기가몬 “에이전트 없이도 클라우드 트래픽 가시성 확보…보안 사각지대 없앤다”
클라우드 환경의 가상화(VM), 컨테이너 간 트래픽을 효과적으로 획득해 보안 사각지대를 없애주는 가시성 확보 솔루션이 소개됐다. 기가몬은 메타데이터를 추려 스토리지, 보안 장비 등 IT 자원의 부담과 비용은 줄이고, 에이전트가 설치되지 않은 디바이스의 트래픽까지 확인해 보안성을 높일 수 있는 솔루션을 제공한다.
신기욱 기가몬코리아 상무는 최근 개최된 ‘컨테이너 보안 및 네트워크 가시성 확장 방안’ 바이라인플러스 웨비나에서 “클라우드로 애플리케이션을 이전하고 전환할 때 가장 큰 우려가 보안을 어떻게 구축하느냐는 것”이라며 “클라우드 영역에서는 생각지 못한 보안 사각지대가 존재한다”고 말했다.
기가몬은 ‘클라우드 스위트(Suite)’ 솔루션을 통해 클라우드 환경에서 트래픽을 획득하고 높은 컨테이너 오케스트레이션 성능을 통한 관리 기능을 제공한다. 신 상무에 따르면 온프레미스 환경과 달리 클라우드에서는 매우 많은 컨테이너에서 동-서 (east-west) 간 트래픽이 생성되며 보안 사각지대가 발생한다. 온프레미스 환경에서는 없던 가상머신(VM) 간 트래픽 통신도 클라우드 환경의 보안 관리를 어렵게 하는 요인이다. 클라우드도 온프레미스와 마찬가지로 보안 규정을 준수해야 하는 상황에서, 같은 방식으로는 제대로 된 보안 관리가 어렵다는 설명이다.
그는 “트래픽 획득이 가장 중요하다”면서 “기가몬은 지브이탭(G-vTap) 모듈과 외부 로드밸런서, 네이티브 트래픽 포워딩 등의 방식을 통해 트래픽을 획득할 수 있도록 지원한다”고 말했다.
또한 기가몬의 솔루션은 메타데이터만 추려 클라우드 트래픽을 보안 분석 장비에 연결할 수 있다. 신 상무는 “특정 보안 솔루션은 클라우드 환경이나 암호화된 트래픽을 지원하지 않는 경우가 있다”며 “이러한 상황에서는 클라우드에서 트래픽을 뽑아내 연결시키는 것이 모두 비용”이라고 강조했다. 보안 관리에 필요치 않은 트래픽까지 끌어오느라 서버나 스토리지 용량이 많이 소모되고, 그만큼 관리 비용이 많이 드는데, 이같은 문제를 기가몬이 해결할 수 있다고 강조했다.
이에 기가몬은 필요한 속성값만 전달해 클라우드 환경의 보안을 관리할 수 있는 기능을 제공한다. 기가몬의 ‘유니버설 컨테이너 탭(UCT)’은 컨테이너 환경에서 트래픽을 획득하는 솔루션으로 지난 7월 출시했다. 가상머신 환경의 트래픽은 지브이탭으로 획득한다면 컨테이너 환경의 트래픽은 UCT로 가져올 수 있다.
쿠버네티스를 활용한 컨테이너 환경은 구동단의 ‘워커(Worker) 노드’, 해당 노드 안에서 구동하는 가상서버 유닛 역할을 하는 ‘파드(Pod)’, 솔루션을 위해 함께 작동하는 파드 그룹인 ‘서비스’까지 3가지 요소로 구성되는 데, UCT를 유저 스페이스에 설치하면 커널단에서 움직이는 트래픽을 에이전트리스(Agent-less) 방식으로 획득해 보안 분석 장비에 연결할 수 있다. 신 상무는 “기존의 앱을 건드리지 않고도 트래픽을 가져올 수 있다”며 “이는 가장 최신의 솔루션으로 큰 노하우가 필요하다”고 말했다.
UCT는 획득한 트래픽을 보안 장비에 전달하는 기능을 기본으로, 모니터링, 컨피그레이션 상태 확인, 노드 라이센스 관리, 구성요소의 업그레이드·백업·복구를 지원하는 패브릭 매니저(FM) 기능 등을 제공한다. 또한 FM과 UCT를 관리하는 UCT 컨트롤러 기능도 탑재했다.
특히 노드 내의 컨테이너 간 트래픽도 모두 관리할 수 있는 게 UCT의 특징이다. 신 상무는 “통상 하나의 파드에 컨테이너는 하나만 올리는 게 보통이지만, 컨테이너를 여러 개 올리는 사례도 적지 않다”며 “각각의 컨테이너 단위 트래픽이나 특정 컨테이너 트래픽만 가져오는 필터 설정도 지원한다”고 말했다.
여기에 애플리케이션 필터링 인텔리전스(AFI) 기능은 SSL 암호화된 트래픽에서 3500개의 애플리케이션과 프로토콜을 딥 패킷 인스펙션(DPI)으로 분류해 보안 분석 장비로 보내주고, 분석이 필요하지 않은 단순 트래픽은 걸러내 스토리지 용량 운영을 최적화한다는 설명이다.
신 상무는 “암호를 풀지 않고도 어떤 트래픽인지 확인하고 자유롭게 운영·관리할 수 있는 기능”이라고 설명했다. 이어 “모든 앱은 패턴 특성이 있으므로 DPI를 통해 어떤 트래픽인지 분석해 낼 수 있다”고 부연했다.
애플리케이션 메타데이터 인텔리전스(AMI)는 네트워크단에 있는 5000개 이상의 메타데이터 속성값을 제공한다. 그는 “웹서버 트래픽에서 내가 보고 싶은 데이터는 모두 뽑아낼 수 있다”고 말했다. 보안 정보 및 이벤트 관리(SIEM) 툴이나 가시성 솔루션과 연동되며 공통이벤트포맷(CEF)이나 제이슨(JSON) 방식으로 보안 분석 장비에 속성값을 전달할 수도 있다.
신 상무는 “통상 대부분의 보안 장비는 구동되는 디바이스에 에이전트를 깔아 획득한 트래픽을 전달하는 방식을 쓴다”면서 “기가몬은 에이전트 리스 방식을 추구한다”고 말했다. 관리자의 손길이 미치지 않은 관리되지 않는(Unmanged) 디바이스의 트래픽 또한 뽑아낼 수 있다는 뜻이다. 에이전트 방식에서는 뽑을 수 없던 트래픽도 네트워크단에서 받아오기 때문에 가능한 일이다. 이를 통해 사물인터넷(IoT) 장비 등 에이전트가 설치되지 않은 디바이스들까지 관리해 보안성을 높일 수 있다는 게 신 상무의 말이다.
그는 “에이전트가 있다면 기존 에이전트 방식으로 트래픽을 보고, 혹시나 못보는 트래픽은 AMI를 통해 확인해 보안을 강화할 수 있다”며 “컨테이너, 클라우드, 피지컬(온프레미스) 등 어느 환경에서도 보안 사각지대 영역을 확인할 수 있는 것이 기가몬 솔루션”이라고 강조했다.
글. 바이라인네트워크
<이진호 기자>jhlee26@byline.network
