Dell EMC VxRail의 최신 워크로드

가용성 및 보안 서비스를 인프라 즉 서비스 환경에 제공

Dell EMC VxRail은 고성능 플랫폼에서 워크로드를 통합하려는 기업을 위해 검증된 가상화 환경을 제공합니다. 웹 기반 마이크로서비스 애플리케이션을 포함한 더 많은 작업 부하가 플랫폼으로 마이그레이션됨에 따라 인프라 관리자는 IaaS(Infrastructure-as-a-Service)를 넘어 다른 관점을 찾아야 합니다. 증가하는 작업 부하 목록을 지원하려면 중단 없는 비즈니스 운영을 위한 성능, 보안 및 가용성을 보장하는 서비스를 살펴봐야 합니다. 생태계 관점에서 볼 때, 본 백서에서는 VxRail에서 웹 기반 워크로드에 대한 가용성과 보안을 제공하는 F5 네트워크 애플리케이션 서비스에 초점을 맞춥니다. 이러한 애플리케이션 서비스는 VxRail VMware 환경에 완벽하게 통합되는 F5 소프트웨어를 사용하므로 VxRail vCenter를 통해 F5 서비스를 쉽게 프로비저닝, 구성 및 지원할 수 있습니다.

VxRail 환경에서 인프라 관리자는 레거시 및 클라우드 플랫폼의 애플리케이션을 통합하여 인프라 위에 계층화된 단일 통합 환경을 만들어 최적의 운영을 구현할 수 있습니다. 이러한 기능은 내부 이해 관계자에게 통합된 "서비스형" 환경으로 제공되어 성능과 비용 효율성을 보장하고 VMware Cloud를 통해 퍼블릭 클라우드로 원활하게 확장할 수 있습니다.

백서에 설명된 주요 주제:

• 섹션 1: VxRail 내에서 F5® Advanced Web Application Firewall™ 서비스 배포
• 섹션 2 : 보안 정책 사용자 정의
• 섹션 3 : 워크로드 및 애플리케이션에 대한 고가용성 지원 구성
• 섹션 4 : 웹 기반 자산을 안전하고 보안된 상태로 유지
• 섹션 5: 미래에 대비하다: 애플리케이션 서비스 가시성 및 용량 계획을 위한 vCenter 활용
• 섹션 6: 요약

이 섹션에서는 vCenter 관리 인터페이스를 사용하여 F5 Advanced Web Application Firewall(Advanced WAF) 소프트웨어를 VxRail에 프로비저닝하고 배포하는 방법에 중점을 둡니다. 이 예제에서는 샘플 워크로드를 호스팅하는 두 개의 웹 서버를 만들고 서버 앞에 Advanced WAF를 배포했습니다. 이 예제는 웹 서버 내의 웹 관련 작업 부하를 최적화하고 보호하는 것을 목표로 설계되었습니다.

그림 1과 같이 VxRail vCenter 내에서 고급 WAF 템플릿을 만드는 것으로 시작합니다. 고급 WAF 템플릿은 VxRail-Datacenter의 템플릿 폴더에 나열되어 있어야 합니다. 템플릿은 고급 WAF의 이미지를 저장합니다. 템플릿을 사용하여 나중에 애플리케이션 서비스를 시작할 수 있으므로 서비스를 쉽게 생성할 수 있습니다.

그림 2에 표시된 대로 고급 WAF 템플릿을 클릭합니다. 이 메뉴에서 새 VM을 시작한 다음, 필요에 따라 아래 스크린샷에 설명된 단계를 참조하여 사용할 서비스를 준비할 수 있습니다. 배포 프로세스를 단순화하기 위해 각 단계의 개별 스크린샷을 포함했습니다.

원활한 배포를 위해 다음 지침을 따르십시오.

• Advanced WAF의 VM에 대한 고유한 이름을 만듭니다(여기서는 F5-AWAF-A라고 명명했습니다).
• VM의 위치를 선택합니다(기본 위치로 VxRail Datacenter를 선택합니다).
• 대상 컴퓨팅 클러스터를 선택합니다(클러스터 내에서 F5 리소스 풀이라고 명명합니다).
• 저장소를 선택합니다(VxRail-Virtual-SAN-DataStore를 선택했습니다).

구성 과정을 마치면 요약 페이지에 지정된 IP 주소와 함께 VxRail 클러스터에 배포된 고급 WAF가 표시되어야 합니다. 여기에는 미리 할당된 컴퓨팅 리소스와 스토리지가 포함됩니다. 성공적으로 구성된 배포의 예는 그림 3을 참조하세요.

고급 WAF 소프트웨어가 배포되면 웹 서버를 통과하기 전에 유입 트래픽을 검사하는 데 사용할 보안 정책을 정의할 수 있습니다. 고급 WAF는 사용자가 세부적인 보안 정책을 직접 만들 수 있도록 지원하며, 광범위한 위협 인텔리전스 및 시그니처 라이브러리도 포함되어 있습니다. 이러한 라이브러리는 최신 보안 정보를 포함하도록 자주 업데이트됩니다. 이를 통해 사용자는 최신 위협 인텔리전스로 지원되는 워크로드 중심 보안 프로필을 만들 수 있습니다. 사용자는 "수신" 모드를 활성화하도록 선택할 수도 있습니다. 이 모드는 머신 러닝을 사용하여 환경에 맞는 기준 보안 정책을 수립하고, 이를 통해 거짓 긍정으로 인해 발생하는 불필요한 경고를 줄입니다.

BIG-IP 고가용성은 TMOS에서 지원되므로 모든 제품 모듈에서 복원력 방법론과 지원이 일관되게 적용됩니다.

아래 그림은 고가용성을 위해 시스템을 구성하는 데 필요한 단계를 안내합니다. 이러한 단계에는 다음이 포함됩니다.

• 내부 네트워크 구성 설정(예: VLAN 정보)
• 외부 네트워크 구성 설정
• 고가용성 네트워크 구성 선택
• 구성 세부 정보 검토 및 확인

이 섹션에서는 사용자 자격 증명 투영과 SQL 주입 차단이라는 두 가지 보안 기능을 사용하여 웹 기반 워크로드에 대한 보호 기능을 구현하는 방법을 설명합니다. 단계별 가이드 대신 보안 기능이 어떻게 침입과 위협을 자동으로 차단하고 워크로드와 백엔드 인프라를 안전하게 유지하는지 보여주는 가이드를 만들었습니다.

Data Safe를 사용하면 사용자 자격 증명과 매개변수 이름(예: ID 및 비밀번호)을 애플리케이션 계층에서 실시간으로 암호화하고 난독화할 수 있습니다. 이 보안 서비스를 구현하는 데는 애플리케이션 소스 코드의 코딩 변경이나 조정이 필요하지 않습니다.

HTTP/HTTPS 트래픽이 있는 웹 기반 자산이나 애플리케이션의 경우, SSL을 통한 데이터 암호화는 불법적인 제3자에게 데이터가 노출될 가능성을 방지하기 위한 첫 번째 단계입니다. 전송 중 SSL 암호화를 적용하는 것만으로는 데이터 보안을 보장하기에 충분하지 않습니다. 신임장 정보 도용은 클라이언트 수준에서도 발생할 수 있습니다. 예를 들어, 최종 사용자가 유해한 파일을 클릭하거나 맬웨어가 감염된 사이트에 접속하여 웹 브라우저가 손상되었을 수 있습니다.

데이터 안전 기능은 고급 WAF 콘솔의 보안 섹션을 통해 활성화할 수 있습니다.  데이터 보호를 선택한 다음 데이터 안전 프로필로 이동합니다.

• 새로운 프로필을 만드세요
• 프로필 이름을 사기 방지로 설정하세요.
• 사기 방지 프로필 내에서 애플리케이션 계층 암호화를 활성화합니다.
• 사용자 자격 증명을 보호하기 위해 다른 기준을 활성화합니다.

데이터 보호를 활성화하면 웹 기반 자산이나 서비스에 대해 클라이언트 수준에서 ID와 비밀번호를 암호화하는 기준을 설정할 수 있습니다. 이렇게 하면 악성 소프트웨어에 감염된 브라우저로 인한 보안 침해의 위험을 줄일 수 있습니다. 데이터 보호로 보호되는 애플리케이션은 고급 WAF를 통해 웹 페이지를 표시합니다. ID와 비밀번호는 사용자가 입력하는 대로 암호화됩니다. 브라우저가 손상되더라도 맬웨어는 개인 키 없이는 해독할 수 없는 암호화된 데이터만 추출할 수 있으며, 실제 비밀번호는 추출할 수 없습니다(자세한 내용은 아래 그림 참조). 클라이언트 측 웹 계층 자격 증명 보호 외에도 Advanced WAF는 모바일 애플리케이션의 워크로드에 대한 모바일 계층 보호 기능을 포함하도록 업그레이드할 수 있습니다.

A 부분 : 사용자 자격 증명 보호

B 파트 : SQL 주입에 관하여

SQL 주입은 OWASP 상위 10대 위협 목록에서 항상 높은 순위를 차지합니다. 해커는 백엔드 데이터베이스에서 필수 데이터를 추출할 기회를 찾기 위해 애플리케이션 코드 내의 취약점을 찾습니다. SQL 주입으로 인한 손상 위험을 줄이기 위한 첫 번째 단계는 "안전하고 보안이 유지되는" 코딩을 보장하기 위해 코딩 모범 사례를 홍보하는 것입니다. 인프라 내에 추가적인 보호 계층을 적용할 수도 있습니다. 고급 WAF는 광범위한 위협 인텔리전스를 통합하고 위협 시그니처 라이브러리를 포함하는데, 이를 배포하여 SQL 주입으로부터 웹 기반 워크로드를 보호할 수 있습니다.

SQL 주입으로부터 보호 기능을 활성화하려면 애플리케이션 보안 메뉴에서 공격 시그니처 섹션에 액세스하고 필터 키워드로 SQL을 사용합니다. 위협 시그니처 데이터베이스 내에서 SQL 주입 관련 시그니처 목록이 표시됩니다. 이 데모가 완료되었을 당시, SQL 관련 공격으로부터 보호하기 위해 사용할 수 있는 관련 서명이 563개 있었습니다. 관련된 모든 위협 시그니처를 선택하여 애플리케이션 보안 정책에 추가합니다.

차이점을 설명하기 위해 다음 그림에서는 SQL 주입 차단을 적용한 결과와 적용하지 않은 결과를 보여줍니다.

보호 기능을 사용하면 쿼리가 차단되고, 대신 이와 같은 오류 메시지가 반환됩니다.

SQL 주입이 활성화되면 SQL 쿼리가 데이터베이스에 도달하기 전에 차단됩니다. 대신 해커는 오류 메시지를 받습니다.

VxRail은 사용자가 F5 서비스를 쉽게 배포, 테스트, 통합할 수 있는 확장 가능하고 관리하기 쉬운 환경을 제공합니다. 이 섹션에서는 Advanced WAF의 사용 세부 정보에 초점을 맞춰 현재 상태(예: CPU 및 메모리 사용률)에 대한 전체 보고서에 액세스하는 방법을 보여주고 이 정보를 사용하여 향후 확장을 계획하는 방법을 보여줍니다. 저희의 목표는 F5 소프트웨어가 VxRail의 '서비스형' 모델을 지원하도록 구축되도록 하는 것입니다.

아래 그림은 당사 서비스에 할당된 리소스를 보여주며, 이를 통해 독자는 데모에 사용된 리소스에 대한 통찰력을 얻을 수 있습니다. 이를 통해 인프라 관리자는 프로덕션 환경에서 이러한 서비스를 확장하는 데 필요한 용량을 추정할 수 있습니다. 이러한 정보는 이러한 도구가 확장 가능한 서비스 환경에서 사용되는 경우 특히 유용할 수 있습니다.

이 백서에서는 VxRail 환경 내에 F5 고급 웹 애플리케이션 방화벽(고급 WAF)을 설정하는 방법을 보여드립니다. 단계별 배포 가이드를 살펴보고, 배포 전후를 비교하여 고급 WAF 보안 기능을 설명했습니다.

이 문서에서는 인프라 관리자가 통합하여 서비스가 풍부한 환경에서 제공할 수 있는 서비스로 설정하여 VxRail 환경에 타사 소프트웨어를 배포하는 방법을 보여줍니다. VxRail 환경에서 고급 WAF를 구성하는 방법을 보여주었습니다. 웹 기반 마이크로서비스 기반 애플리케이션에 대한 애플리케이션 보안 서비스를 제공합니다.  

VxRail은 인프라 관리자가 비즈니스 운영을 추진하는 데 사용할 수 있는 고성능, 확장 가능, 관리하기 쉬운 플랫폼입니다. 우수한 사용자 경험을 보장하는 타사 서비스를 배포하는 것은 비즈니스 성공에 매우 중요합니다. F5 Advanced WAF는 VMware Cloud로 확장 가능한 VxRail 환경 내에서 원활한 지원을 제공합니다.