[테크월드=박진희 기자] VMware는 온프레미스 클라우드 환경에서 공격 표면을 줄이는 VMware 서비스 정의 방화벽(Service-Defined Firewall)을 공개했다. VMware 서비스 정의 방화벽은 애플리케이션 가시성과 정상적인 활동에 대한 이해, 지능적이고 자동화된 적응형 방화벽 기능을 결합해 애플리케이션, 데이터, 사용자를 안전하게 보호할 수 있도록 한다.
VMware는 미국 샌프란시스코에서 개최된 보안 행사 ‘RSA 컨퍼런스 2019’에서 새로운 보안 접근 방법을 발표했다. VMware의 보안 전략은 ▲잘 알려지지 않은 위협을 추적하기보다 공격 표면을 축소시키고 ▲‘비정상적인 활동을 추적하는 것(Chasing Bad)’에 중점을 둔 기존 보안 모델에서 ‘정상적인 활동을 보장하는 것(Ensuring Good)’에 중점을 두며 ▲인프라보다는 애플리케이션 자체에 초점을 맞춘다. VMware 기술이 포함된 인프라 스택에 내재적인 보안을 구현해, 기업은 애플리케이션의 정상적인 활동을 보호하고, 중요 애플리케이션과 민감한 데이터, 사용자에 대한 리스크를 대폭 감소시킬 수 있다.
기존 솔루션들은 게스트 환경에서 에이전트를 설치하는 방법을 사용했으나 이런 솔루션은 더 복잡하고, 공격자가 루트 권한을 얻어 호스트를 제어할 수 있는 경우에는 에이전트를 우회할 수 있다는 한계가 있었다. 최근 애플리케이션이 분산된 환경에서 실행되면서, 분산될 필요성이 커지고 있다.
VMware 서비스 정의 방화벽은 베어 메탈, 가상 머신, 컨테이너 기반 애플리케이션 환경에서 작동하며, VMware Cloud on AWS 및 AWS Outposts 등의 하이브리드 클라우드 환경 또한 지원할 예정이다. 또한 기업은VMware 서비스 정의 방화벽 솔루션을 단독 방화벽 솔루션으로 사용할 수 있다. VMware 서비스 기반 방화벽의 특장점은 다음과 같다.
• 애플리케이션 인증 클라우드: VMware 서비스 정의 방화벽은 호스트에서 시간 경과에 따른 변화를 통해 애플리케이션 및 수백 수천 개의 마이크로서비스에 대한 높은 이해도를 얻을 수 있다. 애플리케이션 인증 클라우드는 전 세계 수 백 만개 가상 머신의 인텔리전스를 활용해, 애플리케이션의 계획된 정상 상태에 대한 정보 지도를 정확하게 구축한다. 애플리케이션의 정상적인 상태가 인증되면, 이 솔루션은 레이어 7 기능과 상태 점검이 가능한 적응형 보안 정책을 생성할 수 있다.
• 게스트로부터 보호: VMware 서비스 정의 방화벽 솔루션은 내재된 기능을 활용해 게스트 환경에서 머무르지 않고 게스트 OS와 애플리케이션의 검사를 실행하며, 이는 공격자가 루트에 접근해도 서비스 정의 방화벽의 보안망을 뚫을 수 없다는 것을 의미한다. 또한, VMware 서비스 정의 방화벽 솔루션은 OS 및 애플리케이션이 작동하는 동안에 네트워크 상에서 의심스러운 트래픽을 감지 및 차단하는 등 네트워크 방화벽 및 호스트 IPS에 대한 새로운 접근 방식을 제시한다.
• 소프트웨어 내 방화벽 분산: 하드웨어 방화벽에 대한 전통적인 접근 방식은 스캐닝을 위해 트래픽을 가상 환경에서 하드웨어 어플라이언스로 헤어피닝(또는 NAT 루프백, 내부 네트워크에서 공인IP 주소를 이용해 서비스에 접근하는 방법) 기술을 통해 변환하는 것이다. 특히 이기종 클라우드 및 여러 서버에 걸쳐 실행되는 서비스 및 구성 요소를 포함한 현대적인 애플리케이션의 경우 규모를 확장하기 어렵고 비효율적이다. 소프트웨어 기반의 VMware 서비스 정의 방화벽은 클라우드 전반에 걸쳐 애플리케이션이 실행되는 지점에서 실행되며, 클라우드 환경 전반에 걸쳐 복잡한 트래픽 헤어피닝없이 일관된 정책을 지원한다.
그래도 삭제하시겠습니까?