서비스 제공자와 기업 네트워크는 다양한 애플리케이션에 대한 연결을 가능하게 하는 여러 가지 프로토콜을 사용하여 운영됩니다. 이러한 네트워크의 대부분은 기본 보안 기능이 약하거나 전혀 없는 레거시 프로토콜을 기반으로 운영되며, 공격자가 이를 악용하여 서비스에 영향을 미치거나 정보를 훔칠 수 있습니다. 5G 기반 서비스를 제공하는 서비스 제공업체의 경우, 새로운 5G 아키텍처는 네트워크 인프라에 기하급수적으로 더 많은 새로운 진입점을 도입합니다. 경쟁이 치열한 시장에서 고객의 기대에 부응하는 경험을 제공하려면 네트워크를 보호하는 것이 필수입니다.
F5 침입 방지 시스템(IPS)은 기본적으로 F5 BIG-IP AFM의 일부로, 모든 수신 트래픽에 대해 계층 5~7 검사를 수행하고 25개 이상의 프로토콜과 인프라 애플리케이션을 보안 사고 및 악용으로부터 보호합니다. BIG-IP AFM의 IPS 솔루션은 프로토콜 표준을 준수하는지 트래픽을 검토하고 이를 수백 개의 알려진 공격 시그니처와 비교합니다. 성능에 영향을 미칠 수 있는 프로토콜 공격과 악용으로부터 DNS 인프라를 보호합니다. 서비스 제공자에게 있어 BIG-IP AFM IPS는 네트워크 에지를 보호하고 UDP, TCP, SCTP를 통해 네트워크로 들어오는 SS7, Diameter, HTTP/2, GTP, SCTP 및 SIP 트래픽과 같은 널리 사용되는 서비스 제공자 프로토콜에 대한 트래픽 검사와 프로토콜 준수를 수행하여 더 많은 기능을 제공합니다. 이 시스템은 이러한 애플리케이션 서비스가 공격을 받거나 악용되지 않도록 보장합니다. 매년 수백만 대의 IoT 기기가 소비자와 기업 네트워크에 연결된다는 점을 고려하면 위협 환경은 더욱 어려워집니다. 이러한 IoT 기기 중 다수는 보안이 약하거나 전혀 없습니다. 이로 인해 이들은 해킹의 표적이 되어 공격 네트워크에 추가될 수 있습니다. BIG-IP AFM IPS는 널리 사용되는 IoT 프로토콜인 MQTT와 CoAP를 검사하여 IoT 서비스 서버에 대한 공격을 완화합니다.
그림 1 : 간단한 GUI를 통해 IPS 서비스를 빠르게 인스턴스화하여 네트워크 서비스를 보호할 수 있습니다.
BIG-IP AFM IPS는 현재 다음 프로토콜을 지원합니다.
BIG-IP AFM IPS가 네트워크 및 프로토콜을 표적으로 삼는 공격과 악용에 신속히 대응할 수 있도록 BIG-IP Standard 가상 서버와 액세스 제어 목록(ACL), 그리고 FastL4가 지원됩니다. F5 iRules는 유입 트래픽에 정책을 신속하게 적용하는 데에도 사용할 수 있습니다. iRules는 25만 명 이상의 사용자로 구성된 F5 DevCentral 커뮤니티에서 활용되며, 서로 협업하고 덜 흔한 위협을 완화하는 사용자 지정 규칙을 만듭니다. 이러한 규칙은 커뮤니티에서 공유되어 다른 관리자에게 BIG-IP AFM 배포 기능을 확장할 수 있는 유연성을 제공합니다.
BIG-IP AFM의 IPS 엔진은 업계 표준인 도메인 특정 언어(DSL)인 SNORT를 사용하여 들어오는 트래픽에 규칙을 적용하여 공격과 악용을 탐지하고 차단합니다. BIG-IP AFM의 IPS는 타사 소스의 SNORT 규칙을 수집하여 사용하여 기존 정책에 따라 일관된 보호를 보장할 수 있습니다. F5는 가입자 트래픽에 대한 검사 및 보호를 더욱 확장하기 위해 서비스 공급자 네트워크 프로토콜에 맞게 특별히 조정된 기본 제공 규칙을 제공합니다. 새로운 공격과 악용을 방지하기 위해 BIG-IP AFM IPS 구독 서비스는 지속적으로 새로운 시그니처를 제공합니다.
BIG-IP AFM IPS는 네트워크 담당자가 공격에 신속히 대응할 수 있도록 거의 실시간에 가까운 가시성을 제공하는 고속 로깅(HSL) 기능을 갖추고 있습니다. F5 BIG-IQ Security는 이를 보완하여 위협에 대한 상관관계 가시성을 제공하고 실행 가능한 대응을 제공합니다. 로그 데이터는 분석 및 과거 비교를 위해 지원되는 타사 보안 정보 및 이벤트 관리(SIEM) 솔루션으로 전송될 수 있습니다.
BIG-IP AFM IPS에는 관리자가 광범위하게 모니터링하고 규칙을 개발하지 않고도 진화하는 공격과 악용에 대처할 수 있도록 하는 정책 제안 엔진이 포함되어 있습니다. 정책 제안 엔진은 트래픽 패턴을 기반으로 규칙을 구축하고, 이를 수동 또는 자동으로 허용하거나 거부할 수 있으므로 전문 지식이나 간접비 없이도 쉽게 보호 기능을 추가할 수 있습니다. 또한 규칙이 많은 거짓 양성 결과를 제공하는 경우 해당 규칙을 비활성화해야 하는 것에 대한 피드백을 제공할 수도 있습니다.
BIG-IP AFM IPS는 F5 BIG-IP 플랫폼을 기반으로 구축되었으며 트래픽 급증이나 계획된 성장에 대응하여 서비스를 저하시키지 않고 쉽게 확장할 수 있는 기본 멀티스레드 처리를 위해 설계되었습니다. 멀티스레드 아키텍처는 높은 가용성을 제공하고 중단 없는 소프트웨어 업그레이드를 가능하게 하므로 비즈니스 운영을 중단 없이 계속할 수 있고 위험 노출도 줄어듭니다.
BIG-IP AFM 가상 에디션의 IPS 솔루션은 AWS, Azure, Google Cloud 플랫폼에서 쉽게 실행할 수 있으며, VMware/KVM 프라이빗 클라우드 환경에서도 실행이 가능해 모든 애플리케이션 인프라와 NFV 엔드포인트에서 보호가 가능합니다. 배포는 관리 편의성과 가시성을 위해 퍼블릭 또는 프라이빗 클라우드에 위치한 F5 BIG-IQ를 통해 관리할 수 있습니다.
BIG-IP AFM IPS를 사용하면 서비스 제공자는 Gi 방화벽과 부하 분산 서비스를 단일 플랫폼에서 통합한 IPS로 인프라를 통합하고 보호할 수 있습니다. BIG-IP AFM IPS는 데이터 센터 코어와 에지, 그리고 가입자 서비스를 가능하게 하는 기본 프로토콜을 보호하도록 최적화되었습니다. 높은 확장성과 성능이 필요한 네트워크의 경우 BIG-IP iSeries 어플라이언스와 VIPRION 섀시의 IPS는 업계 최고의 처리량과 안정성을 제공하여 안전한 네트워크 서비스 제공을 보장합니다.
BIG-IP AFM의 IPS 솔루션은 성능에 영향을 줄 수 있는 프로토콜 공격과 악용으로부터 DNS 인프라를 보호합니다. 서비스 제공자의 경우, BIG-IP AFM IPS는 네트워크 에지를 보호하고 서비스 제공자 프로토콜에 대한 트래픽 검사 및 프로토콜 준수를 수행합니다. 서비스 제공업체가 5G 기반 서비스를 제공하려는 만큼 공격 기회도 늘어나 네트워크 보호의 중요성이 더욱 커지고 있습니다.
BIG-IP AFM 과 BIG-IQ가 인프라 보안에 어떻게 도움이 될 수 있는지 자세히 알아보세요.