가상 방화벽이 훨씬 좋아요

Virtual Firewall Management
"가상 방화벽이 훨씬 좋아요"
시스코, 다양한 보안 컨텍스트 관리 가능한 PDM 4.0 선봬

현재의 방화벽(Firewall)은 인증되지 않은 액세스로부터 기업 네트워크를 보호하는 것 이상의 역할을 하고 있다. 네트워크를 외부 위협으로부터 보호하는 것 외에도 방화벽은 기업 네트워크의 특정 서브넷이나 워크그룹, LAN에 사용자들이 접근하는 것을 차단할 수도 있다.

이러한 형태의 보안 기능을 달성하기 위해서 많은 고객들이 여러 독립된 사업부에 의해 공유되는 체계화된 구내 네트워크를 구축하고 있다. 하지만 불행하게도 이는 완벽하게 개방된 네트워크를 초래해 악의적인 공격이나 의도하지 않은 공격을 차단할 수 있는 보안 메커니즘이 거의 구현되지 못하는 결과로 이어질 수 있다.

구내 네트워크 전체를 보안 지대로 나누는 것이 문제 해결의 정답이다. 전통적으로, 기업들은 분산 계층에서 구내 네트워크 전체에 개별 방화벽을 도입해 이를 관리했다. 하지만 네트워크가 확장하고 요구 사항이 변화되면서, 개별 장비를 지원하고 관리하는데 드는 비용이 점차 높아지게 되었다.

시스코는 방화벽 서비스 모듈(FWSM)이라고 불리는 통합 방화벽 모듈로 이러한 구성을 단순화시키고 있다. FWSM은 시스코 카탈리스트 6500 시리즈 스위치와 시스코 7600 시리즈 라우터용으로 개발됐다. 현재, FWSM 버전 2.2를 통해 네트워크 관리자들은 보안 컨텍스트(context)로 불리는 다양한 가상 방화벽을 동일한 하드웨어 어플라이언스 내에서 구성할 수 있게 되었다.

보안 컨텍스트는 가상의 방화벽으로 자체 보안 정책과 인터페이스를 갖고 있다. 적절하게 구성될 경우, 보안 컨텍스트는 관리의 부담을 덜어주면서 여러 독립된 방화벽과 동일한 기능을 제공한다. 이러한 컨텍스트는 완벽하게 독립된 보안 영역을 제공한다.

그림 1: 시스코 방화벽 서비스 모듈(FWSM) 버전 2.2을 통해 다양한 컨텍스트의 방화벽을 하드웨어 어플라이언스에 구축할 수 있다.
 

FWSM 버전 2.2는 스위치에 있는 모든 포트가 방화벽 포트로 운용될 수 있도록 해주기 때문에 네트워크 인프라 내부로 방화벽 보안을 통합시킬 수 있다. 하나의 섀시에 최대 4대의 FWSM이 설치될 수 있어 섀시당 20Gbps의 확장성을 제공한다. 네트워크 관리자들은 이러한 인프라를 사용해 소프트웨어 라이선스에 따라 모듈당 최대 100개의 개별 보안 컨텍스트를 만들 수 있다.

보안 컨텍스트는 여러 개의 독립적인 방화벽을 쌓아놓은 것과 같은 성능을 제공하지만 관리하기가 한층 수월하다. 가상 장비이기 때문에 가입자 증가에 따라 보안 컨텍스트를 추가하거나 삭제하기가 쉽다. 기업들은 여러 대의 장비를 구축하지 않아도 되며 하나의 통합된 플랫폼에서 방화벽 인프라에 대한 완벽한 통제를 유지하며 탁월한 기능을 구현할 수 있기 때문에 관리 비용이 절감된다.

시스코 보안 어플라이언스 그룹의 이퀼라스 오타말리카(Iqlas Ottamalika)는 "FWSM은 보안 관리자들이 구내 네트워크나 데이터 센터를 통해 여러 개의 보안 지대나 컨텍스트를 구현하는데 필요한 핵심적인 방화벽 및 네트워킹 기능을 제공한다"며 "소형 방화벽을 여러 대 도입해 네트워크 전체에 보급하는 대신에 모든 것을 관리할 수 있는 하나의 하드웨어 플랫폼으로 대신할 수 있다. 이렇게 하면 관리 비용이 엄청나게 절감된다"고 밝혔다.

그림 2: 시스코 PDM 버전 4.0은 직관적이며 고도의 시각적인 인터페이스를 사용해 가상 방화벽의 관리와 모니터링을 단순화했다.
 
맨위로

간단한 구성과 관리 'FWSM'
시스코 PIX Device Manager(PDM)의 버전 4.0은 관리 비용의 절감 효과를 더욱 높였다. 이 제품은 FWSM 2.2에서 보안 컨텍스트 구축, 구성, 관리를 단순화시켜주는 웹 기반의 그래픽 사용자 인터페이스(GUI)와 지능적인 마법사를 포함하고 있다. FWSM을 위한 시스코 PDM 4.0은 FWSM 운영 시스템과 번들로 제공되며, FWSM을 이미 보유하고 있는 고객들은 하드웨어를 업그레이드할 필요가 없다.

오타말리카는 "PDM 4.0을 통해 네트워크 관리자들은 하나의 하드웨어 플랫폼에서 여러 개의 방화벽을 개별 장비처럼 구성하고 도입하며 관리할 수 있다"면서 "FWSM용 PDM은 보안 컨텍스트의 구성과 운영, 모니터링을 효율화하기 때문에 매우 효과적인 생산성 툴이 될 수 있다"고 말했다.

미국 일리노이즈에 위치한 대형 연구 기관인 아르곤 국립 연구소(Argonne National Laboratory)에서 PDM 최신 릴리즈를 테스트했을 때, 네트워크 매니저인 코비 슈미츠(Corby Schmitz)는 엄청난 성능 향상을 경험했다고 밝혔다. PDM 이전 버전의 경우 속도와 복잡성 문제로 인해 명령어 인터페이스(CLI)를 사용하는 것이 더 효과적이었다. PDM 4.0은 이러한 문제를 획기적으로 개선했다는 것의 그의 설명이다.

PDM은 컨텍스트 및 컨텍스트와 관련된 정책을 추가하고 생성하며 삭제하는 것을 더욱 쉽게 만들어준다. 여기에는 방화벽 사용 현황과 성능, 보안 이벤트 정보에 관한 실시간 및 과거 리포트가 포함돼 있다. 네트워크 관리자들은 GUI를 사용해 방화벽의 상태를 신속하게 살펴볼 수 있을 뿐만 아니라 리소스 활용도와 트래픽 통계에 대한 정보를 신속히 수집할 수도 있다.

슈미츠는 "PDM 사용자 인터페이스는 매우 직관적이며 방화벽 컨텍스트를 쉽게 바꾸고 정보를 수집하며 신속하게 변경할 수 있게 해준다. 처음 테스트를 진행할 때 관리를 위해 CLI만을 사용하는 것을 다시 생각하게 됐으며, 이제는 FWSM 장비를 관리하기 위해 두 개의 인터페이스를 상호 변경해 사용하고 있다. 또한 FWSM의 초기 설정을 위해 PDM만 사용하고 있다"고 밝혔다.

FWSM은 관리용 컨텍스트 하나와 고객 컨텍스트 2개 등 3개의 컨텍스트로 이용되도록 디폴트로 설정돼 있다. 독립적인 관리를 통해 기업들은 자사의 특별한 정책을 관리할 수 있다. 관리자들은 모든 컨텍스트를 볼 수 있지만 고객들은 자사의 컨텍스트만을 볼 수 있다. 네트워크 관리자들은 하나의 방화벽처럼 보이는 컨텍스트에 로그온하게 된다. 여기에서, 글로벌 시스템 업무를 실행하고 컨텍스트를 생성하기 위해 시스템 실행 공간을 변경할 수 있다. 각 컨텍스트는 자체 관리나 시스로깅, AAA 서버, 인증과 URL 서버 정책에 할당될 수 있다.

PDM 4.0의 새로운 GUI는 교차 검사(cross-checking)가 자동으로 실행되고 특정 키 값이 자동으로 할당되기 때문에 CLI보다 정확하다. 시스코의 보안 어플라이언스 그룹 PDM 소프트웨어 개발 매니저인 스티븐 리(Steven Lee)는 "CLI의 경우, 정적인 명령을 제공하지만 액세스 목록에 포함시키는 것을 잊는 등의 의도하지 않은 실수를 저지를 수 있다"고 밝혔다.

그는 이어 "GUI에는 관리자들이 인터페이스를 규정하고 IP 어드레스를 적용시키며 HTTP와 텔넷 등 통신서비스를 가능케 하고 디바이스에 액세스할 수 있는 사람을 결정하는 등 기본적인 항목을 설정할 수 있게 해주는 시작 마법사 기능이 포함돼 있다. 명령어 라인에서는 이러한 종류의 안내를 받을 수 없어 적절한 명령어를 입력하지 않으면 컨텍스트를 완벽히 생성할 수 없다"고 설명했다.

새로운 버전의 PDM은 이전 버전에 비해 성능과 확장성 측면에서 획기적인 향상을 이루었으며 FWSM 2.2의 새로운 구성 기능을 모두 지원한다. PDM이 자바 애플릿이기 때문에 애플리케이션을 신속하게 구동하며 그래프와 표를 통해 FWSM의 생생한 모니터링을 제공한다.

다양한 보안 컨텍스트 설정
통신서비스 제공 업체들은 PDM 4.0을 사용해 개별 고객들을 위한 보안 컨텍스트를 설정할 수 있을 뿐만 아니라 기업들은 특정 부서에 보안 컨텍스트를 할당할 수 있다. 예를 들어, 관리형 방화벽 서비스를 도입하는 통신서비스 제공 업체의 경우 각 고객에 특정한 정책과 함께 보안 컨텍스트를 설정할 수 있다.

FWSM 제품 마케팅 매니저인 아제이 굽타(Ajay Gupta)는 "관리형 서비스 고객들은 실제로는 방화벽 서비스 모듈에 상주하는 가상 방화벽을 사용하고 있지만 독립적인 방화벽을 사용하고 있다고 생각할 수 있다"고 전했다.

컨텍스트는 라우팅 모드(레이어 3)나 전송 모드(레이어 2)에 구성될 수 있다. 각각의 컨텍스트는 라우팅 모드에서 256개의 인터페이스나 전송 모드에서 2개의 인터페이스를 지원할 수 있다. 전송 모드에서 FWSM은 브리지와 같은 역할을 할 수 있다. 따라서 네트워크 관리자들은 IP 어드레스나 서브넷을 변경하지 않고도 보안 컨텍스트를 도입할 수 있다.

굽타는 "시스코의 방화벽 솔루션은 IP 기반(레이어 3)이나 이더넷 기반(레이어 2) 보안 서비스를 위한 다양한 컨텍스트를 지원한다"면서 "이러한 다양한 컨텍스트를 도입할 경우 인증, NAT(Network Address Translation), 스테이트풀(stateful) 액세스 컨트롤, 시스로그/통계 기록을 포함한 보안 정책을 완벽히 분리할 수 있다"고 설명했다.

맨위로

리소스 할당 '신중해야'
오타말리카에 따르면, 다중 컨텍스트를 보유하는 것은 여러 대의 스탠드얼론 방화벽을 갖는 것과 같다. 하지만 이들을 효과적으로 사용하기 위해서는 관리자들이 FWSM 리소스를 신중하게 할당해야 한다.

오타말리카는 "네트워크 관리자들은 할당된 리소스를 언제든지 어떠한 보안 컨텍스트에도 제한할 수 있기 때문에 한 보안 컨텍스트가 다른 컨텍스트와 연계되지 않도록 보장할 수 있다"면서 "몇 가지 컨텍스트를 갖게 된다면 때로 주요 요소에 의해 모든 리소스가 소모될 수도 있다. 시스코 솔루션을 사용한다면 네트워크 관리자들은 합리적인 방법으로 리소스를 할당할 수 있으며 PDM을 통해 관리할 수 있다. 이는 하나의 컨텍스트에 의해 많은 리소스가 소모되는 것을 방지해준다"고 설명했다.

네트워크 관리자들은 FWSM 2.2의 리소스 매니저를 사용하면 개별 컨텍스트나 컨텍스트 계층에 방화벽 리소스를 할당할 수 있다.

예를 들어 모든 컨텍스트가 평등하게 다뤄질 경우 하나의 FWSM은 디폴트 리소스 계층을 사용해 1백개의 50Mbps 방화벽으로 분리될 수 있다. 특정 방화벽이 더 높은 쓰루풋이나 더 많은 리소스를 요구할 경우에는 개별 계층이 생성되며 성능을 특정 비율로 제한할 수 있어 나머지 컨텍스트는 아무런 영향을 받지 않게 된다.

이종(異種) 보안 정책 구사 가능
현재의 다양한 기업들은 네트워크 보안 이상의 성능을 요구하고 있다. 이들은 많은 그룹과 기관을 대상으로 구내 보안 영역을 제공하고 비즈니스 파트너를 연결한다. 시스코는 FWSM 2.2와 PDM 4.0 인터페이스를 통해 네트워크 관리자들이 기업 네트워크에 다양한 보안 계층을 구축하는데 필요한 툴을 제공하고 있다.

스티븐 리는 "보안 컨텍스트를 통해 고객들은 체계화된 구내 네트워크를 몇 개의 신뢰 지역으로 쉽게 나눌 수 있으며 모든 조직들로 확장할 수 있는 분산형 네트워크의 이점을 누릴 수 있다"면서 "새로운 엔트리를 추가하거나 기존 것을 개정하든지 PDM 4.0은 조직 내에서 서로 다른 정책을 통해 보안 영역을 구축하는 것을 한층 쉽게 해준다"고 요약했다.


추가자료
 
■ 시스코 보안 및 VPN 제품
  
cisco.com/packet/163_4a1
■ 시스코 방화벽 서비스 모듈 제품
  
cisco.com/packet/163_4a2
■ 시스코 PIX Device Manager 제품 정보
  
cisco.com/packet/163_4a3
■ 시스코 SAFE Blueprint
  
cisco.com/go/safe


맨위로

Cisco에 문의하세요



Packet 지난 호 보기