-IP APM을 사용하면 기존 애플리케이션과 맞춤형 애플리케이션이 ID 페더레이션과 SSO를 지원할 수 있습니다. 이를 통해 사용자 경험이 향상될 뿐만 아니라 액세스 제어를 중앙에서 관리하여 애플리케이션 액세스가 간소화되고, 안전하고 신뢰할 수 있는 ID 출처가 확보됩니다. BIG-IP APM은 모든 애플리케이션에 대해 MFA를 활성화함으로써 모든 애플리케이션을 부적절한 액세스로부터 보호하고 적절한 애플리케이션 액세스를 보장하기 위해 또 다른 보안 계층을 제공합니다. BIG-IP APM은 애플리케이션이 어디에 호스팅되든 사용자 액세스를 관리하고 보호하는 단일 중앙 제어 지점입니다.
그림 2: BIG-IP APM은 애플리케이션이 어디에 호스팅되든 사용자 액세스를 보호하고 관리하는 단일 중앙 제어 지점입니다.
결론
F5 BIG-IP APM은 Identity Aware Proxy를 지원하여 Zero Trust 애플리케이션 액세스 배포를 지원합니다. BIG-IP APM은 위치, 인증 및 권한 부여 방법에 관계없이 모든 애플리케이션에 대한 액세스를 보호하고 관리하면서 요청별 애플리케이션 액세스를 제공합니다. F5의 동의어인 확장성과 안정성을 제공하며 F5의 업계 최고 수준의 풀 프록시 아키텍처를 활용합니다.
Identity Aware Proxy를 탑재한 BIG-IP APM은 인프라 비용을 절감하고, 애플리케이션 보안을 강화하며, 사용자 및 관리자 경험을 향상시킵니다.