FWaaS와 IaaS, 두 가지 클라우드 기반 방화벽에 대한 이해

HPE


클라우드 방화벽이 있고 또 클라우드 방화벽이 있습니다. 근본적인 기술은 똑같을지 모르지만, 실제로 두 가지 유형의 제품과 용도가 있습니다. 한 가지는 조직의 네트워크와 사용자를 보호하는 것을 목표로 하고 있고, 다른 한 가지는 클라우드 인프라와 서버를 보호합니다. 차이점을 더 심도 있게 파헤쳐보자.

클라우드 기반의 방화벽에는 두 가지 맛이 있습니다. 바닐라 맛과 딸기 맛입니다. 두 가지 모두 액세스 정책에 맞춰 필터링을 하고 악성 트래픽을 차단하기 위해 유입. 유출되는 패킷(Packet)을 검사하는 소프트웨어지만, 상당히 다른 점도 있습니다. 이 두 가지 방화벽을 필수 네트워크 보안 도구라고 생각하십시오. 두 가지 모두 사용자, 네트워크, 그리고 실제 자산과 가상 자산을, 서로 다른 맥락에서, 보호하도록 설계되어 있습니다.

사실 : 필자는 이번 논의를 위해 “바닐라 맛 방화벽”과 “딸기 맛 방화벽”이란 용어를 지어냈습니다. 더 깊이 파고들어 두 가지 모델을 구분하는 데 도움이 되었으면 합니다.

간략한 개요부터 시작해봅시다

- 바닐라 방화벽은 대개 독립형 제품이거나 엔터프라이즈 네트워크와 사용자들을 보호하도록 설계된 서비스입니다. 클라우드에 있다는 것만 제외하면, 마치 온프레미스(On-premises) 방화벽과 같습니다.
- 서비스 공급업체들은 이 방화벽을 SaaS(Software-as-a-Service) 방화벽, SECaaS(Security as a Service), 혹은 심지어 FWaaS(Firewall as a Service)라고도 부르고 있습니다.

- 반면, 딸기 방화벽은 PaaS(Platform-as-a-Service) 또는 IaaS(Infrastructure-as-a-Service) 모델에서 사용자 소유의 서버를 사용해서 가상 데이터센터에서 구동하도록 설계된 클라우드 기반 서비스입니다. 이런 경우, 방화벽 애플리케이션은 가상 서버 상에서 구동하며 들고 나는 트래픽, 그리고 클라우드에 있는 애플리케이션들 간의 트래픽을 보호합니다. 용어가 일관성 없게 적용되고 때로는 온프레미스 또는 클라우드에서 구동하고 있는 최신 방화벽 시스템을 가리키고 있기도 하지만, 업계에서는 간혹 이런 방화벽을 차세대 방화벽이라 부르기도 합니다.

우리는 왜 이런 새로운 방화벽들이 필요한 것일까요? 1U 크기의 방화벽 어플라이언스를 랙에 탑재하고, 라우터에 연결한 다음에, 다 되었다고 하면 안 되는 이유는 무엇일까요? 답은 쉽습니다. 네트워크 방어선에 대한 정의가 바뀌었기 때문입니다. 이전의 방화벽은 보안 시설의 입구에 서 있는 경비원 같았습니다. 오직 인가된 사람들만이 해당 시설에 들어갈 수 있었으며, 사람들이 시설에 출입할 때 소지품이 검색되었습니다. 게다가, 사용자들이 시설 내부에서 일하고 있었으며, 데이터센터와 서버들도 내부에 있었습니다. 그 덕분에, 경계 보안이 상당히 쉬웠습니다. 내부에 있는 모든 것이 안전했으며, 외부의 모든 것은 안전하지 않았고, 출입할 수 있는 유일한 방법은 경비 초소를 통과하는 것이었습니다.

그런 세상은 사라지고, 지나갔습니다. 인가된 사용자는 어디에도 있을 수 있으며, 갈수록, 사용자들이 어디에 있는지도 모르는 애플리케이션에 액세스합니다. 그런 애플리케이션은 온프레미스 데이터센터, 퍼블릭 또는 프라이빗 IaaS/PaaS 클라우드 내부에 있는 엔터프라이즈 통제하의 서버, 그리고 역시 클라우드에 써드파티 SaaS 애플리케이션으로서 입주해 있습니다. 상대적으로 적은 양의 엔터프라이즈 트래픽이 엔터프라이즈 온프레미스 라우터를 통과하며, 바로 이것이 모든 사용자 그리고 보안 정책을 IaaS/PaaS 환경으로 확장시키기 위한 클라우드 기반 딸기 방화벽을 보호하기 위해 클라우드 기반 바닐라 방화벽이 필요한 이유입니다.

서비스로서의 방화벽(FWaaS: Firewalls as a Service)
클라우드에 있는 평범한 바닐라 방화벽은 ISP(Internet Service Provider) 혹은 어쩌면 방화벽 서비스전문 SaaS 공급업체–즉, FWaaS 서비스 공급업체–가 제공하는 서비스라는 것만 제외하고는 마치 전통적인 온프레미스 방화벽 어플라이언스처럼 동작합니다. 사용자는 이 서비스에 대해 고장된 수수료를 지불할 수도 있습니다. 지역 ISP나 전화 회사가 서비스를 제공하고 있다면 그럴 가능성이 더 높습니다. 그렇지 않으면, 사용한 전체 대역폭과 정확하게 맬웨어(Malware)만 감시하는 것을 넘어서는 (도메인 필터링 같은) 옵션 서비스 등 몇 가지 요인들에 근거하여 월말에 지불할 수도 있습니다.

FWaaS 구성작업은 매우 간단합니다. 통신업체가 제공하는 부가 서비스라면, 주 사업장에서 설정을 바꾸거나 다른 어떤 것도 할 할 필요가 없을 수 있습니다. 시스템 관리자는 활동사항을 보여주거나 차단할 대상, 블랙리스트 또는 화이트리스트 처리할 도메인 등에 대한 옵션을 선택할 수 있게 해주는 대시보드 또는 관리 콘솔을 받을 수도 있습니다.

FWaaS가 써드파티 공급업체에 의해 제공되고 있다면, 해당 공급업체에 연결하기 위해 라우터 설정을 바꿀 필요가 있습니다. 어떤 의미에서는, 이제는 해당 공급업체가 인터넷 공급업체가 될 것입니다.

FWaaS의 이점은 보호를 원격지 직원이나 출장 중인 직원들에게 확장할 수 있다는 것입니다. 이런 사용자들은 안전한 터널, 아마도 VPN(Virtual Private Network)을 통해서 클라우드 방화벽 공급업체에 연결할 것입니다. 거기서부터는, 사용자가 엔터프라이즈급 방화벽의 보호를 받으면서 인터넷에 액세스하고, 해당 방화벽을 통해 클라우드 기반 서비스에 액세스하며, 액티브 디렉터리(Active Director)나 다른 디렉터리 서비스의 인증을 받기 위해 회사로 연결할 수 있습니다(그리고 그렇게 해서, 내부 서버나 다른 자원에 액세스합니다). 한마디로, 원격지 그리고 출장중인 직원들에게 본사에서와 똑 같은 보호를 제공하기 위한 멋진 방법입니다.

원격지 직원 지원은 온프레미스 방화벽 어플라이언스에 비해 FWaaS의 이점 중 한 가지입니다. 또 다른 이점은 비용을 자본 지출에서 운영 지출로 이전시키는 것으로, 이는 많은 기업들에서 매우 유용합니다.

FWaaS를 사용하면, 사용자는 사용한 만큼만 비용을 지불하므로, 가장 바쁜 시기를 대비하기 위해 평소에 필요한 것보다 더 많은 방화벽 어플라이언스 용량을 구매할 필요가 없습니다. 그런데, 사용자가 과도한 온프레미스 방화벽 용량을 보유하고 있을 가능성이 높습니다. 특히, 이미 서비스를 클라우드로 이전하기 시작했을 경우에는 더욱 그렇습니다. 그런 어플라이언스들을 꺼 둠으로써, 근본적으로 경계 보안을 더 효율적인 서비스로 아웃소싱 하게 되는 것입니다.

또 다른 이점은 새로운 제로데이(Zero-day) 위협이나 해결책이 등장하면, FWaaS 공급업체가 그런 변경을 즉시 할 수 있다는 것입니다. 사용자가 업데이트를 다운로드 해서 설치할 필요가 전혀 없습니다. 물론, 잠재적인 단점은 이렇게 하기 위해서는 FWaaS 공급업체에 의존해야 한다는 것입니다. 그렇지만, 대부분의 서비스 공급업체들이 모든 위협 정보 서비스에 가입해 있고 연중무휴로 대응할 수 있는 전업 보안 팀을 보유하고 있다는 점에 비추어 볼 때, 필자는 이런 공급업체들이 대부분의 중소규모 기업들, 그리고 심지어는 다수의 엔터프라이즈에 비해 방화벽을 최신으로 유지하고, 또 적절하게 구성하고 있을 거라고 확신하고 있습니다.

하나 더 DDoS(Distributed Denial-of-Service) 공격에 대한 보호라는 이점이 있습니다. HPE(Hewlett Packard Enterprise)의 디지털 솔루션과 변혁 팀을 이끌고 있는 수석 기술자인 사이먼 리치는 “과거에는 사용자가 인터넷 종단에서 DDoS로부터 보호를 하곤 했지만, 현실은 DDoS가 사용자가 아무리 많은 대역폭을 가지고 있더라도, 사용자를 집어삼킬 수 있다는 것”이라고 지적했습니다. “클라우드 공급업체가 기가비트 또는 테라비트 규모의 공격을 물리치기 위한 대역폭을 가지고 있기 때문에, 클라우드 규모로 가주면 도움이 될 수 있다”는 설명입니다.

다른 말로 하면, 그 어떤 공격도 대역폭이 풍부한 FWaaS 방화벽 서버에 의해 유도되거나 봉쇄되어서 사용자 소유의 인터넷에는 영향을 주지 않을 것입니다. 최종 결과: FWaaS 공급업체는 여전히 깨끗한 인터넷 연결을 제공할 수 있을 것입니다.

AT&T의 관제 방화벽 보안(Managed Firewall Security)과 웨지 네트웍스의 클라우드 네트워크 디펜스(Cloud Network Defense)처럼 많은 공급업체들이 FWaaS 옵션을 제공하고 있습니다.

필자의 경험에 따른 몇 가지 조언 : 대부분의 중소규모 기업들은 이용중인 통신사업자나 ISP로부터의 FWaaS 서비스가 작업하기가 더 쉽고 가격도 적정하다는 알게 될 것입니다. 서비스 공급업체는 유명 브랜드의 방화벽 공급업체와 하나 이상의 제휴 계약도 맺고 있을 것입니다.

사용자의 IaaS/PaaS를 위한 방화벽
클라우드 인프라와 서비스를 보호하는 클라우드에 있는 가상 방화벽은 사용자의 네트워크 경계와 원격지 또는 출장중인 최종 사용자들을 보호하도록 설계된 FWaaS과는 전혀 다릅니다.

IaaS/PaaS 세상에서, 사용자는 본인 소유의 가상 서버를 생성, 프로비전, 그리고 관리하는 인프라를 서비스 공급업체로부터 임대하고 있습니다. 그런 서버는 스토리지, 기성 애플리케이션 또는 자체 개발 애플리케이션의 호스팅, 2단계 또는 3단계 웹 서비스용으로 사용될 수 있습니다. 전적으로 사용자 마음대로 구성할 수 있습니다. 어떤 경우에는 그런 클라우드 기반 애플리케이션들이 완전히 독립형이기도 합니다. 다른 경우에는, 사용자의 데이터센터에 있는 다른 서버와 애플리케이션으로 (VPN을 통해서) 재 링크(Link Back)할 수도 있습니다. 중요한 점은 이런 가상 서버들이 사용자나 사용자 팀에 의해 전적으로 관리된다는 것입니다. 이 방법은 사용자에게 궁극의 유연성을 제공하지만, 100% 책임도 부과합니다.

이런 맥락에서, 가상 방화벽은 필수 요소가 되었습니다. 가상 방화벽은 악성 트래픽이나 외부로부터 들어오는 공격으로부터 사용자의 클라우드 서버를 보호합니다. 내부 공격 또는 클라우드 서버 중 한 대를 탈취한 성공적인 외부 공격에 대해서, 다른 서버들로부터 클라우드 서버를 보호하기도 합니다.

여기서 클라우드 방화벽은 클라우드 호스트나 사용자가 좋아하는 유명 브랜드 방화벽 공급업체 중 한 곳으로부터 사용자가 라이선스한 애플리케이션입니다. 이런 차세대 방화벽 또는 가상 방화벽은 여러 가지 방식으로 패키지되어 있습니다.

사용자가 인스턴스를 생성해서 클라우드 인프라에 대한 프론트 엔드(Front End)로 사용할 수 있는 완벽하게 구성된 가상 머신(VM) 형태를 볼 수도 있을 것입니다. 그렇지 않으면, 사용자가 설치해서 웹 서버나 트랜잭션 데이터 베이스 서버 같은, 기존 가상머신 상에서 구동할 수 있는 바이너리 형태로 제공될 수도 있습니다.

거의 모든 주요 유명 브랜드 방화벽 공급업체들이 IaaS/PaaS 방화벽용 제품과 라이선스 옵션을 제공하고 있습니다. 두어가지 예를 들자면, 팔로 알토 네트웍스의 VM-시리즈 차세대 가상 방화벽 그리고 Z스케일러의 클라우드 파이어월을 꼽을 수 있습니다.

가상 방화벽을 사용하면, 구성 방법과 보호 대상을 정의하는데 있어서 거의 무제한의 선택사항을 갖습니다. 하나의 특정 가상 서버 그룹 또는 단 한 대의 서버만을 보호하는 방화벽을 생성할 수 있습니다. 이 용어가 미세분할(Microsegmentation)입니다. 물리적 데이터센터에서 랙에 장착되는 방화벽 어플라이언스와는 달리, 마우스 클릭으로 또는 스크립트를 구동하면서 몇 초 안에 방화벽 구성을 변경할 수 있습니다. 이제 더 이상의 케이블 이동은 없습니다! 방화벽은 단순히 가상 서버뿐 아니라 특정 애플리케이션 또는 사용자의 역할과 연계된 규칙을 사용해서 미세분할 될 수도 있습니다.

미세분할 접근방식의 장점은 보안 정책을 개개 가상 머신에 연계시킬 수 있다는 것입니다. HPE의 리치는 “소프트웨어 정의 데이터센터에서– 또는 오케스트레이션 기능이 있는 하이브리드 클라우드에서– 새로운 가상 머신을 프로비전 할 때마다, 해당 가상머신이 프로비저닝 시에 연계된 보안 정책을 가졌으면 합니다”라고 말했습니다. 또, “그렇게 되면, 그 가상머신이 클라우드 네트워크 여기 저기를 돌아다니고 하나의 머신에서 다른 머신으로 이동할 때, 해당 보안 정책도 따라갈 것입니다. 또한, 그 가상머신이 해체될 때, 연결된 보안 정책 역시 사라졌으면 합니다”라고 덧붙였습니다.

바닐라 아니면 딸기? 리더를 위한 교훈
- 명심하십시오, IaaS/PaaS 아키텍처에서 서버와 애플리케이션을 클라우드로 이전할 때, 보안에 대한 책임을 이전하는 것이 아닙니다. 그렇습니다, 클라우드 서비스 공급업체는 전체적으로 약간의 책임을 질지는 모르겠지만, 맬웨어, 해커 공격, 데이터 누출, 또는 가상 서버들의 운영체제나 애플리케이션에 있는 패치 되지 않은 취약점에 대해 사용자의 서버를 보호하지 않습니다. 그것은 사용자의 몫입니다. 그런 문제들의 많은 부분이 소프트웨어를 최신으로 유지하는 것과 관련은 있지만, 방화벽으로 모든 것을 보호하는 것 역시 똑같이 중요합니다.

- 네트워크를 온프레미스 방화벽으로 보호하고 있고, 엔터프라이즈급 방화벽으로 보호받고 있지 않은 원격지 또는 출장중인 사용자가 있다면, 바닐라맛 FWaaS를 고려하십시오.

- 그리고 클라우드 공급업체의 기본적인 보안 서비스로만 보호되고 있는 IaaS/PaaS 가상 서버를 보유하고 있다면, 서버를 보호하기 위해 필히 자기 소유의 가상 방화벽을 설치하고 관리해야만 할 것입니다. 그것은 사용자의 몫이자 사용자의 책임입니다.