[레포트] AWS 워크로드 보안 강화를 위한 Fortinet의 유즈 케이스 소개

AWS Partner Summit Korea 2022 세션중「AWS 워크로드 보안 강화를 위한 Fortinet의 유즈 케이스 소개」세션을 정리해 봤습니다.
2022.05.14

안녕하세요 클래스메소드 김재욱(Kim Jaewook) 입니다. 이번에는 AWS Partner Summit Korea 2022 세션중「AWS 워크로드 보안 강화를 위한 Fortinet의 유즈 케이스 소개」세션을 정리해 봤습니다.

세션 개요

DESCRIPTION

포티넷과 AWS는 파트너십을 통해 포괄적인 위협 인텔리전스와 20년 이상의 사이버 보안 경험을 기반으로  AWS의 워크로드를 보호할 수 있는 최적의 보안 솔루션을 제공합니다.

AWS 보안 강화를 위한 포티넷의 전략과 AWS 워크로드 보안 강화를 위한 다양한 상황에서의 Use Case를 소개합니다.

- Cloud NAT 환경에서의 3rd Party Firewall 구성 use case - GWLB를 활용한 3rd party Firewall 활용 use case - AWS native Firewall의 IPS Ruleset 활용과 3rd Party IPS 활용 use case

SPEAKERS

강연자

세션

Agenda

  • 3rd Party 보안 솔루션 도입을 망설이는 이유?
  • AWS 보안 강화를 위한 Fortinet의 전략
  • AWS Workload 보안 강화를 위한 Fortinet USE Case

3rd Party 보안 솔루션 도입을 망설이는 이유?

  • 기업에서 사용 중인 보안 솔루션은 다양한 형태로 제공되고 있음
  • 어떤 솔루션은 하드웨어 방식의 솔루션이기도 하고 어떤 솔루션은 소프트웨어 방식으로 Guest OS상에서 구동되기도 함
  • 소프트웨어 방식의 솔루션들은 서비스 인프라의 자원을 공유하여 사용되기 때문에 대규모 업데이트 등의 이벤트로 서비스 품질에 영향을 미치는 경우도 존재
  • 하드웨어 형태의 보안 솔루션은 AWS 환경에서 인스턴스 형태로 전환되어 구동되기도 함
  • 하지만, 클라우드의 인프라 환경은 온프레미스 환경과는 차이가 있기 때문에 인스턴스 형태의 보안 솔루션을 배치하기 위해 서비스 용량, 가용성, 이중화 등의 여러 운용 방안을 같이 검토 해야함
  • 특히, 네트워크 보안을 위한 방화벽 IPS, 웹 방화벽과 같은 솔루션들은 증가와 감소를 반복하는 기업의 서비스 용량의 변화에 대해 지속적인 반영이 필요하지만 정형화된 3rd party 솔루션들은 자체적으로 어떤 용량이나 배치 변화에 대응하는 것이 쉽지 않음
  • 두 번째로, 클라우드 자체적으로 제공하는 보안 서비스들이 매우 훌륭하기 떄문이기도 함
  • 온프레미스의 보안은 물리적인 보안이나 네트워크 보안, 사용자 보안, 인프라 접근에 대한 접근 제어 등과 같이 나누어 볼 수 있음
  • 하지만 클라우드 환경에서는 데이터 센터 자체를 기업에서 관리하고 있지 않기 때문에 접근 제어, 권한 등과 같은 보안 아이템이 상대적으로 훨씬 더 중요하게 평가 되기도 함
  • 이런 부분들은 3rd party 제품의 도움을 받기도 하지만 클라우드 자체적으로 제공되는 보안 기능 만으로도 많은 부분이 해도 되기도 함
  • 더불어, 네트워크 보안을 위해 AWS Shield, WAS WAF, AWS Network Firewall, Security Group 등과 같은 서비스를 제공하고 있고 이런 서비스들은 AWS 고객의 인프라를 안전하게 보호하는데 활용됨
  • 그리고 빠른 서비스 출시를 목표로 하다 보면 이후 확장되는 인프라와 보안 영역을 정확하게 예측하기 어려움
  • 그래서 보안과 관련된 부분을 최소화하고 서비스를 출시하거나 서비스 영향이 없도록 과하게 투자하는 경우가 발생하기도 하므로 보안을 구성하는 것은 필수이나 3rd party 보안 제품을 도입하기까지에 많은 고민이 존재 함

AWS 보안 강화를 위한 Fortinet의 전략

  • 2021년 클라우드로의 서비스 마이그레이션을 주저하게 만드는 요소로 엔터프라이즈 기업의 클라우드 담당자를 대상으로 한 설문조사를 행함
  • 응답자의 53%는 인프라와 위협 정보에 대한 가시성 부족을 꼽았고, 제어 능력 부족에 대한 우려가 46%를 차지했음
  • 또한 전문 인력 자원이 부족한 점 역시 그 다음으로 많은 비율로 응답을 했고, 마지막으로 높은 구축/운영
  • 비용이 클라우드로의 서비스 마이그레이션을 주저하게 만드는 요소라고 응답 했음
  • 기업의 보안 담당자는 클라우드와 온프레미스를 구분하지 않는 경우도 존재
  • 이런 기업 환경에서 보안 담당자가 다뤄야 하는 보안 솔루션이 많아지면 많아질 수록 보안 담당자의 업무 강도는 높을 수밖에 없음
  • 그렇기 때문에 추가적으로 78%의 응답자가 단일 또는 최소한의 보안 플랫폼을 운영하는 것이 보안 정책 수립에 매우 도움이 된다고 응답했음

  • 각종 포인트 보안 솔루션으로 조작된 기업의 보안 이벤트 로그를 수집하고 솔루션에 기록된 로그를 기반으로 상관 관계를 수립하는 것은 숙달된 인력을 제외하고서는 여간 쉬운 일이 아님
  • CSMA 아키텍처의 개념에서는 솔루션 간의 이벤트 데이터를 공유하고 APL 사전에 정의된 자동화된 action을 통해 직관적인 workflow로 수립하여 이벤트에 대한 연관 관계 분석에 용이하게 해줌

  • 포티넷에서는 시큐리티 패브릭이라는 용어로 이러한 CSMA 아키텍처를 AWS를 포함한 대부분의 인프라에 적용하고 있음
  • 클라우드 분야에서의 시큐리티 패브릭은 클라우드 자원에 대한 가시성을 제공하고 발생하는 보안 위협에 대해 상호 보완적인 관리 방안을 제공함으로써 보호 영역의 확장을 기대할 수 있음
  • 두 번째로, AWS의 native service와 통합되어 3rd party 제품의 복잡한 구성을 보다 쉽게 할 수 있음
  • 세 번쨰로 AWS의 native service 들과 자동화된 workflow를 구현할 수 있음
  • 사전에 정의한 이벤트에 대해서 Lambda Script를 자동 호출 한다거나 변경된 인스턴스 멤버들을 방화벽의 정책에 자동 업데이트 하는 등의 자동화 기능을 제공함
  • 이를 통해 각종 이벤트에 대한 응답 시간을 단축시켜 보다 안정적인 서비스를 운영할 수 있도록 환경을 제공함

AWS Workload 보안 강화를 위한 Fortinet USE Case

  • 먼저 AWS Gateway Load Balancer(GWLB)와 AWS Transit Gateway를 활용한 가상 방화벽 구성의 Use Case
  • AWS의 두 인프라를 활용한 케이스는 기존에 이미 소개된 적이 있는 내용
  • GWLB와 Transit Gateway를 혼용하여 외부 통신에 관련된 트래픽에 대한 제어와 내부 통신에 대한 제어를 일관된 정책으로 제공할 수 있음
  • GWLB를 활용하여, 가상 어플라이언스 형식의 보안 제품을 효율적으로 배포, 확장 및 관리할 수 있음
  • 또한 침입 방지 시스템, AntiVirus, 외부 접근에 대한 도메인 기반 제어 암호화된 트래픽에 대한 트래픽 검사 등 자원을 많이 소모 하는 보안 기능을 적용하기 위해 고려해야 하는 용량 문제들도 상대적으로 손쉽게 확장하여 가용성 및 서비스 용량에 대한 복잡한 문제를 간단히 해결할 수 있음

  • AWS의 native service와 자동 연동에 관련된 Use Case
  • AWS를 사용하는 기업 고객은 각종 보안 이벤트 또는 인프라 운영 이벤트에 대해 적절히 조치해야만 함
  • Fortinet의 Automation Stitch는 사전에 정의된 이벤트를 기반으로 AWS Lambda Script를 호출할 수 있음
  • 이를 통해, 가상 인스턴스의 감염이 발생하거나 IOC 데이터베이스 상의 위협 대상으로 접근하는 등의 이벤트를 감지하고 해당 인스턴스를 격리 시키는 자동화된 워크플로우를 제공함

  • AWS 상에서 구현되는 ATP 인프라 Use Case
  • 대표적으로 클라우드 환경에 배포될 수 있는 사용자 인프라는 Mail 서비스가 있음
  • 아시다시피 기업의 메일에는 중요한 기업 정보와 개인의 데이터가 교환되며 ATP 공격의 90% 이상이 메일을 통한 공격이라는 통계가 있음
  • 이와 같이 중요한 메일 서비스를 클라우드에 배포하는 기업의 보안 담당자는 국내 기업 환경에 맞는 ATP 탐지 인프라를 구성할 필요가 있음
  • 포티넷을 포함한 많은 보안 벤더들이 손쉽게 가입하고 서비스를 받아볼 수 있는 SaaS 형태의 ATP sandbox 제품을 제공 하지만 국내 기업의 중요 데이터가 제출되어야 하는 점과 국내 전용으로 사용되는 애플리케이션들을 반영하지 못하기 때문에 보안 담당자 입장에서는 고민이 생기기 마련
  • 포티넷의 메일 보안 솔루션과 샌드박스는 메일의 첨부 파일과 멩리 본문의 URL에 대해 위협 요소를 검사함
  • 또한, Custom VM을 구성하여 국내 전용 애플리케이션 및 주로 사용되는 애플리케이션 위주의 샌드박스를 구축할 수 있고 VM 간에 클러스터 구성을 통해 용량 확장에 용이하므로 AWS 클라우드 환경에서도 기업 업무 환경에 적합한 ATP 인프라를 구축할 수 있음

  • AWS Application Load Balancer를 사용하는 경우에 대한 Use Case
  • AWS의 Application Load Balancer는 로드 밸런싱 뿐만 아니라 웹 방화벽 서비스까지 제공하므로 AWS의 주요 보안 서비스 중에 하나로 분류됨
  • Application Load Balancer를 사용하는 고객은 암호화된 서비스 트래픽을 복호화하고 웹 방화벽을 통해 유입되는 트래픽을 검사하는 아키텍처를 선택함
  • 하지만 웹 이외의 트래픽 제어를 위해 별도의 방화벽을 구성하는 경우 외부 Client IP가 Application Load Balancer를 거치면서 변경되어 방화벽으로
  • 도달하기 때문에 방화벽에서는 Client IP를 기반으로 보안 정책을 수립하는 것이 용이하지 않음
  • 포티넷의 가상 방화벽 어플라이언스는 Proxy Engine을 이용하여 웹 트래픽 요청 헤더 상의 클라이언트 정보를 참조할 수 있음
  • 이 경우, 최 상단의 Application Load Balancer에서 암호화된 트래픽을 복호화하여 내부로 전달하고, 포티넷의 가상 방화벽 어플라이언스는 복호화된 앱 트래픽의 요청 헤더를 검사하여 Client IP를 참조하게 됨
  • 이렇게 참조된 Client IP는 보안 정책의 출발지 제어를 하는 데 사용할 수 있음
  • 클라이언트와 같이 IP가 자주 변경되는 환경에서 활용에 용이한 Use Case

  • 동적으로 변화하는 AWS 서비스 자원들을 제어하기 위한 자동 정책 적용 Use Case
  • AWS 클라우드에서 기업의 서비스를 제공할 때 여러 팀과 그룹에서 신규 서비스를 민첩하게 배포하고 지난 서비스는 삭제하기도 함
  • 이런 서비스의 변화가 발생할 때마다 기업의 보안팀은 적절한 보안 정책을 수립하고 클라우드 내에 보안이 취약한 부분은 없는지 검토하는 것은 정책의 양을 떠나서 상당히 부담되는 일임
  • 포티넷은 AWS와의 협업을 통해 AWS 내 자원에 대해 태그 정보를 기반으로 IP 정보를 방화벽의 정책으로 적용하는 기능을 제공함
  • 이를 통해 자원의 변화가 발생 하더라도 보안팀의 개입 없이 자동으로 정책의 변경이 가능하게 됨
  • 이 같은 자동화 기능은 AWS상에서 구동되는 포티넷 방화벽 뿐만이 아니라 온프레미스에서 구동 중인 하드웨어 방화벽의 정책에도 적용이 가능함
  • 이를 활용하여 기업에서는 Direct Connect가 연결된 데이터 센터의 물리적인 방화벽에도 이런 다이나믹 폴리시를 적용하여 인스턴스 변화가 발생하더라도 보안 담당자의 개입 없이 최적화된 정책을 운용하는 효과를 볼 수 있음

  • AWS의 Network Firewall을 이용하는 기업의 Use Case
  • AWS에서 Network Firewall 서비스를 제공하면서 부터 고객 기업은 AWS 데이터 센터를 보호하기 위해 Network Firewall과 침입 차단 솔루션을 같이 고민하는 고객사가 점점 늘어나고 있음
  • 포티넷은 Network Firewall에서 사용할 수 있는 Managed IPS Ruleset을 제공함
  • 이를 통해 Network Firewall을 사용하는 기업 고객이 서비스 인프라를 좀 더 안전하게 구성하도록 도와 줄 수 있음
  • 포티넷의 Managed IPS Ruleset은 지난 20여 년간 축적된 포티넷의 IPS 데이터베이스를 기반으로 만들어졌음
  • 클라우드 인프라를 처음으로 도입하는 스타트업이나 SMB 엔터프라이즈 기업에 활용될 수 있으며 포티넷의 자체 연구소인 FortiGuard를 통해 최신화된 IPS 규칙을 업데이트 받을 수 있음
  • IPS Ruleset은 클라이언트, 멀웨어, 취약한 Guest OS, Web Application 등의 취약점을 보호하기 위한 IPS Signature를 제공함

참고

본 블로그에서 사용한 이미지는 AWS Summit Korea에서 제공된 발표자료와 영상을 사용했습니다.