클라우드 방화벽

1. 클라우드 방화벽의 개념

클라우드 방화벽이라고 해서 막 거창한 것은 아니다. 클라우드에 배포되는 방화벽이면 그게 클라우드 방화벽인 것이다. 이러한 클라우드 방화벽은 가상 장벽을 형성하여 클라우드의 악성 네트워크 트래픽을 방지하며, 기존 방화벽과 동일하게 작동하지만 클라우드라는 점만 다른 것이다. 여기서 방화벽은 클라우드 플랫폼에서 호스팅된다.

클라우드 방화벽은 무단 네트워크 트래픽으로부터 보호하는 보안 제품 역할을 하며, 이러한 보호는 클라우드 CRM, 클라우드 데이터베이스, 이메일 클라우드와 같은 다양한 클라우드 구성 요소에 제공된다.

 

1.1 클라우드 방화벽의 필요성

클라우드 방화벽은 악의적이고 원치 않는 네트워크 트래픽에 대한 보안을 제공하는 데 매우 중요하다. 클라우드는 기업에 속한 많은 중요 데이터를 저장하는 가상 공간의 원천일 것이다. 그래서 이를 보호하기 위한 보안 메커니즘이 절실히 필요한데, 온 프레미스의 물리적 인프라에서는 방화벽이 성공을 거두고 있는 상황이다. 클라우드 제공업체는 가상 작업 공간에도 강력한 방화벽 환경을 구성하고 있다.

이러한 클라우드 방화벽은 가상 클라우드 작업 공간에 대한 사이버 공격을 차단하고 클라우드 구성 요소에 24시간 편의점 같은 연중무휴 보안을 제공할 수 있도록 설계되었다. 이는 은행과 가상 작업 공간을 보호하는 경비원 분들과 동일하다고 볼 수 있을 것이다. 즉, 클라우드 서버는 은행 자산으로 간주될 수 있다. 

 

2. 클라우드 방화벽의 유형

클라우드 방화벽은 크게 두 가지 유형으로 분류된다. ① 차세대 방화벽(NGFW) ②SaaS 방화벽

 

ㄱ. 차세대 방화벽

이 클라우드 방화벽 서비스는 조직의 서버 IaaS 또는 PaaS 모델을 보호하기 위한 목적으로 데이터 센터에 배치되는 것이다. 이러한 모델에서 클라우드 방화벽 소프트웨어는 클라우드 작업에서 네트워크 트래픽을 보호하고 배포한다.

 

ㄴ. SaaS 방화벽

이러한 종류의 방화벽은 기존 방화벽과 동일하게 가상 공간의 네트워크를 보호하는 것이 주된 업무이지만, 클라우드에서 호스팅되는 것이 유일한 차이점이다. 이러한 방화벽에는 SECaaS, FWaaS 등이 존재한다.

 

3. 클라우드 방화벽의 작동

클라우드 방화벽은 기본적으로 본질적으로 방화벽과 일치한다. 들어오는 데이터가 네트워크에 들어가기 전에 필터링하여 클라우드 네트워크의 활성 연결을 평가하는 패킷 검색 방화벽과 같은 기능을 하며, 이러한 연결을 기반으로 방화벽은 어떤 패킷이 안전하고 통과할 수 있는지 결정한다. 따라서 일반적인 클라우드 방화벽은 다음과 같은 기능을 수행한다.

 

① 패킷 필터링

네트워크에 있는 소량의 데이터를 패킷이라고 한다. 이러한 패킷은 일부 위협에 대해 패킷을 검사하는 방화벽을 우회하기 전에 특정 필터 그룹에 노출된다. 이때 위협으로 판단되면, 방화벽은 해당 패킷이 네트워크에 진입하는 것을 차단한다. 

② 프록시 서비스
이 프록시 서비스는 클라이언트 장치와 수신 패킷 간의 직접 연결을 방지하여 네트워크 영역을 무단 액세스로부터 보호한다.

③ 상태 저장 검사
클라우드 방화벽은 들어오는 데이터 패킷에 대해 상태 저장 검사를 수행한다. 여기서 이러한 방화벽은 소스와 대상 간의 일부 정책을 확인하여 소스와 대상 사이에 세션을 설정한다. 필요한 정책이 소스와 대상 사이에 없으면 액세스가 불가능하다. 사용자는 이를 위해 각 조직에 맞는 새로운 정책을 등록해야 할 것이다.

 

4. 클라우드 방화벽의 장점

① 배포 및 확장성
클라우드 방화벽은 자체 소프트웨어 특성을 소유하여 확장 및 배포가 쉽다. 클라우드에 배포하는 데 있어서, 기존 방화벽에 비해 시간이 거의 걸리지 않으며, 비즈니스 중단을 최소화하고 유지 관리가 매우 쉽다. 기존 방화벽과 달리 대역폭이 증가함에 따라 무제한 확장이 가능하지만, FWass는 패리티를 유지하도록 조정되므로 기업은 네트워크의 트래픽 크기에 대해 걱정할 필요가 없게 된다.

 

② 액세스 및 ID 관리
클라우드 방화벽은 다양한 테넌트와 네트워크 파티션 사이의 여러 소스에서 발생하는 트래픽을 필터링하도록 설계되어 봇과 인간을 쉽게 구별할 수 있으므로, 봇 공격을 방지할 수 있다. 액세스 관리 및 인증을 제어하여 클라우드 서버에 대한 세부적인 제어를 보장한다.

 

③업데이트
방화벽은 방화벽에서 활성화된 고급 위협 필터링 시스템에 대한 보호를 제공하는 실시간 자동 업데이트로 설계되었다.

④ 가용성

클라우드 기반 방화벽은 언제든지, 24시간 이용 가능하다. 이는 클라우드 방화벽에 내장된 이중화(파워, HVAC, 네트워크)가 있어 하루 종일 모든 종류의 사고에 대비할 수 있다. 기존 방화벽에서는 불가능한 것이다.

5. 클라우드 방화벽의 단점

① 클라우드 기반 방화벽은 방화벽 레지스트리에서 생성된 정책을 기반으로 패킷을 맹목적으로 검색하는 방문자가 누구인지는 실제로 알 수 없다. 공격자가 기존 정책의 가짜 복제본을 생성한 경우, 방화벽을 쉽게 속이고 클라우드 네트워크로 우회할 수도 있을 것이다.

 

② 클라우드 기반 방화벽은 사이트가 실제로 어떻게 작동하는지, 소프트웨어 기반 상황은 무엇인지, 인증된 사용자는 누구인지, 필요한 권한은 무엇인지에 대한 이해가 부족하다.

 

③ 이러한 방화벽은 일반적인 사용 사례를 따르기 때문에 플러그인 취약성과 같은 소프트웨어별 취약성을 감지하지 못할 수 있다.

 

④ 클라우드 방화벽 뒤에 있는 사이트는 방화벽 서비스 공급자에 따라 달라진다. 서비스가 중단될 경우, 클라우드 네트워크에 이른바 정전이 발생할 수도 있을 것이다.