블로그

현대 환경을 위한 현대 보안

F5 썸네일
F5
2021년 11월 29일 게시


예전에는 엔터프라이즈 아키텍처가 물리적이고 단일적이었으며, 한곳에 편리하게 위치하여 쉽게 관리하고 보안을 유지할 수 있었습니다.

이제 상황은 역전되었습니다. 디지털화의 급속한 확산으로 인해 기업은 전례 없는 속도로 움직여야 합니다. 애자일 방법론과 DevOps 관행을 도입한 조직은 기존의 모놀리식 애플리케이션을 마이크로서비스 아키텍처로 분해하고, 일상적인 작업을 자동화하고, 컨테이너 관리를 위해 Kubernetes(k8s)를 도입하고, 애자일 서비스 제공을 위해 퍼블릭 클라우드로 전환하여 환경, 애플리케이션 스택, 배포를 현대화할 수 있었습니다.

이로 인해 기업과 최종 사용자의 편의성이 크게 향상되었지만, 심각한 보안 문제가 나타났습니다.

이러한 변화의 속도 속에서 보안 분야는 대체로 뒤처졌습니다. 많은 경우, DevOps는 보안 입력 없이 구현 및 배포되었으며, 이로 인해 IT 부서는 문제가 발생할 때마다 패치를 적용해야 했고, 일부 중요하고 공개적인 사례에서는 문제가 발생한 후에 패치를 적용해야 했습니다.

그렇다면 사용자 불편을 초래하지 않으면서 보안 기술자의 부담을 덜어주고 침해를 방지하는 가장 좋은 방법은 무엇일까요?

중앙 집중식 보안에서 벗어나기

여러 면에서 가상화된 환경으로 분산화할 때 필요한 보안 요구 사항은 조직을 놀라게 했습니다.  우리는 기존의 중앙 집중형 보안 제어에서 벗어나면서, 현재 우리가 사용하는 분산형 제어로는 더 이상 충분하지 않습니다.

중앙 집중화된 환경은 잘 알려져 있고 정량화되어 있었기 때문에 보안 제어, 운영, 보고 및 알림의 균일성을 달성하는 것이 비교적 쉬웠습니다. 막대한 투자, 축적된 지적 재산권, 높은 변화 비용으로 인해 채택된 기술이 변경되는 빈도가 낮았습니다.

여러 가지 새로운 환경을 지원하면서 성숙도 및 역량 부족, 분산된 클라우드 환경, 기술 혼합, 불분명한 운영, 가시성 저하, 어려운 보고, 낮은 성숙도 등 많은 과제와 고려 사항이 발생했습니다.

이러한 과제에 대응하여 퍼블릭 클라우드 공급업체는 모든 테넌트 간 트래픽을 제어하는 중앙 지점인 트랜짓 게이트웨이를 제공했습니다.

클라우드, 테넌트, 데이터 센터에 분산된 애플리케이션이 있는 현대 환경에서는 개별 앱 내에 보안을 두는 것이 매우 합리적입니다. 이를 통해 보안이 내재적으로 보장됩니다. 즉, 잊히거나 제거되거나 우회될 수 없습니다. 이는 보안이 필요할 때 필요한 위치에 적용되며 애플리케이션 폐기 단계에서 제거된다는 것을 의미합니다.

이 모델은 또한 모든 수명 주기 단계와 모든 환경에서 보안을 '왼쪽으로 이동'할 수 있는 기회를 제공합니다. 즉, 보안 제어는 배포 및 실행 시나 사전 프로덕션 및 프로덕션 시에 처음으로 접하는 것이 아닙니다.

조직에 보안을 도입하다

보안팀은 조직을 보안으로 끌고 가는 것이 아니라 조직에 보안을 가져가서 '아니오'라는 사무실이라는 틀에서 벗어나고 싶어합니다. 저희는 이를 달성하는 가장 좋은 방법은 DevOps 팀이 각자의 필요에 맞는 방식으로 보안을 사용할 수 있도록 하는 것이라고 생각합니다. 즉, 앱이나 프로그램을 시작한 이후가 아닌, 처음부터 보안을 구현하고 사용해야 함을 의미합니다.

보안 '왼쪽으로 이동'이라고 불리는 이는 개발 수명 주기의 초기 단계에 보안 제어를 구현하는 것을 의미합니다. 예: 위협 모델링, 정적 애플리케이션 보안 테스트, 소프트웨어 구성 분석; 그리고 이후 단계 보안 제어를 이전 단계 환경에서 사용할 수 있도록 합니다. 예: 개발 및 테스트 환경에 웹 애플리케이션 방화벽, 동적 애플리케이션 보안 테스트 등을 도입합니다.

물론 분산형 보안은 많은 과제를 안고 있는 경향이 있습니다. 분산 보안을 달성하려면 기존에는 다양한 환경에 맞게 각기 다른 기술, 스택, 제어가 필요했습니다. 환경의 다양성이 증가하고 각각의 새로운 이질적인 환경과 제어 세트를 지원하는 것이 기하급수적으로 어려워짐에 따라 규모의 경제성이 제공되지 않습니다.

또한 이는 다양한 환경에서 보안의 일관성이 거의 없다는 것을 의미하며, 이로 인해 문제가 발생할 수 있습니다. 가장 중요한 점은 각 환경에서 알림, 보고 및 로깅이 서로 다르다는 것입니다. 이로 인해 환경을 관리하거나 예측하기가 정말 어렵습니다.

그 다음에는 어디로?

이상적인 세상에서는 여러 사용자, 앱, 클라우드가 있는 분산 환경에서 보안은 어떻게 작동할까요?

답은 필요한 곳 어디에나 배치할 수 있는 균일한 스택입니다. 스택은 작은 폼 팩터로 현대적 환경에 적합하며, 빠른 배포와 해체를 지원합니다. 또한 성숙하고 기업 수준의 포괄적 보안 제어 기능도 포함됩니다.

중앙 제어 지점이 존재하게 됩니다. 정책을 한 번 정의하고 전 세계적으로 적용할 수 있는 단일 지점이 있게 됩니다. 정책 정의는 유연하게 가능하며 네트워크, ID, 보안 및 애플리케이션을 정의할 수 있습니다. 중앙 제어 지점은 또한 중앙 집중화되고 통일된 가시성, 로깅 및 보고를 제공합니다.

전체 솔루션은 100% API 기반으로 개발되어 개발, 보안, 운영 팀이 비즈니스 속도에 맞춰 협업할 수 있습니다.

F5는 이러한 비전을 실현하는 데 도움을 줄 수 있습니다. 자세히 알아보세요.