Secure Application Delivery
지난 몇 년 동안 IT 시스템은 물론 IT 보안 분야에서는 엄청난 변화가 있었습니다. 무어의 법칙을 통해 컴퓨팅 파워의 발전을 설명할 수 있을 뿐만 아니라 암호화를 위한 더 복잡한 알고리즘을 만들게 되었습니다. 예를 들어 처리 능력을 높이기 위해 SSL 암호화 키 크기는 10년 새에 256비트에서 4Kb로 증가했습니다. 필수적인 컴퓨팅 파워를 보호에 전념해 사용할 수 있다고 가정할 때 애플리케이션은 그 이전보다 지금 더 안전하게 보호될 수 있습니다.
하지만 공격과 공격 벡터의 수가 동시에 증가하고 있습니다. 새로운 공격이 정기적으로 증가함에 따라 애플리케이션을 보호하기 위한 견고한 SSL 암호화 환경의 필요성이 그 어느 때보다 커졌습니다. 컴퓨팅 파워 및 보안의 이러한 발전은 인터넷에서 교환되는 민감한 데이터를 가진 모든 조직에 필요하며, 보호되지 않는 웹 페이지가 보호되는 데이터의 게이트웨이가 될 수 있기 때문에 인터넷이 존재하는 모든 조직에 필요합니다.
이제 조직은 DDoS(Distributed Denial-of-Service), 사이드재킹, SSL 중간자 및 재협상 공격에 직면하게 되었으므로 IT 보안 팀은 가장 격렬한 공격에서 살아남기 위한 적응성을 갖추고 조직의 전체 웹 프레즌스를 보호하는 보호 조치를 마련해야 합니다. 모든 것을 보호해야 하기 때문에 암호화 알고리즘의 새로운 발전 특히 ECC(Elliptical Curve Cryptography)로 인해 업계가 관련 성능 파급 효과를 무시하지 못할 것입니다.
그리고 이 모든 보안에서 여전히 네트워크 공간에서 SSL 도입에 가장 큰 장애물로 가시성 문제가 있습니다. 조직은 데이터 유출 방지를 위해서 Layer 4에서 Layer 7 라우팅에 이르기까지 전송되는 데이터를 조사해야 하는 타당한 이유가 많습니다. 따라서 보안 솔루션은 네트워크 안팎으로 이동하는 데이터에 대한 가시성, 가능한 100%의 가시성을 제공할 수 있어야 합니다.
F5는 보안 알고리즘 간의 변경에 대한 적응성, 가시성, 키 관리 및 통합에 이르기까지 이러한 복잡한 문제에 대한 해답을 제공합니다. 공격은 계속 진화하고 있고, 정부와 업계는 더 많은 보안을 요구하고 있으며, 직원들은 증가하는 위험에도 불구하고 더 많은 네트워크와 데이터 액세스를 필요로 하고 있지만, 네트워크 게이트웨이 역할을 하는 전략적 제어 지점이 보안 서비스로 이러한 문제를 해결할 수 있습니다. F5® BIG-IP® 플랫폼은 네트워크 지연 시간을 늘리지 않으면서도 별도의 제품보다 관리 시간이 상당히 적게 걸리는 가정용 보안을 위한 다양한 솔루션을 제공합니다.
설문 조사 대상 기업의 45%가 F5 솔루션을 배포하여 보안 위험을 해결했습니다.
SSL 암호화에 대한 요구는 계속 증가하고 있습니다. 제한된 정보에 대한 액세스와 마찬가지로 개인 식별 정보(PII)에 대한 액세스는 보호되어야 합니다. 점점 더 많은 웹사이트와 원격 업로드 위치가 보호를 받아야 합니다. 실제로 많은 조직이 Connedtion에 대해 100%에 가까운 암호화를 고려하고 있습니다. 조직은 모든 공격으로부터 테스트, QA 또는 프로덕션과 같은 모든 환경을 보호하기 위해 움직이고 있습니다. 또한 진정한 보안 환경이 목표인 경우 모든 데이터, 애플리케이션 및 세션 정보를 보호해야 한다는 사실을 깨닫기 시작했습니다.
과거에는 애플리케이션, 또는 좀 더 정확히 말하면 신용 카드 번호 및 기타 PII와 같은 민감한 데이터 항목이 SSL로 보호되었습니다. 정보, 세션 쿠키 또는 정적 페이지가 포함된 웹사이트의 나머지 부분은 보호되지 않았습니다. 하지만 이러한 보호되지 않는 페이지는 공격자가 보호된 페이지를 호스팅하는 시스템으로 경로를 제공하게 되었습니다.
조직은 고객의 데이터 및 기타 민감한 데이터를 보호하기 위해 주의를 기울여야 하고, 법적으로는 공격이 분명히 통과되지 않도록 충분한 보호를 제공하도록 "적절한 주의"를 기울여야 합니다. 현재 많은 조직이 Always-On SSL 태세로 전환하고 있으며, 일부는 내부 또는 외부의 모든 Connection에 대해 SSL로 전환하고 있습니다.
하지만 암호화에는 비용이 따릅니다. RSA 방식 암호화는 CPU 사이클 및 키 유지 관리 측면에서 많은 비용이 들고, 암호화된 스트림의 콘텐츠를 조작하는 것은 불가능에 가깝습니다. 이것이 암호화가 존재하는 주된 이유이지만 암호화를 구현한 조직은 콘텐츠 필터링부터 로드 밸런싱에 이르기까지 다양한 이유로 데이터를 수정해야 합니다.
따라서 다음과 같은 사항이 필요합니다.
- 암호화하는 조직이 스트림 및/또는 데이터를 조작하도록 계속해서 허용하는 암호화.
- 특히 서버의 CPU 사용률과 같은 많은 리소스를 소비하지 않는 암호화.
- 네트워크 키 저장소를 활용할 수 있는 암호화.
- 내부 트래픽과 외부 트래픽을 구분할 수 있는 암호화.
- 암호 다양성, 광범위한 암호화 알고리즘을 지원하는 기능.
SSL 서비스에 알고리즘 선택, 가시성, 통합 및 관리를 제공할 수 있는 보안 게이트웨이가 필요합니다. 인바운드 및 아웃바운드 트래픽의 암호화를 처리하는 도구이며 키 보호를 위한 하드웨어 보안 모듈(HSM)을 사용하고, 서버로부터 컴퓨팅 리소스 및 관련 운영 비용을 대신하고, 수신 및 발신 SSL을 모두 종료 또는 승인할 수 있습니다.
이 이상적인 보안 게이트웨이는 서버 CPU에 암호화 부담을 주지 않고 클라이언트에 암호화를 제공하며, 원하는 경우 서버에도 암호화를 제공합니다. 전체 키 선택 을 별도로 관리할 필요가 없으며, 게이트웨이 역할을 하는 동안 암호화 되지 않은 데이터가 필요할 수 있는 다른 서비스에 수신된 연결의 오프로드와 백엔드에 대한 SSL 연결 생성으로 사용해야 합니다. 이러한 시나리오에서는 동일한 수의 연결을 제공하는 데 필요한 서버 수가 적기 때문에 백엔드의 소프트웨어 비용 절감 효과가 빠르게 증가할 수 있습니다.
주어진 조직의 요구에 따라 이러한 아키텍처를 구현하기 위한 다양한 옵션이 존재합니다.
이러한 해결책의 장점은 전략적 제어 지점에 위치한다는 데 있습니다. 네트워크와 인터넷의 경계 지점에 위치함으로써 이상적인 장치는 들어오는 SSL 연결을 종료하고 스트림의 페이로드 작업을 수행한 다음, 필요한 경우 내부 네트워크의 키를 사용하여 다시 암호화할 수 있습니다. 아웃바운드 트래픽에 필요한 보안 조치가 인바운드 트래픽에 필요한 보안 조치와 다르지만 다른 방식으로 이동하는 트래픽도 마찬가지입니다. (사용자가 인증되고 페이로드에서 악의적인 콘텐츠를 확인해야 하는 인바운드 시나리오를 고려하는 한편, 아웃바운드 스트림이 데이터 센터를 나오는 중요한 데이터를 확인해야 합니다.) 이러한 전략적 제어 지점은 조직의 필요에 따라 세 가지 다른 스타일의 암호화 조작을 허용합니다.
외부 연결이 종료되면 게이트웨이 장치가 SSL의 엔드포인트가 됩니다. SSL은 장치와 클라이언트 간에 유지되는 반면 애플리케이션 서버로의 연결은 개방되고 암호화되지 않습니다. 이 아키텍처는 네트워크 외부에서 들어오는 SSL을 종료함으로써 외부의 보안 및 내부의 성능 향상을 지원합니다. 서버 측 암호화가 없으면 응답 시간이 빨라지지만 공격자가 내부에 있으면 볼 수 있게 되는 안전하지 않은 환경이 됩니다.
내부 및 외부 트래픽이 모두 암호화되면 전략적 제어 지점에 있는 장치는 전체 네트워크가 보호되는 동안 트래픽을 관리하고 콘텐츠를 조정 및 최적화할 수 있습니다.
점점 더 많은 IT 팀이 클라이언트에서 서버까지의 전체 연결에 대해 단일 암호화 방식을 유지하면서도 데이터 유출 방지(DLP), 사전 액세스 인증 및 로드 밸런싱과 같은 다양한 도구의 사용을 용이하게 하도록 개입하는 데이터 조작을 허용하는 솔루션을 이용하는 쪽으로 전환하고 있습니다.
SSL 가시성 입력. 이 시나리오에서 전략적 제어 지점의 서버와 장치는 SSL 인증서를 공유하여 SSL 연결의 완전한 종료 및 재생성 없이 게이트웨이 장치가 스트림을 통과할 때 액세스 권한을 부여합니다.
문제는 이 세 번째 시나리오에서 암호화 처리의 부담이 서버로 되돌아간다는 것입니다. 이는 과거에는 매우 부정적이었을 것이지만 ECC 암호화의 출현으로 이러한 암호화를 수행하는 데 필요한 CPU 사이클은 상당히 감소하고, 키를 저장하는 데 필요한 공간 또한 감소합니다. 이는 훨씬 더 작은 키들로 동일한 수준의 보안을 제공할 수 있는 ECC 알고리즘의 함수이며, 따라서 클라이언트 상의 처리 비용이 크게 감소합니다. (과거에는 많은 사람들이 "클라이언트는 문제가 아니다"라고 말했지만, 현재는 전례 없이 많은 모바일 클라이언트를 마주하고 있으며, CPU 사용량은 배터리 수명을 단축시키는 요소 중 하나입니다. 따라서 이제 모두가 클라이언트를 신경써야 합니다.)
세 가지 공개 키 암호화 시스템은 모두 안전하고 효율적이며 상업적으로 실행 가능하지만 기반이 되는 수학적 문제의 종류가 다릅니다. 이는 공격자가 자주 사용하는 무차별 암호 대입 공격에 얼마나 취약한지에 영향을 미칠 뿐만 아니라 특정 수준의 보안을 제공하기 위해 알고리즘에서 생성하는 키의 크기 차이로 이어질 수 있습니다. NIST(National Institute of Standards and Technology)는 필요한 보안 수준에 따라 각각에 대한 최소 키 크기에 대한 지침을 제공합니다. 물론 조직이 다양한 암호화 방식을 가지고 있다면 선택할 수 있는 여러 암호화 알고리즘이 있습니다. 즉, 내일 최대 2Kb의 RSA 키 길이에 대한 실행 가능한 해킹이 나오면 서버에서 사용하는 알고리즘을 간단히 변경하고 밤에 잠을 잘 수 있습니다.
하지만 ECC는 동일한 키 길이로 더 안전합니다. 실제로 대부분의 경우 ECC는 최신 알고리즘이 매우 긴 키로 제공하는 것을 매우 짧은 키로 수행할 수 있습니다. 이 효율성은 ECC 알고리즘 내에서 활용되는 수학의 함수입니다. ECC가 암호화에 대한 CPU 오버헤드를 줄이는 동시에 더 작은 키 크기로 보안을 유지 관리 및 개선한다는 아이디어는 안전한 클라이언트-서버 통신을 가능하게 하는 강력하면서 새로운 도구가 됩니다.
F5 플랫폼은 이 중요한 새 도구를 활용합니다. 이때 BIG-IP 장치는 서명을 위한 DSA와 암호화를 위한 ECC를 제공합니다. F5가 항상 지원했던 RSA, AES 및 3DES 알고리즘 위에 있습니다.
ECC는 암호화의 CPU 비용을 해결하는 데 도움을 주지만 암호화가 전통적으로 어려움을 겪어온 또 다른 큰 문제는 여전합니다. 바로 가시성입니다. 모든 것이 암호화되어 있는 경우, DLP (데이터 손실 방지) 및 외부 인증을 위한 장치는 암호화되지 않은 콘텐츠에 어떻게 액세스합니까?
네트워크로 연결된 HSM 도구를 입력합니다. HSM 솔루션은 점점 더 흔해지고 있지만, 일반적으로 그 사용은 자격 증명의 저장으로 제한됩니다. 하지만 적절한 연결과 사용을 고려할 때, 이 기술들은 또한 실현 가능한 기술이 될 수 있습니다. 네트워크의 엣지에 있는 유연성 높은 장치와 네트워크의 중심에 있는 서버 사이의 인증서 공유를 통해 엣지의 장치는 스트림을 종료하지 않고 암호화되지 않는 트래픽을 볼 수 있습니다. 대칭 키, 비대칭 프라이빗 키(디지털 서명 포함) 등을 저장함으로써 게이트웨이 장치는 네트워크 전반에 걸쳐 중요한 정보를 보호합니다. 이를 통해 LDAP 장치로 로그인 정보를 보내 바이러스 스캐너를 통해 스트림을 수신하고 DLP 장치를 통해 데이터를 발신할 수 있습니다.
F5가 지원하는 하드웨어 보안 모듈은 변조 방지 및 NIST 140-2 레벨 3을 사용하는 강화된 장치입니다. 네트워크의 전략적 제어 지점에 보안 게이트웨이로 배치함으로써 조직은 효율적인 SSL 서비스뿐만 아니라 암호화된 데이터에 대한 가시성을 달성할 수 있습니다. 그에 따른 결과는 보안이 강화된 완전한 시스템으로, 양방향 프록시의 모든 기능을 여전히 갖추고 있습니다.
이 전략적 제어로부터 얻을 수 있는 가능성은 매우 큽니다. F5® iRules® 스크립팅 언어를 사용하여 조직은 민감한 정보를 데이터 센터 내에 보관할 수 있습니다. 예를 들어 F5® DevCentral™에 공유된 커뮤니티 유지 관리 iRule은 대부분의 신용 카드 정보를 확인하고 밖으로 빠져나가는 것을 방지할 수 있습니다.
다른 예를 들면 IPv6 Gateway 기능 또는 심지어 SPDY 변환을 F5 장치에 배치할 수 있습니다.
이러한 옵션 중 대부분은 일반 SSL 환경에서 사용할 수 없습니다. 그러나 BIG-IP 장치는 들어오는 연결에 대한 액세스 권한을 가짐으로써 데이터 스트림의 페이로드에 대한 액세스 권한도 얻으며, 스트림뿐만 아니라 해당 데이터에 대해 지능적으로 동작할 수 있습니다. 또한 장치가 연결을 종료할 필요가 없기 때문에 두 개의 별도 SSL 연결을 유지해야 하는 경우만큼 성능이 크게 저하되지 않습니다.
BIG-IP 장치는 또한 보안 페이지에 대한 요청을 인증으로 유도할 수 있으며, 사용자가 성공적으로 로그인하고 인증 서버가 해당 페이지에 대한 권한이 있음을 확인한 후에만 페이지를 반환합니다. 여기서 핵심은 AAA(Authentication, Authorization, Accounting)가 발생하고 실패 시 사용자가 코어 네트워크에서 제거된 페이지로 리디렉션될 수 있다는 것입니다. 즉, 인증되지 않은 사용자는 BIG-IP 장치를 통과하여 내부 네트워크에 도달하지 않으며 유효한 사용자로 가장한 공격자는 악용을 시도하기 위해 중요한 시스템에 도달하지 않습니다. 내부 네트워크에 들어가기 전에 연결이 중지되고 인증되기 때문에 연결이 그렇게 멀리 가지 않습니다. DDoS 시나리오에서 공격 연결을 격리 네트워크로 리디렉션할 수 있는 고성능 장치는 실제 사용자가 공용 네트워크를 계속 사용할 수 있도록 하여 DDoS 공격을 저지합니다.
키 보호가 대규모 암호화 방법론으로 인해 발생하는 가장 큰 문제인 경우가 많습니다. 인증서를 최신 상태로 유지하고, 어떤 장치에 어떤 인증서가 있는지 관리하고, 특히 가상 환경에서 언제 인증서를 컴퓨터에서 컴퓨터로 이동할 수 있는지 결정해야 함에 따라 배포되는 인증서의 수가 제한되고 아키텍처 결정에 영향을 미칠 수 있습니다.
FIPS 140-2 레벨 2 지원이 필요한 조직의 경우 많은 BIG-IP 장치 모델에 이 지원을 추가할 수 있습니다. 키 및 인증서 패스프레이즈와 같은 정보를 보호하고 싶지만 FIPS 140-2 지원이 필요하지 않은 조직은 내장된 Secure Vault 기술을 사용하여 보호할 수 있습니다.
BIG-IP 디바이스는 또한 HSM 역할을 하거나 네트워크에 이미 있는 것을 활용할 수 있습니다. HSM은 인증서의 보안 스토리지를 제공하기 때문에 이를 활용하면 키 사용 및 만료를 관리하고, 인증서 관리를 간소화하며, IT 직원이 다른 중요한 비즈니스 기능을 처리할 수 있도록 하는 단일 참조 지점이 제공됩니다.
모든 BIG-IP 플랫폼에는 비용의 일부로 라이선스가 부여된 최대 암호화 처리량이 제공되지만 이 F5 보안 솔루션의 또 다른 장점은 추가 기능을 추가하거나 활성화할 수 있다는 점입니다. 내장된 DDoS 보호 기능은 공격 시 웹사이트를 온라인에서 더욱 안전하게 보호하며, 다양한 보안 및 성능 모듈을 추가할 수 있는 덕분에 IT는 단 하나의 장치만 관리하면서 조직의 어플리케이션 딜리버리 요구 사항을 충족할 수 있습니다. 간소화된 관리와 더욱 빠른 응답 시간은 단일 처리 지점, 즉 전략적 제어 지점을 통해 제공됩니다.
IT의 미래에는 일부 웹 페이지는 암호화되고 또 다른 일부는 암호화되지 않음으로써 발생하는 보안 불안을 방지하기 위한 전체 암호화가 포함됩니다. 이는 인프라에 큰 부담을 주고, 다른 호스트 중에서도 로드 밸런싱 및 데이터 유출 방지와 같은 기능을 위해 여전히 트래픽과 지능적으로 상호 작용하면서 모든 곳에서 암호화를 구현해야 할 필요성이 발생합니다.
F5는 고도로 안전한 인프라를 간소화 및 가속화할 수 있는 솔루션을 제공합니다. 다양한 기능을 보유하면서 SSL 연결을 종료하지 않고 통과하는 트래픽을 살펴볼 수 있는 BIG-IP 장치는 사용 중인 산업 또는 기술에 기반한 전문화된 처리를 위해 ICAP 지원 장치 호출이 가능합니다. HSM을 지원하기 때문에 F5 솔루션은 조직의 요구에 따른 적응성이 높습니다. F5 BIG-IP 플랫폼은 또한 필요한 수준에서 DDoS 공격을 방어할 수 있으며, 유효한 사용자를 계속 애플리케이션으로 라우팅하면서 공격을 방어할 수 있습니다.
결국 BIG-IP 제품군은 다른 트래픽 관리 또는 보안 기술에서 제공할 수 없는 세분화된 제어, 확장성 및 유연성을 제공합니다.
