이상적인 세계에서라면 침입 탐지가 데이터 센터, 클라우드 자산 및 분기 위치를 망라한 전체 네트워크에 적용될 것입니다. 트래픽 성능에도 영향을 미치지 않고, 용량에 대한 제약도 없을 것입니다. 오늘 Cloudflare의 침입 감지 기능의 비공개 베타 버전을 발표하여 이 이상적인 세계로 한 걸음 더 다가서게 된 것을 기쁘게 생각합니다. 레거시 하드웨어 방식에 대한 어떠한 제약도 없이 서비스로 제공되는 이 기능을 통해 모든 네트워크 트래픽에서 위협을 실시간으로 모니터링할 수 있습니다.
Cloudflare One의 일부인 Cloudflare의 네트워크 서비스는 고객이 데이터 센터, 클라우드 또는 하이브리드를 망라하여 전체 기업 네트워크를 연결해주고 DDoS 공격과 기타 악의적 트래픽으로부터 보호해줍니다. 고객은 방화벽 규칙을 적용하여 원치 않는 트래픽이 발송되지 않도록 하거나 능동적 보안 모델을 시행하고, 맞춤 또는 관리형 IP 목록을 방화벽 정책에 통합하여 알려진 맬웨어, 봇 또는 익명성 도구와 관련된 트래픽을 차단할 수 있습니다. 당사의 새로운 침입 감지 시스템(IDS) 기능은 방대한 알려진 위협 시그니처를 고객 트래픽에서 적극 모니터링함으로써 이 핵심 보안 컨트롤을 한층 확장시켜 줍니다.
IDS란 무엇입니까?
침입 감지 시스템은 전통적으로 스탠드얼론 장비로 배포되었지만 최근에는 첨단 방화벽 등에 기능으로 통합되는 경우가 많습니다. 이 기능은 고객이 알고 있는 트래픽을 차단하는 데 집중하는 전통적인 방화벽의 보안 범위를 넘어서 고객이 네트워크에서 차단하고 싶어하는 트래픽으로까지 확장하여 보다 방대한 위협 데이터베이스를 기준으로 트래픽을 분석하면서 네트워크 트래픽의 시그니처 또는 "지문"을 기반으로 랜섬웨어, 데이터 유출, 네트워크 스캔 등 다양하고 정교한 공격을 감지해냅니다. 또한 많은 IDS가 기준과 비교하여 활동을 모니터링하는 이상 감지 기능을 통합하여 악의적 활동의 표시일 수 있는 예기치 않은 트래픽 패턴을 식별합니다. (네트워크 방화벽 성능의 진화에 관심이 있으시다면 이 페이지에서 자세한 내용을 참고하시기 바랍니다).
기존 IDS 솔루션에서 사용자가 겪었던 문제는 무엇입니까?
우리는 수많은 고객과의 인터뷰를 통해 IDS 배포 경험에 대해 듣고, 당사 솔루션을 통해 해결하고 싶은 문제점들에 대해서도 들었습니다. 고객들은 다른 하드웨어 기반 보안 솔루션에서 지금까지 겪었던 모든 문제들을 언급했는데, 이는 우리 역시도 자주 들어왔던 것들이었습니다. 용량 계획, 위치 계획, 모니터링을 위해 중앙 위치에서 이루어지는 트래픽 백홀링, 설치, 유지보수, 업그레이드를 위한 작동 중지 시간, 대용량 트래픽(DDoS 공격 등)에 의한 정체 또는 장애에 대한 취약성이 거기에 포함되었습니다.
이야기를 나눈 고객들은 네트워크 트래픽에 대해 보안과 성능 사이에서 절충안을 마련하는 어려움도 계속해서 얘기했습니다. 당사 네트워크 엔지니어의 설명은 다음과 같습니다.
“이것 때문에 보안 팀이 절 미워한다는 건 알지만 온프레미스 방화벽에 IDS 기능을 구현하도록 할 순 없습니다. 우리 팀이 진행한 테스트에서는 제 처리량이 3분의 1까지 떨어졌으니까요. 현재 보안에 이러한 공백이 있고, 트래픽에 대한 IDS 커버리지를 확보하기 위해 대안을 찾고 있다는 것도 알고 있지만 단순히 이론상 존재하는 악성 트래픽을 잡자고 모두가 사용하는 네트워크의 속도를 떨어트리는 것이 정당하다고는 생각할 수 없습니다.”
마지막으로, 성능 저하를 감수하고 IDS 장비에 투자하기로 선택한 고객들은 IDS 장비를 작동시킨 후에는 SOC로 들어오는 경고 피드를 종종 음소거하거나 무시한다고 보고했습니다. 인터넷상에는 잡음이 많고 중요한 신호를 놓칠 위험도 존재하기 때문에 오히려 IDS는 많은 긍정 오류 또는 조치 불가능한 알림을 생성해 낼 수 있습니다. 그 규모로 인해 안 그래도 바쁜 SOC 팀은 알림 피로를 느끼고, 결국 소음에 묻혀 있는 잠재적으로 중요한 신호를 포착하지 못하고 음소거시켜 버릴 수 있는 것입니다.
Cloudflare는 이러한 문제를 어떻게 해결하고 있습니까?
성능 병목 현상을 유발하거나 조치 불가능한 경고로 팀을 소진시키는 일 없이 위협에 대해 모든 네트워크 트래픽을 모니터링하는 보다 우아하고 효율적이며 효과적인 방법이 있을 것이라고 우리는 믿습니다. 지난 1년 반 동안 우리는 고객들의 피드백을 통해 배우고 다양한 기술 접근 방식을 실험했으며 어려운 절충안은 배제하기 위한 솔루션을 개발했습니다.
모든 트래픽을 망라하는 하나의 인터페이스
Cloudflare의 IDS 기능은 네트워크 트래픽(모든 IP 포트 또는 프로토콜) 전체에서 작동합니다. 고객을 대신해 Cloudflare에서 알리는 고객 IP로 향하는 트래픽이든, 고객에게 대여해준 IP로 향하는 트래픽이든 관계없으며, 사설 네트워크에 전달될 트래픽까지 곧 적용됩니다. 고객은 전체 네트워크에 걸쳐 일관된 모니터링 및 보안 컨트롤을 한 곳에서 시행할 수 있습니다.
하드웨어로 인한 골치는 그만
당사의 모든 보안 기능과 마찬가지로 IDS 역시 처음부터 소프트웨어로 개발했으며, Cloudflare의 글로벌 Anycast 네트워크에 있는 모든 서버에 배포됩니다. 이것은 다음을 의미합니다.
- 더 이상 필요 없는 용량 계획: Cloudflare의 전체 글로벌 네트워크 용량이 이제 고객 IDS의 용량이며, 현재 142Tbps 수준에서 계속 증가하고 있습니다.
- 더 이상 필요 없는 위치 계획: 더 이상 지역을 선택하고, 트래픽을 중앙 위치로 백홀링하거나 기본 및 백업 장비를 배포할 필요가 없습니다. 모든 서버가 IDS 소프트웨어를 실행하고 트래픽이 출처와 가장 가까운 네트워크 위치로 자동으로 라우팅되고, 이중화 및 장애 조치 기능이 내장되어 있기 때문입니다.
- 유지보수를 위한 정지 시간 불필요: Cloudflare의 IDS 성능은 다른 제품들과 마찬가지로 글로벌 네트워크 전체에 연속적으로 배포됩니다.
상호 연결된 글로벌 네트워크에서 확보하는 위협 인텔리전스
공격 환경은 지속적으로 진화하고 있기 때문에 이보다 앞서 나갈 수 있는 IDS가 필요합니다. Cloudflare의 IDS는 당사가 처음부터 개발하고 유지 관리하는 소프트웨어로 제공되기 때문에 Cloudflare의 2천만 개 이상의 인터넷 자산에서 확보한 위협 인텔리전스를 당사 정책에 지속적으로 제공하여 알려진 공격 패턴과 새로운 공격 패턴 모두로부터 고객을 보호할 수 있습니다.
당사의 위협 인텔리전스가 Suricata 위협 시그니처 등의 보안 커뮤니티가 관리하고 신뢰하는 오픈 소스 피드와 통합됩니다. 이는 전체 인터넷 트래픽 중 상당 부분을 전달하고 있는 놀라울 정도로 상호 연결된 네트워크라는 당사만의 특별한 장점을 통해 수집하고 있는 정보를 바탕으로 이루어집니다. 당사는 이렇게 얻은 인사이트를 Cloudflare Radar 같은 도구를 통해 공개적으로 공유할 뿐 아니라, 이를 IDS 같은 당사의 보안 도구에도 적극 활용하여 새롭게 대두되는 위협으로부터 고객을 최대한 신속하게 보호하고 있습니다. Cloudflare가 새로 발표한 Threat Intel 팀이 네트워크 데이터에서 얻은 인사이트를 이해하고 추가 가치를 창출하기 위한 전문 지식을 더해줌으로써 이 기능을 한층 강화해줄 것으로 기대됩니다.
시작하고 싶으십니까?
현재 Advanced Magic Firewall 고객이라면 지금부터 비공개 베타에서 이 기능을 이용할 수 있습니다. 자세한 내용을 알아보거나 지금 바로 시작하려면 담당 계정 팀에 문의하십시오. 이 기능을 계속 발전시킬 수 있도록 소중한 의견 전해주시면 감사하겠습니다!