DNS DDoS 공격이 발생했다
Adapted from Lori MacVittie's "F5 Friday: So That DNS DDoS Thing Happened" 다른 모든 퍼블릭 서비스와 마찬가지로 DNS 역시 취약하다. 이 말은 DNS 자체가 취약성을 가지고 있다는 말이 아니라 이 서비스의 목적과 성격으로 인해 공중에게 공개되고 공중이 접근할 수 있어야 한다는 의미에서 취약하다는 뜻이다. 어떤 디지털 액세스 방법에서든 내 자신과 내 서비스의 위치를 찾아내는 방법을 제공하기 위한 것이 DNS의 존재의미이기 때문에 DNS는 액세스 컨트롤 또는 다른 전통적인 보안 메카니즘 뒤에 숨어있을 수 없다. 따라서 전세계적으로 발생하고 있고 그 피해가 매우 큰 DDoS 공격의 주된 대상으로 DNS가 뉴스에 등장한다고 해서 놀랄만한 일은 아니다. 그렇기는 하지만 이미 널리 보도된 바와 같이 이런 공격에 필요한 기술적 투자가 매우 적은데 반해 그 피해의 크기와 결과는 놀랍기 그지없다. 초당 30Mbps 인터넷 접속 라인을 가진 친구 약 30명만 있으면 이런 공격을 충분히 모방할 수 있다. 많은 수의 프로토콜에 내재된 요청(request) 트래픽 크기 대 응답(response) 트래픽 크기의 불균형으로 인해, 이런 유형의 공격들은 공격하는 측에서는 큰 노력을 들이지 않고도 원하는 결과를 얻을 수 있다는 점을 보안 분야에 어느 정도 종사해온 사람이라면 누구나 알고 있고, DNS 역시 이러한 프로토콜 중 하나이다. 보안 분류학적으로는 이런 공격들을 “증폭 (amplification)” 공격이라 부른다. 이들은 새롭게 등장한 것이 아니고 (신뢰성이 없는 IP를 대신하여 네트워크의 IP 상태 및 에러 정보를 전달해주는 프로토콜인) ICMP (Internet Control Message Protocol)를 이용한 ‘스머프 공격 (Smurf 공격)’이 1990년대에 처음 나타났고, 브로드캐스트 애드레스 (broadcast address)를 이용해 피해를 입혔다. DNS 증폭 역시 질의(query)들은 사이즈가 작고 응답(response)들은 사이즈가 크다는 동일한 전제 때문에 작동한다. ICMP와 DNS 증폭 공격 둘 모두는 UDP를 사용하기 때문에 공격자의 측면에서 보면 매우 효과적인데, UDP에서는 핸드쉐이크 (handshake - 상호간에 수신하는 신호를 하나씩 확인해 가면서 제어를 진행해가는 방법)를 요구하지 않으며, 요청을 하는 IP 주소가 다른 요청을 한 IP 주소와 같은 주소인지를 전혀 확인하지 않기 때문이다. 따라서 TCP처럼 연결지향적인 프로토콜의 경우보다 훨씬 더 적은 노력으로 스푸핑 (spoofing)을 하기에 안성맞춤이다. 이 공격에서 요청 트래픽의 크기와 응답 트래픽의 크기 간에 불균형이 어느 정도 심한지 이해하기 위해, 요청 내용이 “dig ANY ripe.net @ <OpenDNSResolverIP> +edns0=0 +bufsize=4096”였다고 할 경우 이 요청 트래픽의 크기는 불과 36바이트에 지나지 않는데 반해, 보통 이에 대한 응답에 소요되는 트래픽 사이즈는 요청 트래픽의 100배인 3킬로 바이트에 달한다. 미국의 클라우드 서비스 업체인 CloudFare에 대한 DNS DDoS 공격에는 약 30,000 개의 DNS 리졸버가 공격에 이용되어, 각각 2.5Mbps의 트래픽을 공격대상에게 전송했다. 이 공격이 환상적이면서도 다른 공격들과 다른 점은 타켓이 된 서버에게 엄청난 양의 DNS (질의가 아닌) 응답이 전송되었고 이 응답 중 어떤 것도 이 서버가 질의 또는 요청한 적이 없다는 것이다. 문제는 DNS이고, DNS는 누구나 사용할 수 있도록 열려있다는 것이다. 응답을 제한시키는 것은 의도와는 다르게, 표면상으로는, 적법한 클라이언트 리졸버를 막는 것이 되므로 자체적으로 서비스 거부 (DoS)를 초래하는 셈이 되고, 이것은 받아들일 수 없는 방법이다. 핸드쉐이킹의 이점을 이용해서 공격시도를 감지하고 막아내기 위해 요청/질의들을 TCP로 전환하는 것도 물론 한 방법이 되겠지만, 이 경우 심각한 성능저하를 감수해야만 한다. F5의 BIG-IP DNS 솔루션들은 이런 반대급부가 발생하지 않도록 최적화되어 있지만, 대부분의 DNS 인프라는 그렇지 못하고 따라서 많은 이용자들이 이미 ‘너무 느리다’고 인식하고 있는 과정을 더욱 느리게 만들 것이며, 특히 모바일 디바이스를 통해 인터넷을 검색하는 사용자들에게는 더 그렇게 느껴질 것이다. 따라서 우리는 UDP를 사용하지 않을 수 없고, 이로 인해 당연히 공격을 받게 된다. 하지만 그렇다고 그냥 주저앉아 당해야 한다는 말은 아니다. 이런 유형의 공격에서 자신을 방어하고 아직까지는 어둠 속에 숨어 있는 또 다른 형태의 공격에서도 우리를 방어할 수 있는 방법이 있다. 1. 유효하지 않은 질의 요청들을 퇴출시킨다 (그리고 응답들도 검사한다) 클라이언트가 보내는 질의들이 DNS 서버들이 답을 하고 싶고 할 수 있는 질의들임을 검증하는 것이 중요하다. DNS 방화벽이나 기타 보안 제품들을 사용해서, DNS 질의들을 검증하고 DNS 서버가 응답하도록 구성된 DNS 질의들에만 응답을 하도록 만들 수 있다. 끊임없이 진화하는 인터넷의 속성으로 인해 현재는 사용되지 않는 수많은 특징들이 DNS 프로토콜이 디자인 되었을 당시에 이 프로토콜에 포함되었다. 여기에는 다양한 DNS 질의 형태들, 플래그들, 그리고 기타 세팅들이 포함된다. DNS 요청에 어떤 종류의 파라미터들이 표시될 수 있고, 이것들이 어떻게 조작될 수 있는지 알게 된다면 놀랄 것이다. 한 예로, DNS type 17=RP는 이 레코드에 대한 책임이 있는 사람을 말한다. 또한 이런 필드들 중 많은 것에 악성 데이터를 넣어서 DNS 커뮤니케이션을 망가뜨리는 방법들이 있다. DNS 방화벽은 이런 DNS 질의들을 검사해서 DNS 표준을 준수하지 않는 요청들과 DNS 서버가 대응하도록 구성되지 않은 요청들을 제외시킬 수 있다. 하지만 위에서 예로 들은 공격에서 증명되었듯이 주의해서 지켜봐야 할 것이 질의만은 아니고, 응답에도 주의를 기울여야 한다. F5의 DNS 방화벽은 응답들에 대해 스테이트풀 인스펙션 (stateful inspection – 상태 기반 검사) 기능이 포함되어 있는데, 이것은 요청하지 않은 DNS 응답들은 즉각적으로 버려짐을 의미한다. 이 기능이 대역폭에 오는 부하를 줄여주지는 못하겠지만, 서버들이 불필요한 응답들을 처리하느라고 허덕거리는 것은 방지해준다. F5’s DNS Services includes industry-leading DNS Firewall services 2. 충분한 용량을 확보한다 탄력적이고 항상 가용한 DNS 인프라를 유지하는 데는 DNS 질의를 처리할 수 있는 용량에 대한 고려가 필수적이다. 대부분의 조직들은 이 점을 잘 인식하고 있으며, DNS의 가용성과 확장성을 확보하는 솔루션들을 채택하고 있다. 종종 이런 솔루션들은 단지 DNS 로드밸런싱 솔루션들을 캐시하는 것일 뿐인데, 이 역시 무작위의 알 수 없는 호스트 이름을 사용한 공격에 대한 취약성을 비롯해 위험성을 내포하고 있다. DNS 캐시 솔루션은 오직 권한이 있는 소스로부터 돌아오는 응답들만 캐시할 뿐이기에 호스트 네임이 알려지지 않은 응답들의 경우에는 응답을 보낸 서버에 질의해야 한다. 질의의 갯수가 엄청날 경우에는, DNS 캐시 용량에 상관 없이 응답을 보낸 서버에 과부하가 걸리게 된다. (F5 BIG-IP 글로벌 트래픽 매니저의 한 부분인) F5 DNS Express와 같은 고성능의, 권위 있는, 인-메모리 (in-memory) DNS 서버는 트래픽을 보낸 출처 서버에 과부하가 걸리는 것을 방지한다. 3. 하이재킹 (HIJACKING)에 대한 방어 하이재킹과 유해 데이터 삽입에 대한 DNS의 취약성은 매우 실제적이다. 2008년에 Evgeniy Polyakov라는 연구자는 패치가 되어 10 시간이 채 지나지 않은 코드를 실행하는 DNS 서버에 유해 데이터를 삽입하는 것이 가능함을 증명했다. 이것은 DNS의 유효성과 건전성에 궁극적으로 의존하는 오늘날의 인터넷 중심 세상에서는 절대로 용납될 수 없는 것이다. 이런 취약점과 DNS 정보의 건전성을 해치는 다른 취약점들에 대한 최선의 솔루션은 DNSSEC이다. DNSSEC는 DNS 프로토콜이 처음부터 가지고 있던 개방적이고 신뢰받아야 하는 성질을 특별히 교정하기 위해 도입되었다. DNS 답이 훼손되지 않았고 이 응답이 신뢰할 수 있는 DNS 서버로부터 온 것임을 증명할 수 있는 키를 이용해 DNS 질의와 응답들에 서명이 이루어진다. F5의 BIG-IP 글로벌 트래픽 매니저(F5 BIG-IP Global Traffic Manager - GTM)는 DNSSEC를 지원할 뿐 아니라, 글로벌 서버 로드밸런싱 테크닉들을 위배하지 않으면서 이 작업을 수행한다. 의도하지 않은 상태에서 자신도 모르는 사이 오픈 리졸버를 가동하지 않도록 확실히 하는 것이 일반적인 법칙이다. 결론은 ICSA 인증을 취득했고, 오픈 리졸버로 작동하지 않는 더 강력한 솔루션을 이용해 DNS를 구현해야 한다는 것이며, 이를 위해서는 F5가 최고의 선택이라는 것이다.실제 DDoS 스토리들: SSL 커넥션 플러드
Adapted from David Holmes' "True DDoS Stories: SSL Connection Flood" 서버에서의 SSL 터미네이션 어떤 유명기업의 중요 사이트가 매우 심각한 DDoS 공격을 받아 수 주 동안 다운되는 사태가 발생했는데, 아래 그림은 그 기업의 네트워크 레이아웃을 나타낸 것이다. 경쟁업체들과는 다르게 이 기업은 SSL 트래픽이 그대로 데이터센터 내부에까지 도달해, 애플리케이션 서버에서 터미네이트 되는 구조를 가지고 있었다. 우리는 SSL 트래픽이 ADC에서 터미네이트 되도록 해야지 안전하고 바람직하다는 점을 누차 계속해서 주장해왔지만 여기서는 그 점에 대해서는 다시 설명하지 않겠다. 이 사이트의 경우, 클라이언트(고객)에 의해 발생된 SSL 연결은 사라지기 전에 (timeout 과정에 들어가기 전에) 일정 시간 동안 액티브(active) 상태로 남아 있어야 한다는 것이 서비스 제공업체와의 서비스계약에 명시되어 있었다. 공격 공격자의 신원은 아직도 밝혀지지 않았지만, 공격을 당한 이 기업은 어나니머스 (Anonymous)를 범인으로 의심하고 있다. 공격자가 누구든 간에 이들은 수 천 개의 합법적인 SSL 연결을 열면서 공격을 시작했다. 이 연결들은 DDoS 방지 시스템을 통과해 로드밸런서에 도달했고, 그리고 방화벽과 IPS를 통과해 애플리케이션 서버들에 도달한 후, 세션을 설정하고 그제서야 (길게 설정된) 타임아웃 과정이 시작되었다. 이 SSL 세션들은 그 안에 Payload (실제 화물, 여기서는 연결 세션 안에 포함된 정보 비트들을 의미함)를 포함하지 않고 있었으며, 클라이언트 사이드에서 종료되지 않았다. 이것은 커넥션 플러드 공격의 전형인데, 단지 합법적으로 구축된 SSL 세션 내에서 발생했다는 점이 다를 뿐이다. 애플리케이션 서버군은 부하를 충분히 감당할 수 있도록 구축되어 있었기에, 속이 빈 SSL 세션의 수는 수백만 개까지 늘어났다. SSL이 뒷 단의 애플리케이션 서버에서 터미네이트 되는 구조이기 때문에, 앞 단의 디바이스들 중에서 동시에 처리할 수 있는 접속의 개수가 가장 적은 디바이스가 먼저 다운될 것이고, 이 경우에는 로드밸런서가 그런 디바이스였다. (참고로 F5의 경쟁업체 중 하나가 제공한 제품인데, 여기서 그 경쟁업체의 이름은 밝히지 않겠다.) 다른 많은 디바이스들처럼 이 로드밸런서는 자신이 처리할 수 있는 동시 연결의 최대치에 도달하자 완전히 작동을 멈추고 트래픽 처리를 중지했다. 보통의 경우 로드밸런서는 공격하는 트래픽 부하를 액티브 서버들에 나누어 분산을 하기 때문에 DDoS 공격을 완화시키는 기능을 하지만, 그것은 규모가 작은 공격일 경우의 얘기이고 이 경우에는 로드밸런서가 가장 약한 부위가 되어버린 것이다. 대개의 경우는 방화벽이 가장 먼저 문제를 일으키는 것이 보통이다. 공격은 수 주일간 계속되었고 이 DDoS 공격이 멈추기 전까지 서비스는 재개되지 못했다. 바람직하지 못한 방어전략 #1 – (한 지점만 해결하는) 포인트 솔루션들 Arbor, Prolexic, 그리고 (이제는 단종된) 예전의 Cisco Guard 제품 등 DDoS 방어 솔루션을 제공한다고 주장하는 업체들이 몇몇 있다. 위 고객이 어떤 업체의 솔루션을 사용하고 있었는지 밝히지는 않겠지만, 어쨌거나 중요한 점은 도움이 되지 못했다는 것이다. 위에서 말한 어떤 솔루션도 SSL을 터미네이트 하지 않기 때문에 SSL 커넥션 플러드 공격에는 장님이나 마찬가지이다. SSL을 애플리케이션 서버에서 터미네이트하는 아키텍처를 고집하겠다면, 한 시간당 6,000 달러를 서비스제공업체에 지불하고 클라우드-기반 스크러빙을 이용할 수 있지만 도움이 되지 않을 것이다. 설혹 클라우드-기반 서비스가 SSL을 터미네이트 하더라도 금융기관들은 이 서비스를 사용할 수 없는데, 이 방법은 암호화되지 않은 트래픽을 다른 회사의 클라우드로 전송하는 것을 의미하기 때문이다. 대부분의 금융회사들은 이런 것을 금지하는 내부정책을 가지고 있다. 바람직하지 못한 방어전략 #2 – 더 많은 수의 약한 링크들 고객들과 통합된 보안솔루션에 대해 얘기를 해보면, 종종 듣는 공통된 반론 중 하나가 “우리는 모든 달걀을 한 바구니에 담기를 원치 않기 때문에 단일 벤더를 신뢰할 수 없다”는 것이다. 이 논리야말로 이 전략이 가지고 있는 위험성을 잘 보여주는 예이다. 문제는 모든 달걀이 한 바구니에 담겨있다는 점이 아니고, “어디가 가장 약한 링크인가?”이다. 수많은 달걀 중에 하나가 부서지는 것은 그리 큰 문제가 아니나 길게 연결된 사슬에서 고리 하나가 부러지면 사슬 전체가 소용없게 되어버린다는 것이 문제이다. 아키텍처 상의 이점으로 디바이스들이 널리 퍼져 있는 형태를 원한다면, 이 사슬 상에 있는 모든 디바이스들이 공격을 견뎌낼 수 있도록 확실히 해야만 한다. 더 많은 수의 디바이스가 있다는 것은 더 많은 수의 취약한 링크가 있다는 것과 동일한 것이다. 적절한 방어전략 – 풀-프록시 (Full Proxy) 만약 위 회사가 유휴 연결을 제거하는 Dynamic Reaping 기능을 가진 풀-프록시 아키텍처를 채용하고 있었다면 이런 공격을 충분히 방어할 수 있었다. SSL 터미네이션 기능이 있는 지능적인 풀-프록시 ADC는 (대개의 경우 HTTP 데이터인) 애플리케이션 페이로드(payload - 부하, 정보 비트)를 기다렸다가 이것이 도착한 후에야 백엔드 서버에 연결을 설정한다. 그 이유는 로드-밸런싱을 위한 쿠키나 기타 다른 HTTP 헤더들을 삽입하기 위한 것이다. ADC 연결 테이블이 가득 차면 다이내믹 리핑이 현재 사용 중이 아닌 (non-active) 연결들을 종료해서 진정한 SSL 연결들을 위한 새로운 연결자원을 만들어낸다. 풀-프록시 ADC (Application Delivery Controller)에서 SSL을 종료시키면 또 다른 이점들이 있다. 어떤 회사들은 SSL을 풀-프록시 ADC에서 종료시키고, 그 후에 그 뒤 단에서 DDoS 스크러빙 서비스를 시작하는데, 그 이유는 이런 서비스들이 이제는 암호화가 풀린 페이로드를 볼 수 있기 때문이다. 그러나 금융기관들에서는 종종 트래픽이 ADC를 떠날 때 다시 암호화를 하도록 요구되는데, 이런 곳에서는 ADC야말로 SSL 공격에 대응할 수 있는 ‘유일한’ 디바이스이다. 끝으로, ADC는 하드웨어로 보호된 FIPS 140 레벨 3 주요 서비스들의 위치를 찾아내기에 이상적인 디바이스이다. 이런 기능을 하는 디바이스들은 대체로 매우 비싸므로, 수십 대의 서버로부터 오는 이 서비스들을 한두 대의 ADC에 통합시키는 것은 매우 합리적인 선택이다. 고객들을 만나러 다니다 보면 공격을 받았을 때 방화벽이 실패했다는 얘기를 매우 자주 듣게 된다. 자신의 인프라를 보호하기 위해 방화벽을 구매, 설치하는데 막상 공격을 받았을 때는 방화벽이 바로 가장 취약한 링크가 된다는 것은 매우 아이러니컬 하다. SSL 공격을 받았을 때 SSL 인프라가 제 기능을 못하게 되는 것도 이와 마찬가지이다. SSL은 선의의 데이터를 보호하기 위한 기술이고 보호를 할 것으로 기대가 되는 기술이지만, 잘못된 방식으로 구축이 되면 해를 입도록 만드는 요소가 될 수 있다는 점을 명심해야 한다.
Access Control in the New Mobile, Hybrid World
There is a brave new world dawning for the corporate world. There are many “new norms” – and a gold rush of new opportunities, but also new challenges with which they come – streaking like lightning throughout organizations. The workforce of today and into the future is, and will continue to be mobile. Consider that according to analyst IDC, 37 percent of the worldwide workforce will be mobile by the end of 2015. That’s about 1.3 billion mobile workers, worldwide – not to mention there will be two or more times as many mobile devices as mobile workers! – by the end of this calendar year! Then, consider this: According to Orange Business Services, 55 percent of worldwide business IP traffic will be mobile business Internet traffic by 2018. Mobility is here, and it’s here to stay. (In the Asia Pacific region, IDC anticipates the bring your own device (BYOD) market will continue its robust growth. There were an estimated 155 million smartphones and over 4 million tablets in use supporting BYOD initiatives across the region last year (2014), with year-on-year growth of 40.4 percent and 62.7 percent, respectively. And, that’s not even considering the burgeoning area of wearable devices, either.) As the mobile workforce accelerates like a rocket into the stratosphere, cascading torrents of smartphones, tablets, and wearables across organizations in its wake, the number of cloud- and SaaS-based applications used within organizations is also skyrocketing at a breakneck pace. According to a recent study sponsored by SkyHigh Networks, there are on average 759 cloud services in use by today’s organizations. The most puzzling piece isn’t the magnitude of in use cloud apps and services. Instead, its that, according to a Cloud Security Alliance study, most organization IT teams believe they have fewer than 50 cloud-based apps in use. That means that over 700 cloud apps and services on average are in use within enterprises – but no one (but the user) has control over those apps and services, and any corporate information shared with them! The problem is, you cannot defend what you don’t know about! Finally, the last piece of the “new norm” puzzle for organizations is the hybrid network, an eclectic mix of data center and cloud-based apps and data, with a stew of hosted private, public and cloud infrastructures. According to analyst Gartner, “while actual hybrid cloud computing deployments are rare, nearly three-fourths of large enterprises expect to have hybrid deployments by 2015.” Consider that a mobile workforce will drive infrastructure changes, needed to address a more diverse device ecosystem. Then consider that infrastructure addressing mobility requires greater investment in cloud-based apps and services to support that expanding device ecosystem. So, as you can see, the future of the network fabric for the foreseeable future will be hybrid. So, with a “new norm” of mobility, cloud, and hybrid networks, how can organizations address network, application, and data accessibility? With so many new devices that are mobile and are under limited corporate control, and applications and data scattered about the network and in various clouds and SaaS deployments, how can an enterprise be assured of fast, appropriate, authenticated and authorized access? With so many variables, there is one constant that remains: Identity. The user – and their identity – is, arguably, the “new perimeter” for the enterprise, today and onward. As the traditional network perimeter has been broken, fragmented, and in many instances shattered into many pieces, identity has become the new perimeter. As applications, data, and even networks move faster toward the cloud, and the user-controlled, BYOD-driven mobile ecosystem expands exponentially, corporate control has become more difficult, dispersed, and dependent on others – and many times, that’s the security uninformed and apathetic user. User identity, though, never changes. And, backed by authentication, authorization, and accounting (AAA), identity is now the first line of defense for secure corporate access. But, identity is just the tip of the spear for controlling the new parameters of access. The context of a user’s access request, and their environment at the time of access request, follow identity; inarguably, they have as much to do with securing appropriate access as identity. The ability to address the 5 w’s and 1 h (who, what, when, where, why, and how) assures, enhances, and differentiates secure access to networks, clouds, applications and data – wherever they may reside and however they are comprised. Insuring user identity is efficiently, securely shared between networks, clouds, applications, and data – wherever they live – is now a necessity. Yet, there are challenges: Identity silos, on-premise identity with cloud- and SaaS-based apps and data, and user password fatigue leading to weak user names and passwords – which are easily compromised. That’s where building an identity bridge comes in. Federation builds a trusted chain of user identity between two entities – networks, clouds, applications, etc. – through industry standards, such as SAML. The cumbersome duplication and insertion of identity directories becomes unnecessary. Identity and access is controlled by an enterprise, with authentication occurring between the enterprise, and cloud and SaaS providers. Instant user authentication and its termination is centralized and under enterprise control. Identity federation delivers access visibility and control together. Leveraging identity for access control, and building identity bridges are now imperative for organizations, as applications move outside the enterprise domain, the workforce and their devices are more mobile and leave the enterprises in droves, and the enterprise domain, too, has moved. It’s the “new norm”.Happy F5 Day! #iamf5
Happy F5 Day! #iamf5 It’s been a big year for us since last F5 day, so we have a lot of celebrate! Cue the cake and ice cream (seriously, we’ve got them in all of our offices around the globe today). Our entrance into the cloud services delivery space with Silverline was met with rave reviews; Silverline DDoS mitigation was named “Product of the Week” by Network World. We continued to build on our existing strengths, recognized as “Leader” in Gartner’s Magic Quadrant for ADCs for the eight consecutive year and earning a “Recommended” status for our BIG-IP ASM from NSS Labs. Our partner ecosystem continued to flourish, and F5 became a VCE Technology partner, with our ADCs achieving Vblock Ready certification to enable orchestrated service capabilities across converged IT systems. And that’s just the tip of the iceberg of what we accomplished this year! Of course, F5 Day is not just about celebrating our successes, it’s also about celebrating and thanking all the people of F5! We’re extremely proud of what we’ve achieved together, and even more proud that we’ve done it while keeping our F5 team spirit. Those of us in the company can feel this day in and day out, but it was still nice to have it validated this year by Glassdoor, who honored F5 as a Best Place to Work based on employee reviews – #4 among all large companies in the US. And today we celebrate our communities as well: F5 teams around the world are taking time out today give back to society and contribute to charity and community organizations. Once again, Happy F5 Day! Here’s to another great year ahead!
SDE (Software Defined Everything) 를 향한 혁명
IT 종사자들은 모든 것이 소프트웨어로 정의되는 소프트웨어 정의 에브리씽 (software-defined everything: SDE)의 개념에 열광해왔는데 여기에는 소프트웨어 정의 네트워킹(SDN), 소프트웨어 정의 스토리지(SDS) 및 소프트웨어 정의 데이터 센터(SDDC) 등 요즘 인기 있는 용어들이 모두 포함된다. IDC는 최근 부상하고 있는 소프트웨어 정의 네트워킹 시장규모가 2013년의 3.6억 달러에서 2016년에는 약 37억 달러에 이를 것으로 예측하고 있다. 넓은 의미로 말하면, 소프트웨어 정의 인프라로의 혁명은 데이터 트랜잭션을 실행하는 하드웨어들과 그들에게 명령을 내리는 소프트웨어 레이어를 분리시키는 것이 그 골자이다. 인간의 신체를 정신과 육체로 나누어 정신이 보다 상위의 개념으로, 정신을 맑고 건강하게 유지하면 다소 하위의 개념인 육체의 건강도 유지하기가 쉬워진다는 접근법과 유사하다고 말할 수 있다. IT세계가 소프트웨어로 정의되는 미래로 나아가고 있다는 것은 확실하다. IDC에 따르면, 대부분의 통신 장비 벤더들이 SDN으로의 이동 계획을 발표하고 SDN을 이용해 개선시킨 제1세대 제품들을 제공하기 시작하면서, 최근 12개월은 SDN이 급속한 성장을 이룬 시기였다. 그러나, 이런 초기 도입 단계에서, IDC는 여러 벤더들의 SDN에 대한 접근법이 분열되어 있어, 여전히 많은 벤더들이 제품에 자신만의 독자적인 아키텍처를 고수하고 있음을 발견했다. 내년쯤에는 복수의 벤더에 의한 제품 및 솔루션들이 속속 등장할 것으로 IDC는 예측하고 있다. 하지만 우리는 아직도 소프트웨어 정의 에브리씽 (SDE)을 향한 초기 단계에 머물러 있다. SDN에서 SDE로의 이동을 견인하는 두 가지 주요 요소가 있는데, 그 첫 번째는 비즈니스로부터 발생하는 요인이다. 최종사용자의 기대와 비즈니스 상의 요구가 현재까지 데이터 센터들이 구축되고 관리되는 방법을 주도해 왔다. 두 번째 동인이 이러한 패러다임의 변화를 더욱 부추기고 있는데, 기술발전과 함께 금융 서비스나 공공부문과 같은 수직산업 분야에서의 정부 정책이 바로 그것들이며, 이것들은 특히 저렴한 비용으로 더 높은 효율성을 만들어내고, 더 엄격한 규정들을 지키며, 정교한 보안 공격들을 방어해야 하는 등의 필요성에 의해 발생한다. 소프트웨어 정의 데이터센터는 밀물처럼 밀려오는 소프트웨어 정의 기술의 성장에 결정적인 역할을 한다. SDDC의 출현은 더 큰 운영효율성과 관리용이성에 대한 필요에서 비롯되었으며, 전통적으로 하드웨어가 제공하던 기능들을 소프트웨어가 점점 더 많이 수행하고 있다. 이는 네트워크 레이어의 전통적인 개념을 넘어, 보안과 같은 부수적인 서비스들과 애플리케이션 레이어가 패브릭의 전체에 임베드 된 소프트웨어 정의 패브릭(SDF)의 출현과 그 시기나 궤를 같이 한다. F5 네트웍스는 한 걸음 더 나아가 (주로 네트워크의 레이어 2-3 문제를 해결하는) SDN에 적용되는 이런 원칙들을 애플리케이션 레이어 (레이어 4-7)에 배치해서, 소프트웨어 정의 애플리케이션 서비스(SDAS)를 제공한다. SDAS는 엔드유저와 애플리케이션 사이에 구축된 서비스들로서 애플리케이션의 모빌리티, 보안, 액세스 및 사용자 인증, 성능, 가용성과 같은 도전과제들을 아키텍처적으로 해결할 수 있는 역량을 애플리케이션 소유자에게 제공한다. 소프트웨어 정의 움직임은 최종사용자, 규정 및 비즈니스 상의 요건들에 대응하기 위해 더 뛰어난 유연성, 확장성, 비용효율성, 민첩성을 갖춘 환경이 조직들에게 요구됨에 따라 도래했다. SDN은 모든 채널의 관여자들이 인지하고 있어야만 하고 이해해야만 하는 것이다. 한편, 모든 것을 포괄하는 SDE는 아직도 걸음마 단계에 머물러 있다. SDE는 분명 끊임없이 구체화될 것이며, 결국 채널에 있어 중요한 트렌드가 될 것이다. 궁극적으로, SDN은 네트워크가 더 유연하고, 확장성이 있으며, 비용효율적이고, 민첩하도록 만들어서, 새로운 애플리케이션과 서비스들의 배포에 걸리는 시간을 단축시켜 줄 것이다. 기업들이 더욱 클라우드에 기반하고 가상적인 환경으로 이동함에 따라, 서비스제공업체들은 이런 모든 특징들을 갖추어야 할 것이며, 이것이 바로 클라우드 제공업체들과 통신사들이 SDN 구축의 최첨단에 서 있고 소프트웨어 정의 에브리씽 미래를 이끌어 가고 있는 이유이다.What’s new in 2015: consumer hyperawareness, public services going digital, and a shift in the way we view clouds
Like all of us here at F5, I love technology and how it shapes virtually every aspect of the world today – creating opportunities, advancing knowledge, and connecting people. In 2014 alone, we’ve seen wearables transition from novelty to mainstream technology, the market for drones take off, big data make big strides from hype to reality, smartphones prices drop as low as US$50, new eCommerce records set in China on singles day and in the US on Black Friday, and much, much more. We’ve also seen some negative superlatives as well, with unprecedented zero-day vulnerabilities like Heartbleed and Shellshock, ever more sophisticated hacks and attacks, and DDoS attacks of a scale and complexity never seen before. It’s been a fascinating year for geeks and technologists like us (and probably you!). Now we’re into the final month of the year, it’s time look forward all that awaits us in 2015. After lots of lively debate and discussion here in the F5 offices, we’ve identified these major trends that we predict will have a huge impact on technology, business, and government – as well as end-users, consumers, and citizens – in the coming year. Let us know what you think! The rise of‘consumer hyperawareness' Understanding what drives their customers has become a given for any organization interested in success, and in 2015 it will become more critical than ever as businesses fight for competitive advantage with more data about consumers and increased abilities to draw insights from them. We call this new level of customer knowledge ‘consumer hyperawareness,’ and it will change how organizations deliver and tailor products, services, and support, allowing them to identify and meet consumer needs with previously unimagined precision – creating benefits for businesses and consumers alike. The timing is perfect: network ubiquity, processing power and analytics solutions are now capable of making it happen. And the social media revolution has made people more comfortable than ever about volunteering information and enjoying a rich mix of benefits for doing so. A tipping point for digital delivery of public services Citizens are becoming increasingly connected and tech-savvy at exponential rates, and they’re starting to demand from their governments the same level of convenience and speed they get from businesses’ online service. In response, we expect to see governments move quickly from dipping their toes into providing public services digitally to diving in full force! The shift may be helped by increased comfort of people to share information and handle transactions, even sensitive ones, online.After all, if people are already sharing what they are eating on Facebook, perhaps they’d be equally quick to, for example, complete a government survey on the subject, which may well help health authorities take steps to improve nutrition or reduce obesity. The benefits will even extend to schools as governments are able to better personalize education based on data garnered from students and their work. Of course, security will still remain and big issue with this shift in mind, and identity theft will be a key area to protect against as people extend their presences online as citizens and consumers. Not all clouds are created equal For years, the IT industry has been on fire with the idea of getting businesses to move their technology into the cloud – replacing, and in many cases replicating, existing physical data centers with a cloud-based equivalent. However, there has been less focus on efficiency, which can leave some enterprises with OPEX bills as big, or bigger, than the CAPEX they are trying to eliminate. In the coming year, expect to see increased interest in cloud optimization and more enterprises adopting a “Cloud First” strategy in many business-technology decisions. In emerging markets in particular, we anticipate rapid and opportunistic adoption of exciting and powerful new technologies and business models that leap frog generations and drive innovation.
아시아태평양지역 클라우드의 현주소 – 세 번째
Please find the English language post from which this was adaptedhere. 아시아태평양지역 클라우드의 현주소 – 세 번째 이 글은 아시아태평양지역에서의 클라우드에 대하여 살펴보는 시리즈의 세 번째 글이다. 이 글에서는 지역 내 클라우드의 현주소, 클라우드가 어떻게 사용되고 있는지, 무엇이 클라우드가 더 확산되는 것을 막고 있는지, 그리고 클라우드가 어떻게 혁신을 위해 사용될 수 있는지에 대해 알아볼 것이며, 또한 FSI (금융 및 증권업계)에서의 클라우드에 대해서도 점검해 보겠다. 본 시리즈의 전편에서 우리는 아시아태평양지역 내 클라우드의 현 상황과 기업들이 실제로 클라우드를 어떻게 사용하고 있는지에 대해 살펴보았다. 이 글에서는 클라우드에 대한 FSI (금융 및 증권업계)의 인식을 돌아보고, FSI 업계에서의 클라우드 전략에 대해서도 알아보겠다. 금융서비스업에서 가장 중요한 것은 신뢰이다. 신뢰 없이는 금융기관들이 비즈니스를 영위해 나갈 수 없을 것이다. 지난 몇 년간 이 신뢰를 강화하고 최종 고객들이 손해를 입지 않도록 보장하기 위해 수많은 법령과 규제들이 제정되어 왔다. 이 결과 발생한 데이터 교환에 대한 규제와 데이터 프라이버시에 대한 우려는 많은 금융기관들로 하여금 데이터를 사내 플랫폼에 보유하던 전통적 방식에서 퍼블릭 클라우드 인프라로 이동하는 것을 꺼리도록 만들었다. FSI 산업에서의 클라우드 채택을 막는 주요 원인으로 3가지를 꼽을 수 있다. 규제 아시아뿐 아니라 전세계적으로 상당히 엄격한 수준의 데이터 보안 및 컴플라이언스 요건들은 금융기관들이 클라우드로 이동하는 것에 걸림돌이 되고 있다. 미국의 사베인즈-옥슬리 법 (Sarbanes-Oxley)과 그램-리치-블라일리 법 (Gramm-Leach-Bliley Act), 영국의 데이터 보호법 (Data Protection Act)과 같은 법률에 규정되어 있듯이, 본질적으로 금융 데이터는 안전하게 보호되어야 하며 접근이 제한되어야 한다. 또한 각국의 법규들이 고객 데이터를 자국 내에 보관할 것을 규정하고 있기도 하다. 법규가 변하지 않는 한, 고객 정보를 취급하는 프로세스들은 클라우드로 쉽게 전환되기 어려울 것이다. 그러나, 많은 금융기관들은 이미 고객 정보를 취급하지 않는 프로세스들을 클라우드에서 처리하는 것에 대해 평가를 하고 있으며, 다른 업체들은 클라우드를 테스트베드나 서비스 딜리버리, 또는 혁신에 사용할 방법을 찾고 있다. 클라우드 채택이 결국에는 증가하겠지만, 많은 사람들에게 각종 규제 및 규정준수가 주요한 걱정거리로 남아있기 때문에 성장속도가 아주 빠르지는 않을 것으로 예상된다. 안전하지 못하다는 인식 사람들이 종종 보물을 안전하게 보관하는 금고처럼 생각하는 은행들의 입장에서는 보안이 무엇보다 우선이다. 아키텍처가 올바르게 구축되었다면 클라우드가 안전함에도 불구하고, 널리 퍼진 인터넷의 보안 문제점에 대한 인식과 주기적으로 눈에 띄는 인터넷 공격에 관한 기사들은 많은 금융기관들이 클라우드 채택을 주저하게 만든다. 결국에는 이런 인식들이 바뀌게 될 것이지만, 아마 최종 사용자들이 클라우드 기반의 은행에 안도감을 느끼게 되기까지는 상당한 시일이 걸릴 것이다. 한편, 이미 많은 금융기관들은 퍼블릭 클라우드가 제공하는 유연성과 비용절약의 혜택은 동일하게 제공하지만, 더 안전하게 설계된 프라이빗 클라우드를 구축하고 있다. 전환 비용 금융기관들에게는 시스템 다운타임이 치명적이다. 시스템이 다운되면, 1초에 수백만 달러의 손실이 발생하고, 명성에 큰 흠집이 생기며, 잠재 고객을 잃게 된다. 또한, 금융기관의 인터넷 사이트에 접속이 불가능해지면 곧바로 언론매체의 헤드라인을 장식하게 된다. 클라우드로의 이동은 엄청난 노력을 필요로 하며, 수많은 금융기관들은 클라우드로의 이전이 수반하는 위험에 대해 매우 조심스럽다. 레거시 시스템을 사용하고 있고, (규정준수의 이유로) 엄청난 규모의 데이터를 보관하고 있다는 점이 이것을 더 복잡하게 한다. 게다가, 은행들은 규정들 때문에 자신의 모든 애플리케이션들과 프로세스들을 클라우드로 완전히 이동하지 못한다. 이것은 그들이 어떤 프로세스들을 이전할 수 있는지 조사해야 하며, 현재 자신이 보유한 데이터 센터와 고도로 안전하고 신뢰할 수 있는 연결상태를 유지해야 함을 의미한다. 이런 요건들을 성공적으로 완화시키기 위해서, 금융기관들은 잘 짜인 계획을 단계적으로 실행해야만 하는데, 이동 툴들이 점점 좋아지며 포괄적이 되어가고 있으므로 이런 이전작업이 가능해졌다. 좀 더 멀리 내다보는 금융기관들은 클라우드로의 이동이 순조롭게 진행될 것이라는 확신을 얻기 위해 클라우드를 테스트베드로 사용하고 있다. 위에서 언급한 세 가지로 인해 많은 금융기관들에게 클라우드로의 이동은 대체로 프라이비트 클라우드로의 이동이 되야 하는 것으로 여겨져 왔다. 정부가 최소자본 요건을 점점 강화하고 규정준수에 들어가는 비용이 커져감에 따라 비용을 절감할 수 있는 새로운 방법을 모색하는 금융기관들이 이러한 프라이빗 클라우드로의 이동을 주도해왔다. 프라이빗 클라우드를 사용하면 많은 금융기관들이 이런 목적을 달성하면서 역동적으로 변하는 비즈니스 요구사항들을 해결할 수 있도록 돕는다. 다음 글에서는 아시아태평양 지역의 금융서비스 산업에서 클라우드를 사용하고 있는 다섯 가지 핵심 방법에 대하여 알아보기로 한다.Success in an app-defined world
We live in an app-defined world. Businesses run on applications and it is critical that applications are accessible on any device, everywhere in the world. At F5, we recognise the importance of this. This is why we are delighted that F5 has been named Application Delivery Controller Vendor of the Year by Frost & Sullivan, for the sixth consecutive year. I’m glad F5 has continued to exceed expectations of our users and partners. This award is a testimony of our promise to them to invest in R&D and undertake continuous development. As it grows, the application environment is becoming more complex. Aside from residing in a data centre, applications exist in the cloud and on mobile devices. Today, millions of apps define the way we work and play. The ability to deliver these applications smoothly to users —both on premise as well as mobile users — greatly impacts employee productivity as well as customer experience. This evolving environment demands increasingly intelligent solutions. And this is where F5 fits in. Having been a player in the application delivery field for decades, F5 understands the complexities of managing and securing applications. In fact, F5 delivers enterprise apps for numerous Fortune 500 companies. Last year, F5 announced its new architectural vision, F5 Synthesis, which promotes the delivery and orchestration of software defined application throughout data center, cloud, and hybrid environments. Powered by a high performance intelligent fabric, F5 Synthesis promises customers rapid and cost effective delivery of application services at any time. The world runs on applications. And apps should just work. In other words, they should always be available, accessible from anywhere and any device, protected from security threats and perform without fail. F5 promises to leave no application behind.아시아태평양지역 클라우드의 현주소 – 네 번째
Please find the English language post from which this was adaptedhere. 이 글은 아시아태평양지역에서의 클라우드에 대하여 살펴보는 시리즈의 네 번째 글이다. 이 글에서는 지역 내 클라우드의 현주소, 클라우드가 어떻게 사용되고 있는지, 무엇이 클라우드가 더 확산되는 것을 막고 있는지, 그리고 클라우드가 어떻게 혁신을 위해 사용될 수 있는지에 대해 알아볼 것이며, 또한 FSI (금융 및 증권업계)에서의 클라우드에 대해서도 점검해 보겠다. 이 시리즈의 전편에서는 (링크) 금융서비스업계에서 클라우드가 크게 확산되는 것을 가로막고 있는 장애물들을 살펴보았다. 이번 글은 금융서비스 산업에서 클라우드가 활용되고 있는 다섯 가지 주요 분야들에 대해서 알아볼 것이다. 빅데이터 분석, 혁신, 복수의 데이터센터에 걸친 애플리케이션 관리, 그리고 테스트는 금융기관들이 클라우드에서 얻고자 하는 분야이다. 그러나, 그들은 정부의 규제, 그리고 인터넷의 보안에 대한 현재의 오해들로 인해 조심하고 있고, 따라서 많은 금융기관들은 다음의 다섯 가지 방식으로 클라우드를 수용하고 있다. 작업 부하에 이동성 부여 작업 부하 이동성은 특정 하드웨어 또는 스토리지 플랫폼에 의해 제약을 받던 과거에는 불가능했던 유연성과 민첩성을 금융 IT에 제공하는 것을 목표로 한다. OS, 스토리지 레이어 및 서버들로부터 작업 부하를 분리시킴으로써, 금융업계의 IT팀은 이제 애플리케이션을 필요로 하는 곳에, 빠르게 구축할 수 있게 되었다. 가트너에 따르면 저조한 자기자본 수익률은 전세계의 은행 중 60퍼센트가 넘는 은행들이 대부분의 거래를 클라우드를 통해 처리하도록 이끌었다. 클라우드는 활용률을 높이는 동시에 자사 내부에 설치된 장비 및 소프트웨어 라이선스에 대한 투자비용을 감소시켜준다. 경쟁이 급속히 치열해지면서 빅 데이터 분석은 새로운 소비자 행동 양식을 발견하고 그로부터 얻는 이득을 극대화할 뿐만 아니라 현재 또는 미래의 고부가가치 고객들에게 새로운 서비스를 제공하기 위한 효과적인 툴이 되었다. 이 모든 데이터를 저장하기 위해 인프라를 내부에 설치하는 것은 비용이 많이 들며, 특히 현재의 경제상황에서는 더욱 그렇다. 클라우드는 빅데이터 분석을 위한 플랫폼으로 점점 더 많이 사용되고 있다. 혁신 주도 혁신은 FSI업계에서 클라우드가 두각을 나타내고 있는 또 다른 분야이다. 많은 금융기관들이 다수의 플랫폼 상에서 새로운 서비스와 기능들을 신속하게 제공함으로써 그들의 경쟁력을 높이기를 원한다. 클라우드는 서비스 제공을 위한 강력한 플랫폼을 제공한다. 이는 특히 수많은 데이터 센터들에 걸쳐 애플리케이션을 관리하는 클라우드 통합에 대해 큰 관심을 불러왔다. 테스트 플랫폼 마지막으로 클라우드는 금융기관들이 그들의 임직원과 고객이 필요로 하는 서비스들을 신속하게 테스트하고 제공할 수 있는 기회를 만들어 준다. 개발 주기가 단축되고, 새로운 서비스에 대한 수요가 증가하며, 완성도가 떨어지는 소프트웨어에 대한 사용자의 인내심이 감소함에 따라, 많은 금융기관들이 클라우드를 테스트베드로 사용하기를 원하고 있다. 시리즈의 마지막 글이 될 다음 편에서는 아시아태평양지역의 기업들에게 클라우드가 어떻게 혁신 엔진으로 활용될 수 있을지에 대해 살펴보겠다.F5의 DDoS 방어 레퍼런스 아키텍처 – 엔터프라이즈 버전
아직도 DDoS가 횡행하고 있으므로, DDoS 방어를 위한 F5의 엔터프라이즈용 (기업용) 레퍼런스 아키텍처를 살펴볼 텐데, 엔터프라이즈의 경우에는 외부에서 내부로 들어오는 다량의 애플리케이션 트래픽도 있지만 사용자들이 만들어낸 외부로 향하는 트래픽도 상당한 양이 된다. 엔터프라이즈의 경우와 글로벌 금융기관의 경우 사이의 차이점은 다음과 같다. 위 네트워크 다이아그램의 우상단에 보면 사용자들이 만들어낸 트래픽이 차세대 방화벽 (또는 웹 보안을 위한 다른 장비)을 통해 나가서 메인 데이터센터 방화벽을 지나 외부로 향하는 것을 볼 수 있다. 엔터프라이즈의 경우에는 DNS 서비스가 Tier 1에 통합되어 있거나, 그렇지 않더라도 최소한 Tier 1의 방화벽 매니저에 의해 보호되고 있다. 이 그림에서는 이 서비스들이 BIG-IP 자체에 포함되어 있음을 보여주고 있다. 글로벌 금융회사들의 경우에는 Tier 1에서 SSL을 터미네이트 하는 것을 달가워하지 않는데, 엔터프라이즈의 경우에는 이 부분에서 훨씬 더 자유스러워서 약 반 정도가 그렇게 하고 있다. 엔터프라이즈의 경우에는 액세스 폴리시 매니저 (Access Policy Manager - APM)를 도입해 (한 번의 사용자 인증만으로 모든 애플리케이션에 액세스 할 수 있도록 만드는) 싱글 사인온 (Single-Sign On), VDI, 그리고 SSL-VPN 서비스 등을 제공할 수 있는데, 글로벌 금융기관들에서는 이것을 거의 볼 수 없다. Tier 1에 DDoS를 감지할 수 있는 네트워크 방화벽을 설치해 네트워크에 대한 공격을 방어하고 애플리케이션을 겨냥한 공격들은 확장성이 있는 Tier 2에서 방어한다는 아키텍처의 본질은 엔터프라이즈의 경우나 금융기관의 경우나 큰 차이가 없다. F5의 DDoS 레퍼런스 아키텍처에 대한 추가의 정보는 F5 Synthesis reference architecture site를 방문하면 구할 수 있다.
