VMware가 온프레미스 및 클라우드 환경에서 공격 표면을 줄이는 VMware 서비스 정의 방화벽을 공개했다. VMware 서비스 정의 방화벽은 높은 애플리케이션 가시성, 애플리케이션의 정상적인 활동에 대한 이해, 지능적이고 자동화된 적응형 방화벽 기능을 결합해 애플리케이션, 데이터, 사용자를 보다 안전하게 보호할 수 있도록 지원하는 것이 특징이다. VMware의 보안 전략은 잘 알려지지 않은 위협을 추적하기보다 공격 표면을 축소시키고 비정상적인 활동을 추적하는 것에 중점을 둔 기존 보안 모델에서 정상적인 활동을 보장하는 것에 중점을 둔다.
| 내부 방화벽 솔루션 통해
| 네트워크 및 호스트 수준에서
| 정상적 활동 보호하고 공격면 축소
VMware는 11일, 온프레미스 및 클라우드 환경에서 공격 표면을 줄이는 ‘VMware 서비스 정의 방화벽(Service-defined Firewall)’을 공개했다.
VMware 서비스 정의 방화벽
VMware 서비스 정의 방화벽은 높은 애플리케이션 가시성, 애플리케이션의 정상적인 활동(known good)에 대한 이해, 지능적이고 자동화된 적응형 방화벽 기능을 결합해 애플리케이션, 데이터, 사용자를 보다 안전하게 보호할 수 있도록 지원하는 것이 특징이다.
VMware는 미국 샌프란시스코에서 개최된 보안 행사 ‘RSA 컨퍼런스 2019’에서 새로운 보안 접근 방법을 발표했다. VMware의 보안 전략은 ▲잘 알려지지 않은 위협을 추적하기보다 공격 표면을 축소시키고 ▲‘비정상적인 활동을 추적하는 것(chasing bad)’에 중점을 둔 기존 보안 모델에서 ‘정상적인 활동을 보장하는 것(ensuring good)’에 중점을 두며 ▲인프라보다는 애플리케이션 자체에 초점을 맞춘다. VMware 기술이 포함된 인프라 스택에 내재적인 보안을 구현해, 기업은 애플리케이션의 정상적인 활동을 보호하고, 중요 애플리케이션과 민감한 데이터, 사용자에 대한 리스크를 대폭 감소시킬 수 있다.
톰 길리스(Tom Gillis) VMware 부사장 겸 네트워크 및 보안 부문 총괄 사장은 ”VMware가 구현하는 내재된 보안은 가상화 플랫폼에 내장된 고유의 특성을 활용한다”며, “이번에 공개된 VMware 서비스 정의 방화벽은 내부 네트워크 방어에 초점을 맞춰, 위협을 추적하기 보다는 정상적인 활동을 하는 애플리케이션을 검증한다”고 말했다.
기존 솔루션들은 게스트 환경에서 에이전트를 설치하는 방법을 사용했으나 이러한 에이전트 기반의 솔루션은 복잡성을 더했고, 공격자가 루트 권한을 얻어 호스트를 제어할 수 있는 경우에는 에이전트를 우회할 수 있다는 한계가 있었다. 최근 애플리케이션이 분산된 환경에서 실행되면서, 보안 또한 분산될 필요성이 커지고 있다.
VMware 서비스 정의 방화벽은 베어 메탈, 가상 머신, 컨테이너 기반 애플리케이션 환경에서 작동하며, VMware Cloud on AWS 및 AWS Outposts 등의 하이브리드 클라우드 환경 또한 지원할 예정이다. 또한 기업은 VMware 서비스 정의 방화벽 솔루션을 단독 방화벽 솔루션으로 사용할 수 있다.
VMware 서비스 기반 방화벽의 특징은 다음과 같다.
애플리케이션 인증 클라우드
VMware 서비스 정의 방화벽은 호스트에서 시간 경과에 따른 변화를 통해 애플리케이션 및 수백 수천 개의 마이크로서비스에 대한 높은 이해도를 얻을 수 있다. 애플리케이션 인증 클라우드는 전 세계 수 백 만개 가상 머신의 인텔리전스를 활용해, 애플리케이션의 계획된 정상 상태에 대한 정보 지도를 정확하게 구축한다. 애플리케이션의 정상적인 상태가 인증되면, 이 솔루션은 레이어 7 기능과 상태 점검이 가능한 적응형 보안 정책을 생성할 수 있다.
게스트로부터 보호
VMware 서비스 정의 방화벽 솔루션은 내재된 기능을 활용해 게스트 환경에서 머무르지 않고 게스트 OS와 애플리케이션의 검사를 실행하며, 공격자가 루트에 접근해도 서비스 정의 방화벽의 보안망을 뚫을 수 없다. VMware 서비스 정의 방화벽 솔루션은 OS 및 애플리케이션이 작동하는 동안에 네트워크상에서 의심스러운 트래픽을 감지 및 차단하는 등 네트워크 방화벽 및 호스트 IPS에 대한 새로운 접근 방식을 제시한다.
소프트웨어 내 방화벽 분산
하드웨어 방화벽에 대한 전통적인 접근 방식은 스캐닝을 위해 트래픽을 가상 환경에서 하드웨어 어플라이언스로 헤어피닝(또는 NAT 루프백, 내부 네트워크에서 공인IP 주소를 이용해 서비스에 접근하는 방법) 기술을 통해 변환하는 것이다. 이기종 클라우드 및 여러 서버에 걸쳐 실행되는 서비스 및 구성 요소를 포함한 현대적인 애플리케이션의 경우 규모를 확장하기 어렵고 비효율적이다. 소프트웨어 기반의 VMware 서비스 정의 방화벽은 클라우드 전반에 걸쳐 애플리케이션이 실행되는 지점에서 실행되며, 클라우드 환경 전반에 걸쳐 복잡한 트래픽 헤어피닝 없이 일관된 정책을 지원한다.
한편, VMware는 서비스 정의 방화벽의 효과를 입증하기 위해 글로벌 보안 기업 베로딘(Verodin)과 협업했다. VMware는 베로딘의 보안 측정 플랫폼(Security Instrumentation Platform, SIP)을 활용해 VMware 서비스 기반 방화벽이 기존에 알려진 위협 및 잠재적 위협을 효과적으로 식별하고 방어할 수 있는지 검증한 결과, 감지 및 예방 모드에서 의심스러운 공격을 100% 감지 및 방어하는데 성공했다.