데이터센터 보안? 시스코가 고민을 들어드립니다!

최근 데이터센터 내 보안 위협이 부쩍 증가하고 있는 가운데 시스코가 자사 데이터센터 자동화 기술인 ‘애플리케이션 중심 인프라(Application Centric Infrastructure, ACI)' 아키텍처의 보안 기능을 강화한다고 발표했습니다.

시스코는 ‘파이어파워 차세대 침입방지 시스템(FirePOWER NGIPS)’을 ACI 보안 프레임워크에 통합시킴으로써 고객이 애플리케이션 단의 보안을 강화하는 것은 물론, 보다 정교한 데이터센터 보안 인프라를 구축하고 중앙 자동화할 수 있도록 했는데요. 시스코 ACI에 내장된 보안 기능을 통해 자동으로 세분화되는 애플리케이션에 중앙에서 동일한 보안 정책을 자동 적용하고, 또 FirePOWER NGIPS가 제공하는 침입방지 역량과 글로벌 보안 위협에 대한 인텔리전스의 도움을 받으니 데이터센터 보안이 더욱 강화되겠죠? ^^ 자세한 설명은 보도자료로 살펴보시기 바랍니다.

 1. 데이터센터 내 정밀 보안 기능 중시

악성 트래픽을 막기 위해서는 주변 보안 장치를 통해 데이터센터 진입을 방지하는 것도 중요하지만, 데이터센터 내에서 악성 트래픽이 확산되는 것을 막는 작업도 반드시 필요합니다. 유저와 애플리케이션간 신뢰가 확보되지 않는 공유형 멀티테넌트(Multi-tenant) 환경에서는 워크로드 및 테넌트를 서로 보호하기 위한 보안 장치가 반드시 마련되어 있어야 하고요. 이런 작업은 예전보다 몇 배는 더 복잡해졌고, 결국 개별 애플리케이션 워크로드 간 실행되는 정밀 보안 정책이 요구되고 있습니다.

2. 보안 기능 중앙 자동화의 필요성 대두

수분 내로 애플리케이션들을 구축할 수 있는 유연한 온디맨드 클라우드 환경에서 매번 장비 또는 애플리케이션에 따라 보안 정책을 업데이트 하는 작업은 복잡하기 그지 없습니다. 그렇기 때문에 민첩하게 클라우드 아키텍처를 지원하기 위해서는 애플리케이션이 실행되는 모든 기기에 보안 정책을 자동으로, 그리고 빠르게 업데이트할 수 있는 보안 관리 솔루션이 필요합니다.

이와 관련해 포레스터 리서치(Forrester Research)는 "2015년에 고려할 12가지보안 프로그램"이라는 보고서를 통해 보안 기능의 자동화 중요성을 강조하기도 했습니다. 수많은 보안 위협들을 막아내기 위해 기업의 보안 전문가들은 보안 기능의 자동화를 꾀함으로써 '선공격 후조치'가 아닌 선제적 방어에 나서야 하는 것이죠.

3. 애플리케이션 모빌리티와 보안

클라우드 환경은 장소에 구애받지 않고 자유롭게 활용 가능한 모바일 애플리케이션을 필요로 합니다. 하지만 애플리케이션의 이동은 자유로운 반면 정작 보안 장비가 고정되어 있다면 애플리케이션의 보안 관리가 무척이나 어렵겠죠? 이런 경우 애플리케이션의 활용 조건에 맞는 보안 통로를 자동으로 설정하는 것이 관건인데요.

시스코 ACI는 이런 복잡한 절차를 자동으로 해결해 준답니다. ACI를 통해 장소에 상관 없이 애플리케이션 네트워크에 가상 및 물리적 보안 어플라이언스를 통합하고, 일관된 보안 정책을 물리 및 가상 워크로드에 적용할 수 있기 때문입니다. 이 같은 서비스 체이닝(service chaining) 역량이 자동화 된다면 멀티테넌트 데이터센터에 새 애플리케이션들을 설치하는 업무가 한층 간편해지며, 결과적으로 애플리케이션 구축 시간까지 단축할 수 있게 됩니다.

보안 담당자의 고민 덜어줄 해결사

한편 시스코는 이런 시장의 변화와 니즈를 정확히 파악하기 위해 Enterprise Strategy Group(ESG)과 함께 북미지역의 보안 전문가 154명을 대상으로 설문 조사를 실시했답니다. 이번 설문 조사는 금융, 제조, 헬스케어, 정부, 유통 등 여러 산업 분야의 중견 기업 및 대기업을 대상으로 진행됐는데요. 조사를 통해 각 분야 보안 전문가들이 데이터센터 보안 계획 및 실행 시 부딪히는 문제들에 대해 어떻게 생각하고 있는 지 파악할 수 있었습니다.

1. 네트워크 보안 제어에는 많은~ 인력과 시간이 소요된다.

설문조사에 참여한 보안 전문가 중 69%는 새로운 단일 애플리케이션을 위한 네트워크를 네트워크 기기나 방화벽 설정에 맞게 전환하는 데 평균 1명에서 4명 정도의 인력이 필요하다고 응답했습니다.

또한 응답자의 74%는 보안 기기를 업데이트하는 데 수일에서 수주가 소요된다고 밝혔습니다.

해결 방안:소프트웨어 정의 네트워크(Software Defined Network, SDN)가 데이터센터의 네트워크 구성 변화를 자동화해줬듯이 ACI를 활용해 애플리케이션 네트워크에서 기기 업데이트 및 보안 서비스 기능 설정을 자동화하면 속도와 정확성 모두 향상될 수 있습니다.

2. 네트워크 보안 문제의 원인은 인적 오류와 설정 문제이다.

설문에 참여한 기업 중 57%는 지난 2년 동안 1회 이상의 데이터센터 서비스 보안 침해 사고를 경험했으며, 43%는 지난 12개월간 설정 오류로 인한 보안 취약성, 성능 문제, 서비스 중단을 경험했다고 답했습니다. 특히 그 중 87%는 네트워크 변경이나 설정 관련 기술 오류로 인해 지난 12개월간 여러 차례 서비스 중단을 보고했다고 합니다.

해결 방안:수작업은 결국 인적 오류를 초래하며, 이는 보안 침해와 서비스 중단을 야기합니다. 이러한 작업 중 다수를 자동화하면 보다 정확한 업무 실행은 물론, 보안 사고에 대한 리스크를 줄일 수 있습니다.

3. 한 번 적용한 보안 제어 정책은 변경이 어렵다.

응답 기업 중 75%는 만기되었거나 낙후된 ACL이나 방화벽 규칙을 제거하는 방법이 있다고 답했지만, 68%는 이런 ACL이나 방화벽 규칙을 제거하는 데 상당히 많은 시간이 소요된다고 말했습니다. 또한 이런 제거 작업은 복잡한 절차를 거쳐야 하기 때문에 그 과정에서 많은 어려움을 겪는다고 응답했고요.

해결 방안:대부분의 기업은 구형 ACL 및 방화벽 규칙을 제거하는 것은 시간 소모적인 작업이며, 일부는 이에 대해 신경을 쓸 필요가 없다고 생각하고 있습니다. 하지만 사실 이처럼 만기된 ACL 및 방화벽 규칙들은 보안 취약점을 늘리는 것 외에 일관성 결여, 컴플라이언스 문제 등을 일으킬 수 있습니다.

4. IT 보안 전문가들은 네트워크를 분리하는 것은 도움이 된다고 생각하지만, 이를 실제 실행하고 있는 기업은 드물다!

거의 절반에 해당하는 47%의 응답자는 데이터센터 내 보안 공격이 한 서버에서 다른 서버로 수평 이동 할 수 있다고 응답했습니다. 또한 응답자의 77%는 네트워크 분리가 공격을 막는 데 도움이 된다는 데 동의했고요. 하지만 보안 영역(security zone)이나 세그먼트를 폭넓게 적용하고 있는 기업은 38%로 극소수에 불과했습니다.

해결 방안:시스코 ACI로 개별 테넌트, 애플리케이션, 워크로드 간에 더욱 세분화된 보안 정책을 실행하며, 호스트 사이에 확산될 수 있는 공격을 확실히 억제하는 데 도움이 될 수 있습니다.

5. 99%의 보안 전문가들은 추가적인 자동화와 오케스트레이션을 원한다.

설문 참여자 중 59%는 데이터센터 내 네트워크 트래픽이 한 애플리케이션에서 다른 애플리케이션으로 이동 시 필요한 네트워크 설정과 보안 제어력에 대한 부분적인 가시성만 확보하고 있었습니다. 또한 99%는 애플리케이션 도입을 가속화하기 위해 자동화와 오케스트레이션을 활용하기를 원한다고 밝혔습니다. 하지만 70%는 현재 그럴 능력이 없다고 답했습니다.

해결 방안:공격을 막기 위해 보안 기능을 추가하는 것도 중요하지만, 보안 운영을 자동화하고, 정확하고 빠르게 보안 설정을 변경하는 것이 더욱 중요하겠죠? ACI는 이처럼 기업이 필요로 하는 자동화 관련 문제를 해결해 줄 수 있답니다.

오늘의 상담은 여기까지, 고민이 좀 풀리셨나요? ^^

시스코 ACI 아키텍처의 보안 정책 자동화 기능과 새로 추가된 차세대 침입방지 시스템으로 

기업 데이터센터를 보다 안전하게 관리하세요! 
 

크리에이티브 커먼즈 라이선스

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-동일조건변경허락 2.0 대한민국 라이선스에 따라 이용하실 수 있습니다.