제로 트러스트 보안 솔루션을 갖춘 ‘아루바 ESP’
상태바
제로 트러스트 보안 솔루션을 갖춘 ‘아루바 ESP’
  • 석주원 기자
  • 승인 2021.05.04 17:48
  • 댓글 0
이 기사를 공유합니다

클리어패스와 다이나믹 세그멘테이션 등 손쉽게 네트워크 보안 강화

과거 업무용 네트워크 환경은 데스크톱 위주의 유선망으로 구성돼 있었다. 이러한 구조에서는 일반적으로 사용자당 1개의 디바이스를 사용했으며, 접속 가능한 단말에 제한이 있었기에 네트워크 가시성 확보가 용이했다. 하지만 현재의 업무 환경은 무선 네트워크의 비중이 급증하고 있어 무선 네트워크 성능과 보안에 대한 기업 고객의 니즈도 점점 높아지고 있다. 더욱이 개인 소유의 단말이 증가함에 따라 접속 단말의 수도 늘어나고 있기에 네트워크 가시성 확보가 어려워진 상황이다.

 

업무 환경 변화에 따른 제로 트러스트 보안 부상

IoT 디바이스와 클라이언트 디바이스를 네트워크에 연결하기 위해서는 일반적으로 다수의 관리 포인트가 필요하고, 네트워크의 모든 홉(hop)마다 새로운 VLAN, ACL 또는 서브넷을 수동으로 구성해야 한다. 또한 대규모 분산 네트워크에서 끊임없는 이동, 추가, 변경을 실행하는 데에는 시간이 많이 걸리고 오류도 빈번할 수 있다. 이 때문에 강력한 보안을 갖춘 네트워크를 설계하면서 복잡성을 줄이는 것은 거의 어려운 일이었다.

사용자들은 사무실, 혹은 사내의 다른 장소로 이동하더라도 연결 위치나 유선 또는 무선에 관계없이 동일한 네트워크 환경을 기대한다. 사용자들은 IT 팀이 안전한 네트워크에서 모든 접근의 가시성과 관리를 유지하면서 완벽한 경험을 제공하기를 기대한다. 이러한 사용자들에게 IT 팀의 지원이 필요한 모든 네트워크 경험은 부정적으로 인식되며, VPN 사용을 요구하기도 어려워 네트워크 관리자의 고민은 갈수록 커지고 있다.

이러한 상황을 해결하기 위한 새로운 보안 모델로 제로 트러스트가 부상하고 있다. 제로 트러스트는 모든 사용자, 디바이스, 서버, 네트워크 세그먼트가 원래부터 안전하지 않고 잠재적으로 공격을 가할 수 있다고 가정함으로써, 현대 기업의 변화하는 보안 요구 사항을 훨씬 더 잘 해결할 수 있는 효과적인 보안 모델로 평가받는다. 제로 트러스트 보안을 갖춘 아루바 ESP(Edge Services Platform)는 기존의 신뢰할 수 있는 네트워크 리소스에 더욱 엄격한 보안 모범 사례 및 제어를 적용하여 전반적인 네트워크 보안 상태를 개선한다.

아루바 ESP: 제로 트러스트 핵심 원칙

 

종합적인 가시성의 필요성

IoT 채택이 증가함에 따라 네트워크상의 모든 디바이스와 사용자에 대한 폭넓은 가시성을 갖기가 점점 더 어려워지고 있다. 가시성이 없으면 제로 트러스트 모델을 뒷받침하는 중요한 보안 제어를 적용하기가 어렵다. 자동으로 AI 기반 머신 러닝 기술을 활용하여 디바이스 유형을 신속하게 식별할 수 있는 기능은 매우 중요하다. 아루바 클리어패스 디바이스 인사이트(Aruba ClearPass Device Insight)는 능동 및 수동 검색을 조합하고 프로파일링 기법을 사용하여 네트워크에 연결되어 있거나 연결을 시도하는 디바이스를 폭넓게 감지할 수 있다.

 

액세스 최소화 및 마이크로 세그멘테이션 채택

네트워크에 대한 가시성이 확보되면 그 다음으로 매우 중요한 단계는 ‘최소 권한’ 및 마이크로 세그멘테이션과 관련된 제로 트러스트 모범 사례를 적용하는 것이다. 아루바 클리어패스 정책 매니저(Aruba ClearPass Policy Manager)를 사용하면 IT 및 보안팀이 지점 또는 캠퍼스의 유무선 네트워크 인프라에 있는 모든 단말에 대해 단일의 역할과 그와 관련된 액세스 권한을 제공하는 역할 기반의 정책을 통해 관리를 최적화할 수 있는 모범 사례를 만들 수 있다.

이처럼 프로파일링이 완료된 디바이스는 적절한 접근 제어 정책이 자동으로 할당되고 아루바의 다이나믹 세그맨테이션(Dynamic Segmentation) 기능을 통해 다른 디바이스와 분리된다. 따라서 IoT 디바이스와 IT 팀이 관리하는 클라이언트 디바이스가 공존하는 기업 네트워크의 운영을 간소화하고 엔드 투 엔드(end-to-end) 네트워크 경험과 IT 작업을 최적화할 수 있다. 마지막으로 아루바 네트워크 인프라에 내장된 애플리케이션 방화벽인 아루바의 PEF(Policy Enforcement Firewall)에서 정책이 적용된다. 이는 무선 네트워크 연결을 통한 WPA3 표준 같은 가장 안전한 암호화 프로토콜도 활용한다.

클리어패스 정책 매니저는 다양한 인증 솔루션과도 통합되어 다단계 인증(Multi Factor Authentication) 및 네트워크 전반의 주요 포인트에서 재인증을 시행할 수 있는 기능을 사용할 수 있도록 지원한다. 클리어패스 에코시스템을 통해 고객은 컨텍스트 정보 및 기타 보안 텔레메트리와 관련된 제로 트러스트 요구 사항을 충족하는 다른 솔루션과도 손쉽게 연동할 수 있다.

아루바 클리어패스는 다이나믹 세그맨테이션을 사용해 시행되는 역할 기반 액세스 제어 정책을 자동으로 할당한다
아루바 클리어패스는 다이나믹 세그맨테이션을 사용해 시행되는 역할 기반 액세스 제어 정책을 자동으로 할당한다

 

WLAN 혁신을 스위칭으로 확대

다이나믹 세그멘테이션은 아루바의 보안 정책 관리와 WLAN 정책 실행 기능을 확장하여 유선 네트워크 액세스 보안을 강화하고 간소화한다. 이 기능을 통해 유선 클라이언트 디바이스에 포트 또는 사용자 역할에 따라 동적으로 정책을 할당할 수 있다. IoT 디바이스 수가 2020년 2백억 대를 넘어설 것으로 전망되는 상황에서 이상적인 기술이라 할 수 있다. 정책 관리를 수행하는 클리어패스와 정책 실행을 담당하는 모빌리티 컨트롤러, 그리고 이를 지원하기 위한 아루바 네트웍스 스위치는 네트워크 액세스를 통합하는 데 핵심적인 역할을 한다.

 

역할 기반 정책
다이나믹 세그멘테이션을 구현하면 디바이스 유형, 사용 애플리케이션, 사용자·디바이스 위치에 따라 역할 기반 정책 결정과 액세스 권한이 정해진다. 원래 무선 보안을 처리하는 데 사용되었던 역할 기반 정책은 직원, 게스트, 계약 업체와 같은 사용자 유형별로 네트워크 트래픽을 세분화하고 복잡한 정적 네트워크 구성을 없애 네트워크 관리를 대폭 간소화한다. 이 강력한 기능은 액세스 관리, BYOD 정책 등의 IT 워크플로우를 간소화하고 애플리케이션 성능을 향상시킨다.

Layer 4-7 세그멘테이션
아루바 스위치가 활용하는 두 번째 기본 기능은 세그멘테이션이다. 아루바 WLAN 아키텍처는 액세스 포인트와 컨트롤러 또는 게이트웨이 사이에 터널을 사용하여 트래픽을 안전하게 보호하고 분리한다. 이를 통해 아루바 스위치는 수작업 방식의 기존 로컬 VLAN 대신에 역할 기반 세그멘테이션을 제공할 수 있다. DPI(Deep Packet Inspection)와 디바이스 인증을 위해 특정 트래픽을 컨트롤러로 동적으로 터널링하여 신뢰할 수 없는 IoT 디바이스나 애플리케이션 가시성을 제공하는 데 이상적이다.

 

지속적인 모니터링 및 시행

마이크로 세그멘테이션을 시행할 수 있는 역할 기반 접근 제어가 자리를 잡으면, 네트워크에 있는 사용자와 디바이스를 지속적으로 모니터링하는 것이 제로 트러스트의 또 다른 모범 사례를 구성하는 요소이다. 이는 내부자 위협, 지능형 맬웨어 또는 기존의 경계 방어를 우회하는 등 지속적으로 시도하는 보안 위협과 관련된 위험을 해결한다.

 

IDS/IPS를 통한 위협 방어
아루바의 위협 방어 기능은 피싱, 서비스 거부 공격(DoS), 점점 더 확산되는 랜섬웨어 공격을 비롯하여 다양한 위협으로부터 보호한다. 아루바 9000 시리즈 SD-WAN 게이트웨이는 아루바 센트럴, 클리어패스 정책 매니저, Aruba PEF(Policy Enforcement Firewall)와 연동하여 역할 기반의 침입 탐지 및 방지(IDS/IPS)를 수행한다. 내장된 IDS/IPS는 지점의 네트워크 보안을 제공하기 위해 게이트웨이를 통과하는 SD-WAN(북-남) 트래픽뿐만 아니라 지점 내 LAN(동-서) 트래픽에 대해서도 시그니처 및 패턴 기반 트래픽 검사를 수행한다.

360 Security Exchange
보안 운영 및 대응(SOAR) 도구 집합이 포함된 동급 최고의 보안 솔루션으로 구성된 150개 이상의 통합이 포함된 클리어패스 정책 매니저는 여러 소스에서 얻은 실시간 위협 텔레메트리를 기반으로 액세스를 동적으로 시행할 수 있다. 정책을 생성하여 차세대 방화벽(NGFW), 보안 정보 및 이벤트 관리(SIEM) 도구 및 그 밖의 다양한 소스에서 제공된 알림에 기반한 실시간 액세스 제어 결정을 내릴 수 있다.

 

솔루션 구성 요소

아루바 무선 액세스 포인트
다양한 환경의 요구를 맞는 802.11ac 및 802.11ax Wi-Fi 성능을 제공한다. 빌트인된 AI 인텔리전스와 로케이션 서비스를 통해 사용자와 IoT 디바이스에 최적의 환경을 제공하는 데 필요한 자동화와 가시성을 제공한다.

아루바 네트워크 스위치
캠퍼스와 브랜치 네트워크를 위한 확장성, 보안, 고성능을 제공하는 유무선 통합 기반을 구현한다. 다이나믹 세그멘테이션은 IT 팀이 간단한 방식으로 정책 적용, 고급 서비스 활용, 유선 사용자와 IoT 트래픽의 안전한 분리를 수행할 수 있도록 해준다. 유선 사용자와 IoT 트래픽을 안전하게 분리하기 위해 컨트롤러에서 인증을 수행하는 PBT(Port-Based Tunnel) 또는 아루바 스위치에서 인증을 실행하는 UBT(User-Based Tunnel)를 사용한다.

아루바 게이트웨이와 모빌리티 컨트롤러
컨트롤러나 게이트웨이는 솔루션의 핵심 요소로서 유선 트래픽과 무선 트래픽 모두를 위한 폴리시 인포서(Policy Enforcer) 역할을 한다. AOS 8.1 이상이 탑재된 아루바 모빌리티 컨트롤러(Mobility Controller)는 IT 팀이 정책 실행, 대역폭 계약(Bandwidth Contract), 트래픽 제한을 수행하도록 해준다. 브랜치 환경에서는 아루바 센트럴로 관리되는 브랜치 게이트웨이가 이러한 역할을 담당한다. PEF는 이 두 환경을 지원하는 기본 네트워크 기술 역할을 한다.

아루바 클리어패스 폴리시 매니저 및 프로파일링 기능
유무선 접근 제어를 위한 네트워크 액세스 정책을 중앙에서 관리하고 실행한다. 아루바 클리어패스 폴리시 매니저의 주요 기능은 디바이스 프로파일링, 인증, 권한 부여, 정책 실행이다. 비즈니스 모빌리티와 증가하는 IoT 연결 요구를 효과적으로 처리하기 위해 아루바의 혁신적인 다이나믹 세그멘테이션 솔루션은 네트워크 어디서나 동적으로 일관된 정책을 적용하고 고급 서비스를 실행함으로써 IT 작업을 간소화하고 보안을 향상시킨다.

 

새로운 보안 위협에 대응하는 아루바 ESP

한편, 지난 2020년 HPE 아루바의 ID 기반 액세스 제어 보안 솔루션 클리어패스가 사이버 카탈리스트(Cyber Catalyst) SM 프로그램에서 사이버 위험 감소 효과를 인정받았다. 아루바 클리어패스는 2019년 채택된 아루바 PEF에 이어 두 번째로 인정받은 보안 솔루션이다. 두 개의 보안 솔루션이 모두 인정받은 아루바는 제로 트러스트와 SASE 프레임워크의 기반이 되는 통합 ID 기반 네트워크 액세스 제어 솔루션을 제공할 수 있게 됐다.

아루바 클리어패스는 단독으로 구축되거나 아루바 PEF와 함께 사용되며, 고객이 제로 트러스트를 채택하여 IoT 기기와 네트워크에 연결하는 사용자 대상 공격에서 폭발적인 증가와 관련된 위험을 완화하도록 지원한다. 보안 복잡성을 더욱 줄이면서 동시에 시행 기능을 강화하기 위해 광범위한 보안 기능에 걸쳐 150개 이상의 타사 솔루션 에코시스템과 통합된다.

따라서 오늘날의 네트워크 환경 및 위협 환경에는 다른 접근 방식이 필요하다. 과거의 경계 중심 네트워크 보안은 오늘날의 모바일 직원 또는 새로운 IoT 디바이스를 지원할 수 있도록 설계되지 않았다. 제로 트러스트 보안을 갖춘 아루바 ESP는 가시성, 제어, 시행을 다루는 종합적인 기능을 제공하여 탈중심화된 IT 기반 네트워크 인프라의 요구 사항을 해결한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.