[팔로 알토 네트웍스] 네트워크 보안 기초 #5

[5주차] 하이브리드 데이터 센터 보안

학습목표

1. 기존의 데이터 센터 보안 취약점을 인식한다.
2. East-West와 North-South 트래픽 보호 방법을 조사한다.
3. 하이브리드 데이터 센터 아키텍처에서 효과적인 보안의 4단계를 식별한다.

[5-1] 하이브리드 데이터 센터 보안

하이브리드 데이터 센터 보안

데이터 센터는 정적인 하드웨어 기반 컴퓨팅 리소스가 있는 기존의 폐쇄적인 환경에서 기존의 컴퓨팅 기술과 클라우드 컴퓨팅 기술이 혼합된 환경으로 빠르게 진화하고 있다.

데이터 센터는 하드웨어와 클라우드 컴퓨팅 기술을 혼합하여 포함하도록 진화하고 있다.

 

프라이빗, 퍼블릭 또는 하이브리드 클라우드 컴퓨팅 모델로 전환할 경우, 운영 효율성이 향상되고 자본 지출이 감소하는 이점이 있다.

 

① 기존 하드웨어 리소스 최적화
"하나의 서버, 하나의 애플리케이션" 모델을 사용하는 대신, 단일 물리적 서버에서 여러 개의 가상 애플리케이션을 실행할 수 있다. 즉, 시스템에 컴퓨팅 및 메모리 리소스가 충분히 존재한다면, 조직은 동일한 시스템 내에서 더 많은 애플리케이션을 실행함으로써, 기존 하드웨어 인프라를 활용할 수 있다.

 

② 데이터 센터 비용 절감
서버 하드웨어 box 수를 줄이면, 물리적 인프라스트럭처 부동산이 감소할 뿐만 아니라, 전력, 냉각 및 랙 공간 등에 대한 데이터 센터 비용도 절감할 수 있다.

 

③ 운영 유연성 증대
VM프로비저닝의 동적 특성을 통해 애플리케이션을 구입하는 기존 방식, "랙킹 또는 스택킹", 케이블 연결 등을 통해 애플리케이션을 보다 신속하게 제공할 수 있다. 이러한 운영 유연성은 IT 조직의 민첩성을 향상시키는 데 도움이 된다.

 

④ 데이터 센터 리소스의 효율성 극대화
가상화는 애플리케이션이 비동기식 또는 폭발적인 수요 부하를 겪을 수 있기 때문에, 리소스 경합 문제를 해결하고 서버 사용을 극대화하는 보다 효율적인 방법을 제공한다. 또한, 서버 유지 보수 및 백업 문제를 해결하는 보다 나은 방법을 제공한다. 예를 들어, IT 직원은 하드웨어 또는 소프트웨어 업그레이드를 수행하는 동안 VM을 다른 가상화된 서버나 하이퍼바이저로 마이그레이션할 수 있다.

 

기존의 데이터 보안 솔루션의 약점
기존의 데이터 센터 보안 솔루션은 물리적 네트워크의 경계 게이트웨이에 배치될 때 발견되는 것과 동일한 약점을 갖는다. 포트를 기반으로 상태 정보 검사를 통해 초기 포지티브 제어 네트워크 액세스 결정을 내린 다음, 볼트가 켜진 특징 세트를 사용하여 순차적이고 네거티브 제어 결정을 내린다. 이 접근 방식에는 다음과 같은 몇 가지 문제가 있다.

 

① 제한된 가시성 및 제어
전통적인 데이터 보안 솔루션의 "포트 우선" 초점은 모든 포트의 모든 트래픽을 볼 수 있는 능력을 제한하며, 이는 회피 애플리케이션 또는 암호화된 애플리케이션과 표준 포트를 사용할 수 있거나, 사용하지 않을 수 있는 해당 위협이 탐지를 회피할 수 있음을 의미한다. 예를 들어, 많은 데이터 센터 애플리케이션(ex. Microsoft Lync, Active Directory, SharePoint)은 제대로 작동하려면 광범위한 연속 포트를 사용한다. 따라서 모든 포트를 먼저 열어 동일한 포트를 다른 애플리케이션이나 사이버 위협에 노출해야 한다.

② 알 수 없는 트래픽 개념 없음
알 수 없는 트래픽은 위험성이 높지만, 모든 네트워크에서 비교적 적은 양의 트래픽만 나타낸다. 알 수 없는 트래픽은 사용자 지정 애플리케이션일 수도 있고, 확인되지 않은 상용 기성품 애플리케이션일 수도 있고, 위협일 수도 있다. 알 수 없는 트래픽을 모두 차단하는 일반적인 방식은 비즈니스를 마비시킬 수도 있다. 그렇기에 모든 트래픽을 허용하는 것은 매우 위험하다. 네이티브 정책 관리 도구를 사용하여, 알 수 없는 트래픽을 체계적으로 관리할 수 있어야 조직 보안 위험을 줄일 수 있을 것이다.

 

③ 여러 정책, 정책 조정 도구 없음
전통적인 데이터 센터 보안 솔루션에서 순차적인 트래픽 분석(상태 정보 검사, 애플리케이션 제어, IPS, 안티 멀웨어 등)을 수행하려면, 해당 보안 정책 또는 프로파일이 필요하며, 종종 여러 관리 도구를 사용한다. 결과적으로 소스, 대상, 사용자, 포트 및 조치가 포함된 방화벽 정책, 유사한 규칙이 포함된 애플리케이션 제어 정책 및 필요한 기타 위협 방지 규칙을 구축하고 관리할 때, 보안 정책이 복잡해진다. 포지티브(방화벽) 및 네거티브(애플리케이션 제어, IPS, 안티 멀웨어) 제어 모델이 혼합된 여러 보안 정책은 트래픽을 누락하거나 트래픽을 식별하지 못해 보안 구멍을 유발할 수 있다. 이러한 상황은 정책 조정 도구가 없을 때 더 악화된다.

 

④ 번거로운 보안 정책 업데이트 프로세스
기존 데이터 센터의 보안 솔루션은 클라우드 환경의 동적 특성을 해결하지 못한다. 왜냐하면 정책은 가상 데이터 센터에서 흔히 볼 수 있는 수많은 동적 변화와 경쟁하기 어렵기 때문이다. 가상 데이터 센터에서는 VM 애플리케이션 서버가 한 물리적 호스트에서 다른 호스트로 이동하는 경우가 많기 때문에 보안 정책은 변화하는 네트워크 상황에 적응해야 한다.

 

많은 클라우드 보안 제품들은 물리적인 제품들과 마찬가지로 미흡한 점이 있는 포트 및 프로토콜 기반 보안 어플라이언스의 가상화된 버전에 불과하다.

 

가상 데이터 센터(프라이빗 클라우드)에는 서로 다른 방식으로 보안되는 두 가지 유형의 트래픽이 있다.

 

① North-South 트래픽

호스트 네트워크 또는 해당하는 전통적인 데이터 센터에서 가상화된 환경으로 드나드는 데이터 패킷을 말한다. North-South 트래픽은 하나 이상의 물리적 폼 팩터 경계 에지 방화벽에 의해 보안된다. 에지 방화벽은 보통 복원력을 높이기 위해 고가용성 액티브/액티브 또는 액티브/패시브 모드에서 작동하는 고처리량 어플라이언스다. 데이터 센터로 도달하는 모든 트래픽을 제어하고, 허용된 패킷과 "깨끗한" 패킷만 가상화된 환경으로 유입되도록 승인한다.

 

② East-West

데이터 패킷이 전적으로 프라이빗 클라우드 내에서 가상 워크로드 간에 이동하는 것을 말한다. East-West 트래픽은 각 하이퍼바이저에서 인스턴스화된 로컬 가상 방화벽으로 보호된다. East-West 방화벽은 애플리케이션 인프라에 투명하게 삽입되므로, 논리적 토폴로지를 재설계할 필요가 없다.

전형적인 가상 데이터 센터 디자인 아키텍처

 

컴퓨팅 클러스터는 애플리케이션 인프라를 호스팅하기 위한 구성 요소로 컴퓨팅, 스토리지, 네트워킹 및 보안 측면에서 필요한 리소스를 제공한다. 컴퓨팅 클러스터는 VLAN, VXLAN 또는 인터넷 프로토콜과 같은 OSI 모델 2계층 또는 3계층 기술을 사용하여 상호 연결할 수 있으므로, 작업량 용량을 위한 도메인 확장이 가능하다. 가상화 공간의 혁신을 통해 VM은 컴퓨팅, 스토리지, 네트워킹 및 보안 특성과 자세를 유지하면서, 이 프라이빗 클라우드에서 자유롭게 이동할 수 있다.

일반적으로 조직은 North-South로 흐르는 트래픽을 보호하기 위해 보안을 구현하지만, 이러한 접근 방식은 프라이빗 클라우드 내의 East-West 트래픽을 보호하기에는 충분하지 않다. 보안 태세를 개선하려면, 기업은 North-South 및 East-West 네트워크 전체의 위협으로부터 보호해야 한다.

프라이빗 클라우드에서 일반적인 방법 중 하나는 VM을 서로 다른 계층으로 격리하는 것이다. 격리는 애플리케이션 기능을 명확하게 설명하고, 보안 팀이 보안 정책을 쉽게 구현할 수 있도록 한다. 격리는 논리적 네트워크 속성(ex. VLAN 또는 VXLAN) 또는 논리적 소프트웨어 구성체(ex. 보안 그룹)를 사용하여 이루어진다. 아래 그림은 프론트엔드인 WEB-VM, 애플리케이션인 APP-VM, 데이터베이스 서비스를 제공하는 DB-VM으로 구성된 간단한 3계층 애플리케이션을 보여준다.

가상 데이터 센터에서 호스팅되는 3계층 애플리케이션

 

공격자에게는 DB-VM에서 데이터를 훔칠 수 있는 여러 가지 옵션이 있다. 첫 번째 옵션은 애플리케이션 취약성을 대상으로 하는 정규화된 SQL 명령을 포함하는 HTTP 요청을 전송하여 SQL 주입 공격을 시작하는 것이다. 두 번째 옵션은 (취약점 공격을 사용하여) WEB-VM을 손상시킨 다음,  APP-VM으로 이동하여 SQL 관리자 암호를 검색하는 무차별 대입 공격을 시작하는 것이다.

DB-VM이 손상된 후, 공격자는 DNS 터널링과 같은 기술을 사용하거나, NetBIOS로 네트워크를 가로질러 데이터를 이동한 다음, FTP를 통해 네트워크 밖으로 이동하여 민감한 데이터 추출을 숨길 수 있다. 실제로 거의 모든 네트워크에서 일반적으로 발견되는 애플리케이션을 사용하는 공격자는 이 환경에서 중요한 데이터를 훔칠 수 있는 사실상 무제한 옵션을 가지고 있다. 데이터가 정상적인 비즈니스 활동에 사용되는 합법적인 프로토콜(ex. HTTP 및 DNS)을 통해 전송되기 때문에, 환경으로의 침투와 중요한 데이터의 유출은 완전히 투명하고 탐지되지 않을 수 있다.

 

가상 데이터 센터 보안 모범 사례에는 North-South 보호와 East-West가 결합되어 있다. East-West 보호는 다음과 같은 이점을 제공한다.

 

① 데이터 센터 내부, VM 간 애플리케이션 흐름만 허용한다.
② 프론트 엔드 워크로드가 손상되었을 때(공격자가 애플리케이션 구성이 잘못되었거나 패치되지 않은 공격을 사용하여 프론트 엔드 서버를 침해) 측면 위협 이동이 감소한다.
③ 데이터 센터 내에서 내부적으로 발생하는 알려진 위협 및 알려지지 않은 위협을 차단한다.
④ 데이터 및 파일 필터링 기능을 활용하고, 외부와의 안티스파이웨어 통신을 차단하여 데이터 도난을 방지한다.

 

East-West 보호를 위해 가상 방화벽을 사용하면 가상화된 보안 장치가 이제 제공할 수 있는, 전례 없는 트래픽 및 위협 가시성도 추가적인 이점이라 할 수 있다. 트래픽 로그와 위협 로그가 켜지면, VM 간 통신과 악의적인 공격이 가시화된다. 이러한 가상 데이터 센터 인식을 통해, 보안 팀은 정책을 최적화하고 필요한 곳에 사이버 위협 보호(ex. IPS, 악성 소프트웨어 방지, 파일 차단, 데이터 필터링 및 DoS 보호)를 시행할 수 있다.

 

하이브리드 데이터 센터에서의 보안

전통적인 3계층 아키텍처에서 가상 데이터 센터, 클라우드에 이르기까지 진화하는 데이터 센터의 보안에 대한 다음 접근 방식은 기존 모범 사례와 기술 투자를 활용해야 할 필요성, 대부분의 조직이 데이터 센터를 점진적으로 변화시킬 것이다. 이 접근 방식은 4단계로 구성된다.

 

① 신뢰 수준 내에서 서버 통합

조직에서는 동일한 신뢰 수준 내의 서버를 단일 가상 컴퓨팅 환경(하나의 물리적 호스트 또는 물리적 호스트 클러스터)으로 통합하는 경우가 많다. 호스트 내 통신은 일반적으로 최소화되고 중요하지 않다. 일상적으로 대부분의 트래픽은 다양한 신뢰 수준에 있는 사용자와 시스템으로 "오프 박스"로 전달된다. 호스트 내 통신이 발생하는 경우, 이러한 가상화된 시스템 간에 보호 장치가 없다는 것은 가상화되지 않은 시스템에 대한 조직의 보안 태세와도 일치한다. 실시간 마이그레이션 기능은 일반적으로 동일한 서브넷 내에서 워크로드를 지원하는 호스트에만 VM을 전송할 수 있도록 하는 데 사용된다. 보안 솔루션은 관련 대응책의 단일 인스턴스를 각각 고유한 정책, 관리 및 이벤트 도메인이 있는 여러 논리적 인스턴스로 분할할 수 있는 강력한 가상 시스템 기능을 통합해야 한다. 이 가상 시스템 기능을 사용하면, 단일 물리적 장치를 사용하여 여러 VM 또는 VM 그룹의 고유한 요구 사항을 동시에 충족할 수 있다. 적절하게 배치되고 구성된 물리적 네트워크 보안 어플라이언스를 통해 호스트 간 트래픽을 제어하고 보호하는 것이 주요 보안 초점이라 할 수 있다.

 

② 신뢰 수준 전반에 걸쳐 서버 통합
신뢰 수준이 서로 다른 워크로드가 동일한 물리적 호스트 또는 물리적 호스트 클러스터에 공존하는 경우가 많다. 호스트 내 통신은 제한되어 있으며, 실시간 마이그레이션 기능을 사용하여 동일한 서브넷에 있고, VM 간 트래픽 라우팅과 관련하여 동일하게 구성된 호스트에만 VM을 전송할 수 있다. 호스트 내 통신 경로는 신뢰 수준이 서로 다른 VM 간에 의도적으로 구성되지 않는다. 대신, 모든 트래픽은 대상 VM으로 진행하기 전에 물리적 네트워크 보안 어플라이언스와 같은 기본 게이트웨이를 통해 강제로 차단된다. 일반적으로 이 오프 박스 라우팅은 각각의 고유한 신뢰 수준에서 VM에 대해 별도의 물리적 네트워크 인터페이스 카드(NIC)를 사용하여 별도의 가상 스위치를 구성하여 수행할 수 있다. 가상화에 대한 모범 사례로서, 동일한 서버에서 신뢰 수준이 서로 다른 워크로드의 조합을 최소화해야 한다. 또한 VM의 실시간 마이그레이션은 동일한 신뢰 수준 및 동일한 서브넷 내에서 워크로드를 지원하는 서버로 제한되어야 한다. 시간이 지남에 따라, 특히 워크로드가 클라우드로 이동함에 따라, 신뢰 수준에 따른 세분화 유지 관리가 더욱 어려워진다.

 

③ 선택적 네트워크 보안 가상화
호스트 내 통신 및 실시간 마이그레이션은 이 단계에서 설계된다. 모든 호스트 내 통신 경로는 서로 다른 신뢰 수준의 VM 간의 트래픽이 온 박스 가상 보안 어플라이언스 또는 오프박스 물리적 보안 어플라이언스에 의해 중재되도록 엄격하게 제어된다. 장거리 실시간 마이그레이션은 기본 실시간 마이그레이션 기능과 관련 네트워킹 및 성능 문제를 해결하는 외부 솔루션의 조합을 통해 가능해진다. 차세대 방화벽 가상 어플라이언스와 같은 솔루션의 강력한 처리 요구 사항으로 인해 특수 목적으로 구축된 물리적 어플라이언스가 가상 데이터 센터에서 계속해서 중요한 역할을 하게 될 것이다. 그러나 가상 인스턴스는 대응책이 제어하고 보호하는 워크로드와 함께 마이그레이션해야 하는 시나리오에 이상적으로 적합하다.

 

④ 동적 컴퓨팅 패브릭
기존의 정적 컴퓨팅 환경은 네트워크 장치, 스토리지, 서버와 같은 기본 리소스가 특정 시점에 조직의 요구 사항을 가장 잘 충족하는 조합으로 유동적으로 참여할 수 있는 동적 패브릭(프라이빗 또는 하이브리드 클라우드)으로 변환된다. 호스트 내 통신 및 실시간 마이그레이션에는 제한이 없다. 이 단계에는 가상화될 수 있을 뿐만 아니라, 가상화를 인식하고 필요에 따라 동적으로 조정하여 각각 통신 및 보호 요구 사항을 해결할 수 있는 네트워킹 및 보안 솔루션이 필요하다. 가상화 인식 보안 솔루션의 분류, 검사 및 제어 메커니즘은 물리적이고 고정된 네트워크 계층 속성에 종속되어서는 안 된다. 일반적으로 애플리케이션, 사용자 및 콘텐츠 식별과 같은 상위 계층 속성은 대응책이 보호를 제공하는 방법뿐만 아니라, 영향권에 존재하는 워크로드 및 컴퓨팅 리소스의 모든 조합을 고려하여 동적으로 조정하는 방법의 기초다. 또한, 관련 보안 관리 애플리케이션은 먼저 물리적 및 가상 대책 인스턴스의 활동을 서로 조정한 다음, 다른 인프라 구성 요소와 함께 조정할 수 있어야 한다. 이 기능은 워크로드가 데이터 센터 호스트 간에 자주 마이그레이션되는 상황에서 적절한 보호가 최적으로 제공되도록 보장하는 데 필요하다.

[5-2[ Global Protect로의 액세스 보안

사용자와 애플리케이션이 기존 네트워크 경계 외부의 위치로 이동함에 따라, 보안이 필요한 세계는 계속 확장되고 있다. 그에 따라 보안 팀은 네트워크 트래픽에 대한 가시성을 유지하고 위협을 차단하기 위한 보안 정책을 시행하는 데 어려움을 겪고 있다. 호스트 엔드포인트 바이러스 백신 소프트웨어, 원격 액세스 가상 사설망 등 모바일 엔드포인트를 보호하는 데 사용되는 기존 기술로는 오늘날의 정교한 공격자가 사용하는 고급 기술을 막을 수 없다.

팔로알토 네트웍스의 엔드포인트용 GlobalProtect 네트워크 보안을 사용하면, 보안 운영 플랫폼을 위치에 관계없이 모든 사용자에게 확장하여 모바일 인력을 보호할 수 있다. 애플리케이션 사용을 이해하고, 트래픽을 사용자 및 장치와 연결하고, 차세대 기술로 보안 정책을 시행하는 플랫폼 기능을 적용하여 트래픽을 보호하는 것이다.

 

주요 사용 시나리오 및 이점

① 원격 액세스 VPN

내부 및 클라우드 기반 비즈니스 애플리케이션에 대한 안전한 액세스를 제공한다.

 

② ATP(Advanced Threat Prevention)

⑴ 인터넷 트래픽을 보호한다.
⑵ 위협이 엔드포인트에 도달하는 것을 차단한다.
⑶ 피싱 및 자격 증명 도용으로부터 보호한다.

 

③ URL 필터링

⑴ 허용 가능한 사용 정책을 시행한다.
⑵ 악성 도메인 및 성인 콘텐츠에 대한 액세스를 필터링한다.
⑶ 회피 및 회피 도구의 사용을 방지한다.
⑷ SaaS 애플리케이션에 대한 액세스를 보호한다.
⑸ 다음에 대한 액세스를 제어하고, 정책을 시행한다.
⑹ 승인되지 않은 애플리케이션을 차단하면서, SaaS 애플리케이션도 차단한다.

 

④ BYOD

⑴ 사용자 개인정보 보호를 위해 앱 수준 VPN을 지원한다.
⑵ 파트너, 비즈니스 동료 및 계약업체를 위한 안전한 클라이언트리스 액세스를 지원한다.
⑶ 관리되지 않는 장치의 자동 식별을 지원한다.
⑷ 관리되는 장치와 관리되지 않는 장치에 대한 맞춤형 인증 메커니즘을 지원한다.

 

⑤ 제로 트러스트 구현

⑴ 신뢰할 수 있는 사용자 식별을 제공한다.
⑵ 가시성 및 정책 시행을 위해 즉각적이고 정확한 호스트 정보를 제공한다.
⑶ 민감한 리소스에 액세스하기 위해 단계별 다단계 인증을 시행한다.

 

플랫폼 보호를 외부로 확장

GlobalProtect는 경계, DMZ 또는 클라우드에 인터넷 게이트웨이로 배포된 차세대 방화벽을 사용하여, 모든 트래픽을 검사해 모바일 인력을 보호한다. GlobalProtect 앱이 설치된 노트북, 스마트폰 및 태블릿은 최고의 게이트웨이를 사용하여, 차세대 방화벽에 대한 보안 IPsec/SSL VPN 연결을 자동으로 설정하므로, 모든 네트워크 트래픽, 애플리케이션, 포트 및 프로토콜에 대한 완전한 가시성을 제공한다. 모바일 인력 트래픽의 사각지대를 제거함으로써, 조직은 애플리케이션에 대한 일관된 보기를 유지할 수 있다.

 

네트워크에 제로 트러스트 구현

모든 사용자가 회사 네트워크 내부의 모든 자산에 액세스할 필요는 없다. 보안 팀은 네트워크를 분할하고 내부 리소스에 대한 액세스를 정밀하게 제어하기 위해 제로 트러스트 원칙을 채택하고 있다. GlobalProtect는 플랫폼에 대해 가장 빠르고 권위 있는 사용자 식별을 제공하므로, 비즈니스 요구에 따라 액세스를 허용하거나 제한하는 정확한 정책을 작성할 수 있다. 또한, GlobalProtect는 보안 정책과 관련된 장치 규정 준수 기준을 설정하는 호스트 정보를 제공한다. 이러한 조치를 통해 내부 네트워크를 보호하고, 제로 트러스트 네트워크 제어를 채택하며 공격 위험을 줄이기 위한 예방 조치를 취할 수 있다. GlobalProtect가 이러한 방식으로 배포되면, 내부 네트워크 게이트웨이는 VPN 터널을 포함하거나 포함하지 않고 구성될 수 있다.

 

트래픽 점검 및 보안 정책 시행

GlobalProtect를 사용하면, 보안 팀은 사용자가 내부에 있든 원격에 있든 일관되게 적용되는 정책을 구축할 수 있다. 이를 통해 보안 팀은 플랫폼의 모든 기능을 활용하여 성공적인 사이버 공격을 예방할 수 있다.

① App-ID 기술은 포트 번호에 관계없이 애플리케이션 트래픽을 식별하고 조직이 사용자 및 장치를 기반으로 애플리케이션 사용을 관리하는 정책을 수립할 수 있도록 해준다.
② User-ID 기술은 가시성을 확보하고 역할 기반 네트워크 보안 정책을 시행하기 위해 사용자 및 그룹 멤버십을 식별한다.
③ SSL 복호화는 SSL/TLS/SSH 트래픽으로 암호화된 애플리케이션을 검사 및 제어하고, 암호화된 트래픽 내의 위협을 차단한다.
④ WildFire 맬웨어 방지 서비스는 콘텐츠 분석을 자동화하여, 이전에 알려지지 않은 새로운 맬웨어와 고도로 표적화된 맬웨어를 동작별로 식별하고, 위협 인텔리전스를 생성하여 이를 거의 실시간으로 차단한다.
⑤ IPS 및 안티바이러스를 위한 위협 예방은 취약한 애플리케이션 및 운영 체제를 표적으로 하는 네트워크 기반 악용, 서비스 거부(DoS) 공격 및 포트 스캔을 차단한다. 바이러스 백신 프로필은 스트림 기반 엔진을 사용하여,맬웨어 및 스파이웨어가 엔드포인트에 도달하는 것을 차단한다.
⑥ PAN-DB를 사용한 URL 필터링은 도메인, 파일 및 페이지 수준의 콘텐츠를 기준으로 URL을 분류하고, WildFire로부터 업데이트를 수신하여 웹 콘텐츠가 변경되면 분류도 변경된다.
⑦ 파일 차단은 WildFire로 허용된 파일을 자세히 조사하는 동시에, 원치 않는 위험한 파일의 전송을 중지한다.
⑧ 데이터 필터링을 통해 관리자는 고객 정보나 기타 기밀 콘텐츠의 전송과 같은 데이터의 무단 이동을 중지하는 데 사용할 수 있는 정책을 구현할 수 있다.

 

보안 액세스 제어

① 사용자 인증
GlobalProtect는 커버로스, RADIUS, LDAP, SAML 2.0, 클라이언트 인증서, 생체 인식 로그인 및 로컬 사용자 데이터베이스를 포함한 모든 기존 PAN-OS 인증 방법을 지원한다. GlobalProtect가 사용자를 인증하면, 즉시 차세대 방화벽에 User-ID에 대한 사용자-IP 주소 매핑을 제공한다.

 

② 강력한 인증 옵션

GlobalProtect는 RADIUS 및 SAML 통합을 통해 일회용 비밀번호 토큰, 인증서 및 스마트 카드를 포함한 다양한 타사 MFA(다단계 인증) 방법을 지원한다. 이러한 옵션은 조직이 내부 데이터 센터 또는 SaaS 애플리케이션에 액세스하기 위한 신원 증명을 강화하는 데 도움이 된다. 그리고 GlobalProtect에는 강력한 인증을 더욱 쉽게 사용하고 배포할 수 있는 옵션이 있다.

⑴ 쿠키 기반 인증: 인증 후 해당 쿠키의 수명 동안 포털이나 게이트웨이에 대한 후속 액세스에 암호화된 쿠키를 사용하도록 선택할 수 있다.
⑵ 단순화된 인증서 등록 프로토콜 지원: GlobalProtect는 인증서를 관리, 발급 및 GlobalProtect 클라이언트에 배포하기 위해 엔터프라이즈 PKI와의 상호 작용을 자동화할 수 있다.
⑶ MFA: 사용자가 애플리케이션에 액세스하려면 추가 인증 형식을 제시해야 할 수 있다.

 

③ 호스트 정보 프로필

GlobalProtect는 엔드포인트를 확인하여 구성 방법에 대한 인벤토리를 얻고, 차세대 방화벽과 공유되는 호스트 정보 프로필(HIP)을 구축한다. 차세대 방화벽은 HIP를 사용하여 엔드포인트가 올바르게 구성되고 보안이 유지되는 경우에만 액세스를 허용하는 애플리케이션 정책을 시행한다. 이러한 원칙은 특정 사용자가 특정 장치에 대해 가져야 하는 액세스 권한의 양을 제어하는 정책을 준수하도록 하는 데 도움이 된다. HIP 정책은 다음을 포함한 다양한 속성을 기반으로 할 수 있다.

⑴ 관리/비관리 장치 식별
⑵ 기기에 존재하는 머신 인증서
⑶ 모바일 기기 관리자로부터 받은 기기 정보
⑷ 운영체제 및 애플리케이션 패치 수준
⑸ 호스트 맬웨어 방지 버전 및 상태
⑹ 호스트 방화벽 버전 및 상태
⑺ 디스크 암호화 구성
⑻ 데이터 백업 제품 구성
⑼ 사용자 정의된 호스트 조건(ex. 레지스트리 항목, 실행 중인 소프트웨어)

 

④ 애플리케이션 및 데이터에 대한 액세스 제어

보안 팀은 애플리케이션, 사용자, 콘텐츠 및 호스트 정보를 기반으로 정책을 수립하여 특정 애플리케이션에 대한 액세스를 세밀하게 제어할 수 있다. 이러한 정책은 조직이 비즈니스 요구에 따라 올바른 액세스 수준을 제공하도록 하기 위해 디렉터리에 정의된 특정 사용자 또는 그룹과 연결될 수 있다. 보안 팀은 특히 민감한 리소스 및 애플리케이션에 액세스하기 전에 추가적인 신원 증명을 제공하기 위해 강화된 MFA에 대한 정책을 추가로 설정할 수 있다.

 

강화된 트러블슈팅 및 가시성

GlobalProtect ACC 위젯, 보고서 및 새로운 GlobalProtect 로그는 배포 시 GlobalProtect 사용량에 대한 완전한 가시성을 제공한다. 연결 워크플로우를 단계별로 자세히 기록하면, 사용자 연결 문제 해결이 크게 단순화된다. 이 로깅을 통해 관리자는 특정 사용자에게 문제가 있는 연결 프로세스의 단계 및 이벤트를 쉽게 식별할 수 있다.

 

안전하고 활성화된 BYOD

BYOD(Bring-Your-Own-Device) 정책의 영향으로 보안 팀이 지원해야 하는 사용 사례 순열의 수가 변화하고 있다. 그리하여 다양한 모바일 장치를 사용하는 광범위한 직원 및 계약자에게 애플리케이션 액세스를 제공해야 한다.

AirWatch 및 MobileIron과 같은 모바일 장치 관리 제품과 통합하면, GlobalProtect를 배포하는 데 도움이 될 뿐만 아니라, 인텔리전스 및 호스트 구성 교환을 통해 추가 보안 조치를 제공할 수 있다. 이를 GlobalProtect와 함께 사용하면 조직은 가시성을 유지하고 앱별로 보안 정책을 시행하는 동시에 개인 활동과 데이터를 분리하여, BYOD 시나리오에서 개인 정보 보호에 대한 사용자의 기대를 충족할 수 있다.

GlobalProtect는 관리되지 않는 장치에서 데이터 센터 및 클라우드의 애플리케이션에 안전하게 액세스할 수 있도록 클라이언트리스 SSL VPN을 지원한다. 이 접근 방식을 통해 고객은 사용자가 클라이언트를 설치하거나, VPN 터널을 설정하지 않고도 웹 인터페이스를 통해 특정 애플리케이션에 대한 액세스를 제공함으로써, BYOD 장치에서 연결하는 타사 사용자 및 직원에게 보안 액세스를 제공할 수 있다.

 

아키텍처 문제

GlobalProtect의 유연한 아키텍처는 다양한 보안 문제를 해결하는 데 도움이 되는 다양한 기능을 제공한다. 가장 기본적인 수준에서는 GlobalProtect를 기존 VPN 게이트웨이의 대체품으로 사용하여, 독립형 타사 VPN 게이트웨이를 관리하는 데 따르는 복잡성과 골칫거리를 없앨 수 있다.

수동 연결 및 게이트웨이 선택 옵션을 사용하면, 필요에 따라 비즈니스 요구 사항을 지원하도록 구성을 맞춤화할 수 있다.

트래픽 보안을 위한 보다 포괄적인 배포에서 GlobalProtect는 전체 터널이 포함된 상시 VPN 연결을 통해 배포될 수 있으므로, 보호 기능이 항상 존재하고 사용자 경험에 투명하게 보장된다. 애플리케이션, 도메인 이름 및 경로 또는 비디오 트래픽별로 지연 시간에 민감한 트래픽에 대해 예외를 정의할 수 있다.

 

① 클라우드 기반 게이트웨이

인력이 한 위치에서 다른 위치로 이동하면서 트래픽에 변화가 생긴다. 이는 일시적인 것(ex. 자연 재해 발생)이든 영구적인 것(ex. 새로운 시장 진입)이든, 기업이 어떻게 진화하는지 고려할 때 특히 그렇다.

팔로알토 네트웍스의 Prisma Access는 보안 정책을 사용하여 조직이 필요로 하는 위치에 적용 범위를 배포하기 위한 공동 관리 옵션을 제공한다. 기존 방화벽과 함께 사용할 수 있으므로, 아키텍처가 변화하는 조건에 적응할 수 있다.

Prisma Access는 특정 지역의 로드와 수요에 따라 새로운 방화벽을 동적으로 할당하는 자동 확장을 지원한다.

 

GlobalProtect의 기능
VPN 연결	IPsec, SSL, 클라이언트리스 VPN, Android, iOS의 앱별 VPN
게이트웨이 선택	자동 선택, 매뉴얼 선택, 선호하는 게이트웨이 선택, 소스 위치별 외부 게이트웨이 선택, 소스 IP별 내부 게이트웨이 선택
연결 방법	사용자 로그온(항상), 온 디맨드, 사전 로그온(항상), 사전 로그온 후 온 디맨드, 사용자 시작 사전 로그온
연결 모드	내부 모드, 외부 모드
3계층 프로토콜	IPv4, IPv6
SSO	SSO(윈도우 자격 증명 제공자), 커버로스 SSO, 맥 OS용 SSO
분할 터널링	경로, 도메인, 애플리케이션 포함 경로, 도메인, 애플리케이션 제외
인증 방법	SAML 2.0, LDAP, 클라이언트 인증서, 커버로스, RADIUS, 멀티 팩터 인증, 운영 체제 또는 장치 소유권에 따른 인증 방법 선택
HIP 보고, 정책 시행 및 알림	패치 관리, 호스트 안티 스파이웨어, 호스트 안티 맬웨어, 호스트 방화벽, 디스크 암호화, 디스크 백업, DLP, 사용자 정의된 호스트 정보 프로필 조건(ex. 레지스트리 항목, 실행 중인 소프트웨어)
관리 장치 식별	기계 인증서별, 하드웨어 일련 번호별, 연결 시간 및 리소스 액세스 시간
다른 기능	사용자 ID, IPsec에서 SSL VPN으로 대체, 네트워크 액세스를 위해 GlobalProtect 연결 시행, 사용자 위치 기반 터널 구성, HIP 보고서 재배포, HIP에서 인증서 확인, SCEP 기반 자동 사용자 인증서 관리, 세션 전후에 실행되는 스크립트 작업, 동적 GlobalProtect 앱 사용자 정의 사용자 (또는 그룹 및 운영 체제를) 기반으로 한 앱 구성, 내부 및 외부 자동 감지, GlobalProtect 앱의 수동 및 자동 업그레이드, OID별 인증서 선택, 분실 및 도난과 알 수 없는 장치에 대한 접근 차단, 연결 및 연결 해제를 위한 스마트 카드 지원, SSL 복호화를 위한 신뢰할 수 있는 루트 CA의 투명한 배포, 로컬 네트워크에 대한 직접 액세스 비활성화, 사용자 정의 가능한 시작 및 도움말 페이지, 원격 클라이언트에 대한 RDP 연결, 운영 체제 기본 알림, 사용자 로그아웃 제한, 프록시 지원, GlobalProtect 제외 시행, SSL로만 연결, RSA 소프트웨어 토큰 통합
MDM/EMM 통합	에어워치, 모바일아이언, 마이크로소프트 인튠
관리 도구 및 API	물리적 및 가상 어플라이언스를 포함한 팔로알토 네트웍스 차세대 방화벽, Prisma 액세스, 파노라마 네트워크 보안 관리
GlobalProtect 앱 지원 플랫폼	마이크로소프트 윈도우와 윈도우 UWP, 애플 맥 OS, 애플 iOS과 아이패드 OS, 구글 크롬 OS, 안드로이드 OS, 리눅스 OS(레드햇, CentOS, Ubuntu), IoT 장비
IPsec XAuth	Apple iOS IPsec 클라이언트, Android OS IPsec 클라이언트, 타사 VPNC and StrongSwan 클라이언트
GlobalProtect 앱 현지화	중국어, 영어, 프랑스어, 독일어, 일본어, 스페인어 등