F5 "SSL Everywhere" 아키텍처는 모든 F5 BIG-IP 배포의 일부인 맞춤형 SSL/TLS 스택을 중심으로 합니다. 이를 통해 F5는 HTTP/2.0 시대에 SSL/TLS 트래픽에 대한 가시성과 제어력을 확보할 수 있습니다.
SSL/TLS 트래픽의 가시성과 제어가 왜 그렇게 중요한가요? 불과 10년 전만 해도 SSL은 금융 기관과 공공 기관 등 일부 특정 조직에서만 보안을 중시하는 웹사이트와 서비스의 로그인 페이지에만 적용되었습니다. 오늘날 이러한 방식은 대부분의 웹 기반 서비스로 확장되었으며, 통신을 위한 사실상의 프로토콜로 빠르게 자리 잡고 있습니다. Gartner의 산업 조사에 따르면 2015년 말까지 전 세계 인터넷 트래픽의 50% 이상이 암호화될 예정입니다.
TLS는 네트워크 서버를 통해 통신 보안을 제공함으로써 기업이 IT 네트워크에 접근하는 방식에 패러다임을 전환합니다. 클라이언트와 서버 간의 연결은 전송되는 데이터를 암호화하는 데 대칭 암호화가 사용되므로 비공개입니다.
HTTP/2.0에서 SSL/TLS 트래픽에 대한 가시성 및 제어
암호화된 트래픽 사용이 증가함에 따라 방화벽, 침입 방지 시스템 및 침입 탐지 시스템에 의존하는 기존 방식은 더 이상 유효하지 않습니다. 이러한 장치는 통과하는 데이터 스트림을 알지 못하면 공격을 받을 수 있습니다.
이 문제를 해결하려면 초기 SSL 복호화가 보안 경계에서 수행되어야 합니다. 그러나 업계에서 보안 경계에서 작동하는 대부분의 솔루션은 "SSL 암호 해독"이라는 특정 목적을 위해 설계되거나 개발되지 않았습니다. 어떤 사람들은 암호를 해독할 수 있는 능력이 있어도 적절하게 해독할 수 없습니다. 많은 기업들은 SSL 복호화를 활성화했을 때 성능이 크게 떨어지는 것을 경험하고 있습니다. 이를 통해 SSL 트래픽의 최적화된 처리를 통합하여 경계를 설계해야 하는 "방법"을 탐색하는 탐색이 시작되었습니다. 분명히, 7계층 보안 장치의 효율성을 극대화하려면 SSL 복호화가 보안 경계 근처에서 실행되어야 합니다. 인바운드 SSL이 해독되면 결과 요청을 분석, 수정 및 조정할 수 있습니다.
SSL 암호
사이버범죄자들은 보안 장치가 보안 허점이라는 것을 알고 보안 장치를 우회하기 위해 SSL을 사용하여 공격하는 경우가 많습니다. SSL 트래픽에 숨겨진 맬웨어도 보안 플랫폼을 쉽게 우회할 수 있습니다. 가트너는 2017년까지 기업 네트워크에 대한 공격의 50% 이상이 보안을 우회하기 위해 SSL을 사용할 것으로 추정합니다.
Heartbleed, BEAST, POODLE 등의 공격을 생성하는 취약한 암호 그룹이 발견됨에 따라 보안 관리자가 취약점을 수정할 수 있는 시간적 여유가 부족해졌습니다. 수백 또는 수천 개의 SSL 프런트 서버를 관리해야 하는데 이를 복구하는 데는 몇 주가 걸리고, 그 동안 악성 소스의 공격에 취약한 상태로 남아 있습니다.
어떤 트래픽을 해독할 것인지 아는 것이 문제가 됩니다. 기업이 외부 사용자에게 콘텐츠를 제공하는 경우 서버에서 SSL 트래픽을 오프로드하고 트래픽 흐름에 보호 기능을 삽입하는 장치를 사용해야 합니다. 이렇게 하면 SSL이 깨지지만 지능적인 방식으로 깨집니다. 즉, 뱅킹 세션의 암호를 해독하고 싶지 않지만 Facebook 세션의 암호는 해독하고 싶어합니다. 보안 담당자는 트래픽이 어디로 이동하는지 파악하고 이를 복호화할지 그대로 둘지 결정할 수 있는 지능이 필요합니다.
SSL은 기술적으로 사용자가 지점 간 보안을 확보하도록 지원하지만 반드시 전체 트래픽을 보호하는 것은 아닙니다. SSL 인증서를 위조하지 않고도 암호화된 트래픽에 악성 코드를 숨겨 SSL을 가로챌 수 있습니다. 따라서 IT의 주된 초점은 실시간으로 사기 행위를 조사하고 즉시 해결하는 것입니다.
F5의 전체 프록시 아키텍처는 내부 및 외부 통신에 대해 분리된 연결을 구현하는 동시에 원활한 변환 및 복호화를 가능하게 합니다. SSL 세션을 종료할 수 있는 기능을 통해 IT 부서는 외부 트래픽에 암호화를 사용하고 필요한 경우 기존 HTTP를 활용하기가 더 쉬워집니다. 모든 연결이 가능하며, IT 부서는 HTTP/2.0의 이점을 누리기 위해 전체 웹 애플리케이션 인프라를 중단하고 교체할 필요가 없습니다.
TLS 구성을 관리하면서 성능 유지
1024비트에서 2048비트로 더 긴 키 길이가 채택되면서 컴퓨팅 요구 사항도 이전보다 4배에서 8배로 기하급수적으로 증가했습니다. 이로 인해 비슷한 규모의 트래픽을 처리해야 하는 기존 인프라의 성능이 저하됩니다. 하드웨어 가속기와 함께 특수 하드웨어를 사용하면 전체 서버 팜의 CPU 리소스를 업그레이드할 필요성이 줄어듭니다.
PCI DSS 3.1에 따라 회사들은 2016년 6월 30일까지 SSL 및 TLS 1.0 사용을 중단하고 최신 TLS 구현을 사용해야 하므로, 모든 기기에 중앙 집중식 SSL 관리 지점을 갖추어야 하며, 이를 통해 전체 환경에서 몇 분 내에 문제를 해결할 수 있어야 합니다.
문서 참조: