[6주차] 보안 운영 플랫폼
학습목표
1. 보안 운영 플랫폼의 기능과 주요 구성 요소 검토
2. Prisma Access, SaaS를 통해 클라우드 보호 검토
3. Cortex Data Lake 및 XDR을 통해 미래 보호하는 방법 검토
4. NGFW 및 Traps 엔드포인트 보호를 통해 기업을 보호하는 방법 알아 보기
[6-1] 보안 운영 플랫폼
보안 운영 플랫폼
사이버 범죄와 보안 위협의 유형은 계속 진화하고 있으며, 조직은 네트워크 경계와 공격 표면이 확장됨에 따라 이를 따라잡는 데 어려움을 겪고 있다. 보안 위반 및 지적 재산 손실은 조직에 큰 영향을 미칠 수 있을 것이다. 주로 탐지 및 해결에 초점을 맞춘 보안에 대한 현재 접근 방식은 공격의 양과 정교함의 증가를 충분히 해결하기에는 부적절하다. 사이버 범죄자는 자동화 및 빅 데이터 분석을 활용하여 대상에 대해 대규모로 확장 가능하고 점점 더 효과적인 공격을 실행한다. 이들은 포인트 보안 제품보다 앞서 접근 방식을 유지하기 위해 다른 위협 행위자와 데이터 및 기술을 공유하는 경우가 많다. 그렇기에 사이버범죄만이 유일한 위협은 아니다. 직원들은 자신도 모르게 기업 규정을 위반하고 퍼블릭 클라우드와 같은 위치에서 중요한 데이터를 노출할 수 있을 것이다.
클라우드로 이동하는 애플리케이션의 급속한 발전, IT 인프라의 분산화, 위협 환경의 증가로 인해 조직의 가시성과 통제력이 상실되었다. 장치가 급증하고 네트워크 경계가 거의 사라져 기업 보안 팀이 비즈니스, 고객 및 사용자를 안전하게 활성화하고 보호하는 데 어려움을 겪고 있다. 새로운 위협의 수가 증가하고 정교해짐에 따라 조직에서는 기존 보안 제품과 접근 방식이 오늘날의 지능형 사이버 공격으로부터 네트워크를 보호하는 능력이 점점 더 떨어지고 있음을 깨닫고 있다.
동시에 애플리케이션 개발 및 IT 운영 팀은 DevOps 도구 및 방법론, 클라우드 및 컨테이너 기술, 빅 데이터 분석, 자동화 및 조정을 채택하여 비즈니스 성장을 촉진하는 새로운 애플리케이션 제공을 가속화하고 있다. 한편, 애플리케이션에 대한 접근성은 점점 더 높아지고 있다. 그 결과, 상당한 비즈니스 위험을 초래하는 믿을 수 없을 정도로 복잡한 네트워크가 탄생했다. 조직은 비즈니스 속도를 저하시키지 않으면서, 이러한 위험을 최소화해야만 한다.
보안에 대한 다른 접근 방식이 필요하다. 방어자는 고립된 포인트 제품을 긴밀하게 통합된 보안 혁신으로 교체해야 한다. 그리고 보안에는 단순성이 필요하다. 팔로알토 네트웍스 보안 운영 플랫폼은 네트워크, 엔드포인트 및 클라우드 전반에 걸쳐 일관된 보안을 제공하는 파트너 에코시스템을 포함하여 긴밀하게 통합된 구성 요소 및 서비스 시스템으로 구성된다. 보안 운영 플랫폼은 통합 위협 인텔리전스 정보, 자동화, 머신 러닝 및 데이터 분석을 활용하여 보안을 단순화하는, 완전히 통합된 시스템이라 할 수 있다.
보안 운영 플랫폼은 보안 팀이 조직을 보호하기 위해 간단하고 효율적으로 운영할 수 있도록 설계되었다. 플랫폼은 성공적인 공격을 방지하고 진행 중인 공격을 중지하는 동시에, 기업, 클라우드 및 미래를 보호하기 위한 일관된 보호를 제공한다. 예방에 기반을 둔 보안 운영 플랫폼은 공격이 조직의 환경을 침해하기 전에 이에 대응하도록 설계 및 제작되었다.
보안 운영 플랫폼의 예방 아키텍처를 사용하면, 조직은 먼저 모든 위치의 모든 사용자 또는 장치에 대해 애플리케이션을 활성화한 다음, 애플리케이션 흐름 내에서 위협을 방지하고 애플리케이션 사용을 물리적, 클라우드 기반 및 소프트웨어 기반의 사용자 ID에 연결함으로써 위협 노출을 줄일 수 있다. 물론 SaaS 환경에서도 말이다.
성공적인 사이버 공격을 방지하기 위해, 보안 운영 플랫폼은 다음과 같은 네 가지 주요 기능을 제공한다.
① 완전한 가시성 제공
공격의 전체 상황을 이해하기 위해, 조직의 네트워크, 엔드포인트, 클라우드 및 SaaS 애플리케이션 전반에 걸쳐 모든 사용자와 장치에 대한 가시성이 제공된다.
② 공격 표면 감소
기본적으로 통합된 동종 최고의 기술은 본질적으로 공격 표면을 줄이는 예방 아키텍처를 제공한다. 이러한 유형의 아키텍처를 사용하면, 조직은 개방형 커뮤니케이션, 조정 및 가시성에 대한 지원을 통해 애플리케이션, 사용자 및 콘텐츠를 기반으로 긍정적인 제어를 행사할 수 있다.
③ 알려진 모든 위협 신속 예방
조정된 보안 플랫폼은 보안 태세를 구성하는 다양한 보안 제어 전반에 걸쳐 공격의 전체 범위를 설명하므로 조직은 알려진 위협을 신속하게 식별하고 차단할 수 있다.
④ 자동화를 통해 알려지지 않은 새로운 위협 탐지 및 예방
단순히 위협을 감지하고 수동 대응이 필요한 보안을 구축하는 것은 너무 적고 너무 늦다. 조직 환경의 다양한 보안 솔루션에 대한 새로운 위협에 대한 거의 실시간 보호 기능을 자동으로 생성하고 제공함으로써 동적 정책 업데이트가 가능하다. 이러한 업데이트는 기업이 사람이 아닌 기술로 방어를 확장할 수 있도록 설계되었다.
생산성을 지원하는 새로운 모빌리티, SaaS, 퍼블릭 또는 프라이빗 클라우드 기술을 채택하는 데 보안이 장벽이 되어서는 안 된다. 기본적으로 통합된 예방 우선 보안 플랫폼을 통해 조직은 포괄적이고 일관된 예방 지향 기업 보안 태세를 유지하면서, 혁신적이고 생산성을 향상시키는 애플리케이션과 기술을 안전하게 채택할 수 있어야 한다.
팔로 알토 네트웍스는 인공 지능, 분석, 자동화 및 오케스트레이션 분야의 최신 혁신을 포착하는 지속적인 혁신을 통해 세계 최대의 보안 문제를 해결하도록 돕고 있다. 팔로 알토 네트웍스는 통합 플랫폼을 제공하고 성장하는 파트너 에코시스템에 힘을 실어 클라우드, 네트워크, 모바일 장치 전반에 걸쳐 수만 개의 조직을 보호하는 데 앞장서고 있다고 한다.
팔로알토 네트웍스의 광범위한 보안 기술 및 솔루션 포트폴리오는 사이버 보안 전략의 세 가지 필수 영역을 다룬다.
① 기업 보안(Strata)
⑴ 팔로알토 네트웍스의 PA 시리즈, VM 시리즈, K2 시리즈 차세대 방화벽은 기업 네트워크 보안의 초석이다. PAN-OS® 소프트웨어로 구동되는 이 차세대 방화벽은 App-ID, User-ID 및 Content-ID를 활용하여 모든 사용자, 장치 및 위치에서 사용 중인 애플리케이션에 대한 완벽한 가시성과 제어 기능을 제공한다.
⑵ DNS 보안, URL 필터링, 위협 예방, WildFire® 악성 코드 방지 등을 포함한 클라우드 기반 구독 서비스는 팔로알토 네트웍스 보안 운영 플랫폼에 실시간 고급 예측 분석, AI 및 기계 학습, 익스플로잇/악성 코드/C2 위협 방지, 글로벌 위협 인텔리전스를 제공한다.
⑶ 파노라마 네트워크 보안 관리를 통해, 단일 창에서 모든 차세대 방화벽(수만 개의 방화벽으로 확장 가능)에 대한 중앙 집중식 제어, 로그 수집 및 정책 워크플로 자동화가 가능하다.
② 클라우드 보안(Prisma)
⑴ Prisma Cloud는 업계에서 가장 포괄적인 위협 보호, 거버넌스 및 규정 준수 솔루션이다. AWS, GCP 및 Azure 전반에서 클라우드 리소스와 민감한 데이터를 동적으로 검색하여 위험한 구성을 감지하고, 네트워크 위협, 의심스러운 사용자 행동, 맬웨어, 데이터 유출 및 호스트 취약성을 식별한다. 이어서 클라우드 환경 전반의 사각지대를 제거하고 규칙 기반 보안 정책과 동급 최고의 머신러닝을 결합하여 지속적인 보호를 제공한다.
⑵ Prisma Access(SASE)는 조직이 원격 네트워크 및 모바일 사용자에게 일관된 보안을 제공하는 데 도움이 된다. 이는 클라우드 제공 아키텍처를 사용하여 모든 사용자를 모든 애플리케이션에 연결하는 클라우드 보안의 세대적 발전이다. 본사, 지사, 이동 중인 모든 사용자가 Prisma Access에 연결하여 인터넷은 물론 클라우드 및 데이터 센터 애플리케이션을 안전하게 사용할 수 있다. Prisma Access는 모든 포트에서 모든 트래픽을 일관되게 검사하고 양방향 SD-WAN(소프트웨어 정의 광역 네트워킹)을 제공하여 지점 간, 지점 간 트래픽을 지원한다.
⑶ Prisma SaaS는 다중 모드 CASB(클라우드 액세스 보안 브로커) 역할을 하며, 침해로 이어질 수 있는 클라우드 위험 범위를 최소화하기 위해 함께 작동하는 인라인 및 API 기반 보호를 제공한다. CASB에 대한 완전한 클라우드 제공 접근 방식을 사용하면, 인라인 보호를 사용하여 심층적인 애플리케이션 가시성, 세분화, 보안 액세스 및 위협 방지는 물론 API 기반 보호를 통해 직접 연결하여 인라인 트래픽을 보호함으로써 SaaS 애플리케이션을 보호할 수 있다. 데이터 분류, 데이터 손실 방지 및 위협 탐지를 위한 SaaS 애플리케이션에 다이렉트로 연결하는 기능도 제공된다.
③ 미래 확보(Cortex)
⑴ Cortex XDR은 네트워크, 엔드포인트 및 클라우드 데이터를 기본적으로 통합하여 정교한 공격을 차단함으로써 기존 탐지 및 대응의 사일로를 깬다. 또한, 모든 데이터 소스에서 기계 학습 및 AI 모델을 활용하여 관리되는 장치와 관리되지 않는 장치에서 알려지지 않은 고도로 회피적인 위협을 식별한다.
⑵ Cortex XSOAR은 보안 오케스트레이션, 사고 관리 및 대화형 조사를 결합하여 사고 수명주기 전반에 걸쳐 보안 팀에 서비스를 제공하는 유일한 보안 오케스트레이션, 자동화 및 대응(SOAR) 플랫폼이다.
⑶ Cortex Data Lake는 기업 데이터 정규화에 대한 업계 유일의 접근 방식을 통해 사이버 보안을 위한 AI 기반 혁신을 가능하게 한다. 이어 보안 인프라 전체에서 데이터를 자동으로 수집, 통합 및 정규화한다. 클라우드 기반 서비스는 처음부터 확장할 준비가 되어 있어 로컬 컴퓨팅이나 스토리지가 필요 없으며, 데이터의 보안과 개인 정보 보호를 보장한다.
⑷ AutoFocus 상황별 위협 인텔리전스 서비스는 위협을 분석하고 사이버 공격에 대응하는 능력을 가속화한다. 팔로 알토 네트웍스 Unit 42 위협 연구 팀의 심층적인 컨텍스트와 속성으로 강화된 WildFire의 커뮤니티 기반 위협 데이터에 대한 즉각적인 액세스를 통해 시간을 절약할 수도 있다. 보안 팀은 전담 연구 팀 없이도 맬웨어 계열, 적, 캠페인, 악의적인 행동 및 악용을 식별하는 사전 구축된 Unit 42 태그를 통해 공격에 대한 자세한 통찰력을 얻을 수 있다.
[6-2] 차세대 방화벽
팔로알토의 차세대 방화벽
애플리케이션 사용, 사용자 행동 및 복잡하고 복잡한 네트워크 인프라의 근본적인 변화는 기존 포트 기반 네트워크 보안의 약점을 노출시키는 위협 환경을 조성한다. 사용자는 비즈니스 또는 보안 위험을 거의 고려하지 않고 광범위한 디바이스 유형에서 운영되는 점점 더 많은 애플리케이션에 액세스하기를 원한다. 한편, 데이터 센터 확장, 네트워크 세분화, 가상화 및 이동성 이니셔티브는 기존 보안 메커니즘을 회피하는 새롭고 더 정교한 유형의 고급 위협으로부터 네트워크를 보호하면서, 애플리케이션 및 데이터에 대한 액세스를 지원하는 방법을 다시 생각해봐야 한다.
과거에는 네트워크 보안을 위해 ①모든 것을 차단하거나 ②비즈니스를 위해 모든 것을 활성화하는 두 가지 기본 선택 사항이 있었다. 이러한 선택 사항은 타협의 여지를 거의 남기지 않았다. 팔로알토 네트웍스 보안 플랫폼은 사이버 보안 위협을 방지하면서 액세스를 허용함으로써 사용자가 필요로 하는 애플리케이션을 안전하게 사용할 수 있는 방법을 제공한다.
NAT의 차세대 방화벽은 가장 정교한 위협을 해결하기 위해 처음부터 끝까지 설계된 엔터프라이즈 보안 플랫폼의 핵심이다. 차세대 방화벽은 애플리케이션, 위협 및 콘텐츠를 포함한 모든 트래픽을 검사하고 위치나 장치 유형에 관계없이 사용자와 연결한다. 비즈니스를 운영하는 요소인 애플리케이션, 콘텐츠 및 사용자는 엔터프라이즈 보안 정책의 필수 구성 요소가 된다. 결과적으로 보안을 주요 비즈니스 이니셔티브와 일치시킬 수 있다. NAT의 차세대 보안 플랫폼을 사용하면 사고에 대한 응답 시간을 줄이고, 알려지지 않은 위협을 발견하며, 보안 네트워크 구축을 간소화할 수 있다.
① 모든 트래픽을 분류하고 비즈니스 사용 사례를 결정하며 관련 애플리케이션에 대한 액세스를 허용하고 보호하는 정책을 할당하여 애플리케이션, 사용자 및 콘텐츠를 안전하게 사용할 수 있도록 한다.
② 원치 않는 응용 프로그램을 제거하여 위협 공간을 줄여 위협을 방지하고, 목표 보안 정책을 적용하여 알려진 취약성 악용, 바이러스, 스파이웨어, 봇넷 및 알려지지 않은 멀웨어(APT)를 차단한다.
③ 애플리케이션 검증, 데이터 분리, 불량 애플리케이션 제어 및 고속 위협 방지를 통해 데이터 센터를 보호한다.
④ 가시성과 제어력을 높여 퍼블릭 및 프라이빗 클라우드 컴퓨팅 환경을 안전하게 보호하고, 가상 머신과 동일한 속도로 보안 정책을 배포, 시행 및 유지한다.
⑤ 엔터프라이즈 보안 플랫폼을 사용자와 장치가 어디에 있든 상관없이 확장하여 안전한 모바일 컴퓨팅을 수용할 수 있다.
⑥ 직관적인 관리 기능을 통해 장치, 네트워크 및 정책 관리를 조직 구조에 맞게 간소화할 수 있다.
엔터프라이즈 보안 플랫폼은 조직이 공통 원칙에 따라 다양한 보안 요구 사항을 해결할 수 있도록 도와준다. 네트워크 보안과 글로벌 위협 인텔리전스 및 엔드포인트 보호를 균형 있게 결합하여, 조직은 비즈니스 이니셔티브를 지원하는 동시에, 전반적인 보안 태세를 개선하고 보안 사고 대응 시간을 단축할 수 있게 된다.
보안을 통한 비즈니스 강화
팔로 알토의 엔터프라이즈 보안 플랫폼을 사용하면 애플리케이션, 사용자 및 콘텐츠를 중심으로 하는 정책으로 비즈니스에 힘을 실어줄 수 있다고 한다. 긍정적인 제어 모델을 사용하여 특정 애플리케이션이나 기능을 활성화하고, 다른 모든 것을 (묵시적 또는 명시적으로) 차단할 수 있다는 것이다. 차세대 방화벽은 모든 포트에 걸쳐 모든 트래픽에 대한 전체 스택, 단일 패스 검사를 수행하므로, 애플리케이션, 관련 콘텐츠 및 사용자 신원에 대한 완벽한 컨텍스트를 보안 정책 결정의 기반으로 제공한다.
① 모든 포트에 걸쳐 항상 모든 트래픽을 분류하는데, 오늘날 애플리케이션 및 관련 콘텐츠는 다양한 기술을 사용하여 포트 기반 방화벽을 쉽게 우회할 수 있다. 팔로알토의 엔터프라이즈 보안 플랫폼은 기본적으로 여러 분류 메커니즘을 트래픽 스트림에 적용하여 애플리케이션, 위협 및 멀웨어를 식별한다. 포트, 암호화(SSL 또는 SSH) 또는 사용되는 회피 기술에 관계없이 모든 트래픽이 분류되는 것이다. 일반적으로 적은 비율의 트래픽이지만 잠재적인 위험이 높은 미확인 애플리케이션은 체계적인 관리를 위해 자동으로 분류된다.
② 또한, 위협 설치 공간을 줄이고 사이버 공격을 방지한다. 트래픽이 완전히 분류되면, 특정 애플리케이션을 허용하고 다른 애플리케이션을 모두 거부함으로써 네트워크 위협 설치 공간을 줄일 수 있다. 그런 다음, 조정된 사이버 공격 방지를 적용하여 알려진 멀웨어 사이트를 차단하고 취약점 악용, 바이러스, 스파이웨어 및 악의적인 DNS 쿼리를 방지할 수 있다. 가상화된 샌드박스 환경에서 파일을 실행하고 악의적인 행동을 직접 관찰함으로써, 사용자 지정 또는 알려지지 않은 멀웨어를 분석하고 식별한다. 새로운 멀웨어가 발견되면, 이에 대한 시그니처가 되는 것이고 말이다.
③ 마지막으로, 애플리케이션 트래픽 및 관련 위협을 사용자와 장치에 매핑한다. 보안 상태를 개선하고 사고 응답 시간을 줄이려면, 애플리케이션 사용량을 사용자 및 장치 유형에 맞게 매핑하고 해당 컨텍스트를 보안 정책에 적용하는 것이 중요하다. 광범위한 엔터프라이즈 사용자 저장소와의 통합을 통해 마이크로소프트, 윈도우, 맥, 리눅스, 안드로이드 또는 iOS 사용자와 장치가 애플리케이션에 액세스하는 ID를 확인할 수 있다. 사용자와 장치 모두에 대한 가시성과 제어 기능을 결합하면, 사용자가 어디에 있는지 또는 사용 중인 장치 유형에 관계없이 네트워크를 통과하는 모든 애플리케이션을 안전하게 사용할 수 있다. 사용 중인 특정 애플리케이션, 사용 중인 콘텐츠 또는 위협 및 관련 사용자나 장치의 컨텍스트를 설정하면 정책 관리를 간소화하고 보안 상태를 개선하며 사고 조사를 가속화할 수 있다.
완전한 컨텍스트로 보다 엄격한 보안 정책 실현
보안 모범 사례에서는 정책, 네트워크 활동에 대한 보고 능력 및 포렌식 용량과 관련하여 결정하는 사항이 상황에 따라 달라진다. 사용 중인 애플리케이션의 상황, 방문한 웹 사이트, 관련 페이로드 및 사용자는 모두 네트워크를 보호하는 데 중요한 데이터 포인트다. 어떤 애플리케이션이 인터넷 게이트웨이를 통과하고 있는지, 데이터 센터 또는 클라우드 환경 내에서 작동하는지, 원격 사용자가 사용하고 있는지 정확히 알 경우 특정 정책을 해당 애플리케이션에 적용할 수 있으며, 이를 통해 통합된 위협 보호 기능을 제공한다. 사용자의 IP 주소뿐만 아니라, 사용자가 누구인지에 대한 지식은 정책 할당을 보다 세분화할 수 있는 또 다른 상황별 요소를 추가한다.
대화형 시각화 및 로그 필터링 도구의 풍부한 세트는 애플리케이션 활동의 컨텍스트, 관련 콘텐츠 또는 위협, 사용자 및 장치 유형을 제공한다. 이러한 각 데이터 포인트는 자체적으로 네트워크의 부분적인 그림을 그리지만, 완전한 컨텍스트에서 수집하면, 잠재적인 보안 위험에 대한 전체 보기를 제공하여 보다 많은 정보에 입각한 정책 결정을 내릴 수 있다. 모든 트래픽이 지속적으로 분류되고 상태가 변경되면, 분석을 위해 변경 사항이 기록되며 그래픽 요약이 동적으로 업데이트되어 사용하기 쉬운 웹 기반 인터페이스에 정보가 표시된다.
① 인터넷 게이트웨이에서 새로운 애플리케이션이나 낯선 애플리케이션을 조사하여 애플리케이션에 대한 설명, 애플리케이션의 동작 특성 및 사용자를 신속하게 볼 수 있다. URL 범주, 위협 및 데이터 패턴에 대한 추가적인 가시성은 게이트웨이를 통과하는 네트워크 트래픽에 대한 보다 정확한 rounded 그림을 제공한다.
② WildFire에서 알 수 없는 악성 프로그램에 대해 분석된 모든 파일은 사용된 애플리케이션, 사용자, 파일 유형, 대상 OS 및 관찰된 악의적인 동작을 포함한 세부 정보에 대한 완전한 액세스를 통해 온박스에 기록된다.
③ 데이터 센터 내에서 사용 중인 모든 애플리케이션을 확인하고 해당 애플리케이션이 승인된 사용자만 사용되고 있는지 확인한다. 데이터 센터 활동에 대한 가시성을 추가하면 잘못 구성된 애플리케이션이나 SSH 또는 RDP의 부정 사용이 없는지 확인할 수 있다.
④ 퍼블릭 및 프라이빗 클라우드 환경에서 가상 서버의 생성 및 이동에 발맞추면서 정책을 시행하고 애플리케이션을 엔터프라이즈 보안 플랫폼으로 보호한다.
⑤ 모든 배포 시나리오에서 알려지지 않은 애플리케이션(일반적으로 모든 네트워크에서 적은 비율)은 분석 및 체계적인 관리를 위해 분류될 수 있다.
사용 중인 애플리케이션에 대해 사용 빈도 또는 사용자가 누구인지 완전히 알지 못하는 경우가 많다. 네트워크 트래픽의 비즈니스 관련 측면(애플리케이션, 콘텐츠 및 사용자)을 완벽하게 파악하는 것이 보다 많은 정보를 제공하는 정책 제어를 위한 첫 단계라고 할 수 있다.
애플리케이션 활성화를 통한 위험 감소
전통적으로 위험을 줄이는 프로세스는 네트워크 서비스에 대한 액세스를 제한하고 비즈니스를 방해할 수 있음을 의미했다. 그러나 오늘날의 위험 감소는 기존의 모든 거부 접근 방식과 모두 허용 접근 방식 간의 균형을 유지하는 데 도움이 되는 비즈니스 중심 접근 방식을 사용하여, 애플리케이션을 안전하게 활성화하는 것을 의미한다.
① 애플리케이션 그룹 및 SSL 암호 해독을 사용하여 웹 메일 및 인스턴트 메시징을 몇 가지 특정 애플리케이션 변형으로 제한한다. 모든 위협을 검사하고, 분석 및 서명 개발을 위해 알려지지 않은 의심스러운 파일(EXE, DLL, ZIP 파일, PDF 문서, Office 문서, Java 및 Android- APK)을 WildFire에 업로드한다.
② 비즈니스 관련 웹사이트에 대한 트래픽을 허용 및 검색하고, 업무와 관련되지 않은 웹사이트에 대한 액세스를 차단함으로써 모든 사용자의 웹 서핑을 제어한다. 맞춤형 차단 페이지를 통해 의심스러운 사이트에 대한 엑세스를 제어하는 것이다.
③ 동적 애플리케이션 필터를 사용하여 모든 사용자에 대해 모든 P2P 파일 전송 애플리케이션을 명시적으로 차단한다
.
④ GlobalProtect 모바일 보안 서비스를 통해 원격 사용자에게 인터넷 게이트웨이 정책 및 위협 방지 기능을 확장하여 모바일 장치를 수용한다.
데이터 센터에서는 컨텍스트를 사용하여 데이터 센터 애플리케이션이 표준 포트에서 실행되고 있는지 확인하고, 악성 애플리케이션을 찾고, 사용자를 검증하고, 데이터를 격리하고, 비즈니스에 중요한 데이터를 위협으로부터 보호한다. 그것의 예시로는 다음이 있다.
① 보안 영역을 사용하여 오라클 기반 신용 카드 번호 저장소를 격리하여, 오라클 트래픽을 표준 포트에 강제로 적용하는 동시에 인바운드 위협에 대한 트래픽을 검사하고, 재무 그룹으로만 액세스를 제한한다.
② 데이터 센터 내에서 IT 부서만 사용할 수 있는 원격 관리 애플리케이션 그룹(ex. SSH, RDP, Telnet)을 만든다.
③ 가상 데이터 센터에서 SharePoint®가상 시스템이 구축, 중단되거나 가상 환경을 이동할 때, 동적 개체를 사용하여 보안 정책 생성을 자동화할 수 있다.
활성화된 애플리케이션 및 콘텐츠 보호
위협 방지 및 콘텐츠 검사 정책을 적용하면, 애플리케이션과 사용자의 컨텍스트가 보안 정책의 필수 구성 요소가 된다. 그리하여 위협 예방 정책 내의 전체 컨텍스트는 포트 호핑 및 터널링과 같은 회피 전술을 무력화한다. 특정 애플리케이션 세트를 활성화하여 위협 대상 노출 영역을 줄인 다음, 해당 트래픽에 위협 방지 및 콘텐츠 검색 정책을 적용한다.
정책 내에서 사용할 수 있는 위협 방지 및 콘텐츠 검색 요소는 다음과 같다.
① IPS 및 네트워크 안티바이러스/안티스파이웨어를 사용하여 알려진 위협을 방지한다. 다양한 알려진 위협으로부터의 보호는 균일한 서명 형식과 스트림 기반 검색 엔진을 사용하는 단일 패스 검사를 통해 수행된다. 침입 방지 시스템(IPS)은 블록 네트워크 및 애플리케이션 계층 취약성 공격, 버퍼 오버플로, DoS 공격 및 포트 스캔 기능을 갖추고 있다. 바이러스 백신/스파이웨어 방지 보호 기능은 알려진 PDF 바이러스뿐만 아니라, 압축 파일이나 웹 트래픽(압축 HTTP/HTTPS) 내에 숨겨진 변종을 포함하여 수백만 개의 악성 코드 변종을 차단한다. SSL로 암호화된 트래픽의 경우, 정책 기반 복호화를 선택적으로 적용한 후 포트에 관계없이 트래픽의 위협을 검사할 수 있다.
② WildFire로 알 수 없거나 표적화된 악성 코드를 차단한다. 파일 내에 숨겨진 알 수 없거나 표적화된 악성 코드(ex. APT)는 여러 운영 체제 및 애플리케이션 버전에 걸쳐 WildFire를 통해 식별 및 분석될 수 있다. WildFire는 클라우드 또는 WF-500의 가상화된 샌드박스 환경에서 알 수 없는 파일을 직접 관찰하고 실행한다. WildFire는 250개 이상의 악의적인 행동을 모니터링하며, 악성 코드가 발견되면 자동으로 서명이 개발되어 15분 안에 사용자에게 전달된다. WildFire에서는 다음을 포함하여 모든 주요 파일 형식을 지원한다. PE 파일; Microsoft Office .doc, .xls 및 .ppt; 휴대용 문서 형식(PDF); Java 애플릿(jar 및 클래스); 및 안드로이드 애플리케이션 패키지(APK). 또한, WildFire는 이메일의 링크를 분석하여 스피어 피싱 공격을 차단한다.
③ 감염된 봇 호스트를 식별하고, 악성 프로그램으로부터의 네트워크 활동을 방해한다. 알 수 없는 트래픽을 포함하여 모든 포트에 걸쳐 모든 애플리케이션을 완전하게 맥락적으로 분류하면, 네트워크에서 이상 징후나 위협이 종종 노출될 수 있다. App-ID, 봇넷 행동 보고서, DNS 싱크홀 및 수동형 DNS를 사용하여 알 수 없는 트래픽, 의심스러운 DNS 및 URL 쿼리를 감염된 호스트와 신속하게 연관시킨다. 글로벌 인텔리전스를 적용하여 악의적인 도메인에 대한 DNS 쿼리를 차단하고 싱크홀링하는 것이다.
④ 승인되지 않은 파일 및 데이터 전송을 제한한다. 데이터 필터링 기능을 통해 관리자는 승인되지 않은 파일 및 데이터 전송과 관련된 위험을 줄이는 정책을 구현할 수 있다. 파일 전송은 파일 내부를 보고(*파일 확장자만 보는 것이 아니라) 전송 작업을 허용해야 하는지 여부를 결정하여 제어할 수 있다. 드라이브 바이 다운로드에서 일반적으로 발견되는 실행 파일을 차단하여, 보이지 않는 악성 프로그램 전파로부터 네트워크를 보호할 수 있다. 데이터 필터링 기능은 기밀 데이터 패턴(신용 카드 또는 사용자 지정 패턴 등)의 흐름을 감지하고 제어할 수 있다.
⑤ 웹 서핑을 제어한다. 완전히 통합된 사용자 정의 가능한 URL 필터링 엔진을 통해 관리자는 세분화된 웹 브라우징 정책을 적용할 수 있으며 법적, 규제적 및 생산성 위험의 전체 스펙트럼으로부터 기업을 보호하는 애플리케이션 가시성 및 제어 정책을 보완한다.
⑥ 애플리케이션 액세스를 위한 장치 기반 정책을 설정한다. 조직은 글로벌 프로텍트를 사용하여 특정 장치가 특정 애플리케이션 및 네트워크 리소스에 액세스할 수 있는지 제어하기 위한 특정 정책을 설정할 수 있다. 예를 들어, 데이터 센터에 액세스할 수 있도록 허용하기 전에 노트북이 기업 이미지를 준수하는지 확인하는 것이다. 또한, 중요한 데이터에 액세스하기 전에 모바일 장치가 최신인지, 기업 소유인지, 완전히 패치되었는지 확인한다.
⑦ 손상된 호스트를 자동으로 확인한다. 자동화된 상관 관계 엔진은 네트워크 전체에서 사전 정의된 손상 지표를 찾고, 일치하는 항목을 상관시키고, 손상된 호스트를 자동으로 강조하므로 수동 데이터 마이닝의 필요성이 줄어든다.
네트워크 보안 관리
엔터프라이즈 보안 플랫폼은 CLI를 통해 개별적으로 관리하거나, 완전한 기능을 갖춘 브라우저 기반 인터페이스를 통해 관리할 수 있다. 대규모 배포의 경우, 파노라마를 사용하여 모든 하드웨어 및 가상 어플라이언스 방화벽에 대한 가시성, 정책 편집, 보고 및 로깅 기능을 글로벌하게 제공할 수 있다. 파노라마는 단일 어플라이언스에 대한 것과 동일한 수준의 컨텍스트 제어 기능을 제공한다.
역할 기반 제어는 사전 및 사후 규칙과 결합하여, 중앙 집중식 제어와 로컬 정책 편집 및 장치 구성 유연성의 필요성 사이의 균형을 맞출 수 있다. 장치의 웹 인터페이스를 사용하든, 파노라마를 사용하든, 인터페이스의 모양과 느낌이 동일하여 한 장치에서 다른 장치로 이동할 때 학습 곡선이 없다. 관리자는 제공된 인터페이스를 사용하여 동기화 문제에 대해 걱정할 필요 없이 언제든지 변경할 수 있다. 또한, SNMP 및 REST 기반 API와 같은 표준 기반 도구를 추가로 지원하여 타사 관리 도구와 통합할 수 있다.
보고(Reporting) 및 기록(Logging)
보안 모범 사례는 지속적인 관리 노력과 대응 간의 균형을 유지하는 것을 의미하며, 보안 사고를 조사 및 분석하거나 일상적인 보고서를 생성하는 것을 포함할 수 있다.
① 리포팅: 미리 정의된 보고서를 그대로 사용하거나, 사용자 정의하거나, 특정 요구 사항에 맞게 하나의 보고서로 그룹화할 수 있다. 모든 보고서는 CSV 또는 PDF 형식으로 내보낼 수 있으며, 일정에 따라 실행 및 이메일을 보낼 수도 있다.
② 로깅: 실시간 로그 필터링을 통해 네트워크를 통과하는 모든 세션에 대한 신속한 포렌식 조사가 가능하다. 에플리케이션의 전체 컨텍스트와 WildFire에서 탐지한 멀웨어를 포함한 콘텐츠 및 사용자를 필터 기준으로 사용할 수 있으며, 결과를 CSV 파일로 내보내거나, 오프라인 보관 또는 추가 분석을 위해 syslog 서버로 보낼 수도 있다. 파노라마에서 집계한 로그는 추가 분석 또는 보관 목적으로 syslog 서버로 보낼 수도 있다.
팔로알토 네트웍스 엔터프라이즈 보안 플랫폼에서 제공하는 보고 및 로깅 기능 외에도 Splunk와 같은 타사 SIEM 도구와 통합할 수 있다. 이러한 도구는 추가 보고 및 데이터 시각화 기능을 제공하며, 기업 내 여러 시스템의 보안 이벤트를 상호 연관시킬 수 있다.
목적에 맞게 구축된 하드웨어 또는 가상화된 플랫폼
NAT의 차세대 방화벽은 엔터프라이즈 지사에서 고속 데이터 센터로 확장할 수 있는 전용 하드웨어 플랫폼 또는 클라우드 기반 컴퓨팅 이니셔티브를 지원하기 위한 가상화 폼 팩터로 제공된다. NAT은 다양한 가상화 데이터 센터 및 퍼블릭 및 프라이빗 클라우드 요구사항을 처리할 수 있는 가장 광범위한 가상 플랫폼을 지원한다. VM-Series 방화벽 플랫폼은 VMware ESXi, NSX, Citrix SDX, Amazon Web Services(AWS) 및 KVM 하이퍼바이저에 사용할 수 있다. 하드웨어 또는 가상 폼 팩터로 플랫폼을 배포하는 경우, 파노라마를 사용하여 중앙 집중식 관리를 수행할 수 있다.
[Final Exam]
각 주차마다 존재하는 퀴즈 모듈과 별개로, 마지막 파이널 이그잼이 존재한다. 왜 시험 시간을 1시간이나 주나 했더니 문제가 40문제다. 그런데 죄다 익숙한 느낌이 들기는 해서 난이도는 어렵지 않았다.
'교육' 카테고리의 다른 글
| [팔로 알토 네트웍스] 네트워크 보안 기초 #3 (0) | 2024.05.06 |
|---|---|
| [팔로 알토 네트웍스] 네트워크 보안 기초 #1, 2 (0) | 2024.05.05 |
| [팔로 알토 네트웍스] 사이버보안 기초 #5 (0) | 2024.05.04 |
| [팔로 알토 네트웍스] 사이버보안 기초 #4 (1) | 2024.05.02 |
| [팔로 알토 네트웍스] 사이버보안 기초 #3 (1) | 2024.05.01 |