최근 모니터랩에서는 각종 전시회나 컨퍼런스에서 새롭게 출시한
제로 트러스트(Zero trust) 솔루션인
SIA(Secure Internet Access) / SRA(Secure Remote Access)에 대해 소개하는 기회를 갖고 있습니다.
ISEC2023 강연 모습
그때마다 SSE 플랫폼의 아키텍처에 대해 고객들께 자주 받는 문의가 있어
그중 몇 가지를 FAQ 형식으로 소개하고자 합니다.
SSE 플랫폼을 거치게 되면 속도가 느려지지 않나요?
가장 많이 받는 질문 중 하나입니다.
일반적인 경우라면 그렇게 생각할 수 있습니다만
AIONCLOUD의 SSE 플랫폼은 다음과 같은 이유로 속도 저하 문제를 최소화하고 또 최적화하여
속도 저하 문제가 없다고 말씀드릴 수 있습니다.
첫 번째는, 한국을 포함하여 전 세계 주요 네트워크에 분산된 클라우드 인프라를 통해
엔드유저와 가장 근접한 SSE 에지를 통한 서비스를 제공하기 때문에,
네트워크로 인한 속도 저하 문제를 최소화하였습니다.
두 번째는, 가장 중요한 부분이라 할 수 있는데요.
SSE의 핵심 보안 기능인 SWG, CASB, FWaaS, NG-DPI 등은
모니터랩에서 자체 개발한 단일 솔루션으로 제공합니다.
또한, 유효성 체크 알고리즘을 단순화하고 최적화하여
복수의 보안 기능을 활성화해도 속도 저하 없이 사용할 수 있습니다.
만약 가트너가 권고한 바와 같이 단일 벤더가 아닌
각기 다른 벤더의 보안솔루션을 조합하여 사용한다면
비효율적이고 중복적인 체크 로직으로 인한 비효율성과 속도 저하 문제가 빈번하게 발생할 수 있을 것입니다.
SSE 사용 시 단일 벤더 사용을 권고하는 가트너의 보고서
SSE 플랫폼을 도입하면 기존 보안 장비들은 사용이 불가능하게 되나요?
AIONCLOUD SSE를 적용하려면기본적으로 모든 디바이스에 AIConnector라는 agent를 설치해야 합니다.
AIConnector Agent
agent 설치 후 인증을 하게 되면, 디바이스와 SSE에지간에는 별도의 터널링이 형성되는데,
이 트래픽은 암호화되어 있으므로
IPS, FW, NGFW, DLP 등의 네트워크 보안 장비에서 탐지가 불가능하며 그대로 통과하게 됩니다.
하지만 엔드 포인트에 설치하여 작동하는 PMS나 NAC, anti-virus 등의 보안 솔루션은
트래픽 터널링 및 암호화와 무관하므로 그대로 사용 가능합니다.
이미 많은 Agent가 설치되어 있는데, Agent 설치 외 다른 방법은 없나요?
기술적으로 모든 트래픽을 SSE 플랫폼으로 보내려면 앞에서 언급 드린 별도의 agent 설치 외에사무실의 네트워크와 SSE 플랫폼 간에 VPN이나 GRE tunnel을 구성하는 방법도 있습니다.
하지만, 이는 고객사의 네트워크 장비가 별도의 프로토콜을 지원하여야 하거나
네트워크 설정이 복잡하고 원격근무자의 접속 트래픽은 여전히 제어할 수 없다는 점
그리고 디바이스 포스쳐와 같은 각종 엔드 포인트 기능을 사용할 수 없다는 점 등
여러 문제점이 있어 권장하지 않습니다.
만약 구 버전의 OS나 외주업체 직원 이슈 등으로 Agent를 설치할 수 없는 환경이라면 어떻게 해야 하나요?
agent 설치가 불가할 경우에는 app launcher를 통해 이용이 가능합니다.이는 별도로 부여된 HTTPS 웹사이트에 접속 후 인증을 통과하게 되면
해당 유저에게 접근 가능한 애플리케이션 목록이 보이게 되고,
해당 애플리케이션을 클릭하면 접속을 하게 되는 구조입니다.
그렇기 때문에, agent를 설치해야 검증할 수 있는 디바이스 포스쳐 등의 기능은 사용할 수 없다는 단점이 있습니다.
SSE를 도입하게 되면 사무실의 IP처럼 고정된 소스 IP를 사용할 수 있나요?
네. 원하실 경우 몇 개의 고정 IP를 할당할 수 있으며 이는 별도로 요청을 하시면 발급 가능합니다.
사내에 레거시 내부 시스템들이 위치하고 있고, 사설 IP를 사용 중입니다.
SSE를 도입하게 되면 소스IP가 AIONCLOUD에서 제공하는 공인 IP가 될 텐데,
사내 시스템들에 접속하려면 어떻게 해야 하나요?
두 가지 방법이 있습니다.
첫 번째는 분할 터널(split tunnel)이라는 기능을 사용하면 됩니다.
이는 관리 콘솔에서 IP 대역만 설정하면 바로 적용이 되어 쉽게 설정이 가능한데요.
이를 설정하게 되면 해당 대역으로 가는 트래픽은 터널링을 거치지 않고,
디바이스에서 직접 라우팅 되어 접속하게 됩니다.
분할 터널 설정 화면 예
두 번째는 SRA를 이용하는 방법으로
각 애플리케이션 장비에 별도의 agent를 설치하여 터널링을 구성하는 방법도 있습니다.
"ZTNA의 경우 공격자에게는 보이지 않는 서비스"라는 말이 있던데, 이건 어떻게 가능한 거죠?
사내에서 데이터 센터에 설치된 특정 서버에 접속하는 시나리오를 생각해 보면,서버에는 공인이든 사설이든 IP를 할당하여야 하고,
그렇게 되면 네트워크 스캔 등을 통해 IP를 알게 될 경우 ping이 가능하게 됩니다.
하지만, ZTNA(SRA-Secure Remote Access)를 이용하게 되면 다른 네트워크 구조가 되는데요.
즉, 해당 서버에 agent를 설치하게 되면 자동으로 SSE 플랫폼과 별도의 터널을 구성하게 되고
SSE console에서 특정 유저(또는 그룹)에 대한 접근을 허용하게 되면
지정한 유저에게만 이 서버의 정보가 보이게 됩니다.
즉, 유저와 서버 간 1:1로 독립적인 터널이 열리게 되는 것인데요.
허용하지 않는 이상 기본적으로는 모두 차단(deny by default)이기 때문에
IP를 알아도 터널링에서 허용된 유저가 아니면 의미가 없게 되는 것입니다.
물론 기존에 터널링 연결을 위해 설정되어 있던 기존 IP는 SSE 플랫폼과의 터널링 연결 용도로만 사용되는 것이므로
이후 적절한 ACL을 설정할 필요가 있습니다.
지금까지 SSE 플랫폼에 대해 가장 궁금해하시는 몇 가지 사항들에 대해 살펴보았습니다.
최근에 제로 트러스트에 대한 관심도가 증가하면서 SSE 플랫폼에 대한 고객들의 문의가 점차 증가하고 있는데요.
추후에 좀 더 업그레이드된 내용으로 v2를 준비해서 소개할 수 있도록 하겠습니다.
감사합니다.