F5 신서시스 (F5 Synthesis)가 '단 하나의 애플리케이션도 빠뜨리지 않는' 이유는?
BYOD가 확산되고 인터넷 또는 웹 트래픽의 순간적 폭증에 대응할 수 있는 능력이 향상됨에 따라 최종사용자의 기대치와 비즈니스의 요구에는 변화가 일어나게 되었다. 시장조사기관인 프로스트 앤 설리번 (Frost & Sullivan)에 따르면, 사물인터넷 (IoT) 영역이 포용하는 연결된 디바이스의 수가 2020년이면 전세계적으로 800억 대에 달할 것이라고 한다. 모건 스탠리 (Morgan Stanley)에 의하면 한 기업 내에서 제공되는 애플리케이션의 종류가 1,000 개까지 달한다. 기업 내에 오가는 애플리케이션의 수가 증가하면 데이터 측면에서나 디바이스의 관점에서나 보안이 중요한 이슈로 떠오르게 되는데, DDoS 공격, 네트워크 공격, 그리고 최근에 크게 증가하고 있는 애플리케이션 레이어 공격 등을 가하는 사이버 범죄자들 역시 점점 정교해지고, 지능적이 되며, 특정 목표를 노리기 때문이다. IT 환경 전체에 걸쳐 목격되는 이런 패러다임의 변화는 데이터센터가 디바이스에 애플리케이션을 제공하는 방법을 급격히 변화시키고 있다. 이는 클라우드, 모빌리티, 보안 등이 일상적인 표준이 되면서 네트워크의 경계선이 빠르게 넓어지고 있음으로 인해 주로 비롯된다. 이에 따라 언제, 어디서나, 누구에게든 애플리케이션을 확실하게 제공할 수 있는가 하는 것이 비즈니스 과제로 등장했다. 특히, 사람들과 글로벌 조직들은 점점 더 인터넷과 웹 이용 디바이스들에 의존하게 되며, 이는 다시 불가피하게 혁신을 불러오고 데이터 트래픽의 규모를 끊임 없이 증가시키기 때문이다. 그에 대한 대응으로 우리는 소프트웨어 정의 네트워킹(SDN)과 같이 뛰어난 운영효율성 및 관리용이성에 대한 필요에 의해 생겨난 수많은 소프트웨어 정의 기술들의 출현을 목격하고 있다. 특히 오늘날에는 네트워킹 기술들이 병목으로 작용함에 따라, 이런 기술들이 IT 팀의 큰 관심을 받고 있다. 예를 들어, 인프라에 잦은 변화를 주거나 확대할 필요가 생기는 반면 네트워크에 새로운 서비스를 구축하고 변화를 주는 것은 아주 오랜 시간이 걸리게 되고 이로 인해 병목이 되는 것이다. 이 문제는 소프트웨어 정의 기술을 통해 해결될 수 있을 것이다. 모두가 SDN에 열광하는 이유를 알 수 있을 것이다. 그럼에도 불구하고, 이 등식에는 핵심 요소인 L4-L7, 애플리케이션 레이어가 빠져있다. 앱 세상에서는 기업 내 애플리케이션의 전송 및 보안 성능이 언제나 최적화되어 있어 조직들이 위에 언급된 도전과제들을 매끄럽게 극복할 수 있도록 도와야 한다. F5 네트웍스는 한 걸음 더 나아가 (주로 네트워크의 레이어 2-3 문제를 해결하는) SDN에 적용되는 이런 원칙들을 애플리케이션 레이어 (레이어 4-7)에 적용해 소프트웨어 정의 애플리케이션 서비스 (SDAS)를 제공한다. 이것은 엔드유저와 애플리케이션 사이에 구축된 서비스들로서 앱, 네트워크 및 애플리케이션 서비스들이 하나가 되도록 함으로써 애플리케이션 모빌리티, 보안, 액세스 및 정체성, 성능, 가용성과 같은 도전과제들을 아키텍처적으로 해결할 수 있는 역량을 애플리케이션 소유자들에게 제공한다. SDAS의 마술은 패브릭에 있는데, 하드웨어와 소프트웨어, 가상화가 결합되어 구축될 수 있을 뿐만 아니라 데이터 센터 영역을 뛰어넘어 클라우드 환경에서도 실현될 수 있다. 이로 인해 어떤 환경에서든 서비스를 확장하고 관리하기 위해 필요한 탄력성과 운영상의 일관성이 가능해진다. 각 서비스는 사용자, 애플리케이션 그리고 네트워크에 대한 폭넓고 깊은 정보를 실시간으로 수집할 수 있다. 이러한 확장성을 통해 기업들은 더 이상 어떤 애플리케이션을 다른 애플리케이션보다 우선해서 최적화, 가속화 또는 보호해야 할 것인지 선택할 필요가 없다. 다시 말해, 단 하나의 애플리케이션도 빠뜨리거나 뒤에 남겨두지 않는 것이다! (Original post)236Views0likes0Comments애플리케이션 딜리버리 네트워크는 혁신을 유도해야 한다
오늘날 운영이 잘 되는 조직들은 IT가 엄청난 속도로 진화함에 따라 끊임없는 도전을 겪고 있다.모빌리티, 클라우드 컴퓨팅, 가상화, 소프트웨어 정의 네트워킹(SDN) 등은 모두 중요한 애플리케이션 문제들의 해결에 기여하지만, 동시에 새로운 도전과제들을 불러오기 때문에 양날의 검과 같다.이처럼 계속해서 진화하는 환경에서 조직들은 하나의 상수를 필요로 하는데, 그것은 바로 지속적으로 혁신을 지원하고 발전시킬 수 있는 애플리케이션 딜리버리 패브릭이다. 혁신적인 애플리케이션을 성공적으로 전송하기 위해, IT는 반드시 아래 사항들을 수행할 수 있어야 한다. § 사용자들이 어디서, 언제나 그리고 어떤 기기에서든 사용할 수 있도록 애플리케이션 성능을 최적화; § 수요에 따른 유연성 및 확장성 확보; § 신속한 구축과 배치 지원 § 이 모든 것들을 안전하게 수행. 기존 인프라는 그 경직성으로 인해 이런 점들을 성취하는 데 장애물이 되는 것으로 입증되었으며.프로그램이 가능하고 확장성이 있는 애플리케이션 딜리버리 패브릭과 애플리케이션 서비스가 그 간극을 메울 수 있다.네트워크에 애플리케이션 서비스를 추가하면 사용자 경험과 보안을 향상시켜주는 풍부한 기능들을 이용하는 길을 열어준다. 그러므로, 이런 애플리케이션 패브릭에서는 하나의 애플리케이션이 성능 및 보안과 같은 여러 애플리케이션 서비스들에서 사용될 수 있다.동일한 패브릭 내의 또 다른 애플리케이션을 모빌리티나 가용성과 같은 또 다른 종류의 애플리케이션들에서 사용할 수도 있다. 그러나, 애플리케이션 환경이 더욱 복잡해지고 여러 종류로 이루어짐에 따라 애플리케이션에 대한 이해가 필수적이 된다.빈도가 잦게 일어나는 주식매매 애플리케이션을 위한 요건들은 Microsoft Exchange와는 매우 다르다.이러한 애플리케이션은 각각 다른 애플리케이션 서비스 정책을 필요로 한다.이런 정책들을 수립하고 테스트 하는 것은 매우 어렵고 노력이 많이 필요한 과정이 될 수 있다.각 애플리케이션마다 재사용이 가능하며 사전에 정의된 양식(템플릿)이 있다면, 관리에 드는 간접비용을 크게 감소시켜주며, 구축 시간을 단축시켜주고, 신뢰성을 높여준다. 계속되는 비즈니스 변화에 발맞추기 위해서는 애플리케이션을 신속하게 개발해, 프로토타입으로 만들고, 테스트해서 구축해야 한다.이를 위해서는 ‘혁신을 위한 준비가 된’ 인프라를 필요로 한다. 네트워크 인프라 내의 컨트롤 플레인과 데이터 플레인 모두를 쉽게 프로그램 할 수 있는 역량을 갖게 되면 IT 부서가 소프트웨어 정의 애플리케이션 서비스를 제공하는 것을 더 쉽게 만든다. 이를 위해서, IT 부서는 아래사항들을 실행해야 한다: § 확장가능하고 상호 연결된 디바이스들의 패브릭 생성 § 이 패브릭을 애플리케이션 및 클라이언트 네트워크에 연결 § 템플릿(양식)이 애플리케이션을 잘 이해하는 서비스를 제공하는 정책을 정의할 수 있도록 해야 하며, 해당 템플릿이 반복 가능해야 한다. § 해당 패브릭의 관리 및 컨트롤을 조정 및 통합 툴들에 개방해야 한다. 그 결과로 얻는 패브릭은 알맞은 애플리케이션 서비스를 알맞은 애플리케이션에 네트워크의 알맞은 지점에서 제공할 수 있는 역량을 갖추게 된다. 모든 네트워크 상의 모든 애플리케이션을 위하여. 이 패브릭은 그 중심에 애플리케이션 보안, 성능 및 가용성을 갖춘 서비스를 제공할 수 있는 플랫폼을 가지고 있어야만 한다.예를 들어, F5의 BIG-IP 플랫폼은 애플리케이션을 최적화하고 사용자에게 안전하게 제공하도록 고안된 광범위한 기능들을 제공한다. 이것은 궁극적으로 IT 부서가 애플리케이션을 더 빨리 개발하고, 최적화하며, 배치할 뿐 아니라, 비즈니스에 더 잘 맞도록 조정할 수 있게 만들어준다. 패브릭의 표준 애플리케이션 서비스를 이용함으로써 코딩작업과 비용을 절약할 수 있다. 효율적인 애플리케이션 딜리버리 패브릭은 서비스가 자원의 풀로부터 제공되기 때문에 용량을 최적화해서, 활용도를 높여 경비를 줄여준다. 변하지 않는 것은 오직 끊임 없이 변하고 있다는 사실뿐이라는 비즈니스 환경에서 확장과 프로그램이 가능하며 애플리케이션을 잘 이해하는 패브릭은 조직들이 신속하게 혁신할 수 있도록 해준다. Original blog postby Mohan.210Views0likes0CommentsSSL Heartbleed 취약성: 영향과 대응책 (part 2)
(1부에서 계속) 그렇다면 클라우드는? 깊은 지식을 가지고 있는 독자라면 클라우드 컴퓨팅은 자신의 독자적인 Heartbleed 위협 프로파일을 가지고 있음을 눈치챘을 것이다. 그것은 사실이며, 특정 클라우드의 구축 상황에 따라 위협의 강도가 다르기 때문이다. 전형적인 LAMP 클라우드 사이트: 전형적인 클라우드 사이트는 Apache, MySQL 및 PhP가 구동되는 리눅스 배포 (보통 줄여서 LAMP라고 불린다) 인스턴스들을 포함하고 있다. 클라우드가 도입된 것이 상대적으로 최근의 현상이며 Heartbleed 취약성이 2년 전에 알려진 것과 시기가 겹치는 것을 생각할 때, 이런 클라우드 LAMP 사이트들이 가장 위험하다. F5 ADC 하드웨어를 가진 클라우드: 많은 고객들이 자신들의 클라우드 인스턴스들 앞 단에 F5의 하드웨어 플랫폼을 두고 있다. F5 ADC가 TCP 연결들을 병합하고, 공통 객체들을 캐시하고, 또한 당연한 일이지만 성능이 많이 요구되는 하드웨어 암호화 연산에 따른 부하를 덜어주기 때문에 효율성이 눈에 띄게 좋아진다. 이런 고객들은 F5가 SSL을 종료하므로 이미 보호되고 있다. 만약 당신이 이런 경우라면, 단순히 가상 서버들이 HTTPS의 암호화를 해제하지 않은 채내보내지 않도록 하기만 하면 된다. (아래 참조) F5 가상 ADC: 완전히 가상화된 클라우드에서는 F5 모듈도 가상 인스턴스이다. 근본적인 암호화 하드웨어 오프로드가 생기지 않으면, F5 모듈이 HTTPS 서버들을 위해 SSL을 종료하도록 하는 것이 덜 매력적일 것이다. 그러므로 하드웨어로 구축된 앞의 경우에 비해 Heartbleed 위험성이 높아진다. 그러나 이 경우도 F5 플랫폼이 방어를 제공할 수 있는데, 그 이유는 가상 ADC에 내재하는 SSL 스택의 소프트웨어가 Heartbleed에 취약하지 않으며 따라서 충분한 방어를 제공하기 때문이다. 다음 단계 기존 F5 고객들은 단순히 단일 솔루션을 읽고 자신이 보유한 F5 디바이스의 안전성을 재확인한 후, 자신이 현재 안전할 뿐 아니라 자신의 애플리케이션들이 지난 2년 동안 Heartbleed에 성공적으로 맞서왔음을 알고 두 다리 뻗고 자면 된다. 만약 도움이 필요할 경우, 아래의 F5에 연락하기를 클릭해서 F5 코리아에 연락을 취하면 된다. 만약 F5가 생소한 고객이라면, F5 코리아에 연락을 취해 현재와 미래의 위협으로부터 자신의 비즈니스를 보호할 것을 권장한다. F5에 연락하기 결론 미국의 컴퓨터 공학자인 제럴드 와인버그 (Gerald Weinberg)는 “만약 프로그래머들이 프로그램을 작성하는 것처럼 건축가들이 건물을 짓는다면, 이런 건축물을 찾는 첫 번째 딱따구리가 문명 전체를 파괴해버릴 것이다.”라고 말한 일이 있다. Heartbleed야말로 바로 그런 딱따구리라고 말할 수 있다. 하지만 좋은 소식은 F5 BIG-IP 디바이스들과 가상 인스턴스들이 벌써 인터넷에 널리 퍼져 있으며 그들이 담당하고 있는 HTTPS 애플리케이션들을 보호하고 있다는 것이다. 운영자들은 그렇게 방어되고 있음을 검증할 수 있으며, 보안 팀과 협력해 자신에 맞는 속도로 시스템을 업그레이드할 수 있다. 그리고 현재 보호받지 못하고 있는 사람들은 단순히 F5에 전화를 걸거나, F5의 시험용 버전을 이용해 보호를 받을 수 있다. * 현재 LTM에서 SSL 터미네이션을 하고 있는 경우, 11.5.0이나 11.5.1에서 디폴트 암호화를 COMPAT로 바꿔서 보안 F5 SSL 스택을 벗어나게 하지만 않았다면, 보호되고 있다. F5의 고객 중 이런 경우는 그 수가 매우 작은 것으로 판명되었다. 만약 11.5.0 또는 11.5.1을 사용 중이고 관리 인터페이스가 인터넷에 노출되었다면, 취약하다. BIG-IP 관리 인터페이스에는 OpenSSL 1.0.2이 사용된다. F5는 이런 구성을 권장하지 않는다. Heartbleed에 대해 질문이 있으신가요? F5 커뮤니티에 물어보세요. *F5의 끊임 없이 진화하는 커뮤니티에서 배우세요. 191개 국가의 13만 명이 넘는 뛰어난 사람들로 구성되어 있습니다.184Views0likes0CommentsLeave No Application Behind
F5의 새로운 아키텍처 비전 Synthesis 그리고F5 코리아의 괄목할만한 사업성과와 비전 F5 네트웍스 코리아는 지난 1월 27일 기자간담회를 열어 소프트웨어정의 애플리케이션 서비스(SDAS)를 제공하는 새로운 아키텍처 비전 ‘F5 Synthesis’를 설명하고, F5 코리아의 괄목할만한 2013년 비즈니스 성과와 2014년 계획을 소개하는 자리를 가졌다. 당일 발표는 F5 코리아 조원균 지사장과 아시아 태평양 지역 제품 마케팅 총괄 책임자 케이치로 노자키(Keiichiro Nozaki)씨가 함께 했다. F5가 지난 해 11월 발표한 F5 Synthesis는 탄력적인 고성능 멀티-테넌트 서비스 아키텍처에 기반해 데이터센터, 클라우드, 하이브리드 환경 모두에 걸쳐 SDAS의 제공 및 통합을 용이하게 만드는 아키텍처 비전으로 현재까지 F5 기술이 이룩한 혁신의 정점이라 할 수 있겠다. 새롭게 도입한 라이선스 옵션들과의 결합으로 발표된 F5 Synthesis는 고객들이 레이어 4-7 서비스를 어느 누구에게든, 제약 없이, 빠르면서도 비용 효율적으로 제공할 수 있도록 만들어준다. F5 Synthesis는 고성능 서비스 패브릭으로 가장 까다로운 환경에서의 요구조건을 충족하도록 확장이 가능해, 관리 도메인과 가상 인스턴스 도합 20.5TB의 처리속도와 92억 건의 커넥션 용량을 지원하는데, 이는 현재 전세계 모든 인터넷 사용자들의 연결을 관리하는데 필요한 용량의 3배가 넘는 수치이다. F5가 Synthesis를 통해 새롭게 내세우고 있는 “Leave No Application Behind/ 단 하나의 애플리케이션도 빠뜨리지 말라”는 메시지를 뒷받침해주는 수치이기도 하다. 한편, 현장에서는 참석 미디어의 문의에 따라 F5 Synthesis가 시장에 적용될 수 있는 일련의 레퍼런스 아키텍처가 선보여졌는데, 이들은 고객들이 이해하기 쉽도록 비즈니스 솔루션에 초점을 맞추고 고객들이 시장 진출 시간을 단축하여 널리 퍼져있는 도전 과제들을 해결할 수 있도록 디자인되어 있었다. F5 코리아의 조원균 지사장은 “F5는 빠르게 변화하고 있는 ADC 시장의 움직임을 잘 인식하고 있고, 이미 글로벌 리더십 입지를 확고히 하고 있다. 우리는 기업이 수십억의 사용자와 디바이스, 그리고 수 백만 종의 애플리케이션 등 IT가 향하고 있는 방향으로 나갈 수 있도록 돕는다. 오늘의 발표는 조직들이 지나친 복잡성으로 어려움을 겪거나 애플리케이션 성능과 보안을 희생시키지 않으면서 오늘날의 흥미진진하고 획기적인 기술들을 활용하도록 도와주기에 F5가 이상적인 위치를 점하고 있다는 우리의 믿음이 반영된 것이다”고 강조했다. 가트너는 2013년 3월 18일 발간한 ‘성능을 개선하고 비용을 절감하기 위한 네트워크 디자인의 5대 요소’라는 보고서에서 “애플리케이션 환경, 사용자의 기대치, 네트워크 서비스 등의 변화로 인해 네트워크 설계자들은 사고를 넓혀 네트워크가 새롭고 변화하는 사업상의 요건들을 지원하도록 만들 것이 요구된다. 그들은 내부적 그리고 외부적으로 관리되는 기업용 애플리케이션들을 가장 잘 지원하는 프레임워크 내에서 사용자, 애플리케이션, 디바이스, 위치, 활동 등 다섯 가지 요소를 잘 해결해야 할 필요가 있다” 고 발표한 바 있다.171Views0likes0Comments사물인터넷이 ‘사회적 지능’에 대한 요구를 증가시킨다
‘혁신은 리더와 추종자를 구분하는 잣대이다.’ 스티브 잡스가 남긴 말로 글로벌 플레이어가 되기 위해 노력하는 기업들에게 있어 정곡을 찌르는 말이다. 오늘날 사물 인터넷 (Internet of Things/ IoT)은 수많은 분야에 기술혁신을 불러왔고, 이러한 현상은 이미 빌딩, 기차, 병원 및 공장에서의 센서 네트워크 혹은 지능형 도로와 같은 다양한 기업 및 공공분야로 퍼져나가고 있다. 사물인터넷(IoT)이라는 용어는 간략하게 설명될 수 있다: 이것은 실시간의 정확한 데이터 감지, 측정 역량과 함께 이 데이터를 네트워크 상의 다른 사물에게 무선으로 전송할 수 있는 역량을 가능하게 만드는 기술이다. 예를 들어, 센서가 장착된 제품들은 기업이 해당 제품의 움직임을 추적하고, 어떠한 상호 작용이든 모니터링 할 수 있도록 해준다. 기업의 결정권자들은 이러한 데이터를 직접 보유함으로써 기존의 비즈니스 모델을 보다 섬세하게 조율할 수 있는 이점을 누리게 된다. 한편, 포레스터 리서치 (Forrester Research)의 2014년 아시아태평양 기술 시장을 위한 Top 10 전망에 따르면, IoT는 비즈니스를 넘어서 개인의 일상에까지 변화를 가져오고 있다. 센서들은 사람들이 더욱 균형 잡힌 체형을 유지하고, 키를 찾는다거나, 집의 문을 열고, 주위의 기온을 모니터링 하는 등 여러 가지를 가능하게 만들고 있는 것이다. 사물 인터넷과 함께 부상하고 있는 것들 중 하나는 연결의 증가인데, 이는 불가피하게 트래픽 폭증을 유발하고, 그에 따라 기존 네트워크 인프라에 부담이 가중되어 그 어느 때보다 확장성과 유연성이 뛰어난 지능적인 인프라가 요구된다. 포레스터의 애널리스트 미쉘 펠리노 (Michele Pelino)는 새로운 기술들이 광범위하게 적용되기 전에 먼저 해결해야 할 중요한 이슈 하나는 IoT 생태계가 발전되어야 한다는 것이라고 최근 말했다. 하지만, 기업들이 당면한 첫 번째 과제는 현재 운영중인 IT 인프라가 자사 비즈니스 상의 요구를 수용할 수 있을 만큼 신속하게 확장되지 못한다는 점이고, 두 번째는 펠리노(Pelino)가 지적했듯이, 다양한 소스로부터의 모든 데이터를 이용해 분석적인 통찰력을 제공할 수 있는 독립적인 소프트웨어 제공업체들의 검증된 생태계가 필요하다는 것이다. 마지막으로는 통상적으로 새로운 기술의 적용에는 관련 정책과 비즈니스의 변화로 인해 상당한 시간이 소요된다는 점이다. 기술적인 관점에서 보면, 이는 분석 엔진, 비즈니스 지능 소프트웨어 그리고 더 중요한 지능적인 애플리케이션 딜리버리 인프라와 같은 정보처리 툴들이 장착된 데이터센터에 의존하게 된다는 의미이다. 분석은 필요한 ‘사회적 지능’을 제공해 기업이 이용하도록 만드는 반면, 지능적인 애플리케이션 딜리버리 시스템은 그러한 통찰력이 실시간으로 안전하게 최종사용자들에게 전달되는 것을 보장한다. 실시간의 안전한 ‘사회적 지능’에 대한 이런 필요는 IoT가 주도하는 지능에서 생겨나고 일련의 애플리케이션 서비스들을 만들어낸다. 결국 이러한 통찰력은 적절한 결정권자들에게 배달되어야만 하는데, 비즈니스 지능 애플리케이션들을 통해 흐르는 데이터에 대한 실시간 트래픽 최적화, 가용성 및 보안을 제공하는 서비스들이 이것을 가능하게 만든다. 궁극적으로 이러한 솔루션들은 인프라를 단일 지점에서 관리해야만 하며, 이로 인해 오랜 시간에 걸친 애플리케이션 딜리버리 진화의 다음단계인 SDAS의 탄생을 불러오게 되었다. SDAS는 하나의 통합된 고성능 애플리케이션 서비스 패브릭으로 매우 유연하면서 프로그래밍이 가능한 애플리케이션 서비스를 제공하려는 노력의 결과이다. 지능적으로 통합된 SDAS는 오늘날 IT에 불어 닥친 엄청난 소용돌이와 관련된 중요한 난제들을 해결해줄 수 있다. 궁극적으로SDAS는 물리적, 가상 및 클라우드로 구축된 플랫폼들의 조합에서 자원들을 이끌어내어 활용할 수 있는 추출 능력에 의존한다. 전반적으로, IoT는 개개인의 삶과 기업의 비즈니스 환경에 매우 매력적인 혜택을 약속하는 기술이다. 필연적으로, 후단의 백엔드 기술도 이러한 발전과 발맞추어야 하고, IoT 시대를 맞아 그 어느 때보다도 복잡해질 것이다. Original blog post by Kuna.149Views0likes0CommentsSSL Heartbleed 취약성: 영향과 대응책
Heartbleed는 아마도 역사상 최악의 보안 취약성이라 할 수 있을 것이다. 더 안 좋은 점은 Heartbleed를 가능하게 만들고, 인기도 있는 OpenSSL 라이브러리가 지난 2년 이상 폭넓게 쓰였다는 점인데, 이 말은 이 취약점이 인터넷에 널리 퍼져있다는 의미이다. 게다가 더 문제가 되는 점은 Heartbleed의 존재를 알고 있는 공격자들은 누구나 간단하고 추적이 불가능한 메시지를 이용해 취약한 서버의 메모리 값을 빼낼 수 있다는 것이다. 그림 1: Heartbleed 탐침 적절하게 보호되지 못한 자원들은 SSL 프라이비트 키, 사용자 패스워드, 그리고 기타 매우 민감한 정보들을 포함하고 있을 수 있다. 간단하게 말해 Heartbleed는 최악의 시나리오에 무척 가깝다. 희소식 희소식이 있는데, 지난 2년 내에 당신의 HTTPS 애플리케이션을 F5 BIG-IP 애플리케이션 딜리버리 컨트롤러 (ADC)가 제공하고 있었다면 그 애플리케이션은 Heartbleed에 취약하지 않다는 것이다. F5 고객들과 다른 조직들을 대신해 해야 할 일이 아직 조금 더 있기는 하지만, F5는 즉각적인 대응책과 그 다음 단계들을 포함해 Heartbleed에 취약하지 않은 세상으로의 움직임을 이미 시작했다. 인터넷에 미치는 영향에 대한 분석 Heartbleed 취약성이 발표된 후에 Netcraft는 이 위협 표면의 핵심 파라미터들에 기반한 분석을 실시했다. Netcraft의 분석 결과에 따르면, 현재 SSL사이트 전체 중 약 15%가 Heartbleed에 노출되어 있는데, 이 말은 50만 개 이상의 프라이비트 키가 노출되어 있다는 뜻이다. 물론 각 SSL 키는 그들의 값에 따라 보안 수준이 다르다. 예를 들어 온라인 뱅킹 사이트의 프라이비트 키 보안은 뉴스 포털의 프라이비트 키보다는 훨씬 중요하다. 최상위 인증서 (root certificate) 승인 키들은 세상에서 가장 소중하다. 그렇다면 누가 취약한가? Heartbleed 위험성을 최초로 발표할 때 어떤 사이트들이 안전하고 어떤 사이트들은 안전하지 않은지도 함께 발표되었다. “다행스럽게 많은 수의 대형 소비자 사이트들은 SSL/TLS 터미네이션 (termination) 장비와 소프트웨어를 보수적으로 채택했기 때문에 구제가 되었다. 아이러니컬하게 규모가 작거나 진보적인 서비스들 또는 최신, 최선의 암호화 방식으로 업그레이드한 사이트들이 가장 큰 영향을 받았다.” - Heartbleed연구자들 어떤 사이트들이 가장 취약할 듯싶은지 알아내는 것은 꽤 간단한데, (아파치나 NGINX와 같은) 오픈소스 소프트웨어 서버의 최신 버전들을 사용하는 사이트들이 더 위험하다. F5 ADC가 Heartbleed 대응책이다. 희소식에 대해 말하자면, F5 BIG-IP 디바이스나 소프트웨어가 Heartbleed에 대한 대비책으로 사용될 수 있는 방법이 3가지 있다. 첫째: 정상적인 SSL 프로파일들이 이미 Heartbleed를 방어하고 있다. BIG-IP 플랫폼의 SSL 프로파일들이 태생적으로 보유한 SSL 터미네이션 능력을 통한 방어이다. 애플리케이션의 SSL을 종료하기 위해 F5의 BIG-IP Local Traffic Manager (LTM)를 사용하는 대다수의 사이트들은 이미 Heartbleed로부터 안전하게 보호받고 있다. 그 이유는 F5 트래픽 관리 마이크로커넬 내의 주 SSL 엔진은 F5 고유의 매우 최적화된, 손으로 직접 작성한 코드이기 때문이다. 따라서 프로토콜 서버를 대신해 F5 플랫폼이 SSL을 종료할 때는 애플리케이션에 필요한 방어를 이미 제공하는데, Heartbleed 연구가들이 취약성을 면한 “운이 좋은 소비자 사이트들”이라고 표현한 애플리케이션들이 바로 이것들이다. 즉, 비즈니스가 가동 시간 (uptime)에 많이 의존하고 용량과 서비스 제공을 위해 SSL 터미네이션 장비 (다시 말해, SSL-종료 로드밸런서)에 투자한 사이트들이다. 그림 3: BIG-IP LTM이 Heartbleed를 방어하는 방법 둘째: 하드웨어 보안 모듈들이 암호 경계를 제공 가장 안전한 SSL 키들은 금융권, 방위산업, 인증기관들이 사용하는 값이 큰 키들일 것이다. 이런 조직들은 종종 하드웨어 보안 모듈 (HSM)이라 불리는 FIPS-140 레벨3 암호 경계 내에 자신의 키를 보관하는데, 이것들은 메모리 해킹 툴들로부터 키들을 안전하게 지켜준다. 이런 기관들 중 많은 수가 통합 HSM과 함께 ADC를 사용한다. 그림 4: 네트워크 HSM 아키텍처 재미있게도 중앙 관리하에 있는 FIPS 140 암호 저장소 내에 SSL 키들이 보관되어 있는 완전히 새로운 형태의 네트워크HSM도 있다. ADC는 이런 디바이스들에게 SSL 세션 키 암호화를 해제하도록 요청하지만, SSL 세션 암호화의 나머지 부분들은 자신이 직접 처리한다. 셋째: F5 iRules가 나머지 방어를 책임진다. F5의 ADC는 다른 어떤 ADC도 갖지 못한 기능을 가지고 있는데, 완전히 프로그램이 가능하고, 데이터 플레인 스크립트 언어이다. iRules라고 불리는 이 프로그래밍 언어는 10만 명 이상의 활동적인 사용자들로 구성된 F5 DevCentral 개발자 커뮤니티가 지원하고 있다. 위에 기술된 조금 더 고전적인 SSL 종료 솔루션 두 가지 중 어떤 것도 사용할 수 없는 기관들은 SSL 커넥션을 스스로 암호해제 하지 않고 iRules를 이용해 대응하는 것이 또 다른 옵션이다. iRules에 기반한 방어 시나리오에는 다음이 포함된다: 프라이비트 키가 원래의 서버 호스트로 가지 못하도록 제한하는 보안정책을 가진 서버군 (SNI와 다른 키들을 사용하는) 멀티-테넌트 SSL 사이트를 위한 진입 지점 가상화된 SSL 사이트 군의 앞 단에 위치한 가상 ADC 이런 케이스들을 위해 F5는 Heartbleed 취약성을 완화시키는 두 종의 iRules를 작성했다. 문제 영역은 긍정오류 방지, 성능 보장, 보안이 환상적으로 혼합된 것인데, 이들은 평문(plain text)을 검사할 수 없는 단일 규칙 안에서 적절한 균형을 유지해야만 한다. 첫 번째 iRule은 클라이언트가 heartbeat 요청을 보내려는 시도를 모두 차단한다. 적법한 클라이언트는 heartbeat을 거의 보내지 않기 때문에 iRule이 악의적인 클라이언트를 모두 차단하며 BIG-IP 후단에 있는 서버에 공격이 도달하는 것을 방지한다. 두 번째의 iRule은 서버 메모리의 한 부분을 포함하고 있을지도 모르는 대규모 heartbeat 응답을 서버가 전송하는 것을 막는다. 만약 이 두 iRules 중 어떤 것도 충분하지 않다면, 각 기관은 자신 스스로 개발할 수도 있으며, 이런 일은 거의 매일 발생한다. 이것이 바로 iRules와 DevCentral의 힘이다. (제 2부에 계속)144Views0likes0Comments보안은 과정이다.
최근 해외의 권위 있는 한 신문은 결제시스템을 포함한 많은 IT 제품들과 애플리케이션들이 적절한 보안을 갖추고 있지 못하다고 경고했다. 이 신문은 첫째, 보안이 최우선적인 고려사항으로 간주되지 않고 있으며, 둘째는 시스템의 디자인 및 구현에 보안 전문가들이 관여하고 있지 않기 때문이라고 그 이유를 밝혔다. F5 네트웍스는 보안을 일회성의 조치나 행위가 아닌 일련의 과정으로 생각하고 있으며, 보안은 이런 관점에서 접근되어야 한다. 조직 내의 보안과 규정 준수를 담보하기 위한 정책들을 수립하는 보안 전문가들에게는 매우 중요한 역할이 있으며, 소프트웨어 개발을 담당하는 프로그래머들 역시 이에 못지 않게 중요한 역할이 있다. 하지만, 그 둘의 역할에는 분명한 차이가 있다. 비즈니스 애플리케이션들은 기업에게 핵심적인 자산인 만큼, 기업의 보안을 보안 전문가들이 아닌 소프트웨어 엔지니어들에게만 맡겨두는 것은 금물이다. 따라서, 소프트웨어 프로그래머들이 보안정책을 소프트웨어로 만드는 부담을 덜어주고 이 업무를 신뢰할 수 있는 보안 솔루션 전문가들이 담당하도록 하는 것이 현명한 접근법이라고 할 수 있다. 이런 관점에서 볼 때, 보안은 엔드-투-엔드 과정이며 디바이스, 액세스, 네트워크, 애플리케이션 및 스토리지를 포함해 사용자와 기업간의 상호작용이 이루어지는 모든 분야를 빠짐 없이 관장하는 정책을 필요로 한다. 이렇게 움직이는 각 부분들의 복잡성으로 인해, 때로는 몇 개 지점의 보안 문제들을 하나의 솔루션으로 통합하는 것이 더 바람직하다. 간단하게 말해 이것은 절차의 간소화와 유사하며, 비즈니스 세계에서 컨설턴트들이 “BPR (업무 프로세스 재설계 – Business Process Reengineering)”이라고 부르는 것과 크게 다르지 않다. 각 개인에게는 이것이 어떻게 보일지 몰라도, CFO (최고재무책임자)의 관점에서는 운영비용 및 투자비용에서 엄청난 절감효과를 의미하는 것이다. 예를 들어, 최근 애플리케이션 보안은 애플리케이션 딜리버리 컨트롤러 (ADC: Application Delivery Controller) 내에 탑재되는 추세이다. ADC는 태생적으로 애플리케이션을 최종 사용자에게 안전하게 제공하기 위한 목적으로 개발되었다. 오늘날, ADC는 허가되지 않은 접근을 차단하는 한편, 국제 웹 표준기구인 OWASP에서 규정한 것들과 같은 고도의 애플리케이션 레벨 공격들을 막아주는 역량이 추가되면서 일종의 안전한 애플리케이션 보안관과 같은 역할을 담당한다. 그러나, 상황은 더욱 복잡하게 변하고 있다. CIO (최고정보책임자)들은 젊고, 유능하며, 요구사항이 많은 Y세대 직원들의 요구를 해결해야 하는 상황에 직면해 있는데, 이들은 자신이 선택하는 디바이스를 이용해 일하기를 원하고, 개인생활과 직장 네트워크 사이를 자유롭게 전환할 수 있기를 바란다. CIO들은 더욱 복잡해지고 증가하는 위협들로부터 기업의 자산을 지켜야 하는 과제를 안고 있다. 게다가, 비용관리와 확장성을 위해 클라우드를 이용해야 함에 따라 보안 문제는 통제가 불가능한 수준으로 커지고 있다. 이러한 상황으로 인해, 사용자의 행동양식만이 아니라 기업 애플리케이션들의 행동양식도 이해하고, 사용자 경험에 최소한의 영향을 미치면서 기업의 보안 정책을 집행할 수 있는 혁신적인 보안 솔루션들이 요구되고 있다. F5는 보안 사업이 신뢰를 기반으로 하는 사업이라고 믿는다. 올바른 절차와 정책을 수립하는 것이야말로 업체를 선택하는 것보다 중요한 일이다. 정책과 절차가 필요한 솔루션을 결정하는 것이지 그 반대가 되어서는 안 된다. Original blog post by Kuna.132Views0likes0Comments