Embed Size (px)
Citation preview
![Page 1: [White Paper] SDN 기반 공격 탐지차단 강화를 위한 네트워크 관리 정보 구성 방안](https://reader035.pdfslide.tips/reader035/viewer/2022073112/58ac49a71a28ab99028b5ae7/html5/thumbnails/1.jpg)
SDN 기반 공격 탐지/차단 강화를 위한
네트워크 관리 정보 구성 방안TECHNICAL WHITE PAPER
JONG SEOG [email protected]
NAIM Networks, Inc.
www.naimnetworks.com
I. 개요
II. 배경
III. 내용
1. 효과
2. 활용케이스
IV. 결론
![Page 2: [White Paper] SDN 기반 공격 탐지차단 강화를 위한 네트워크 관리 정보 구성 방안](https://reader035.pdfslide.tips/reader035/viewer/2022073112/58ac49a71a28ab99028b5ae7/html5/thumbnails/2.jpg)
NAIM Networks technical white paper
1 / 5
I. 개요 기업들이 보안에 투자하는 가장 궁극적인 목적은 내외부의 위험(Risk)을 줄이고 TCO 절감과 ROI를 향상시키는 데 있다. 더불어 보안 인프라를 자동화하고 네트워크에서 발생하는 모든 상황을 파악하는 것은 물론이고 전문가인 제3자의 기술을 통해 안전에 대해 검증 받고자 한다. 보안을 강화시킨 생태계 구축을 가능케 하는 VNC(Virtual Network Cloning)는 의심되는 트래픽을 유인하고, 소프트웨어 정의 네트워크(SDN)를 이용하는 네트워크 관리 시스템과 그 구동 방법을 사용한다. 또한 기업들이 일반적으로 사용하고 있는 물리/가상 호스트는 물론 컨테이너 사용 환경을 탐지할 수 있는 네트워크 보안 관리 시스템이어야 한다. II. 배경 현재 엔터프라이즈 환경의 네트워크 인프라 관리는 IP 주소 기반으로 관리하는 것이 일반적이다. IP 주소 기반의 도구를 사용하면서 소요되는 시간을 단축하고 장비를 추가하는 등 인프라 관리를 개선해 나가고 있다. 현재의 이러한 환경에서 개별적인 호스트를 탐색하기 위해서는 브로드캐스트 도메인 별로 하드웨어 센서 설치가 필요하며, 고가의 장비를 사용해야 한다. 만일 브로드캐스트 도메인 별 하드웨어 센서가 설치 되지 않는 경우에는 수동적으로 각 호스트 자원을 발견해야 하는데, 보안 사고나 이에 관련한 네트워크 장애 발생 시 신속한 복구를 요하는 상황에서 치명적인 약점이 될 수 있다. 또한, 가상 또는 물리 환경에서는 통합 관리가 쉽지 않다. 기존의 관리 기술은 가상 환경에 대한 고려가 거의 없는 상태며, 이를 그대로 가상 시스템에 적용하는 것은 상당히 무리가 된다. 논리적인 사고 발생 지역은 IP 주소를 기반으로 찾을 수 있지만, 물리적인 기반의 자원은 찾지 못하는 현상이 발생할 수 있다. 이러한 관리 기술의 단점은 가상화를 기반으로하는 클라우드 서비스 도입의 큰 장애로 작용한다. 위와 같이 물리적인 환경을 모두 수동으로 등록해야 하는 환경에서, 별도의 기기나 에이전트를 설치할 수 없다면 관리의 가시성 확보는 사실상 어렵다고 본다. 특히, 사물인터넷(IoT)의 경우와 같이 빠르게 증가하는 사물 자원들의 자동화 관리는 불가능하다고 해도 무방하다. III. 내용 보안 강화를 위해 소프트웨어 정의 네트워크를 이용한 네트워크 관리 시스템을 제공한다. 배경에서 설명한 이슈를 해결하기 위해, 네트워크 관리 시스템은 복수 개의 호스트들이 연계되는 복수 개의 SDN 스위치로 이루어지는 네트워크에 사용된다. VNC 보안 관리 시스템은 상기 복수 개의 호스트 및 복수 개의 스위치 간의 네트워크 접속을 관리하는 소프트웨어 정의 네트워크 컨트롤러, 호스트의 정보, 스위치의 정보, 호스트의 유저 정보를 포함하는 네트워크 정보를 수집하는 네트워크 정보 수집 컨테이너 및 호스트 정보, 스위치 정보를 실시간으로 저장
“VNC는 SDN을
이용한 이용한
네트워크 관리
시스템 및 그 구동
방법이 사용하며
엔터프라이즈에서
일반적으로
사용하는
물리/가상
호스트는 물론
컨테이너 사용
환경 탐지할 수
있는 네트워크
보안 관리
시스템이어야
한다.”
![Page 3: [White Paper] SDN 기반 공격 탐지차단 강화를 위한 네트워크 관리 정보 구성 방안](https://reader035.pdfslide.tips/reader035/viewer/2022073112/58ac49a71a28ab99028b5ae7/html5/thumbnails/3.jpg)
NAIM Networks technical white paper
2 / 5
및 관리하는 네트워크 데이터베이스를 포함한다. 호스트의 네트워크 정보는 네트워크의 논리적인 환경 변화에 따라 변하지 않는 정보인 상기 호스트 식별용 메타 정보를 포함한다. 이를 통해 아래 그림 ‘SDN기반 DB 개념도’와 같이 가변적인 IP 주소가 아닌 불변의 메타정보 기반의 데이터를 구축한다.
그림. ‘SDN기반 DB 개념도’ 사용 예에 있어서, 네트워크 정보 수집 기능은 네트워크 토폴로지 및 가상 스위치를 감지하는 컨트롤러 컨테이너, 포트 정보를 스캔 하는 스캐너, 프로토콜 정보를 스캔 하는 사우스바운드/노스바운드 프로토콜을 포함한다. VNC 컨트롤러는 호스트의 관리자 정보, 스위치의 포트 정보, 스위치의 맥 주소 정보, 스위치의 IP 정보, 호스트로 전송되는 패킷량 정보를 수집한다. 그리고 아래와 같이 생태계를 이용하는 스캐너 기능은 호스트의 벤더 정보, 호스트의 하드웨어 타입 정보 호스트의 운영체제 정보, 호스트의 포트 정보 등을 추가 할 수 있게 한다.
사우스바운드/노스바운드 프로토콜은, 호스트의 별칭(alias) 정보, 호스트의 IP 정보, 스위치의 MAC 주소 정보 및 상기 호스트로 전송되는 패킷량 정보를 수집 가능
호스트 식별용 메타 정보는 시리얼 번호 등 호스트의 물리 환경 정보를 포함 할 수 있다. 호스트 식별용 메타 정보는 사용자 식별 정보를 포함
네트워크 정보 수집 기능은, VLAN 또는 VxLAN 정보를 수집하는 가상랜 정보를 포함하고, 호스트 식별용 메타 정보는 VLAN 또는 VxLAN 정보를 포함
네트워크 정보 수집은, 사용자의 VoIP 주소를 수집하는 사용자 정보 수집 기능을 포함하고, 상기 호스트 식별용 메타 정보는 사용자의 VoIP 주소를 포함
네트워크 데이터베이스부에 저장된 호스트 정보 및 스위치 정보를 바탕으로 해당 호스트의 물리 네트워크 정보를 분석하는 물리 네트워크 정보 분석 기능을 포함
“가변적인 IP
주소가 아닌
불변의 메타정보
기반의 데이터를
구축한다.”
![Page 4: [White Paper] SDN 기반 공격 탐지차단 강화를 위한 네트워크 관리 정보 구성 방안](https://reader035.pdfslide.tips/reader035/viewer/2022073112/58ac49a71a28ab99028b5ae7/html5/thumbnails/4.jpg)
NAIM Networks technical white paper
3 / 5
1. 효과 소프트웨어 정의 네트워크 구조를 기반으로 호스트 또는 호스트 유저의 불변한 메타 정보를 수집하고, 이를 이용할 수 있는 API 제어기능을 제공해 문제되는 호스트가 발생할 경우 보다 효과적인 방법으로 이를 식별 가능하다. 또한, 가상 서버 상에서 발생되는 문제에 대하여 해당 호스트의 물리적인 위치를 파악할 수 있어 효과적인 대처가 가능하다. 빅데이터의 활용적인 측면에서 머신러닝에 사용할 수 있는 보다 구체적인 데이터들을 수집함으로써 향후 이를 이용한 다양한 어플리케이션을 생성 가능하다. 이와 관련되는 정보들을 정리하여 표시하면 아래의 [표] ‘DB 구성’과 같이 가능하다. 패킷의 전송량과 이용 시간 등의 정보는 호스트가 어떠한 양의 패킷을 어느 시간에 발생시켰는지에 대한 이력 정보를 남긴다. 이를 통해 호스트의 IP 주소와 같이 논리적으로 변화할 수 있는 값들의 상황을 감지해 상황 판단의 근거로 활용할 수 있다. 이러한 케이스 별 이용 상황에 대해서는 활용 케이스에서 설명한다.
【표】 ‘DB 구성’
스위치 정보 호스트 정보
Host at Switch Host Host H/W OS Open Port
Port MAC IP Alias admin IP MAC 벤더 Type OS Ver. FTP HTTP HTTPS ETC
Statistics End User
Time Statistics End User
Time Pkts/s Etc Auth. Account VoIP VLAN ID VxLAN ID Etc
2. 활용 케이스 활용 가능한 케이스를 구체적인 3개의 활용 사례들로 아래에서 설명한다. 활용 사례 1 SDN 기술의 강점은 IT인프라의 개방과 네트워크의 전체에 대한 가시성 확보에 있다.
일반적인 네트워크 시스템에 있어서, 복수개의 스위치로 구성된 각각의 네트워크 망이 존재한다. 현재 고가의 기능적인 스위치를 제외하고 일반적인 스위치는 호스트를 IP 주소로 인식하고, 외부에서 스위치를 제어하는 경우 호스트를 인식할 수 있는 수단은 IP 주소밖에 없기 때문에, 특정 호스트에서 장애가 발생하는 경우에는 기본적으로 문제가 발생되는 스위치를 인지하여야 한다.
“빅데이터의
활용적인
측면에서
머신러닝에
사용할 수 있는
보다 구체적인
데이터들을
수집함으로써
향후 이를 이용한
다양한
어플리케이션을
생성 가능하다.”
![Page 5: [White Paper] SDN 기반 공격 탐지차단 강화를 위한 네트워크 관리 정보 구성 방안](https://reader035.pdfslide.tips/reader035/viewer/2022073112/58ac49a71a28ab99028b5ae7/html5/thumbnails/5.jpg)
NAIM Networks technical white paper
4 / 5
예를 들어 동일한 IP 주소를 가지는 여러 개의 호스트가 있는 경우에, 해당 영역에서 서비스 중인 라우터에서 명령어로 이러한 IP 주소를 게이트웨이로 사용되는 스위치의 맥 주소를 확인하며, 동일한 MAC 주소를 사용하는 스위치에 접속하여 물리적 포트 번호로 물리적 호스트의 위치를 확인할 수 있다. 여러 개의 물리적 호스트의 위치를 확인해 개별적으로 호스트에 대한 네트워크 설정을 진행한다. 이러한 작업은 스위치의 개수 및 스위치가 할당된 호스트의 수에 따라 적게는 수 시간 많게는 수 일이 걸리는 상황이 발생할 수 있으며, 네트워크의 구동에 있어서, 이러한 장애 시간은 매우 치명적인 결과를 낳을 수 있다. 한편, 본 예에 따른 네트워크 관리 시스템에서는 동일한 장애가 발생하는 경우 네트워크 데이터베이스부 상에서 중복 IP 발생에 대한 이력을 검사하거나, 이러한 상황 발생에 따른 관리 조건 및 관리 프로세스를 설계할 수 있다. 예를 들어 중복 IP가 발생하는 경우 경고와 함께, 이력 상에서 중복 IP 발생 시점 이전의 호스트 식별용 메타 정보를 기준으로 실제 장애를 일으킨 호스트의 물리적 정보를 실시간으로 얻을 수 있으며, 추가적으로 필요한 자동 차단과 같은 조치를 취할 수 있다. 이러한 모든 제어를 원격에서 실시할 수 있다. 활용 사례 2
하나의 호스트 내에서 두 개 이상의 가상 머신이 작동되어 네트워크를 구성하는 시스템에 관한 예이다. 가상 머신의 경우에는 개별적인 호스트 내에서 독립적인 호스트가 가상적으로 구현된다. VMware 등 상용 가상 네트워크 기술은 물리적 네트워크 자원과는 독립적으로 구현된다. 또한, 오픈스택(OpenStack)과 같은 오픈 소스 기반 클라우드 서비스는 물리자원 정보를 제공하지 않는다. 따라서 외부에서는 이러한 가상 머신들을 인지할 때에는 IP 주소 이외의 정보를 통하여 인지하기가 어려우며, 해당되는 호스트의 물리적인 자원에 대한 정보를 얻을 수 없다. 이 경우, 본 예에 따른 VNC 기반 관리 시스템에서는 VLAN 또는 VxLAN과 같은 가상 네트워크 정보와 물리네트워크 정보가 연계되어 있으므로, 해당 가상 머신의 물리적인 정보를 얻고자 하는 경우에는 VLAN ID와 같은 VLAN 관련 정보를 기준으로 네트워크 데이터베이스부 상에서 관련된 물리정보를 획득한다. 이러한 과정은 실시간으로 이루어질 수 있으며, 외부에서 원격으로 진행될 수 있다. 종래에서는 가상 머신의 물리정보를 얻고자 하는 경우에 이를 위한 별도의 프로세스를 개발하거나 가상 머신 내에 이러한 처리를 위한 과정을 삽입해야 하나 이러한 경우 물리적 경로의 비효율로 20내지 30%에 달하는 많은 비용과 자원이 낭비되는 단점이 있다. 활용 사례 3
“실제 장애를
일으킨 호스트의
물리적 정보를
실시간으로 얻을
수 있으며,
추가적으로
필요한 자동
차단과 같은
조치를 취할 수
있다.”
“VNC 기반 관리
시스템에서는
VLAN 또는
VxLAN과 같은
가상 네트워크
정보와
물리네트워크
정보가 연계”
![Page 6: [White Paper] SDN 기반 공격 탐지차단 강화를 위한 네트워크 관리 정보 구성 방안](https://reader035.pdfslide.tips/reader035/viewer/2022073112/58ac49a71a28ab99028b5ae7/html5/thumbnails/6.jpg)
NAIM Networks technical white paper
5 / 5
본 예에 따른 네트워크 관리 시스템에서는 획득된 호스트 식별용 메타 정보 및 이와 관련된 이력 정보들을 활용하여 다양한 머신 러닝 기반 기능들을 활용할 수 있다. 이에 대한 활용 조건을 예로 들면 아래와 같다. “XXX님께서는 일주일 전부터 중국을 접속하여 계속 유지를 하고, 3일전부터는 사내 서버들을 접속 하여 수신 데이터보다 송신 데이터가 증가 중입니다. 업무가 바뀌셨는지요? (Y/N)”, “가상서버 YYY는 1주일 전에 지정 위치 Zone 1에서 Zone 2로 이동을 하고 복귀를 하지 않고 있는데 정상 인지요? (Y/N)” 특히 이러한 머신 러닝 기반 기능들은 사내 네트워크의 보안과 관련되어 활용할 수 있으며, 예를 들어 물리적 식별 정보를 기반으로 구현 불가능한 시간 내에 변화가 생기거나, 일상적인 업무 패턴 이외의 변화를 보이는 경우 문제가 발생되는 조건을 부여하여 해당 호스트들을 차단하거나 별도로 확인과정을 거치도록 하는 보안 시스템을 구성할 수 있다. 이상에서는 바람직한 예들을 설명하였지만, 해당 기술 생태계의 숙련된 사업자 또는 해당 기술분야에 통상의 지식을 가진 생태계 파트너들는 VNC의 사상 및 기술 영역으로부터 벗어나지 않는 범위 내에서 본 기술을 다양하게 수정 및 변경시킬 수 있다. IV. 결론 차세대 네트워크와 보안 환경에서 소프트웨어 정의는 중앙에서 어플리케이션으로 제어해 정책에 따라 역동적이면서도 유연하게 통제를 수행할 수 있도록 도움을 줄 것이다. 또한 기존 물리적인 네트워크 환경에서는 생각할 수 없었던 새로운 형태의 서비스를 가능하게 해줄 것이다. 소프트웨어 정의 기반으로 제공되는 보안 솔루션은 기존 인프라 설치에 유연성을 제공해 주어야 하며, 어떠한 인프라스트럭처에서도 동작할 수 있도록 일반적인 범용 하드웨어에서 구현하는 서비스로 제공돼야 한다. 보안 역시 가상화 환경과 통합된 기능을 제공해야 한다. 그리고 최근 추세인 컨테이너를 지원하는 물리 환경을 포함해 가상화 인프라스트럭처 안에서 잠재적인 취약점이나 알려진 보안 위협에 대해 확인할 수 있어야 한다. 기업 내부의 보안이 SDx화 되면서 새로운 기술에 대한 학습이 요구된다. 기존 기술 인력은 소프트웨어 패키지를 전체 솔루션에 연동하기 위한 스크립트 언어 등에 대한 이해가 부담이 될 수 있어 생태계를 충분히 이용 할 수 있는 구조를 통해 보안 담당자가 새로운 SDx화 흐름을 주도 할 수 있어야 할 것이다. 점차 지능화, 자동화, 대형화 되어가고 있는 보안 사고에 효과적으로 대응하기 위해 심층화된 보안시스템과 함께 소프트웨어 정의의 유연한 구조의 인프라 아키텍처가 함께 구성되어야 할 것이다.
“호스트 식별용
메타 정보 및 이와
관련된 이력
정보들을
활용하여 다양한
머신 러닝 기반
기능들을 활용할
수 있다.”
“생태계를 충분히
이용 할 수 있는
구조를 통해 보안
담당자가 새로운
SDx화 흐름을
주도 할 수 있어야
할 것이다.”
