차세대 방화벽의 역사와 과제

약 16년 전인 2007년, 팔로 알토 네트웍스는 네트워크 보안을 완전히 바꿔놓은 첫 번째 제품을 출시했습니다.이 용어는 “차세대 방화벽”, 즉 NGFW, 아직 만들어지지 않았습니다.가트너가 2009년에 이 용어를 도입했을 때도 그랬을 것입니다.당시 Palo Alto의 제품은 이전 용어인 “통합 스레드 관리”, 즉 UTM에 속했습니다.Palo Alto가 UTM이나 NGFW를 발명한 것은 아니지만, 그 이후로 모든 경쟁사의 기준으로 삼을 수 있는 이 분야의 대표 제품이 되었습니다.이 글에서는 단순화를 위해 NGFW라는 이름을 사용하겠습니다.

우리가 현재 “클라우드”라고 부르는 것이 2007년에도 존재하기는 했지만, 데이터 센터는 여전히 대부분 전통적인 방식으로 구축되고 있었습니다. 즉, 부드럽고 끈적끈적한 데이터 센터 주변에 딱딱한 보안 껍질이 깔려 있었습니다.가장 대담한 조직만이 자산을 AWS (Amazon Web Services) 및 기타 신생 기업으로 이전하고 있었습니다. 클라우드 서비스.데이터 센터에는 여전히 정의되고 알려진 경계가 있었습니다.데이터 센터 내부 자산과 외부 자산 간의 경계가 명확했습니다. ‍

NGFW: 데이터 센터 경계 보호에 적합

강력한 보안 기능을 갖춘 NGFW는 이 모델에 매우 적합했습니다.NGFW는 빠르게 데이터 센터의 수문장 역할을 맡아 특정 네트워크에서 들어오는 내용 (그리고 그 정도는 훨씬 덜하지만 나오는 것) 을 세심하게 통제했습니다.강력한 맞춤형 CPU가 패킷을 빠르게 분석하고 이동했으며, 보안 담당자들은 새로운 도구 모음으로 자산이 보호된다는 사실을 알고 있기 때문에 밤에 조금 더 편안하게 잠을 잘 수 있었습니다.

NGFW 다음과 같은 공급업체 팔로 알토 네트웍스, Check Point 및 Fortinet은 이제 데이터 센터 내부의 지배력 확보, 애플리케이션 간 트래픽 모니터링 및 제어라는 새로운 목표를 설정했습니다. 네트워크 세분화 “가장 핫한 신상품”으로 유행했습니다.

하지만 여기서 그들은 훨씬 더 큰 도전에 직면했습니다.NGFW는 데이터 센터 경계를 보호하기 위한 확실한 선택이었습니다.하드웨어, 라이선스 및 지원에 드는 엄청난 비용은 확실한 이점을 통해 정당화되었으며, 데이터 센터로의 인터넷 연결이 내부 연결에 비해 상대적으로 느리고 대역폭에 따라 가격이 올라간다는 사실로 인해 가격 부담이 줄었습니다.그러나 내부적으로는 이처럼 명확한 비용 대비 편익 비율을 찾을 수 없었습니다.상당한 비율의 NGFW 기능DDoS 완화나 트래픽 쉐이핑을 예로 들어 보자면 내부적으로는 가치가 없었습니다.하지만 그에 대한 대가는 어찌됐든.

10G의 처리량이라는 놀라운 비용이 내부 사용을 억제하는 데 충분하지 않은 것처럼 이중화를 위해 모든 비용을 두 배로 늘렸습니다.너무 과하고 종종 당면한 작업과 관련이 없는 기능 세트를 기존 방화벽보다 다섯 배나 많이 지출하는 것을 정당화하기는 매우 어려웠습니다.

그렇긴 하지만, 산업 및 정부 규정에 따라 적어도 특정 애플리케이션 등급의 경우 내부에 대한 특정 제어가 필요합니다.HIPPA 및 PCI 눈에 띄는 예시로 떠오릅니다.따라서 고객은 경계를 보호하는 NGFW 디바이스와 몇 가지 중요하고 특정한 애플리케이션을 사용하는 하이브리드 솔루션을 선택했습니다. 기존의 스테이트풀, 비 NGFW는 내부 보호의 여유를 차지했습니다.과거와 현대의 이러한 불행한 결합은 한동안 효과가 있었습니다.퍼블릭 클라우드가 주류로 받아들여지기 전까지는 말이죠.

클라우드에서의 NGFW 복잡성 관리

퍼블릭 클라우드는 보안 세계를 완전히 바꿔놓았습니다.하지만 모든 사람에게 해당되는 것은 아니며 항상 당연한 것은 아닙니다.

NGFW는 섀시를 통과하는 모든 패킷에서 엄청난 양의 처리를 수행한다는 점을 기억하십시오.어디에나 있는 인텔 아키텍처는 NGFW 내에서 엄청난 양의 저수준 작업을 수행하기에는 적합하지 않습니다.Palo Alto는 이 모든 저수준 패킷 검사 및 조작 작업을 수행할 수 있는 Cavium 네트워크 프로세서를 선택했습니다.포티넷은 이 작업을 수행할 자체 고객 프로세서를 설계했습니다.

불과 10년 전의 기준으로 볼 때 오늘날의 NGFW는 정부 기관급 슈퍼컴퓨터로, 확실히 비용의 일부를 차지합니다.NGFW 공급업체들은 제품의 가상 버전을 통해 클라우드로의 전환에 신속하게 대응했지만 인텔 아키텍처의 한계로 인해 전반적으로 성능이 형편없는 수준이었습니다.

이로 인해 클라우드 네트워크 경계에서 보안을 처리하는 방식이 크게 변경되었습니다.수십 개의 가상 방화벽이 로드 밸런싱되는 경우가 많았습니다.네트워크는 오프라인 매장보다 훨씬 더 많은 인터넷 피어링 포인트를 보유하도록 재설계되어 방화벽별 성능 요구 사항이 낮아졌습니다.그리고 방화벽 공급업체들은 VM (Virtual Machine) 구현을 6팩과 10팩으로 판매하기 시작했습니다. 한두 개의 방화벽으로는 더 이상 이 작업을 수행할 수 없었기 때문입니다.

구축 및 관리가 복잡하게 들린다면 자산의 일부만 클라우드로 이전한 좀 더 일반적인 회사를 불쌍히 여기십시오.둘 다 그렇듯이 IaaS (서비스형 인프라) 과 PaaS (서비스형 플랫폼) 네트워크 경계가 확산되면서 점점 더 불분명해지기 시작했습니다.'클라우드'에 대한 IT 관련 정의는 멀리서 보면 수많은 컴퓨터 (수증기와 유사) 가 하나의 컴퓨터처럼 보인다는 개념에서 유래한 것이었지만, 이제는 다른 정의를 사용하는 것이 더 적절해졌습니다. 바로 “흐리거나 흠이 있는 것”입니다.

데이터 센터가 무작위로 선택된 애플리케이션과 애플리케이션의 일부를 클라우드에서 호스팅하기 시작하면서 다른 애플리케이션 (및 일부 애플리케이션) 은 온사이트에 남아 있게 되면서 이러한 애플리케이션을 보호하고 보안 정책을 적용하는 것이 매우 어려워졌습니다.이는 주로 보안이 일반적으로 적용되는 경계를 정의하는 것이 거의 불가능해졌기 때문입니다.그리고 경계가 명확한 경우에도 보안 하드웨어, 소프트웨어 및 구성의 양은 엄청났습니다.

그 결과 보안은 크게 후퇴했습니다.

미래 전망: 마이크로세그멘테이션 환경에서의 NGFW 기능

이렇게 해서 초기에 알려진 영역이 시작되었습니다. 마이크로세그멘테이션그리고 지금은 제로 트러스트 세그멘테이션 (ZTS) 으로 더 자주 불립니다.

마이크로세그멘테이션의 개념은 간단합니다. 즉, 모든 서버에 정책을 적용 (예: 방화벽) 하여 다른 모든 서버에 대한 인바운드 및 아웃바운드 트래픽을 모두 제어합니다.기본적으로 마이크로세그멘테이션은 네트워크 세분화라는 개념을 궁극적인 목표 (서버당 하나의 방화벽) 로 확장한 것입니다.마이크로세그멘테이션은 서버별 (또는 적어도 애플리케이션별) 보안 문제를 해결함으로써 보안팀에 데이터 센터 주변 및 내부의 “모호한 경계”를 해결할 수 있는 강력한 새 도구를 제공했습니다.

지금까지 마이크로세그멘테이션은 NGFW 기능에 필요한 심층 검사 영역에 뛰어들지 않고도 포트와 프로토콜을 처리해 왔습니다.

CTO 사무실에서 제 일은 “만약에?” 라는 플레이를 하는 것입니다.그리고 앞으로 발생할 수 있는 문제와 가능한 해결책을 미리 살펴보려고 노력하세요.따라서 Illumio의 현재 연구에는 마이크로세그멘테이션 환경에서 NGFW 기능을 구현할 수 있는 가능성을 살펴보는 것이 포함됩니다.

다음 주에 제 블로그를 읽고 Illumio의 연구와 마이크로세그멘테이션의 향후 발전 가능성에 대해 자세히 알아보십시오.