AWS에서 F5의 또 다른 혁신의 한 해를 돌아보며

지난주 라스베이거스에서 역대 최대 규모의 AWS re:Invent 컨퍼런스가 개최되었으며, 50,000명이 넘는 참석자가 클라우드 거대 기업의 최신 최고의 플랫폼 개발에 대해 알아보고자 했습니다. 먼지가 가라앉고 네바다의 숙취가 가시면 AWS에서 F5가 겪은 또 다른 역동적이고 생산적인 한 해를 되돌아볼 때보다 더 좋은 때가 있을까요? 그러니 편히 쉬고, 발을 올려놓고, AWS에서 F5가 지난 1년 동안 이룬 가장 주목할 만한 발전 사항을 자세히 살펴보겠습니다. 여기에는 다음이 포함됩니다.

1. AWS Marketplace에서 BIG-IP Cloud Edition 이용 가능
2. AWS Marketplace에서 F5 Advanced WAF 이용 가능
3. F5 클라우드 서비스 조기 액세스
4. 보안 허브와 통합
5. AWS Transit Gateway 지원
6. CloudFormation 템플릿 진행 상황 및 AWS QuickStart
7. AWS Intelligence Community(IC) Marketplace에서의 가용성
8. AWS WAF용 F5 관리 규칙

1) AWS Marketplace에서 BIG-IP Cloud Edition 이용 가능

간단히 말해, AWS의 BIG-IP Cloud Edition은 F5의 동종 최고 수준의 가상 앱별 애플리케이션 서비스와 BIG-IQ의 대폭 향상된 중앙 관리 기능을 결합했습니다. 애플리케이션 포트폴리오가 계속 성장하고 자동화와 민첩성에 대한 필요성이 더욱 커짐에 따라 전담 및 적정 규모의 애플리케이션 서비스를 심층적이고 통찰력 있는 분석, 앱 팀 셀프 서비스, 자동 확장과 결합하는 것보다 더 나은 방법이 있을까요? 맞나요?

기본적으로 BIG-IP Cloud Edition은 업계를 선도하는 앱 서비스와 개발 민첩성 중 하나를 선택해야 한다는 이제는 틀렸던 이야기를 재구성합니다. BIG-IP Cloud Edition을 사용하면 두 가지 모두를 선택하여 디지털 혁신에 따른 IT의 점차 커지는 압력에 대처할 수 있습니다. F5 고객은 이제 AWS 환경 내에서 BIG-IP Cloud Edition을 시험해 보고 배포할 수 있습니다.

BIG-IP Cloud Edition 솔루션 가이드를 확인하거나 AWS Marketplace의 제품 페이지를 방문하세요.

2) AWS Marketplace에서 F5 Advanced WAF 이용 가능

현재 진행 중인 퍼블릭 클라우드 사가의 이 시점에서 대부분의 사람들은 공유 보안 모델이라는 개념에 익숙합니다. 즉, 클라우드 제공자는 기반 클라우드 인프라의 보안에 대한 책임을 지고, 앱과 데이터를 보호할 책임은 사용자에게 있습니다.

동시에 사이버 범죄자들은 끊임없이 공격 방법을 발전시키고 취약점을 악용해 앱에 액세스하고 영향을 미칠 수 있는 새로운 방법을 찾고 있습니다. 수년 동안 보안 전문가를 괴롭혀 온 보다 일반적인 공격 벡터(XSS, 주입 등)를 넘어, 최근에는 맬웨어 및 봇 관련 공격부터 리소스를 마비시키는 DoS 공격까지, 앱을 위협하는 데 더욱 혁신적이고 정교한 메커니즘이 사용되고 있습니다. 퍼블릭 클라우드 앱을 보호할 때 시장에서 가장 진보된 애플리케이션 보안 솔루션을 구현하는 것은 사치가 아닌 필수가 되는 것은 바로 이러한 고급 위협 때문입니다.

이후 F5는 업계에서 가장 포괄적인 WAF 솔루션인 Advanced WAF 를 AWS에서 출시하여 가장 복잡한 공격으로부터 워크로드를 보호합니다. 고급 WAF의 기능에는 레이어 7 동작 DoS 탐지 및 완화, 자격 증명 보호, 사전적 봇 방어가 포함됩니다.

자세한 내용은 Advanced WAF 웹페이지를 방문하거나 AWS Marketplace를 확인하세요.

3) F5 클라우드 서비스 조기 액세스

re:Invent에서 우리는 AWS SaaS 팩토리를 기반으로 구축된 혁신적인 새로운 서비스 제공 플랫폼 기능을 발표하게 되어 매우 기뻤습니다. F5 클라우드 서비스는 처음에는 조기 액세스 미리보기 이며, 관심 있는 당사자는 다음 F5 클라우드 서비스의 미리보기에 대한 무료 및 즉시 평가판 액세스를 받을 수 있습니다.

• DNS – 내장된 DNS 대상 DDoS 보호 기능을 갖춘 전 세계적으로 분산된 권한 있는 DNS 서비스입니다.
• GSLB – F5 글로벌 서버 로드 밸런싱(GSLB) 서비스는 클라우드 및 하이브리드 기반 애플리케이션 배포를 위한 지능형 로드 밸런싱을 제공합니다.

F5 클라우드 서비스 공지사항을 확인하고 여기에서 조기 액세스 미리보기에 등록하세요.

4) AWS Security Hub와 통합

Andy Jassy의 re:Invent 기조연설에서 AWS가 새로운 Security Hub 서비스를 공개했을 때, 여러분 중 눈이 예리한 시청자라면 화면에 익숙한 커다랗고 빨간 공이 보였을 것입니다. 흥미로운 점은 F5가 실제로 이 새로운 툴의 출시 파트너였으며, 이를 통해 고객은 이 중앙 보고 콘솔을 사용하여 Advanced WAF와 BIG-IP ASM Virtual Edition을 통합할 수 있게 되었다는 것입니다. 이를 통해 보안 팀은 차단된 트래픽에서 미리 정의된 알림 정보(공격 유형, 출처 등)를 AWS Security Hub로 전송하여 추가 검토를 진행할 수 있습니다. 또한 AWS Security Hub는 자동화된 규정 준수 검사를 통해 F5 WAF 구성을 평가하여 업계 요구 사항을 준수하는지 확인할 수 있습니다.

F5와 Security Hub의 통합에 대해 자세히 알아보려면 이 문서 를 살펴보세요.

5) AWS Transit Gateway 지원

AWS Transit Gateway(TGW)는 다음에서 공개된 또 다른 서비스입니다. Invent와 F5는 다시 출시 파트너가 되었습니다. 기본적으로 TGW는 서로 다른 네트워크가 서로 연결되는 방식을 개선하기 위해 고안된 새로운 중앙 집중형 라우팅 구조입니다. VPC 피어링과 같은 이전 AWS 라우팅 구성도 비슷한 결과를 제공했지만 분산화되어 있고 제한적이었습니다.

F5 고객에게 이 기능을 활용해 다양한 이점을 제공할 수 있다는 점을 고려하면 AWS보다 이에 대해 더 기대하게 될지도 모릅니다. 이에 대한 한 가지 예로는 AWS 환경 전반에서 트래픽의 완전한 정리를 시행하기 위해 TGW를 사용하는 것이 있습니다. 이는 F5 Advanced WAF 인스턴스로 채워진 전용 보안 VPC를 생성한 다음 TGW 규칙을 구성하여 모든 인바운드 트래픽을 이 VPC를 통해 라우팅하면 달성할 수 있습니다. 따라서 이 VPC를 떠난 모든 트래픽은 악성 트래픽이 제거되어 TGW에서 합법적인 트래픽만 다른 AWS 지역 및 VPC로 라우팅되도록 합니다.

이 DevCentral 문서 에서 이 사례와 다른 TGW 사용 사례에 대해 자세히 알아보세요.

6) CloudFormation 템플릿 진행 상황 및 AWS QuickStart

최근 몇 년 동안 F5 엔지니어로 구성된 뛰어난 팀은 F5의 CloudFormation Templates(CFT) 포트폴리오를 열렬히 구축해 왔습니다. CFT에 대해 잘 모르는 분들을 위해 설명드리자면, CFT는 AWS에서 리소스를 배포하는 간단하고 자동화된 방식을 제공하는 일종의 인프라스트럭처 코드입니다. 이러한 템플릿을 활용하면 사용자는 몇 분 만에 다양하고 복잡한 아키텍처에 Virtual Editions를 배포할 수 있습니다.

지난 12개월 동안 GitHub의 F5 CloudFormation Repository 에 대한 주요 개발 사항은 다음과 같습니다.

• 하이브리드 자동 확장 BIG-IP VE 템플릿 – BYOL VE 인스턴스를 배포하고 트래픽이 증가함에 따라 자동 확장 이벤트가 트리거되어 추가 PAYG VE 인스턴스가 프로비저닝됩니다.
• BIG-IP DNS를 통한 자동 확장 – AWS ELB를 1차 로드 밸런서로 사용하는 대신 BIG-IP DNS를 사용하여 자동 확장 BIG-IP VE 계층 간에 트래픽을 분산합니다.
• BIG-IQ 라이선스 관리자 VE 템플릿 – BIG-IQ LM 인스턴스의 독립 실행형 또는 클러스터 배포를 활성화합니다.

F5는 새로운 CFT를 개발하는 것 외에도 기존 Auto Scale LTM CFT를 AWS QuickStart 에 통합하는 작업도 활발히 진행 중이며, 이를 통해 프로덕션 또는 샌드박스 환경을 더욱 쉽게 구축할 수 있게 되었습니다.

이 새로운 QuickStart에 대한 정보는 여기에서 확인할 수 있으며, F5의 CFT에 대한 추가 세부 정보는 여기에서 확인할 수 있습니다.

7) AWS Intelligence Community(IC) Marketplace에서의 가용성 

AWS C2S 또는 Commercial Cloud Services라고도 알려진 이 서비스는 미국에 AWS 클라우드의 기밀 영역을 제공하는 정부 프로그램 및 계약 수단입니다. 정보 커뮤니티(IC). 이를 통해 최고 기밀의 정부 업무가 AWS 인프라에서 안전하게 실행되고 모든 필수 IC 규정 준수 요구 사항을 충족하면서 AWS 서비스를 활용할 수 있게 되었습니다. C2S 고객의 효율성을 높이고 조달 주기를 단축하기 위해 AWS는 모든 솔루션이 사전에 검토되어 IC 고객이 사용할 수 있도록 승인된 버전의 마켓플레이스를 출시했습니다.

AWS와 수개월간의 협업 끝에 F5의 BIG-IP Virtual Edition이 이 마켓플레이스에 추가 되었습니다. 이를 통해 IC 고객은 온프레미스에서 구성했던 것과 동일한 트래픽 관리 및 보안 서비스를 AWS 클라우드에서 원활하게 구현할 수 있게 되었습니다.

8) AWS WAF용 F5 관리 규칙

모든 애플리케이션이 동일하게 만들어진 것은 아니라는 것은 비밀이 아닙니다. 각 애플리케이션은 비즈니스 목적, 배포 위치, 사용자 데이터의 민감성 또는 중요성, 규제 요구 사항을 포함한 여러 요소에 따라 크게 달라집니다. 결국 이는 보안 요구 사항이 작업 부하에 따라 다르다는 것을 의미합니다. 예를 들어, 중요한 데이터를 담고 있는 미션 크리티컬 앱은 사이버 위협으로부터 고급 보호가 필요할 가능성이 더 높은 반면, 기본적이고 중요하지 않은 애플리케이션은 엔터프라이즈급 WAF의 모든 고급 기능이 필요하지 않을 가능성이 높습니다. 이런 경우 AWS의 WAF와 같은 보다 기본적인 방화벽이 충분할 수 있습니다.

이러한 덜 중요한 워크로드의 경우 F5는 AWS의 기본 WAF 위에 구현하여 추가 보호 요소를 제공할 수 있는 일련의 규칙 세트를 개발했습니다. 각각 특정 위협 유형으로부터 보호하는 세 가지 규칙이 있습니다.

• 봇 보호 – 취약점 스캐너, 웹 스크래퍼, DDoS 도구와 같은 악의적인 봇 활동을 방지합니다.
• CVE 취약점 – Apache, Bash, Java, MySQL, Ruby On Rails, WordPress 등의 시스템을 타겟으로 하는 일반적인 취약점 및 노출(CVE)로부터 보호합니다.
• 웹 악용 – XSS, SQL 주입, 경로 탐색을 포함한 OWASP 상위 10대 위협으로부터 보호합니다.

자세한 내용은 이 기사를 살펴보시거나 AWS Marketplace를 방문하세요.

여기서 다룬 내용이나 AWS의 F5 에 대해 궁금한 사항이 있으면 언제든지 문의해 주세요 . F5는 내년에 AWS를 위해 다양한 제품 개발을 계획하고 있으며, 이는 고객의 클라우드 여정에 계속해서 도움이 될 것입니다. 계속 지켜봐 주시기 바랍니다!