잠재력 활용하기: SASE 아키텍처에서 평판의 중요한 역할

보안 웹 게이트웨이(SWG)는 인터넷 연결 보안을 목표로 하는 SASE/SSE 솔루션에서 중요한 역할을 합니다. 주요 목표는 온라인 위협으로부터 사용자를 보호하고 조직 내에서 허용 가능한 액세스 정책을 시행하는 것입니다. SWG는 사용자 트래픽을 가로채고 액세스 정책 시행을 비롯한 다양한 보안 엔진을 사용하여 이를 달성합니다. 조직의 액세스 정책을 충족하고 깨끗한 것으로 간주되는 트래픽만 통과할 수 있습니다. 현재 인터넷 트래픽의 95%가 암호화되어 있기 때문에 SASE/SSE 솔루션에서 포괄적인 보안을 달성하려면 이러한 트래픽을 복호화할 수 있어야 합니다. 대부분의 트래픽은 MITM(중간자) TLS 복호화를 사용하여 복호화할 수 있지만, 특히 사용자가 개인 식별 정보(PII)를 처리하는 웹사이트나 은행 사이트를 방문할 때 사용자 개인정보 보호에 대한 우려가 제기되고 있습니다. 또한 일부 애플리케이션 소프트웨어 공급업체는 인증서 고정 기술을 채택하여 MITM TLS 복호화를 완전히 방지하기 시작했습니다. 이러한 발전은 기업에 여전히 가치를 제공하면서 SASE 수준에서 적용할 수 있는 보안에 대한 의문을 제기합니다. 바로 이 부분에서 평판 보안 엔진이 탄력을 받고 있습니다. 이 문서에서는 TLS 복호화 유무에 관계없이 보편적으로 적용할 수 있는 보안 엔진에 대해 설명함으로써 인터넷 연결에 대한 SWG의 가치를 강조합니다. 또한 복호화된 TLS 트래픽에서 작동하는 보안 엔진을 살펴봄으로써 포괄적인 보안 조치를 가능하게 합니다.

SASE의 모든 구성 요소에 공통으로 적용되는 일반 기능

SASE Security의 액세스 제어는 ID를 중심으로 이루어지므로 인증 및 권한 부여는 모든 SASE 구성 요소에 필요한 기본 기능입니다. 신원 인식 SASE와 신원 브로커에 관한 문서에서는 다양한 인증 방법과 여러 인증 서비스와의 인터페이스에 대한 인사이트를 제공합니다. 또한 프록시-in-SASE 문서에서는 사용자에서 인터넷으로, 사용자에서 SaaS 서비스로, 사용자에서 엔터프라이즈 애플리케이션으로 흐르는 트래픽을 캡처하는 데 사용되는 기술에 대해 자세히 설명합니다. 그러나 이 글에서는 주로 SWG 구성 요소의 보안 엔진에 초점을 맞추고 있습니다. 이 문서에서는 중앙 집중식 구성 관리 및 통합 가시성 기능과 같이 모든 SASE 구성 요소에서 공유하는 다른 공통 기능에 대해서는 자세히 다루지 않습니다.

보안 엔진 및 일반 정책 평가

SASE 프레임워크에서 모든 보안 엔진은 관리되는 정책을 기반으로 작동하며, 이 정책은 시스템 동작을 관리하는 규칙과 조치를 제공합니다. 각 보안 엔진은 여러 개의 정책 테이블로 구성될 수 있으며 각 테이블에는 여러 개의 정책이 포함될 수 있습니다. 정책은 작업과 일련의 규칙으로 구성됩니다. ‘액션’은 시스템이 트래픽 세션을 처리하는 방법을 결정합니다. 정책 내의 규칙은 정책이 일치하는 것으로 간주되기 위해 충족되어야 하는 조건을 정의합니다. 규칙은 일치하는 속성과 해당 값으로 구성됩니다. 트래픽 세션이 지정된 속성 값과 일치하면 규칙이 일치하는 것으로 간주됩니다. 규칙 내에서 다양한 매칭 속성을 사용하여 보안 정책을 효과적으로 시행할 수 있습니다. 이러한 속성의 예로는 일정(날짜/시간 범위), 소스 IP, 대상 IP, 프로토콜/대상 포트, 소스 포트, 사용자 이메일 주소, 사용자 그룹, 사용자 역할, 발급자 등의 사용자 클레임 속성 및 JWT 클레임 레지스트리에 지정된 기타 속성이 있습니다. 또한 도메인 이름, URL, 요청 헤더 및 값, HTTP 방법, 디바이스 상태, UEBA 점수, 사용자 위치, 도메인 카테고리, 도메인 평판 점수, URL 카테고리, URL 평판 점수, IP 보안 카테고리, IP 평판 점수, 파일 평판 점수와 같은 속성도 활용할 수 있습니다. 모든 보안 엔진이 정책에서 일치하는 속성을 모두 지원하지 않을 수 있다는 점에 유의하세요. SASE는 트래픽 세션을 여러 보안 엔진을 통과시켜 평가합니다. 각 보안 엔진은 구성된 정책에 따라 트래픽 세션을 허용할지 여부를 독립적으로 결정합니다. 모든 보안 엔진에서 트래픽 세션이 계속되도록 허용하는 경우 SASE는 트래픽 통과를 허용합니다. SASE가 보안 엔진을 실행하는 순서는 일반적으로 미리 정의되어 있습니다. 그러나 특정 SASE 구현에서는 보안 엔진이 실행되는 순서를 유연하게 선택할 수 있습니다. 이를 통해 관리자는 특정 보안 엔진의 우선 순위를 지정하거나 요구 사항에 따라 처리 순서를 조정할 수 있습니다.

인라인 위협 인텔리전스 수집

SWG(보안 웹 게이트웨이) 구성 요소는 인라인 위협 인텔리전스를 수집하는 데 중요한 역할을 합니다. 평판이 좋은 제공업체의 데이터 피드에 의존하여 다음과 같은 다양한 측면에 대한 귀중한 정보를 얻습니다:

• IP 주소, 도메인, URL, 파일 및 SaaS 서비스의 평판: SWG는 위협/데이터 인텔리전스 피드를 활용하여 이러한 엔티티의 평판을 평가합니다. 이 정보는 잠재적으로 악의적이거나 의심스러운 소스를 식별하는 데 도움이 되며, 시스템이 정보에 입각한 결정을 내릴 수 있도록 합니다.
• 도메인, URL 및 SaaS 서비스의 카테고리 분류: SWG는 인텔리전스 피드를 활용하여 도메인, URL 및 SaaS 서비스가 속하는 카테고리를 결정할 수 있습니다. 이러한 분류는 정책 시행에 도움이 되며 조직이 특정 카테고리를 기반으로 세분화된 보안 제어를 정의할 수 있도록 지원합니다.
• 콘텐츠의 멀웨어 분류: SWG는 수집된 위협 인텔리전스를 사용하여 콘텐츠 분석을 기반으로 잠재적인 멀웨어를 분류합니다. 콘텐츠의 특성을 검사하여 악성 파일이나 웹사이트를 식별하고 차단 또는 격리하여 피해를 입히는 것을 방지할 수 있습니다.
• 콘텐츠의 데이터 분류: SWG는 또한 데이터 분류 인텔리전스 피드를 활용하여 웹 트래픽의 콘텐츠를 분류합니다. 이 분류는 전송되거나 액세스될 수 있는 민감한 정보 또는 기밀 정보를 식별하여 조직이 데이터 보호 정책을 효과적으로 시행할 수 있도록 도와줍니다.

모든 인터넷 바운드 및 SaaS 트래픽이 SWG를 통과하기 때문에 트래픽의 다양한 속성을 수집할 수 있습니다. 위협/데이터 인텔리전스 피드를 활용하여 SWG는 이러한 속성을 가치 있는 위협 정보로 강화할 수 있습니다. 이 정보는 다양한 보안 엔진에서 정책 시행을 용이하게 할 뿐만 아니라 SWG를 통해 흐르는 트래픽에 존재하는 위협에 대한 가시성을 제공합니다. 이렇게 향상된 가시성을 통해 조직은 잠재적인 보안 위험을 실시간으로 감지하고 완화하여 강력한 보안 태세를 유지할 수 있습니다.

SSL 검사 전 보안 엔진

이러한 보안 엔진은 트래픽 세션이 TLS/SSL 복호화되기 전에 처리합니다. 이러한 보안 엔진은 인터넷에 연결된 모든 HTTP 트래픽에 대해 작동합니다. 이러한 보안 엔진은 잠재적 위험을 식별하면 트래픽 세션을 중지합니다.

• IP 평판 기반 위협 보호 보안 엔진: SWG 관리자는 특정 IP 카테고리, IP 평판 점수 및 기타 일반 속성을 기반으로 정책을 생성하여 맞춤형 보안 조치를 수립할 수 있는 권한을 부여받습니다. 이 엔진은 멀웨어 및 피싱 콘텐츠를 호스팅하는 것으로 알려진 웹사이트에 액세스하는 사용자를 강력하게 보호합니다. 이 엔진은 대상 IP 주소에서 수집한 포괄적인 위협 인텔리전스를 활용하여 잠재적인 위험을 효율적으로 식별하고 완화하여 악의적인 활동으로부터 사용자를 보호합니다. 보안 엔진은 각 IP 주소의 평판을 평가하여 일치하는 정책에 따라 취해야 할 적절한 조치에 대해 충분한 정보를 바탕으로 결정을 내리고 사전 예방적이고 동적인 보안 태세를 보장합니다.
• 도메인 평판 기반 위협 보호 보안 엔진: SWG 관리자는 도메인 카테고리, 도메인 평판 점수 및 기타 일반 속성을 기반으로 정책을 생성하여 원하는 보안 조치를 효과적으로 정의할 수 있는 기능을 보유하고 있습니다. 이 엔진은 멀웨어 및 피싱 콘텐츠 호스팅으로 플래그가 지정된 웹사이트에 액세스하는 사용자를 포괄적으로 보호합니다. 이 엔진은 HTTP CONNECT 호스트 헤더, TLS 기반 HTTP 트래픽의 TLS SNI, 클리어 HTTP 트래픽의 호스트 헤더 등 다양한 소스에서 수집한 도메인 위협 인텔리전스를 활용하여 정책을 평가하여 잠재적 위험을 정확하게 식별하고 완화합니다. 보안 엔진은 도메인 평판 데이터를 통합하여 사전 방어 조치를 보장하고 전반적인 보안 태세를 강화하며 잠재적인 위협으로부터 사용자를 보호합니다.

평판 기반 보안 엔진은 정확성과 적응성을 모두 우선시합니다. 이러한 보안 엔진은 포괄적인 정책 수준의 유연성을 제공하여 SWG 관리자가 예외를 생성할 수 있도록 지원합니다. 이러한 예외는 위협 인텔리전스 피드에서 생성된 오탐을 해결하고 로컬 위협 헌터가 추가 검사를 수행하기 위해 의도적으로 트래픽을 허용해야 하는 경우 등 다양한 이유로 매우 중요합니다. 도메인 평판 보안 엔진과 관련하여 인텔리전스를 수집하고 평판 정책을 적용하는 데 어떤 도메인 이름을 활용할 것인지에 대한 중요한 질문이 생깁니다. 이 질문은 도메인 이름이 트래픽의 여러 계층에 존재하기 때문에 발생합니다. SWG의 정방향 프록시 방식을 통해 유입되는 트래픽의 경우, SWG는 HTTP CONNECT 요청의 호스트 헤더와 TLS 서버 이름 표시(SNI) 필드에서 도메인 이름을 추출할 수 있습니다. 호스트 헤더와 TLS SNI 값은 일반적으로 일치하지만 서로 다를 수 있는 경우가 있습니다. 따라서 SWG는 기본적으로 이 보안 엔진을 두 번 통과해야 합니다. 첫 번째 패스는 SWG가 HTTP CONNECT 요청을 수신할 때 발생하고, 두 번째 패스는 SWG가 TLS 트래픽을 수신할 때 발생합니다. 이 접근 방식은 SWG가 도메인 평판을 정확하게 평가하고 해당 정책을 시행할 수 있도록 합니다. 하지만 SWG는 지능적이고 효율적으로 설계되었습니다. HTTP 연결 요청에서 추출한 도메인 이름과 TLS SNI 필드가 동일한 경우 SWG는 이 중복성을 인식하고 평판 엔진을 다시 실행할 필요가 없습니다. 이러한 최적화를 통해 보안 평가 프로세스를 간소화하고 불필요한 계산 오버헤드를 줄임으로써 SWG가 고성능 수준을 유지하면서 포괄적인 도메인 평판 기반 위협 보호를 보장할 수 있습니다.

액세스 제어 엔진

평판 기반 위협 보호 외에도 SWG는 강력한 액세스 제어 기능을 제공하여 관리자가 다양한 인터넷 사이트에 액세스할 때 사용자에게 차별화된 액세스 권한을 제공할 수 있습니다. 이 강력한 보안 엔진을 통해 관리자는 평판이 좋은 위협 인텔리전스 제공업체가 제공하는 도메인 카테고리를 기반으로 정책을 만들 수 있습니다. 도메인 카테고리를 활용하면 SWG 관리자는 수많은 인터넷 사이트를 몇 가지 중요한 카테고리로 분류하여 관리 환경을 간소화할 수 있습니다. 이 분류 시스템은 효율성과 정책 생성의 용이성을 향상시켜 관리자가 각 개별 사이트에 대해 세분화된 구성 없이도 액세스 제어 조치를 효과적으로 정의할 수 있도록 합니다. 또한 액세스 제어 엔진은 정책 내에서 개별 도메인 이름을 유연하게 지정할 수 있는 기능도 제공합니다. 이를 통해 관리자는 특정 사이트에 대한 액세스를 세밀하게 제어할 수 있으므로 특정 사이트에 고유한 액세스 권한이나 제한이 필요한 상황에 대처할 수 있습니다. 액세스 제어 엔진의 유연성은 도메인 분류 프로세스에서 오탐이 발생하는 시나리오에서 특히 유용합니다. 이러한 경우 관리자는 정책 내에서 예외를 만들어 분류를 재정의하고 영향을 받는 사이트에 대한 정확한 액세스 제어를 보장할 수 있습니다. 예외를 처리하는 이 기능을 통해 관리자는 엄격한 보안 조치와 잘못 분류될 수 있는 합법적인 사이트에 필요한 액세스 권한을 제공하는 것 사이에서 균형을 유지할 수 있습니다.

SASE TLS/SSL 검사 엔진

SWG TLS/SSL 검사 엔진은 TLS/SSL 세션의 콘텐츠에 대한 액세스가 필요한 고급 액세스 제어 및 위협 방어를 지원하는 데 중요한 역할을 합니다. 그러나 TLS 검사를 위해서는 이러한 세션을 해독해야 하며, 이를 위해서는 개인 키에 대한 액세스 권한이 필요합니다. 중간자(MITM) 엔티티인 SWG는 개인 키에 직접 액세스할 수 없습니다. 이러한 제한을 극복하기 위해 TLS 검사 엔진은 일반적으로 엔터프라이즈에서 신뢰할 수 있는 CA(인증 기관)를 사용하여 서버 인증서를 모방하는 기술을 사용합니다. 클라이언트의 각 새 TLS 세션에 대해 TLS 검사 엔진이 따르는 일반적인 단계의 흐름은 다음과 같습니다:

• 대상 서비스(인터넷 사이트)에 대한 TLS 연결을 설정합니다.
• 대상 서비스에서 제시한 인증서를 검색합니다.
• 인증서의 수명을 포함하여 인증서의 내용을 모방하여 모방 인증서를 만듭니다.
• 엔터프라이즈 신뢰할 수 있는 CA를 사용하여 모방 인증서에 서명합니다.
• 클라이언트와 TLS 핸드셰이크하는 동안 이 모방 인증서를 제시합니다.

이 프로세스가 브라우저에서 보안 팝업을 일으키지 않고 원활하게 작동하려면 일반적으로 시스템 관리 소프트웨어를 통해 엔터프라이즈 CA 인증서 체인이 직원 컴퓨터에 신뢰할 수 있는 CA로 안전하게 온보딩되어 있어야 합니다. 모방 인증서의 키 생성 및 서명과 관련된 계산 오버헤드를 최소화하기 위해 TLS 검사 엔진은 모방 인증서 및 해당 개인 키를 캐시하여 수명이 만료될 때까지 재사용합니다. 지능형 위협 방지 및 액세스 제어를 위해 TLS 검사가 매우 바람직하지만, 기업에는 암호 해독이 허용되지 않는 특정 경우가 있을 수 있습니다. 이러한 사례에는 특히 은행, 금융 또는 의료 사이트에 액세스할 때 개인 정보 보호 문제와 인증서 고정을 사용하는 시나리오가 포함됩니다. 또한 기업은 브라우저 또는 Office 365 확장 프로그램 등을 통해 클라이언트 측에서 TLS 암호화가 발생하기 전에 이미 위협이 확인된 콘텐츠에 대해서는 TLS 검사를 사용하지 않도록 선택할 수 있습니다. 관리자가 TLS 복호화 수행 여부를 유연하게 결정할 수 있도록 SWG TLS/SSL 검사 엔진은 관리자가 정책을 만들 수 있도록 지원합니다. 이러한 정책에는 도메인 카테고리 분류가 포함될 수 있으므로 관리자는 금융 및 의료 사이트와 같은 특정 카테고리와 기업이 암호 해독을 불편해하는 기타 사이트에 대해 TLS 암호 해독을 우회할 수 있습니다. 정책 기반 제어 및 분류를 제공하는 SWG TLS/SSL 검사 엔진은 기업이 강력한 위협 보호와 고급 액세스 제어를 보장하면서 개인 정보 보호와 보안 사이의 균형을 유지할 수 있도록 지원합니다.

SWG PKI 인프라

SASE 서비스는 본질적으로 멀티 테넌트이며 여러 기업을 지원합니다. 이러한 맥락에서 일부 기업에는 자체 공개 키 인프라(PKI) 인프라가 있을 수 있고, 다른 기업에는 PKI 인프라가 전혀 없을 수도 있습니다. (모방 인증서에 서명하는 데 사용되는) 엔터프라이즈 CA 인증서는 강력한 보안을 위해 일반적으로 며칠로 비교적 짧은 수명을 가져야 한다는 점에 유의하세요. 보안 환경을 유지하려면 CA 인증서를 정기적으로 재발급해야 합니다. SWG 컨텍스트 내에서 CA 인증서의 개인 키의 보안을 보장하기 위해 CSR(인증서 서명 요청) 기반 인증서 생성을 선호합니다. 많은 SWG는 자체 PKI 인프라를 제공하여 SWG 데이터 플레인 인스턴스에 중간 CA 인증서(SWG CA 인증서)를 발급합니다. 기업이 자체 PKI 인프라가 없는 경우, SWG의 PKI 인프라는 개별 기업을 대신하여 부모 CA 및 루트 CA 인증서를 자동으로 생성합니다. 기업에 자체 PKI 인프라가 있는 경우, SWG의 PKI 인프라는 기업의 PKI 인프라와 통신을 설정하여 상위 CA 인증서 서명을 받습니다. 부모 CA 인증서를 획득하면, 이 인증서를 사용하여 SWG CA 인증서를 서명하여 모방 인증서에 서명하는 데 사용되는 인증서의 신뢰성과 무결성을 보장합니다. PKI 인프라는 모방 인증서에 서명하는 데 사용되는 개인 키를 보호하는 데 중요한 역할을 하므로 SWG의 중요한 구성 요소로 간주됩니다. SWG는 CA 인증서의 정기적인 재발급을 포함하여 PKI 인프라를 효과적으로 관리하고 확립된 보안 관행을 준수함으로써 멀티테넌트 SASE 서비스 환경 내에서 사용되는 인증서의 무결성과 신뢰성을 보장할 수 있습니다.

SSL 검사 후 보안 엔진

TLS/SSL 복호화 후 SWG는 일련의 보안 엔진을 사용하여 트래픽 세션을 처리하고 잠재적인 위험을 식별합니다. 이러한 보안 엔진은 포괄적인 위협 방어를 보장하는 데 중요한 역할을 합니다.

URL 평판 기반 위협 방어 보안 엔진

SWG 관리자는 URL 카테고리, URL 평판 점수 및 기타 관련 속성을 기반으로 정책을 생성할 수 있는 기능을 갖추고 있어 보안 조치를 효과적으로 정의할 수 있습니다. 도메인 평판 기반 위협 보호 엔진은 도메인 수준에서 보호 기능을 제공하지만, URL 수준에서 평판 기반 위협 보호를 수행해야 하는 경우가 있습니다. 이는 사이트의 특정 섹션을 나타내는 하위 섹션이나 다른 URL이 있는 웹사이트의 경우 특히 중요합니다. 전반적인 도메인 평판은 양호할 수 있지만 사이트 내의 특정 개별 섹션이 손상되거나 위험을 초래할 수 있습니다. 따라서 URL 기반 평판 보안 엔진은 사용자가 멀웨어가 호스팅되거나 피싱 웹사이트에 액세스하지 못하도록 하는 포괄적인 보호에 필수적입니다. 이 엔진은 특정 URL의 평판을 고려하여 위협 탐지의 정확도를 높이고 잠재적으로 유해한 콘텐츠를 사전에 차단할 수 있습니다. 앞서 ‘SWG 사전 복호화 보안 엔진’ 섹션에서 언급했듯이, 위협 인텔리전스 피드에서 파생된 평판 점수는 때때로 오탐을 초래할 수 있습니다. 또한 관리자가 위협 헌터의 심층적인 검사를 위해 트래픽 세션이 진행되도록 허용하는 경우도 있습니다. 또한 클라이언트 수준에서 이미 포괄적인 보호 기능이 적용된 경우 게이트웨이 수준에서 위협 보호 기능을 중복 적용하는 것은 불필요할 수 있습니다. 이러한 시나리오를 해결하기 위해 복호화 후 평판 위협 보호 엔진은 정책 기반이므로 관리자가 예외 정책을 만들 수 있습니다.

고급 액세스 제어 엔진

평판 기반 위협 보호 외에도 SWG는 강력한 고급 액세스 제어 기능을 제공하여 관리자가 다양한 인터넷 사이트에 액세스할 때 사용자에게 차별화된 액세스 권한을 적용할 수 있습니다. 이 고급 액세스 제어 엔진은 앞서 설명한 ‘SWG 사전 복호화 보안 엔진’ 섹션의 ‘액세스 제어 엔진’과 유사점을 공유합니다. 그러나 TLS 복호화 후에 작동하므로 URL, HTTP 메서드 및 HTTP 요청 헤더를 기반으로 훨씬 더 정교한 액세스 제어 옵션을 제공합니다. 고급 액세스 제어 엔진은 도메인 카테고리에 비해 더 정확하고 세분화된 웹사이트 분류를 제공하는 URL 카테고리를 활용합니다. 관리자는 URL 카테고리를 활용하여 특정 URL을 기반으로 액세스를 규제하는 정책을 효과적으로 정의하여 세분화된 액세스 제어를 할 수 있습니다. 고급 액세스 제어 엔진은 액세스 제어 엔진과 마찬가지로 예외를 생성할 수 있는 유연성을 제공하여 URL 분류에서 오탐이 발생하는 시나리오를 해결합니다. 이러한 예외를 통해 관리자는 잘못 분류되거나 특별한 액세스 권한이 필요할 수 있는 특정 사이트 또는 콘텐츠에 대한 기본 액세스 제어 정책을 재정의할 수 있습니다.

콘텐츠 검사 기능이 있는 보안 엔진

지금까지 설명한 보안 엔진은 위협이 감지되거나 액세스가 거부될 때 트래픽 세션을 중지하는 데 중점을 두었습니다. 이러한 엔진은 초기 HTTP 정보 및 요청 헤더를 기반으로 작동하므로 트래픽을 검사할 때까지 트래픽을 일시 중단할 수 있습니다. 그러나 HTTP 세션 내의 콘텐츠를 보다 심층적으로 검사해야 하는 추가 보안 엔진이 있습니다. 이러한 엔진은 위협을 효과적으로 탐지하기 위해 요청과 응답 모두에서 콘텐츠에 액세스할 수 있어야 합니다. 이러한 콘텐츠 검사 엔진은 이전 엔진과 달리 전체 트래픽 흐름을 중단하는 것이 아니라 위협이 감지되는 순간 특정 트래픽을 중단합니다. 이러한 보안 엔진 중 일부는 전체 콘텐츠에 대한 액세스가 필요할 뿐만 아니라 잠재적인 위협을 식별하기 위해 위협 인텔리전스 피드를 활용하기 전에 콘텐츠에 대한 추가 처리를 수행해야 할 수도 있습니다. 예를 들어 파일이 압축된 경우 분석을 위해 압축을 해제해야 합니다. 또한 특정 위협 인텔리전스 제공업체는 Word 문서, PowerPoint 프레젠테이션, OpenOffice 파일, Excel 스프레드시트, PDF 등과 같은 다양한 파일 유형에서 텍스트 스트림을 추출할 것으로 예상합니다. 이러한 추출 및 위협 탐지는 계산 집약적일 수 있으므로 HTTP 트랜잭션에 지연 시간이 발생할 수 있습니다. 이 문제를 해결하기 위해 대부분의 보안 엔진은 위협 탐지 및 인라인 적용을 통한 인라인 캡처 또는 오프라인 위협 탐지를 통한 인라인 캡처라는 두 가지 옵션을 제공합니다. 인라인 탐지 모드에서는 트래픽이 캡처되고 HTTP 세션 내에서 위협 탐지가 이루어지므로 즉각적인 시행 조치가 가능합니다. 오프라인 탐지 모드에서는 트래픽이 여전히 캡처되지만 텍스트 스트림 추출 및 위협 인텔리전스 피드를 사용한 위협 탐지는 HTTP 세션 외부에서 수행됩니다. 이 모드에서는 문제가 되는 트래픽이 즉시 차단되지는 않지만 잠재적인 위협에 대한 가시성은 유지됩니다. 이 두 가지 모드는 기업이 인라인 위협 보호와 사용자 경험의 균형을 맞출 수 있는 유연성을 제공하므로 필요에 가장 적합한 접근 방식을 선택할 수 있습니다.

파일 평판 기반 위협 방어 보안 엔진

SWG에는 HTTP를 통해 전송되는 파일의 평판을 평가하는 데 중요한 역할을 하는 파일 평판 기반 위협 보호 보안 엔진이 통합되어 있습니다. 이 엔진은 게이트웨이를 통과하는 콘텐츠를 지속적으로 분석하는 SWG의 위협 인텔리전스 수집 기능을 활용합니다. 트래픽이 흐르면서 위협 인텔리전스 엔진은 콘텐츠가 전송될 때와 파일 끝에서 콘텐츠의 해시를 계산하여 파일의 평판 점수를 결정합니다. 필요한 경우 SWG는 해시를 계산하기 전에 콘텐츠에 대한 압축 해제를 수행합니다. 관리자는 파일 평판 점수를 고려하고 이 평가에 따라 트래픽 세션을 허용할지 거부할지 결정하는 정책을 유연하게 만들 수 있습니다. 이 보안 엔진은 정책 평가를 수행하고 위협이 감지되면 트래픽의 추가 전송을 중지합니다.

멀웨어 방지 보안 엔진

SWG에 통합된 안티멀웨어 보안 엔진은 고급 위협 인텔리전스 및 안티멀웨어 기능을 통합하여 바이러스와 멀웨어가 트래픽 스트림에 침투하여 사용자 디바이스에 도달하는 것을 효과적으로 탐지하고 방지합니다. 이 엔진은 또한 양방향 트래픽을 적극적으로 모니터링하여 사용자가 모르는 사이에 멀웨어를 퍼뜨리는 것을 방지하는 데 중요한 역할을 합니다. 앞서 언급했듯이 이러한 보안 엔진은 로컬 파일 내의 콘텐츠를 분석하기 위해 다양한 기술을 사용합니다. 필요한 경우 엔진은 파일의 압축을 풀고 텍스트 스트림을 추출한 다음 위협 인텔리전스 멀웨어 방지 기능을 사용하여 철저한 검사를 거칩니다. 텍스트 스트림은 시그니처 기반 분석에 특히 중요하며, 알려진 멀웨어 변종을 탐지할 수 있습니다. SWG 솔루션은 관리자에게 유연성을 제공하여 다양한 유형의 멀웨어를 탐지하고 위협 인텔리전스 제공업체가 제공하는 신뢰 수준을 고려하여 적절한 조치를 취하도록 지시하는 정책을 만들 수 있습니다. 이를 통해 멀웨어에 대한 대응이 특정 위협 및 위험 수준에 맞게 조정됩니다. 또한 SWG는 정책 내에서 예외를 생성하여 성능 문제, 오탐을 해결하고 위협 헌터에 의한 심층적인 위협 검사를 용이하게 하는 기능을 제공합니다. 이러한 유연성을 통해 관리자는 보안 조치를 미세 조정하고 보호와 운영 효율성 간에 적절한 균형을 맞출 수 있습니다.

침입 탐지 및 방지(IDP) 보안 엔진

IDP 보안 엔진은 트래픽 스트림 내에서 잠재적인 익스플로잇을 식별하도록 설계된 SWG의 필수적인 부분입니다. 시스템 취약점을 악용하는 것은 공격자가 무단 액세스, 루트킷 도입, 멀웨어 배포를 위해 사용하는 일반적인 방법입니다. 이러한 취약점은 버퍼/스택 오버플로, 부적절한 입력 유효성 검사, 시스템 및 애플리케이션의 잘못된 구성 등의 형태로 나타날 수 있습니다. SWG 내의 IDPS는 클라이언트 시스템을 대상으로 하는 익스플로잇 공격을 탐지하고 인터넷에서 타사 서비스를 익스플로잇하려는 손상된 클라이언트를 식별하여 기업 자산이 추가 공격의 발판이 되는 것을 방지할 수 있습니다. SWG의 IDP 엔진은 여러 가지 이유로 오탐을 줄이면서 정확한 탐지 기능을 제공합니다:

• 클리어 데이터에 대한 액세스: IDP 엔진은 암호화가 해제된 트래픽 데이터에 액세스할 수 있으므로 잠재적인 공격을 효과적으로 분석하고 탐지할 수 있습니다.
• 재조립 및 재순서화된 데이터에 대한 액세스: 엔진은 재구성되고 순서가 변경된 데이터 스트림에 액세스하여 모든 악성 활동을 포괄적으로 분석하고 탐지할 수 있습니다.
• HTTP 프로토콜 추출 및 디코딩된 데이터에 대한 액세스: SWG의 프록시 부분에서 추출 및 디코딩된 데이터를 통해 IDP 엔진은 콘텐츠에 대한 심층적인 가시성을 확보하여 공격 패턴을 보다 효과적으로 탐지할 수 있습니다.

IDP 엔진은 프로토콜 이상 징후 시그니처, 트래픽 이상 징후, 콘텐츠 기반 시그니처 등 다양한 유형의 시그니처를 사용하여 공격을 탐지합니다. 위협 인텔리전스 제공업체는 광범위한 시그니처 데이터베이스를 제공하지만 모든 시그니처를 로드하면 시스템 성능에 상당한 영향을 미칠 수 있습니다. 이러한 문제를 해결하기 위해 SWG는 서명 적용 가능성 등의 요소에 따라 서명 튜닝 기능을 제공합니다. 예를 들어, HTTP 기반 트래픽과 관련이 없는 서명이나 HTTP 내에서 해독되지 않은 콘텐츠를 검사하는 서명은 피할 수 있습니다. 또한 위험 영향, 위협 인텔리전스 제공업체가 제공하는 시그니처의 신뢰도 수준 등의 요소를 고려할 수 있습니다. 또한 SWG 솔루션은 정책 기반 트래픽 선택 기능을 제공하여 관리자가 어떤 트래픽이 IDP 처리를 거쳐야 하는지 결정할 수 있습니다. 이러한 유연성을 통해 클라이언트 엔드포인트 수준에서 이미 공격을 검사한 트래픽에 대한 중복 IDP 검사를 피할 수 있습니다.

데이터 손실 방지 보안 엔진

SWG에 데이터 손실 방지(DLP) 보안 엔진을 포함하는 것이 점점 더 보편화되고 있습니다. 이 강력한 엔진은 사용자가 적절한 승인 없이 기밀 재무, 회계 또는 비즈니스에 민감한 정보를 실수로 전송하거나 수신하는 것을 방지하도록 설계되었습니다. DLP 보안 엔진은 정책 기반 제어 및 사용자 속성을 활용하여 우발적이거나 의도적인 데이터 유출의 위험을 모니터링하고 완화합니다. DLP 보안 엔진이 그 역할을 효과적으로 수행하려면 데이터 전송의 전체 콘텐츠에 액세스할 수 있어야 합니다. 텍스트 스트림을 추출하여 민감도에 따라 데이터를 분석하고 분류할 수 있습니다. 데이터 분류 인텔리전스 제공업체는 텍스트 스트림을 활용하여 규정 준수 라벨(예: 개인 식별 정보 또는 PII), 일반 기밀 문서 데이터(예: 재무 정보), 사용자 정의 민감 데이터 등 다양한 속성을 포괄하는 분류 결과를 생성합니다. 민감한 데이터를 정확하게 제어할 수 있도록 SWG는 관리자에게 다양한 분류 속성과 값을 통합하는 정책을 만들 수 있는 기능을 제공합니다. 이러한 정책과 일반 매칭 속성을 결합하여 관리자는 세분화된 액세스 제어를 정의하고 다양한 유형의 민감한 데이터를 처리하는 방법을 지정할 수 있습니다.

사용자 지정 보안 엔진(자체 보안 엔진 가져오기)

SASE/SWG 제공업체는 포괄적인 보안 범위를 제공하지만, 제로데이 공격 등 끊임없이 진화하는 위협 환경으로 인해 추가적인 개선이 필요할 수 있습니다. 기업 보안팀은 새로운 공격 패턴을 파악하여 위협 헌팅에 선제적으로 대응하는 경우가 많습니다. 또한 위협 인텔리전스 공유를 통해 다른 기업 보안팀으로부터 새로운 위협 패턴을 받을 수도 있습니다. 두 경우 모두 이러한 새로운 위협 패턴과 공격으로부터 자산을 보호하기 위해 SWG가 필요할 수 있습니다. 일반적으로 SWG에는 잘 구성된 IDP 엔진 및 기타 보안 엔진이 있지만, 구성 시스템이 복잡한 위협 패턴을 탐지하기 위한 규칙을 생성할 수 있는 유연성이 부족한 경우가 있습니다. 이러한 보호 기능을 위한 새로운 소프트웨어 로직을 추가하기 위해 SWG 제공업체에만 의존하는 것은 시간이 많이 소요될 수 있습니다. 또한 기업에서 관찰되는 위협 패턴은 기업 환경에 따라 달라질 수 있으며 일반적인 사용에는 적용되지 않을 수 있습니다. 이러한 경우 SWG 공급업체는 이러한 사용자 지정 요구 사항을 해결하기 위해 새 소프트웨어를 적시에 출시하는 것을 주저할 수 있습니다. 따라서 기업 보안 부서 또는 관리형 보안 서비스 제공업체(MSSP)에서 개발한 새로운 맞춤형 프로그래밍 방식의 보안 엔진을 유연하게 통합할 수 있어야 합니다. SWG 솔루션은 새로운 보안 엔진을 통합할 수 있는 개방형 인터페이스를 제공할 것으로 예상됩니다. 일부 SWG는 Lua 스크립트 및 웹어셈블리(WASM) 모듈을 추가할 수 있는 기능을 제공합니다. 이러한 기능을 통해 조직은 Lua 스크립트 또는 WASM 모듈과 같은 새로운 보안 엔진을 개발하여 SWG 인프라에 통합할 수 있습니다. SWG는 이러한 사용자 지정 엔진이 다른 보안 엔진과 간섭하지 않도록 하며, SWG 관리자가 설정한 구성 한도 내에서 컴퓨팅 리소스를 소비하도록 합니다. SWG는 맞춤형 프로그래밍 방식의 보안 엔진을 통합하여 기업이 보안 태세를 강화하고, 새로운 위협에 신속하게 대응하며, 자산을 효과적으로 보호할 수 있도록 지원합니다. 이러한 유연성을 통해 조직은 사내 보안 전문 지식을 활용하거나 MSSP와 협력하여 고유한 보안 요구 사항을 해결하는 맞춤형 보안 엔진을 개발할 수 있습니다.

요약

요약하자면, 이 글에서는 안전한 인터넷 액세스를 위한 보안 엔진에 대한 개요를 제공했습니다. 모든 보안 엔진의 포함 여부는 SASE/SWG 솔루션마다 다를 수 있으며 새로운 유형의 인터넷 위협이 등장함에 따라 새로운 보안 엔진이 추가될 수 있다는 점에 유의하세요. SASE/SWG 솔루션은 IP 평판 기반 위협 보호, 도메인 평판 기반 위협 보호, 액세스 제어, TLS/SSL 검사, 파일 평판 기반 위협 보호, 안티 멀웨어, 침입 탐지 및 방지, 데이터 손실 방지 등과 같은 보안 엔진을 활용합니다. 이러한 보안 엔진은 전반적인 보안 조치를 강화하고 인터넷에 액세스할 때 다양한 위협으로부터 보호합니다. 위협 환경이 계속 진화함에 따라 조직은 정기적으로 보안 요구 사항을 평가하고 선택한 SASE 솔루션에 새로운 위험을 효과적으로 완화하는 데 필요한 보안 엔진이 통합되어 있는지 확인해야 합니다.

• CTO 인사이트 블로그

  아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다. 아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.