계정이 있습니까?

  •   맞춤형 콘텐츠
  •   제품 및 지원

계정이 필요하십니까?

계정 만들기

Core Security용 Cisco 차세대 방화벽으로 마이그레이션

게시 날짜: 2018년 9월

더 많은 애플리케이션이 클라우드로 이동함에 따라 Cisco는 내부망에 차세대 사이버 보안 시스템을 구축해야 할 필요성을 느꼈습니다. 일부 애플리케이션에서는 기존 보안 시스템 내의 용량 제약으로 인해 성능 문제가 발생했으며, 이는 사용자 경험과 생산성에 영향을 미쳤습니다. 패킷 손실 및 정체로 인해 업무상 중요한 애플리케이션의 성능이 저하되고 연결이 끊기는 등의 문제가 보고되었습니다.

또한 일부 클라우드 연결 유형의 경우 보안 가시성의 향상과 함께, Cisco 네트워크를 클라우드 취약성으로부터 보호하고 보안 팀의 업데이트된 요구 사항을 충족하기 위한 제어가 필요합니다.

이러한 과제를 해결하기 위해 Cisco IT는 Cisco Firepower® 9300 보안 어플라이언스를 코어 방어 솔루션으로 선택했습니다. 통신사업자 급의 이 차세대 방화벽을 통해 다음이 가능해집니다.

  • 확장성 개선 - 트래픽의 지속적인 증가를 처리할 수 있는 고성능 확장형 방어 플랫폼 확보
    2017~2018년 부터 클라우드 최대 트래픽이 200% 이상 증가했습니다. 이로 인해 정체 및 패킷 손실이 발생하여 고객 생산성에 영향을 미쳤습니다. 우리는 단종된 Cisco ASA(Adaptive Security Appliance) 방화벽을 Firepower 9300 하드웨어로 대체함으로써 이러한 확장성 문제를 신속하게 해결하고 향후 성장을 위한 여력을 확보할 수 있었습니다.
  • 새로운 보안 제어 도입 - 네트워크의 새로운 영역에 비용 효율적이며 간소화된 보안 도입
    엔터프라이즈 네트워크가 기존의 경계를 넘어 클라우드로 확장됨에 따라 네트워크의 새로운 영역에 보안을 도입하는 것이 중요시되고 있습니다. 과거에는 상당한 수의 전용 장비들을 네트워크에 구축하여 이에 대한 관리와 공급에 많은 비용이 발생하였습니다. 하지만 차세대 방화벽으로 대체함으로써, 한 쌍의 장비 구축만으로 과거에는 제어하지 못하던 영역에 필요로 하는 규모와 보안 기능 제공이 가능해졌습니다.
  • 공간 및 복잡성 감소 - 기존 보안 서비스를 단일 플랫폼으로 통합
    기존의 방어 솔루션은 과도한 랙 공간, 전력 및 냉각을 필요로 하고 네트워크에 많은 복잡성을 초래하며 보안 및 네트워크 이벤트를 상호 연관시키는 데 어려움이 따릅니다. Firepower 9300을 FTD(Firepower Threat Defense) 소프트웨어와 함께 사용하면 여러 보안 도구를 단일 플랫폼에 통합할 수 있는 규모와 기능이 제공됩니다. 이를 통해 환경 영향 및 운영상의 간접비를 줄이고 글로벌 정책 구축을 간소화하며 종단 간 보안 가시성을 개선할 수 있습니다. (도표 참조)

우리는 고객도 유사한 문제를 겪고 있음을 알고 있습니다. "Customer Zero"에 따라 우리는 개발 프로세스 초기 단계에 엔지니어링 팀에 실시간 피드백을 제공함으로써 제품 설계에 영향을 줄 기회를 얻었습니다. 이처럼 우리는 고객이 안심하고 구매할 수 있는 Cisco 보안 솔루션을 구축하는 데 도움을 주고 있습니다.

2018년 중반 현재, Cisco IT CloudPort 지역의 75%가 넘는 곳에 엔터프라이즈 방화벽으로 Cisco Firepower 9300이 구축되어 있습니다. CloudPort는 Cisco IT가 우리의 엔터프라이즈 네트워크로부터 클라우드 리소스로 최적화되고 안전한 연결을 제공하는 방법입니다. 우리는 새로운 모델의 일환으로 랩 환경을 보호하기 위해 다른 네 곳에 추가적으로 장비를 구축하였으며, 2019년 중반까지 모든 주요 Cisco 허브에 동일하게 구현할 계획입니다.

기업 방화벽: 하드웨어 교체, 소프트웨어 전환

Cisco IT 엔터프라이즈 방화벽을 통해 133,000 이상의 사용자들에게 인터넷과 클라우드 연결을 제공하고 외부 사이버 위협으로부터 Cisco 사내망을 보호하지만 네트워크 리소스에 대한 수요가 끊임없이 증가함에 따라 우리와 함께 성장할 새로운 방화벽이 필요했습니다. "우리의 가장 중요한 목표는 성능 문제를 해결하는 것이었습니다. 우리는 ASA 소프트웨어를 일시적으로 유지하는 동안 Firepower 9300 하드웨어를 구축함으로써 이러한 우려를 신속하게 해결할 수 있었으며, 매년 겪었던 5에서 10건의 High-Impact 네트워크 장애가 사라졌습니다." Cisco IT 수석 네트워크 엔지니어인 Michael Ellison의 말입니다. "전에는 확장성의 이유로 세 개의 다른 방화벽에서 트래픽을 감독해야 했지만 이제 이를 하나로 통합하여 복잡성이 줄어들었습니다."

하드웨어를 교체하여 트래픽 처리량이 5배 증가하고 성능이 향상되었습니다. 향후 FTD 소프트웨어로 전환함에 따라 주요 관심사인 운영상의 간접비용 문제를 해소하고 잠재적인 악의적 활동을 전보다 빠르게 감지하여 손상을 입기 전에 제거할 수 있을 것입니다. 이러한 혜택을 얻기 위해 최대한 신속히 FTD로 이동할 예정입니다.

랩을 위한 Direct-to-FTD 설계

시스코에는 전 세계 600개의 서로 다른 지역에서 사내망에 연결되는 내부 랩에 210만 개 이상의 IP 주소를 가지고 있습니다. 우리의 랩 네트워크는 FTD로의 즉각적인 이동을 요구하는 새로운 보안 기능이 절대적으로 필요했습니다. 또한 이러한 접근 방식을 통해 FTD를 직접 구축하는 이점을 확인하고 엔터프라이즈 방화벽에서 FTD 구축에 대한 기대치를 설정할 수 있었습니다.

시스코 IT 네트워크 아키텍트인 Roel Bernaerts는 "랩은 본질적으로 더 역동적이며 높은 수준의 유연석을 요구하기 때문에 랩에 있어서 네트워크와 보안을 다르게 처리합니다." "모든 랩을 별도의 가상 오버레이 네트워크로 이동함으로써 인터커넥트 수를 600개에서 13개로 줄였습니다. 이러한 인터커넥트에 FTD와 함께 Firepower 9300을 구축함으로써 우리는 하루에 18,000개의 새로운 보안 위협을 감지하고 예방할 수 있는 더 나은 가시성과 더 많은 방어 도구를 원하는대로 쓸 수 있게 되었습니다" 라고 말합니다. (도표 참조) (도표 참조)

랩에서 발생하는 보안 위협은 지금까지 네트워크에서 더 많이 감지되었으며, 일반적으로 전체 랩을 연결 해제하거나 특정 호스트의 모든 트래픽을 차단하는 방식으로 완화해왔습니다. 이는 새로운 Cisco 제품 및 소프트웨어의 중요한 제공 일정에 영향을 미쳤을 뿐만 아니라, 사고를 검증하고 완화를 구현하는 데 몇 시간이 걸리므로 랩 및 프로덕션 시스템으로 위협이 확산될 수 있었습니다. 새로운 솔루션에서는 특정 위협들이 정당한 트래픽에 영향을 미치지 않고 자동으로 차단되며, 좀 더 정교하고 수준 높은 정책이 요구될 때 감지 후 몇 분 내에 푸시가 가능합니다.

중앙에서 인프라 관리

우리는 또한 FTD 구축을 제어하기 위해 고 가용성 FMC(Firepower Management Center) 어플라이언스 한 쌍을 구축했습니다. FMC를 사용하면 중앙 집중화된 장소에서 방어 정책을 관리하고 전 세계 모든 FTD 어플라이언스에 해당 정책을 즉시 적용할 수 있습니다. 아울러, 예전에는 새로운 기능을 활성화하기 위해 코드 업그레이드를 수행할 특별한 기술과 그에 따른 귀중한 인력 낭비 및 관리자의 실수로 인한 심각한 서비스 중단이 발생하기도 했습니다. FMC 덕분에 지금은 버튼만 누르면 새로운 코드 버전이 구축됩니다.

FMC는 또한 어떤 트래픽이 우리의 보안 어플라이언스를 통과하는지에 대한 통찰력을 제공합니다. 이러한 데이터 분석은 네트워크와 보안 정책을 세밀히 조정할 수 있는 정보에 근거한 통찰적인 결정을 가능하게 합니다.

이전 구축에서는 네트워크 엔지니어가 보안 어플라이언스에 액세스할 수 없어 성능 문제를 해결하는 것이 매우 어려웠습니다. 우리의 보안팀이 민감한 보안 정보에 지속적으로 접근을 제한하는 동안에도 이제 FMC를 통해 네트워크 엔지니어들은 이러한 시스템에서 가시성을 확보할 수 있게 되었습니다.

통합된 보안 솔루션의 향후 혜택

차세대 방화벽 구현은 아직 현재 진행형이지만, 이미 이로 인한 많은 혜택을 인식하고 있습니다. 엔터프라이즈 방화벽을 FTD로 마이그레이션하면 가까운 장래에 다음을 비롯한 더 많은 가치를 얻을 것으로 기대합니다.

  • 운영 비용 감소 - Firepower 9300은 우리가 지원하고 관리하는 보안 디바이스의 수를 116개에서 26개로 통합할 수 있는 척도와 기능을 제공합니다. 이렇게 하면 복잡성이 크게 줄어들고 여러 장애 지점이 제거되며 심각한 장애의 일반적인 원인들이 해소됩니다. 이 모든 것을 통해 주당 20시간의 인력 운영 비용이 줄어듭니다.
  • 데이터 센터의 물리적 공간 감소 – 위와 같이 디바이스가 감소됨에 따라 데이터 센터당 40개의 랙 유닛이 제거됩니다. 이에 따라 데이터 센터와 동일 장소 시설 내 전력, 냉각, 랙 공간과 관련된 비용이 절감됩니다. 전반적으로, 연간 50만 달러 이상의 비용이 절감될 것으로 예상합니다.
  • 속도 증가 - 오늘날, 한 엔지니어가 전 세계 모든 엔터프라이즈 방화벽으로 액세스 목록 변경 사항을 적용시키는데 6.5시간 이상 소요됩니다. FMC로 모든 디바이스를 관리할 수 있게 되면 이 시간은 30분 미만으로 줄어들 것입니다. 다른 보안 정책 변경이나 네트워크 최적화의 경우도 이와 유사한 속도 및 절감된 시간으로 적용이 가능합니다.
  • 자동화 및 오케스트레이션의 간소화 - Firepower 9300 및 FMC에 대한 API를 공개함으로써 우리는 새로운 네트워크 및 보안 서비스의 종단 간 구축 및 오케스트레이션을 지원할 수 있을 것으로 기대합니다. 또한, API를 사용하여 일상적인 보안 활동의 자동화 뿐만 아니라 과거에는 높은 비용으로 인해 수행하기 어려웠던 일회성 변경들을 좀 더 쉽게 자동화할 수 있도록 개선될 것입니다.

자세한 내용