블로그

국경 없는 비즈니스 보안

로리 맥비티 썸네일
로리 맥비티
2016년 9월 6일 게시

F5에서 "신원은 새로운 방화벽입니다."라는 말을 여러 번 들었을 것입니다. 이 말은 뻔한 말처럼 들릴지 몰라도, 그 간단한 말 속에는 정말 많은 의미가 담겨 있습니다. 보안이 대폭 강화되었고 오늘날의 디지털 혁신에 대처하는 방식도 변화했습니다.

앱은 경계입니다

클라우드이든 애플리케이션 스택을 따라 꾸준히 이동하는 위협이든, 모놀리식 앱이 API와 마이크로서비스로 분해되는 것이든, 이러한 혼란은 외부로 파장 효과를 미치고 있다는 것이 현실입니다. 이러한 효과로 인해 데이터 센터의 기반이 흔들렸고 데이터 센터 아키텍처에 예상치 못한 변화가 일어나고 있습니다. 이런 변화는 현재 국경 없는 비즈니스의 등장으로 인해 강력하게 추진되고 있습니다. 애플리케이션에 의존하는 기업인데, 그 중 대부분은 외부(SaaS)에 배포되고 일부는 외부(IaaS)에 배포되며 일부는 여전히 여기(데이터 센터)에 배포됩니다.

이러한 변화는 방화벽을 비즈니스 통제의 전략적 지점으로 사용하는 기존 아키텍처로는 국경 없는 비즈니스를 효과적으로 보호할 수 없다는 것을 인식한 데 따른 것입니다.

이 방식은 더 이상 작동하지 않습니다. 보안되는 경계가 더 이상 데이터 센터가 아니기 때문입니다. 경계는 이제 그 애플리케이션, 그 애플리케이션, 그리고 또 다른 애플리케이션입니다. 기존의 IP 기반 방화벽은 애플리케이션에 대한 이해가 제한적일 뿐만 아니라 제한적인 특성으로 인해 효과적이지 않습니다. 데이터 센터에 여전히 필수적인 기존의 IP 기반 방화벽은 클라우드와 같은 변동성이 매우 큰 네트워크 환경에서는 대체로 효과적이지 않습니다. 그 이유는 보호해야 할 애플리케이션의 주소 공간이 종종 빠르게 변경되기 때문입니다. 컨테이너의 도입으로 인해 네트워크 기반 애플리케이션 액세스 제어의 변동성 문제가 심화되었습니다. 이는 컨테이너의 수명이 (종종 훨씬) 짧아졌기 때문입니다. 방화벽의 수명이 며칠이나 몇 주(혹은 몇 달)가 아닌 분 단위로 측정되기 때문에 기존 IP 기반 방화벽에 가해지는 부담은 엄청나게 높습니다.

반면, 애플리케이션에 대한 ID 기반 액세스 제어는 IP 주소가 아닌 사용자와 앱을 매칭하는 데 관심이 있으며, 구성이 아닌 컨텍스트를 기반으로 애플리케이션에 대한 액세스를 제어하는 더 나은 방법을 제공합니다. 즉, IP 주소에만 국한되지 않고 사용자의 액세스 요청은 IP 주소 외에도 클라이언트, 위치, 기기, 시간대, 네트워크 속도 및 애플리케이션을 기준으로 평가할 수 있습니다. 이러한 접근은 누가(또는 무엇이) 주어진 애플리케이션에 접근해야 하는지(또는 접근해서는 안 되는지)를 결정하는 더 나은 수단을 제공합니다. 그리고 배포된 위치에 관계없이 애플리케이션에 해당 서비스를 제공하는 것이 훨씬 더 쉽습니다. ID 기반 접근 제어 서비스는 필요한 경우 데이터 센터에서 클라우드로, 그리고 다시 데이터 센터에서 클라우드로 애플리케이션과 함께 이동할 수 있습니다. 그 이유는 이 서비스의 제어가 클라이언트와 애플리케이션을 이해하고 해당 요청과 응답을 전송하는 네트워크와 관계없이 실시간으로 정책을 적용하는 데 기반하기 때문입니다.

신원 기반 액세스 제어 옵션은 또한 서로 다른 환경에서 동등성을 제공한다는 것을 의미합니다. 애플리케이션에 대한 액세스를 제어하기 위해 기존 IP 기반 방화벽에 의존하는 것은 데이터 센터에서 하나의 시스템을 사용하고 클라우드에서 다른 시스템을 사용하는 것을 의미하지만, 동일한 ID 기반 액세스 제어 서비스를 두 환경에 모두 배포할 수 있습니다. 즉, 기업 정책을 보다 잘 준수하고 관리 및 감사 측면에서 운영 오버헤드를 줄이는 일관된 정책을 제공합니다. 이러한 동등성은 하이브리드(멀티 클라우드) 환경에서 운영하는 사람들에게 지속적으로 요구될 것으로 보입니다. 2016년 애플리케이션 제공 현황에서는 응답자의 절반(48%) 가까이가 온프레미스와의 정책 및 감사 동등성을 클라우드 도입의 중요한 보안 요소로 꼽았습니다.

pwc-고급-인증

또한 도난당하거나 쉽게 발견되는 자격 증명으로 인한 보안 침해가 증가하고 있는 것은 기본적인 비밀번호 기반 인증을 벗어나 액세스를 허용하거나 거부하는 보다 지능적인 수단으로 전환해야 할 때가 되었음을 보여줍니다. PWC는 최근 글로벌 보안 설문 조사에서 응답자의 91%가 "고급 인증"을 사용한다고 밝혔습니다. 그들은 토큰과 2단계 인증 방법을 인용하며, 고급 인증이 고객의 신뢰뿐만 아니라 기업의 신뢰 측면에서도 상당한 이점을 제공한다고 말했습니다.

컨텍스트 기반 액세스 제어는 요청을 평가하기 위한 여러 "요소"를 제공하여 유사한 측정을 제공합니다. 이러한 솔루션을 통해 2단계 인증을 구현할 수 있지만, 조직에서는 더욱 원활한 애플리케이션 경험을 위해 자동으로 제공되는 상황적 단서에 의존하는 인증 수단을 개발할 수도 있습니다.  "사물"이 클라이언트 역할을 하는 시대에는 보다 자동화된 "다중 요소" 기반 인증 정책이 필요하다고 주장할 수 있습니다. 대부분의 "사물"은 자체 모바일 폰을 소유하지 않으며 소유자는 사물이 동기화되고 "홈으로 전화"하는 데 필요한 빈번한 거래에 관여하는 것을 좋아하지 않을 수 있기 때문입니다.

귀하의 조직이 인증 및 액세스 제어에 대해 어떤 결정을 내리든 IP 기반 방화벽에만 의존하지 않을 가능성이 매우 높습니다. IP 기반 방화벽은 명확하게 정의된 기업 경계가 존재한다는 개념에 의존하기 때문입니다. 그리고 오늘날의 흐릿하고 모바일이며 거의 덧없는 애플리케이션 인프라 세계에서는 그러한 경계가 더 이상 존재하지 않습니다.