적응형 보안 정책이란?

적응형 보안 정책이란?

적응형 보안 정책을 통해 관리자는 지속적으로 변화하는 보안 환경에 신속하게 대응하여 최소의 시간과 노력으로 네트워크를 보호할 수 있습니다.

일반적으로 기존 네트워크 보안 정책은 매우 정적이며 해당 정책의 규칙 구조는 다음과 같습니다.

규칙 번호(Rule Number)

소스 트래픽 일치 기준(Source Traffic Match Criteria)

대상 트래픽 일치 기준(Destination Traffic Match Criteria)

방화벽 작업(Firewall Action)

로깅 작업(Logging Action)

침입 방지 시스템(IPS)

1000개

모두(Any)

내 핵심 서버(MyCriticalServers)

허용(Permit)

로그

비활성화(Disable)

각 규칙의 논리는 특정 트래픽 일치 기준에 대한 것이며, 네트워크 관리자는 한 세트의 보안 작업을 구성할 수 있습니다.

하지만 보안 운영 환경은 사실상 정적인 경우가 드뭅니다. 일반적인 상황에서 시행하려는 네트워크 정책은 네트워크가 이미 상당한 공격을 받고 있는 경우 또는 네트워크 보안이 침해되어 보안 팀에서 감염된 자산을 식별하고 분리해야 하는 경우 시행하려는 네트워크 정책과 판이하게 다를 수 있습니다.

 

정적 네트워크 보안 정책의 과제

정적 정책 모델을 이용하면, 보안 문제에 대응해야 하는 상당한 운영상의 어려움을 맞이하게 됩니다. 예를 들어, 보안 팀은 네트워크가 공격을 받고 있다는 사실을 인식할 경우 다음과 같은 조치를 취해야 합니다.

  1. 먼저 규칙 테이블에 있는 수천 개의 규칙을 한 번에 하나씩 처리하여 해당 규칙을 조정할 방법을 결정해야 합니다.
  2. 수많은 규칙을 변경하여 방화벽 정책에 전달합니다. 결과적으로 보안 관리자의 귀중한 업무 시간이 네트워크를 공격으로부터 격리하고 문제를 해결하는 대신 규칙을 수정하는 데 사용됩니다.
  3. 일부 미션 크리티컬 서비스가 중단되는 위험을 피합니다. 이 단계에서는 계획되지 않은 많은 양의 변경이 있기 때문에 이러한 위험의 가능성이 상당히 높습니다.
  4. 위협이 격리되거나 완화되면 모든 규칙을 표준 프로파일로 복원합니다. 이 단계에서도 오류, 서비스 중단 등이 발생할 가능성이 있습니다.

사이버 보안 팀이 보안 전략을 강화하기 위해 일반 대응 및 공격 대응 시나리오 모두를 수행하는 것이 중요합니다.

 

동적 정책 작업이란?

Junos Space Security Director는 동적 정책 작업이라는 혁신적인 기능을 제공합니다. 이 기능을 통해 보안 팀은 각기 다른 보안 작업을 사전에 생성하는 워크플로우를 간소화해 여러 환경 조건에서 적용할 수 있습니다. Security Director는 급변하는 위협 환경에서 변화하는 조건에 따라 정책이 동적으로 대응할 수 있도록 사용자 인텐트 정책 프레임워크를 활용합니다.

Threat Level - Pointed at Disable Service Access

동적 정책 작업 워크플로우는 다음과 같은 단계로 이루어집니다.

  • 다양한 규칙에 영향을 주는 여러 가지 맞춤형 환경 변수를 만듭니다.
  • 네트워크 보안 정책에서 이러한 변수를 기준으로 조건부 평가자를 사용합니다.
  • 사전에 여러 가지 프로파일을 테스트해 규칙 동작이 계획대로 작동하는지 확인합니다.
  • 환경 조건에서 변경이 확인되면 변수 값을 변경하여 현재의 위험 상황을 반영합니다.
  • 관련 규칙에 대한 변경 사항을 자동으로 계산하고 네트워크 관리자의 승인에 따라 필요 시 이러한 변경 사항을 전체 네트워크에 전송합니다.

동적 정책 작업을 사용하면, 규칙 테이블이 새 환경 조건 열에 추가되어 다음과 같이 표시됩니다.

규칙 번호(Rule Number)

소스 트래픽 일치 기준(Source Traffic Match Criteria)

대상 트래픽 일치 기준(Destination Traffic Match Criteria)

환경 조건(Environment Condition)

방화벽 작업(Firewall Action)

기타 작업

1000개

모두(Any)

내 핵심 서버(MyCriticalServers)

위험수준(ThreatLevel)=녹색(Green)
위험수준(ThreatLevel)=노란색(Yellow)

위험수준(ThreatLevel)=빨간색(Red)

허용(Permit)
허용(Permit)

거부(Deny)

로그(Log)
로그(Log)
IPS_STD_PROFILE
로그(Log)

동적 정책 작업의 이점

✓ 보안 작업 생성의 간소화

✓ 위협 대응 시간 단축

✓ 수동 오류 발생 가능성 감소

✓ 보안 운영을 간소화하여 비즈니스 위험을 줄이도록 지원

관리자는 각기 다른 환경 조건에서 시스템 동작을 테스트하여 보안 팀이 이용할 수 있도록 사전에 여러 보안 작업을 만들 수 있습니다.

위협 대응 시간이 줄어들게 되므로 관리자는 보안 위협을 신속하게 해결할 수 있습니다. 심각한 상황에서 관리자는 공격의 유형을 파악하는 데 집중해야 합니다. 이때 미리 구성된 환경 변수를 사용하여 규칙 테이블을 빠르게 조작할 수 있습니다.

특히 다수의 방화벽 정책 규칙을 편집해야 하는 심각한 상황에서도 수동 작업으로 인한 오류의 가능성이 줄어듭니다. 또한, 보안 운영을 간소화하여 일반적 상황 및 동적 상황에서 비즈니스 위험이 감소합니다.