[레포트] AWS 워크로드 보안 강화를 위한 Fortinet의 유즈 케이스 소개

세션

Agenda

• 3rd Party 보안 솔루션 도입을 망설이는 이유?
• AWS 보안 강화를 위한 Fortinet의 전략
• AWS Workload 보안 강화를 위한 Fortinet USE Case

3rd Party 보안 솔루션 도입을 망설이는 이유?

• 기업에서 사용 중인 보안 솔루션은 다양한 형태로 제공되고 있음
• 어떤 솔루션은 하드웨어 방식의 솔루션이기도 하고 어떤 솔루션은 소프트웨어 방식으로 Guest OS상에서 구동되기도 함
• 소프트웨어 방식의 솔루션들은 서비스 인프라의 자원을 공유하여 사용되기 때문에 대규모 업데이트 등의 이벤트로 서비스 품질에 영향을 미치는 경우도 존재
• 하드웨어 형태의 보안 솔루션은 AWS 환경에서 인스턴스 형태로 전환되어 구동되기도 함
• 하지만, 클라우드의 인프라 환경은 온프레미스 환경과는 차이가 있기 때문에 인스턴스 형태의 보안 솔루션을 배치하기 위해 서비스 용량, 가용성, 이중화 등의 여러 운용 방안을 같이 검토 해야함
• 특히, 네트워크 보안을 위한 방화벽 IPS, 웹 방화벽과 같은 솔루션들은 증가와 감소를 반복하는 기업의 서비스 용량의 변화에 대해 지속적인 반영이 필요하지만 정형화된 3rd party 솔루션들은 자체적으로 어떤 용량이나 배치 변화에 대응하는 것이 쉽지 않음
• 두 번째로, 클라우드 자체적으로 제공하는 보안 서비스들이 매우 훌륭하기 떄문이기도 함
• 온프레미스의 보안은 물리적인 보안이나 네트워크 보안, 사용자 보안, 인프라 접근에 대한 접근 제어 등과 같이 나누어 볼 수 있음
• 하지만 클라우드 환경에서는 데이터 센터 자체를 기업에서 관리하고 있지 않기 때문에 접근 제어, 권한 등과 같은 보안 아이템이 상대적으로 훨씬 더 중요하게 평가 되기도 함
• 이런 부분들은 3rd party 제품의 도움을 받기도 하지만 클라우드 자체적으로 제공되는 보안 기능 만으로도 많은 부분이 해도 되기도 함
• 더불어, 네트워크 보안을 위해 AWS Shield, WAS WAF, AWS Network Firewall, Security Group 등과 같은 서비스를 제공하고 있고 이런 서비스들은 AWS 고객의 인프라를 안전하게 보호하는데 활용됨
• 그리고 빠른 서비스 출시를 목표로 하다 보면 이후 확장되는 인프라와 보안 영역을 정확하게 예측하기 어려움
• 그래서 보안과 관련된 부분을 최소화하고 서비스를 출시하거나 서비스 영향이 없도록 과하게 투자하는 경우가 발생하기도 하므로 보안을 구성하는 것은 필수이나 3rd party 보안 제품을 도입하기까지에 많은 고민이 존재 함

AWS 보안 강화를 위한 Fortinet의 전략

• 2021년 클라우드로의 서비스 마이그레이션을 주저하게 만드는 요소로 엔터프라이즈 기업의 클라우드 담당자를 대상으로 한 설문조사를 행함
• 응답자의 53%는 인프라와 위협 정보에 대한 가시성 부족을 꼽았고, 제어 능력 부족에 대한 우려가 46%를 차지했음
• 또한 전문 인력 자원이 부족한 점 역시 그 다음으로 많은 비율로 응답을 했고, 마지막으로 높은 구축/운영
• 비용이 클라우드로의 서비스 마이그레이션을 주저하게 만드는 요소라고 응답 했음
• 기업의 보안 담당자는 클라우드와 온프레미스를 구분하지 않는 경우도 존재
• 이런 기업 환경에서 보안 담당자가 다뤄야 하는 보안 솔루션이 많아지면 많아질 수록 보안 담당자의 업무 강도는 높을 수밖에 없음
• 그렇기 때문에 추가적으로 78%의 응답자가 단일 또는 최소한의 보안 플랫폼을 운영하는 것이 보안 정책 수립에 매우 도움이 된다고 응답했음

• 각종 포인트 보안 솔루션으로 조작된 기업의 보안 이벤트 로그를 수집하고 솔루션에 기록된 로그를 기반으로 상관 관계를 수립하는 것은 숙달된 인력을 제외하고서는 여간 쉬운 일이 아님
• CSMA 아키텍처의 개념에서는 솔루션 간의 이벤트 데이터를 공유하고 APL 사전에 정의된 자동화된 action을 통해 직관적인 workflow로 수립하여 이벤트에 대한 연관 관계 분석에 용이하게 해줌

• 포티넷에서는 시큐리티 패브릭이라는 용어로 이러한 CSMA 아키텍처를 AWS를 포함한 대부분의 인프라에 적용하고 있음
• 클라우드 분야에서의 시큐리티 패브릭은 클라우드 자원에 대한 가시성을 제공하고 발생하는 보안 위협에 대해 상호 보완적인 관리 방안을 제공함으로써 보호 영역의 확장을 기대할 수 있음
• 두 번째로, AWS의 native service와 통합되어 3rd party 제품의 복잡한 구성을 보다 쉽게 할 수 있음
• 세 번쨰로 AWS의 native service 들과 자동화된 workflow를 구현할 수 있음
• 사전에 정의한 이벤트에 대해서 Lambda Script를 자동 호출 한다거나 변경된 인스턴스 멤버들을 방화벽의 정책에 자동 업데이트 하는 등의 자동화 기능을 제공함
• 이를 통해 각종 이벤트에 대한 응답 시간을 단축시켜 보다 안정적인 서비스를 운영할 수 있도록 환경을 제공함

AWS Workload 보안 강화를 위한 Fortinet USE Case

• 먼저 AWS Gateway Load Balancer(GWLB)와 AWS Transit Gateway를 활용한 가상 방화벽 구성의 Use Case
• AWS의 두 인프라를 활용한 케이스는 기존에 이미 소개된 적이 있는 내용
• GWLB와 Transit Gateway를 혼용하여 외부 통신에 관련된 트래픽에 대한 제어와 내부 통신에 대한 제어를 일관된 정책으로 제공할 수 있음
• GWLB를 활용하여, 가상 어플라이언스 형식의 보안 제품을 효율적으로 배포, 확장 및 관리할 수 있음
• 또한 침입 방지 시스템, AntiVirus, 외부 접근에 대한 도메인 기반 제어 암호화된 트래픽에 대한 트래픽 검사 등 자원을 많이 소모 하는 보안 기능을 적용하기 위해 고려해야 하는 용량 문제들도 상대적으로 손쉽게 확장하여 가용성 및 서비스 용량에 대한 복잡한 문제를 간단히 해결할 수 있음

• AWS의 native service와 자동 연동에 관련된 Use Case
• AWS를 사용하는 기업 고객은 각종 보안 이벤트 또는 인프라 운영 이벤트에 대해 적절히 조치해야만 함
• Fortinet의 Automation Stitch는 사전에 정의된 이벤트를 기반으로 AWS Lambda Script를 호출할 수 있음
• 이를 통해, 가상 인스턴스의 감염이 발생하거나 IOC 데이터베이스 상의 위협 대상으로 접근하는 등의 이벤트를 감지하고 해당 인스턴스를 격리 시키는 자동화된 워크플로우를 제공함

• AWS 상에서 구현되는 ATP 인프라 Use Case
• 대표적으로 클라우드 환경에 배포될 수 있는 사용자 인프라는 Mail 서비스가 있음
• 아시다시피 기업의 메일에는 중요한 기업 정보와 개인의 데이터가 교환되며 ATP 공격의 90% 이상이 메일을 통한 공격이라는 통계가 있음
• 이와 같이 중요한 메일 서비스를 클라우드에 배포하는 기업의 보안 담당자는 국내 기업 환경에 맞는 ATP 탐지 인프라를 구성할 필요가 있음
• 포티넷을 포함한 많은 보안 벤더들이 손쉽게 가입하고 서비스를 받아볼 수 있는 SaaS 형태의 ATP sandbox 제품을 제공 하지만 국내 기업의 중요 데이터가 제출되어야 하는 점과 국내 전용으로 사용되는 애플리케이션들을 반영하지 못하기 때문에 보안 담당자 입장에서는 고민이 생기기 마련
• 포티넷의 메일 보안 솔루션과 샌드박스는 메일의 첨부 파일과 멩리 본문의 URL에 대해 위협 요소를 검사함
• 또한, Custom VM을 구성하여 국내 전용 애플리케이션 및 주로 사용되는 애플리케이션 위주의 샌드박스를 구축할 수 있고 VM 간에 클러스터 구성을 통해 용량 확장에 용이하므로 AWS 클라우드 환경에서도 기업 업무 환경에 적합한 ATP 인프라를 구축할 수 있음

• AWS Application Load Balancer를 사용하는 경우에 대한 Use Case
• AWS의 Application Load Balancer는 로드 밸런싱 뿐만 아니라 웹 방화벽 서비스까지 제공하므로 AWS의 주요 보안 서비스 중에 하나로 분류됨
• Application Load Balancer를 사용하는 고객은 암호화된 서비스 트래픽을 복호화하고 웹 방화벽을 통해 유입되는 트래픽을 검사하는 아키텍처를 선택함
• 하지만 웹 이외의 트래픽 제어를 위해 별도의 방화벽을 구성하는 경우 외부 Client IP가 Application Load Balancer를 거치면서 변경되어 방화벽으로
• 도달하기 때문에 방화벽에서는 Client IP를 기반으로 보안 정책을 수립하는 것이 용이하지 않음
• 포티넷의 가상 방화벽 어플라이언스는 Proxy Engine을 이용하여 웹 트래픽 요청 헤더 상의 클라이언트 정보를 참조할 수 있음
• 이 경우, 최 상단의 Application Load Balancer에서 암호화된 트래픽을 복호화하여 내부로 전달하고, 포티넷의 가상 방화벽 어플라이언스는 복호화된 앱 트래픽의 요청 헤더를 검사하여 Client IP를 참조하게 됨
• 이렇게 참조된 Client IP는 보안 정책의 출발지 제어를 하는 데 사용할 수 있음
• 클라이언트와 같이 IP가 자주 변경되는 환경에서 활용에 용이한 Use Case

• 동적으로 변화하는 AWS 서비스 자원들을 제어하기 위한 자동 정책 적용 Use Case
• AWS 클라우드에서 기업의 서비스를 제공할 때 여러 팀과 그룹에서 신규 서비스를 민첩하게 배포하고 지난 서비스는 삭제하기도 함
• 이런 서비스의 변화가 발생할 때마다 기업의 보안팀은 적절한 보안 정책을 수립하고 클라우드 내에 보안이 취약한 부분은 없는지 검토하는 것은 정책의 양을 떠나서 상당히 부담되는 일임
• 포티넷은 AWS와의 협업을 통해 AWS 내 자원에 대해 태그 정보를 기반으로 IP 정보를 방화벽의 정책으로 적용하는 기능을 제공함
• 이를 통해 자원의 변화가 발생 하더라도 보안팀의 개입 없이 자동으로 정책의 변경이 가능하게 됨
• 이 같은 자동화 기능은 AWS상에서 구동되는 포티넷 방화벽 뿐만이 아니라 온프레미스에서 구동 중인 하드웨어 방화벽의 정책에도 적용이 가능함
• 이를 활용하여 기업에서는 Direct Connect가 연결된 데이터 센터의 물리적인 방화벽에도 이런 다이나믹 폴리시를 적용하여 인스턴스 변화가 발생하더라도 보안 담당자의 개입 없이 최적화된 정책을 운용하는 효과를 볼 수 있음

• AWS의 Network Firewall을 이용하는 기업의 Use Case
• AWS에서 Network Firewall 서비스를 제공하면서 부터 고객 기업은 AWS 데이터 센터를 보호하기 위해 Network Firewall과 침입 차단 솔루션을 같이 고민하는 고객사가 점점 늘어나고 있음
• 포티넷은 Network Firewall에서 사용할 수 있는 Managed IPS Ruleset을 제공함
• 이를 통해 Network Firewall을 사용하는 기업 고객이 서비스 인프라를 좀 더 안전하게 구성하도록 도와 줄 수 있음
• 포티넷의 Managed IPS Ruleset은 지난 20여 년간 축적된 포티넷의 IPS 데이터베이스를 기반으로 만들어졌음
• 클라우드 인프라를 처음으로 도입하는 스타트업이나 SMB 엔터프라이즈 기업에 활용될 수 있으며 포티넷의 자체 연구소인 FortiGuard를 통해 최신화된 IPS 규칙을 업데이트 받을 수 있음
• IPS Ruleset은 클라이언트, 멀웨어, 취약한 Guest OS, Web Application 등의 취약점을 보호하기 위한 IPS Signature를 제공함

참고

본 블로그에서 사용한 이미지는 AWS Summit Korea에서 제공된 발표자료와 영상을 사용했습니다.