차세대 방화벽의 역사와 과제

지금으로부터 약 16년 전인 2007년, 팔로알토 네트웍스는 네트워크 보안의 판도를 바꾼 첫 번째 제품을 출시했습니다. '차세대 방화벽'(NGFW)이라는 용어는 아직 만들어지기 전이었습니다. 가트너가 2009년에 이 용어를 도입했을 때였습니다. 당시 팔로알토의 제품은 이전 용어인 '통합 스레드 관리'(UTM)에 속했습니다. 팔로알토가 UTM이나 NGFW를 개발한 것은 아니지만, 이후 이 두 제품은 모든 경쟁업체의 비교 대상이 되는 해당 분야의 대표 제품으로 자리 잡았습니다. 이 글에서는 간단하게 하기 위해 NGFW라는 명칭을 사용하겠습니다.

지금 우리가 '클라우드'라고 부르는 것이 2007년에 분명히 존재했지만, 데이터 센터는 여전히 데이터와 컴퓨팅의 부드러운 중심을 둘러싼 딱딱한 보안 껍질이라는 전통적인 방식으로 구축되고 있었습니다. 아주 대담한 조직들만이 자산을 AWS(아마존 웹 서비스) 및 기타 새로운 클라우드 서비스로 옮기고 있었습니다. 데이터 센터에는 여전히 정의되고 알려진 경계가 있었습니다. 데이터센터 내부의 자산과 외부의 자산 사이에 경계가 명확했습니다. ‍

NGFW: 데이터 센터 경계 보호에 적합

강력한 보안 기능을 갖춘 NGFW는 이 모델에 매우 적합했습니다. NGFW는 빠르게 데이터 센터의 게이트키퍼가 되어 특정 네트워크에서 들어오는 것(그리고 훨씬 적은 범위에서 나가는 것)을 신중하게 제어합니다. 강력한 맞춤형 CPU가 패킷을 빠르게 분석하고 이동시켰으며, 보안 담당자들은 새로운 도구로 자산이 보호된다는 사실을 알고 밤에 조금 더 편안하게 잠을 잘 수 있었습니다.

네트워크 세분화가"새로운 핫 이슈"로 떠오르면서 팔로알토 네트웍스, 체크포인트, 포티넷과 같은 NGFW 공급업체들은 이제 데이터 센터 내부를 장악하고 애플리케이션 간 트래픽을 모니터링 및 제어한다는 새로운 목표를 세웠습니다.

하지만 여기서 그들은 훨씬 더 큰 도전에 직면했습니다. 데이터 센터 경계를 보호하기 위한 확실한 선택은 NGFW였습니다. 하드웨어, 라이선스 및 지원의 엄청난 비용은 분명한 이점으로 정당화되었고, 데이터 센터로의 인터넷 연결이 내부 연결에 비해 상대적으로 느리고 대역폭에 따라 가격이 올라간다는 사실로 인해 가격이 억제되었습니다. 그러나 내부적으로는 비용 대비 편익이 명확히 구분되는 비율은 어디에서도 찾아볼 수 없었습니다. DDoS 완화나 트래픽 쉐이핑을 예로 들면, 상당수의 NGFW 기능은 내부적으로 아무런 가치가 없었습니다. 하지만 어쨌든 비용을 지불하셨습니다.

10G의 처리량이라는 엄청난 비용도 내부 사용을 억제하기에 충분하지 않다는 듯이, 이중화를 위해 모든 비용을 두 배로 늘렸습니다. 업무와 관련이 없는 과도한 기능 집합에 기존 방화벽의 5배에 달하는 비용을 지출하는 것을 정당화하기는 매우 어려웠습니다.

즉, 업계 및 정부 규정은 적어도 특정 등급의 애플리케이션에 대해서는 내부에서 특정 제어를 요구합니다. 대표적인 예로 HIPPA와 PCI가 떠오릅니다. 따라서 고객들은 경계와 몇 가지 중요한 특정 애플리케이션을 보호하는 NGFW 디바이스와 내부 보호의 부족한 부분을 기존의 스테이트풀 비-NGFW가 담당하는 하이브리드 솔루션에 만족하게 되었습니다. 이 불행한 신구의 결합은 한동안 지속되었습니다. 퍼블릭 클라우드가 주류로 받아들여지기까지 모든 과정을 함께했습니다.

클라우드에서 NGFW 복잡성 관리하기

퍼블릭 클라우드는 보안의 세계를 완전히 뒤바꿔 놓았습니다. 하지만 모든 사람에게 적용되는 것은 아니며, 항상 명확한 방식으로 적용되는 것도 아닙니다.

NGFW는 섀시를 통과하는 모든 패킷에 대해 엄청난 양의 처리를 수행한다는 점을 기억하세요. 인텔 아키텍처는 어디에나 존재하지만, NGFW 내에서 수행해야 하는 방대한 양의 저수준 작업에는 적합하지 않습니다. 팔로알토는 이러한 저수준 패킷 검사 및 조작을 위해 Cavium 네트워크 프로세서를 선택했습니다. 포티넷은 이 작업을 수행할 자체 고객 프로세서를 설계했습니다.

불과 10년 전의 기준으로 볼 때 오늘날의 NGFW는 정부 기관급 슈퍼컴퓨터로, 비용의 일부를 차지하는 것은 분명합니다. NGFW 공급업체들은 가상 버전의 제품으로 클라우드로의 전환에 빠르게 대응했지만, 인텔 아키텍처의 한계로 인해 전반적으로 성능이 형편없었습니다.

이로 인해 클라우드 네트워크의 경계에서 보안을 처리하는 방식에 큰 변화가 생겼습니다. 수십 개의 가상 방화벽이 로드 밸런싱되는 경우가 많았습니다. 네트워크는 오프라인 시절보다 훨씬 더 많은 인터넷 피어링 지점을 갖도록 재설계되어 방화벽당 성능 요구 사항이 낮아졌습니다. 방화벽 공급업체는 한두 개의 방화벽으로는 더 이상 작업을 수행할 수 없기 때문에 VM(가상 머신) 구현을 6팩, 10팩으로 판매하기 시작했습니다.

구축과 관리가 복잡하게 느껴진다면, 자산의 일부만 클라우드로 이전한 일반적인 기업을 안타까워하세요. IaaS(서비스형 인프라) 와 PaaS(서비스형 플랫폼) 가 확산되면서 네트워크 경계가 점점 불분명해지기 시작했습니다. IT 관련 '클라우드'의 정의는 수증기와 유사하게 많은 수의 컴퓨터가 멀리서 보면 하나로 보인다는 개념에서 유래되었지만, 다른 정의를 사용하는 것이 더 적절해지기 시작했습니다: "가려지거나 흠이 있는 것."

데이터 센터에서 무작위로 선택한 애플리케이션과 애플리케이션의 일부를 클라우드에서 호스팅하고 다른 애플리케이션(및 애플리케이션의 일부)은 온사이트에 남겨두기 시작하면서 애플리케이션을 보호하고 보안 정책을 적용하는 것이 매우 어려워졌습니다. 이는 일반적으로 보안이 적용되는 경계를 정의하는 것이 거의 불가능해졌기 때문입니다. 경계가 분명한 경우에도 보안 하드웨어, 소프트웨어, 구성의 양이 너무 많아서 감당하기 힘들었습니다.

그 결과 보안은 크게 후퇴했습니다.

미래를 내다보며: 마이크로세그멘테이션 환경에서의 NGFW 기능

따라서 초창기에는 마이크로세그멘테이션으로 알려진 영역이 시작되었고, 현재는 제로 트러스트 세그멘테이션(ZTS)이라고 더 자주 불립니다.

마이크로세그멘테이션의 개념은 간단합니다. 모든 서버에서 정책 적용(예: 방화벽)을 통해 다른 모든 서버에 대한 인바운드 및 아웃바운드 트래픽을 모두 제어하는 것입니다. 기본적으로 마이크로세그멘테이션은 네트워크 세분화를 궁극적인 수준(서버당 하나의 방화벽)으로 확장한 개념일 뿐입니다. 마이크로세그멘테이션은 서버 단위(또는 최소한 애플리케이션 단위)로 보안을 처리하여 데이터센터 주변과 내부의 '모호한 경계'를 처리할 수 있는 강력한 새 도구를 보안 팀에 제공했습니다.

지금까지 마이크로세그멘테이션은 NGFW 기능에 필요한 심층 검사 영역으로 뛰어들지 않고 포트와 프로토콜을 다뤄왔습니다.

CTO실에서 제가 하는 일은 "만약에?"라는 질문을 던지고 미래의 잠재적인 문제와 그에 대한 해결책을 미리 예측하는 것입니다. 따라서 일루미오의 현재 연구에는 마이크로세그멘테이션 환경에서 NGFW 기능을 구현할 수 있는 가능성을 검토하는 것이 포함됩니다.

다음 주 블로그에서 Illumio의 연구와 향후 마이크로세그멘테이션의 발전 가능성에 대해 자세히 알아보세요.