보안 액세스 서비스 에지(SASE)의 영역에서는 침입 탐지 및 방지 시스템(IDPS)의 통합이 거의 보편화되어 있습니다. 단순히 알려진 익스플로잇을 차단하는 것을 넘어 IOC(침해 지표)를 감시하는 파수꾼의 역할을 수행하며 포괄적인 보호 계층을 제공합니다. 심지어 최근에는 조직에서 침해 지표와 공격 지표에 IDPS를 더 많이 사용하고 있다고 주장하고 싶습니다. IDPS의 강점은 네트워크 트래픽에 대한 풍부한 인사이트를 제공하는 능력에 있으며, 연결의 5중 연결과 같은 연결 메타데이터를 추출할 뿐만 아니라 다양한 프로토콜 필드의 미묘한 세부 사항까지 분석할 수 있다는 것입니다. 이렇게 깊이 있는 추출을 통해 네트워크를 통과하는 데이터의 특성에 대한 귀중한 정보를 얻을 수 있으며, 문맥 인식을 향상시킬 수 있습니다. IDPS는 여러 가지 방법을 사용하여 네트워크 보안을 강화합니다. 시그니처 기반 탐지 방법을 통해 알려진 익스플로잇과 멀웨어를 능숙하게 탐지하고 차단합니다. 또한 불규칙한 패킷 또는 스트림 패턴을 식별할 수 있는 규칙을 사용하여 비정상적인 데이터를 방지합니다. 이 규칙은 비정상적인 프로토콜 속성 크기와 예기치 않은 프로토콜 값 동작을 포함하도록 범위를 확장합니다. SASE 프레임워크 내에서 IDPS의 기능과 보안 효과는 서비스 제공업체마다 약간의 차이가 있을 수 있지만, 일반적으로 타사 위협 인텔리전스 공급업체에서 제공하는 시그니처 데이터베이스를 활용하기 때문에 핵심 기능은 대체로 유사하게 유지됩니다. 또한 공격자들이 사용하는 다양한 우회 기법에도 불구하고 IDPS 기술은 성숙하고 유사한 기능을 발전시켜 왔습니다. 제 평가에 따르면, 제공업체 간의 주요 차별점은 오탐과 오탐을 최소화하는 데 중점을 두고 위협 헌팅을 위해 제공하는 관찰 가능 영역과 기능에 있습니다. 이 글의 의도는 SASE 서비스 간의 IDPS 기능 차별화에 대해 자세히 설명하는 것이 아닙니다. 오히려 SASE 서비스에 의해 IDPS 기능이 실행되는 패킷 경로 내의 정확한 지점을 탐색하고 이러한 삽입 지점이 원본 트래픽 내에서 공격 패턴을 효과적으로 탐지하는지 여부를 탐색하고자 합니다. 일부에서는 보안 액세스 서비스 에지(SASE) 서비스 내에서 프록시 수준에서 IDPS(침입 탐지 및 방지 시스템) 기능을 통합하는 것으로 충분하다는 관점을 가지고 있습니다. 그 근거는 많은 조직이 이미 일반 트래픽에 대한 침입 탐지를 위해 OnPrem IDPS를 사용하고 있다는 사실에서 비롯됩니다. OnPrem IDPS의 주요 문제점은 TLS로 암호화된 트래픽을 검사할 수 없다는 점입니다. SASE 프록시는 중간자(MITM) TLS 검사를 수행하므로 암호화되지 않은 트래픽에 액세스할 수 있습니다. 따라서 IDPS 삽입 지점을 프록시에 두는 것이 적절하다고 생각합니다. 또한 상당수의 시스템이 네트워크 수준(L3/L4) 및 TLS 수준 공격에 대해 적절하게 패치되어 있다고 주장하는 사람들도 있습니다. 이에 대응하여 공격자들은 애플리케이션(L7) 및 데이터 수준에서 보다 정교한 전술을 사용하는 데 초점을 맞추고 있습니다. 따라서 네트워크 내에서 프록시 수준 이상으로 IDPS 기능을 확장하지 않는 것이 정당하다는 인식이 널리 퍼져 있습니다. 하지만 이 주장이 모든 경우에 적용되는 것은 아닙니다. 업데이트가 자주 이루어지지 않는 오래된 운영 체제에서 계속 작동하는 IoT 디바이스를 고려하세요. 이러한 디바이스는 광범위한 공격에 여전히 취약할 수 있으므로 포괄적인 보안 접근 방식이 필요합니다. 또한 많은 사람들은 모든 네트워크 트래픽을 철저히 검사하기 위해 프록시 및 L3 수준 모두에서 IDPS를 통합해야 한다는 점을 인정합니다. 포괄적인 공격 탐지를 위해서는 앞서 설명한 대로 프록시 수준뿐만 아니라 트래픽이 인터넷과 주고받는 트래픽으로 지정된 인터페이스로 들어오고 나가는 WAN 인터페이스 수준에서도 IDPS 기능을 적용해야 합니다. 이 접근 방식은 프록시 수준에서만 IDPS를 배포하는 것보다 개선되었지만 문제가 있습니다. 프록시를 통해 트래픽이 흐르는 경우 IDPS는 세션의 양방향에서 원래 트래픽에 대한 가시성을 확보하지 못할 수 있습니다. 프록시는 일반적으로 연결을 종료하고 새 연결을 설정합니다. 로컬 TCP/IP 스택에 의존하기 때문에 원본 패킷을 재조립하고, TCP 데이터를 다시 시퀀싱하고, IP/TCP 옵션을 다시 생성하고, TLS 핸드셰이크 메시지를 다시 생성합니다. 따라서 WAN 인터페이스 레벨의 IDPS는 내부 네트워크에서 발생하는 원본 트래픽에 대한 가시성이 부족하여 원본 트래픽의 일부인 공격 패턴을 간과할 수 있습니다. 공격자가 항상 외부에 있는 것은 아니며 내부 공격자도 있을 수 있다는 점에 유의할 필요가 있습니다. 또한 이전 멀웨어 감염으로 인해 내부 시스템에서 공격이 시작될 수도 있습니다. 따라서 효과적인 위협 탐지 및 예방을 위해서는 IDPS가 양방향으로 원본 트래픽을 일관되게 관찰하는 것이 중요합니다.
여러 IDPS 삽입 지점이 있는 SASE 서비스 찾기
저희는 여러 지점에서 동시에 활성화된 IDPS를 삽입할 수 있는 유연성을 제공하는 SASE 서비스를 지지합니다. 조직은 각 L3 인터페이스와 프록시 수준에서 IDPS를 배포할지 여부를 자유롭게 선택할 수 있어야 합니다. 이 접근 방식은 트래픽이 TLS 암호화되어 프록시를 통과하는 경우에도 IDPS가 세션의 클라이언트 및 서버 엔드포인트 모두에서 원본 트래픽을 검사할 수 있도록 지원합니다. 또한 조직은 여러 삽입 지점에서 발생하는 중복 알림 및 로그 생성을 방지하는 SASE 서비스를 적극적으로 검색해야 합니다. 예를 들어 프록시를 통과하지 않고 여러 L3 인터페이스(한 인터페이스에서 수신하고 다른 인터페이스를 통해 전송)를 통과하는 트래픽은 두 IDPS 인스턴스에서 볼 수 있으므로 잠재적으로 중복 알림 및 로그가 발생할 수 있습니다. 조직에서는 이러한 로그의 중복을 최소화하여 이미 보안 기능에서 생성되는 대량의 로그를 처리하는 데 어려움을 겪고 있는 관리 인력의 업무 과중을 방지하는 것이 바람직합니다. 이상적으로 SASE 서비스는 트래픽 세션 단위로 지능을 발휘해야 하며, SASE 서비스 내에서 트래픽 수정이 발생하지 않는 경우 IDPS 기능의 중복 실행을 지능적으로 방지해야 합니다. 또한 조직은 특정 트래픽 세션에 대해 다양한 IDPS 인스턴스를 비롯한 여러 보안 기능에서 생성된 로그를 상호 연관시킬 수 있는 솔루션을 찾아야 합니다. 이러한 상관관계는 보안 이벤트 매핑을 간소화하여 가시성을 향상하고 위협 헌터의 작업을 간소화합니다. 조직은 IDPS의 컴퓨팅 집약적인 특성을 인식하여 가능한 한 리소스를 절약하기 위해 노력해야 합니다. 예를 들어, 조직에서 이미 호스트 IDS(HIDS) 또는 온프레미스 IDPS를 사용하는 경우 특정 유형의 트래픽에 대해 특정 인스턴스에서 IDPS 비활성화에 대한 제어를 유지하고자 할 수 있습니다. 정책 기반 IDPS 조정을 제공하는 SASE 서비스를 통해 조직은 SASE 프레임워크 내에서 여러 IDPS 인스턴스가 검사해야 할 트래픽을 지정할 수 있습니다. 요약하자면, SASE 패러다임 내에서 IDPS의 효과는 그 기능을 넘어 IDPS 삽입 지점과 관련하여 SASE가 제공하는 유연성과 조직이 특정 요구사항에 맞게 제어할 수 있는 정도에 달려 있습니다.
-
CTO 인사이트 블로그
아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다.
아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.