팔로알토(Palo Alto) 방화벽 리뷰

팔로알토 네트웍스의 NGFW(차세대 방화벽)은 AI 기반의 프로세스를 사용하여 네트워크를 완벽하게 보호합니다. 팔로알토 네트웍스는 보안 소프트웨어 시장에서 항상 혁신의 선두에 서 있었으며, AI를 적용하여 악성 활동을 탐지하는 데 도움을 주는 것은 놀라운 일이 아닙니다.

NGFW는 명시적으로 AI의 한 분야인 기계 학습을 사용합니다. 이를 통해 팔로알토 엔지니어들이 준비한 솔루션이 없는 제로데이 위협을 탐지할 수 있습니다. 이 혁신 덕분에 각 구현은 자율적으로 작동하며, 공격이 처음 발생한 경우에도 위협을 인식할 수 있습니다. 

팔로알토 네트웍스에 대하여

팔로알토 네트웍스는 2005년 사이버 보안 전문가인 니르 주크(Nir Zuk)에 의해 설립되었습니다. Check Point와 NetScreen에서 근무하며 Zuk는 혁신가이자 업계의 거물로 명성을 얻었습니다. 그는 16살에 IT 분야에 발을 들여 바이러스 프로그래밍을 하며 보안 분야에 입문했고, 이를 통해 악성코드 동작 원리를 깊이 이해할 수 있었으며, 사이버 보안 경력을 시작할 때 바이러스를 차단하는 새로운 방법을 찾는 데 도움이 되었습니다.

1997년 Zuk는 이스라엘에서 미국으로 이민을 가면서 벤처 캐피탈의 세계와 더 가까워졌고, 이를 통해 Palo Alto Networks를 창업할 수 있었습니다. 기업가가 되기까지 Zuk는 사이버 보안 분야에서 잘 알려진 이름이 되었습니다. Zuk는 여전히 회사의 최고 기술 책임자(CTO)로 활동하고 있습니다.

Nir Zuk

• Nir Zuk은 Palo Alto Networks의 창립자이자 최고기술책임자(CTO)입니다. 
• Nir Zuk은 정보 보안 산업에서 20년 이상 혁신을 이끌어온 인물입니다. 
• 그는 상태 기반 검사 방화벽(stateful inspection firewall)의 개발자 중 한 명으로, 이는 현대 방화벽의 기반이 되는 기술입니다. 
• Zuk은 Check Point와 NetScreen에서 일하며 사이버 보안 분야의 선구자로 인정받았습니다.
• Palo Alto Networks의 핵심 아이디어는 기존 웹 브라우징과 이메일 보안을 넘어 소셜 및 엔터프라이즈 애플리케이션까지 보안 범위를 확장하는 것입니다.
• 이를 위해 Zuk은 다양한 보안 장비를 단일 고성능 장치로 통합하는 혁신적인 접근법을 제시했습니다
• Zuk은 보안 전문가로, 16세 때부터 바이러스 프로그래밍을 하며 시작했습니다. 이를 통해 악성코드 동작 원리를 깊이 이해할 수 있었습니다. 
• 1997년 이스라엘에서 미국으로 이주한 Zuk은 벤처 캐피탈에 더 가까워졌고, 이를 통해 2005년 Palo Alto Networks를 창립할 수 있었습니다. 

차세대 방화벽은 Palo Alto Networks의 핵심 제품입니다. 이는 회사의 첫 제품이며, 2007년에 출시되었습니다. 방화벽은 엔드포인트, 네트워크 경계, 클라우드 등 다양한 위치에서 작동하도록 구성될 수 있기 때문에 보안 담당자에게 훌륭한 툴이 아닐 수 없습니다.

보호되는 시스템에 진입하는 모든 트래픽이 먼저 방화벽을 통해 처리되어야 한다는 사실은 방화벽 벤더에게 다른 제품으로 다양화할 수 있는 많은 기회를 제공합니다. 예를 들어, 리버스 방화벽은 데이터 손실 방지 서비스를 생성하고, 클라우드 기반 방화벽은 DDoS 방어, 로드 밸런싱 및 연속성 서비스를 제공할 수 있습니다.  팔로알토는 방화벽 기술의 이러한 다양한 변형을 따르며, SD-WAN 및 기타 가상 네트워킹 서비스를 만드는 것까지 확장함으로써 확장 가능성을 활용했습니다. 결과적으로, Palo Alto Networks는 현재 엣지 서비스 시장의 선두주자가 되었습니다.

• Palo Alto Networks의 핵심 제품은 차세대 방화벽(Next-Generation Firewall)입니다. 이는 2007년 출시된 회사의 첫 번째 제품입니다. 
• 방화벽은 다양한 위치(엔드포인트, 네트워크 경계, 클라우드 등)에 적용될 수 있어 확장성이 높습니다. 이를 통해 Palo Alto Networks는 데이터 유출 방지, DDoS 보호, 부하 분산, 연속성 서비스 등 다양한 보안 서비스로 사업을 확장할 수 있었습니다.
• 최근에는 SD-WAN 및 가상 네트워킹 서비스 등 엣지 서비스 분야에서도 리더십을 발휘하고 있습니다. 

팔로알토 방화벽에 대하여

팔로알토 네트웍스는 차세대 방화벽(NGFW) 기술을 전문으로 하여 이 기술을 중심으로 여러 가지 패키지를 만들었습니다. 핵심 NGFW 시스템은 여섯 가지 다른 구성으로 제공됩니다. 비록 NGFW의 주요 기능은 이 모든 버전에서 동일하게 작동하지만, 소프트웨어 배치 방식과 보호 대상 시스템과 연결하는 방식에 따라 일부 차이점이 있습니다.

이러한 다양한 구성은 NGFW가 엔드포인트, 네트워크 경계, 클라우드 등 여러 위치에서 효과적으로 작동할 수 있도록 설계되었습니다. 팔로알토 네트웍스는 이러한 유연성을 통해 다양한 고객 요구를 충족시키고, 각기 다른 환경에서 최적의 보안을 제공할 수 있습니다.

팔로알토 방화벽 제품 포트폴리오

• Palo Alto Networks는 차세대 방화벽 기술을 중심으로 다양한 제품 라인업을 제공하고 있습니다.
• NGFW의 핵심 기능은 모든 제품 버전에 공통적으로 적용되지만, 소프트웨어 배치 방식과 보호 대상 시스템과의 연결 방식에 따라 6가지 다른 구성이 있습니다.

팔로알토 방화벽 기능 소개

팔로알토 NGFW의 주요 특징은 단순히 특정 문자 패턴을 검색하여 들어오는 패킷을 검사하는 것이 아니라, 다양한 기술을 사용하여 트래픽을 의심스러운 것으로 식별한다는 점입니다. 팔로알토가 개발한 머신 러닝 기술은 이러한 제품의 독특한 특징을 형성합니다.

팔로알토 시스템은 패킷 간의 트래픽을 검사하기 때문에 응용 계층(Application Layer)에서 작동합니다. 따라서, 이 시스템은 각 패킷의 헤더만을 대상으로 한 검출 과정에 국한되지 않습니다.

방화벽의 기능은 다음과 같습니다:

• Application-Level Inspection: Palo Alto NGFW는 단순한 패킷 검사가 아닌 애플리케이션 레벨에서 트래픽을 분석합니다. 이를 통해 전통적인 방화벽보다 더 정교한 위협 탐지와 제어가 가능합니다. 
• Machine Learning 기반 위협 탐지: Palo Alto Networks의 독자적인 머신러닝 기술을 활용하여 알려진 공격 패턴뿐만 아니라 제로데이 공격까지 탐지할 수 있습니다. 
• SSL/TLS 트래픽 검사: NGFW는 SSL/TLS 암호화 트래픽도 검사할 수 있어 은닉된 위협을 탐지할 수 있습니다. 
• DDoS 보호: NGFW는 DDoS 공격을 탐지하고 차단하는 기능을 제공합니다. 
• 마이크로세그멘테이션: 네트워크를 세분화하여 각 세그먼트에 맞춤형 보안 정책을 적용할 수 있습니다.
• 데이터 유출 방지(DLP): 중요 데이터의 무단 유출을 탐지하고 차단할 수 있습니다.
• 화이트리스트/블랙리스트: 신뢰할 수 있는 애플리케이션과 IP 주소를 화이트리스트에 등록하고, 알려진 위협을 블랙리스트에 등록하여 관리할 수 있습니다.

Firewall GUI

이러한 기능들은 전통적인 방화벽이 제공할 수 없는 추가적인 보안 계층을 제공합니다. 하지만, 모든 배포 옵션에서 모든 기능을 사용할 수 있는 것은 아닙니다. 이는 배포 환경 또는 고객의 특정 요구에 따라 달라질 수 있으며, 각 구성의 선택은 보호할 시스템의 위치와 연결 방식에 따라 결정됩니다.

SSL 오프로딩

딥 패킷 인스펙션(DPI)은 패킷이 방화벽을 통과할 때 그 내용을 읽는 것을 포함합니다. 그러나 원격 목적지를 위한 트래픽과 들어오는 인터넷 트래픽은 거의 항상 암호화되어 있습니다. 이러한 상태는 DPI를 불가능하게 만듭니다. 암호화된 데이터를 우회하기 위해 Palo Alto 방화벽은 SSL 관리를 담당합니다.

방화벽은 인터넷으로 향하는 모든 트래픽의 목적지 게이트웨이로 작동하며, 네트워크 내의 엔드포인트와 키 교환을 수행하고 원격 서버와의 통신에서 연결의 시작점으로 작동합니다. 트래픽이 나갈 때, 방화벽은 패킷을 복호화하고 보안 검사를 수행한 후, 원격 서버와 합의한 키로 다시 암호화합니다. 마찬가지로, 응답은 복호화되고 검사된 후, 로컬 엔드포인트와 합의한 키로 암호화되어 전달됩니다.

이 부분은 콘텐츠를 검사할 수 있도록 할 뿐만 아니라, 연결 보안의 책임을 중앙화하여 로컬 머신의 SSL 인증서가 손상될 위험을 줄입니다. 클라우드 기반 구현에서는 방화벽까지의 엔드포인트 구간이 VPN으로 보호됩니다.

• SSL 트래픽 검사: Palo Alto NGFW는 SSL/TLS 암호화 트래픽을 복호화하여 내용을 검사할 수 있습니다. 이를 통해 암호화된 트래픽에 숨겨진 위협도 탐지할 수 있습니다. 
• SSL 종료 및 재암호화: NGFW는 클라이언트와 서버 간의 SSL 연결을 종료하고, 자체적으로 클라이언트와 새로운 SSL 연결을 설정합니다. 이후 NGFW가 트래픽을 검사하고 재암호화하여 목적지로 전송합니다. 
• SSL VPN 클러스터 지원: SSL 오프로딩 기능을 통해 SSL VPN 클러스터의 연결 수용 능력을 크게 향상시킬 수 있습니다. 
• SSL 인증서 관리: NGFW가 SSL 연결의 종단점 역할을 하므로, 내부 시스템의 SSL 인증서 관리 부담을 줄일 수 있습니다. 
• 클라우드 환경 지원: 클라우드 기반 NGFW 배포 시, 클라이언트와 NGFW 간의 SSL 연결은 VPN으로 보호됩니다.

DDoS 방어

방화벽은 모든 트래픽이 조직의 시스템(이메일 및 웹 서버 포함)에 도달하기 전에 수신하므로, DDoS 공격을 유발하는 과도한 연결 시도를 차단할 수 있는 기능을 제공합니다. NGFW(차세대 방화벽)의 자체 호스팅 구현에서는 호스트의 용량이 개별 비즈니스에 따라 달라지므로 DDoS 방어 기능이 자동으로 포함되지 않습니다. 그러나 FWaaS(서비스형 방화벽) 버전의 NGFW에서는 트래픽 볼륨 차단이 서비스의 일부로 제공됩니다.

따라서, DDoS 방어를 위해서는 FWaaS 버전의 NGFW를 사용하는 것이 더 효과적일 수 있습니다.

• NGFW는 방화벽 기능과 더불어 고급 보안 기능을 제공하는 차세대 방화벽입니다.
• NGFW는 모든 네트워크 트래픽을 받아 처리하므로, DDoS 공격으로 인한 과도한 연결 시도를 흡수할 수 있습니다. 
• 이를 통해 DDoS 공격으로부터 기업의 호스트, 이메일 서버, 웹 서버 등을 보호할 수 있습니다.
• 자체 호스팅된 NGFW의 경우, DDoS 방어 용량은 기업의 인프라 규모에 따라 달라집니다.
• 기업이 충분한 리소스를 확보하지 못한 경우, DDoS 공격에 취약할 수 있습니다.
• 따라서 자체 호스팅 NGFW에서는 DDoS 방어가 자동으로 포함되지 않습니다. 
• 서비스형 방화벽(FWaaS)은 클라우드에서 제공되는 방화벽 서비스입니다.
• FWaaS에서는 트래픽 흡수 기능이 서비스에 포함되어 있어, DDoS 공격에 대한 방어가 자동으로 제공됩니다. 
• 따라서 FWaaS를 사용하면 기업이 별도의 DDoS 방어 솔루션을 구축할 필요가 없습니다.

마이크로세그멘테이션을 통한 네트워크 보호

• 마이크로세그멘테이션은 네트워크를 더 작은 세그먼트로 나누어 보안을 강화하는 기술입니다.
• 이를 통해 서로 다른 보안 수준의 영역을 만들 수 있으며, DMZ(비무장지대)와 같은 전략을 구현할 수 있습니다.
• 팔로알토 NGFW(차세대 방화벽)은 이 개념을 더 발전시켜 각 디바이스 또는 애플리케이션 단위로 보안 정책을 적용할 수 있습니다.
• 또한 파일 무결성 모니터링, 민감 데이터 관리 등의 기능을 제공하여 데이터 보안을 강화합니다.
• 마이크로세그멘테이션은 데이터 센터나 클라우드 환경에서 안전 영역을 격리하는 보안 방법입니다. 
• 팔로알토 NGFW는 이 개념을 더 발전시켜 각 디바이스 또는 애플리케이션 단위로 보안 정책을 적용할 수 있습니다. 
• 보안 정책 규칙을 통해 트래픽 속성(출처, 목적지 등)에 따라 세션을 차단하거나 허용할 수 있습니다. 
• 이를 통해 파일 무결성 모니터링, 민감 데이터 관리 등의 기능을 제공하여 데이터 보안을 강화합니다.
• NGFW는 SD-WAN 기능을 통해 모든 트래픽을 방화벽으로 전달하여 보안을 강화합니다.
• 이를 통해 외부 세계와의 통신뿐만 아니라 내부 네트워크 트래픽도 모두 방화벽을 거치게 됩니다.
• 이는 네트워크 세그먼트 간 트래픽에 대한 보안 정책 적용을 가능하게 합니다.

팔로알토 NGFW는 마이크로세그멘테이션 기술을 활용하여 네트워크 보안을 강화하고, 데이터 보안 및 트래픽 제어 기능을 제공합니다. 이를 통해 기업은 보다 안전한 네트워크 환경을 구축할 수 있습니다.

데이터 손실 방지(DLP)

• NGFW(차세대 방화벽)은 인터넷 게이트웨이에서 발생하는 트래픽을 모니터링하고 보안 정책을 적용할 수 있습니다.
• 이를 통해 민감한 데이터의 유출을 방지하는 데이터 손실 방지(DLP) 기능을 제공합니다.
• NGFW는 파일 전송뿐만 아니라 이메일 내용과 첨부 파일도 검사할 수 있습니다.
• 하지만 엔드포인트에서 외부 저장 장치로의 데이터 전송은 NGFW에서 추적할 수 없습니다.
• 이는 NGFW의 DLP 기능이 네트워크 트래픽 모니터링에 초점을 맞추고 있기 때문입니다. 

NGFW는 인터넷 게이트웨이에서 발생하는 트래픽을 모니터링하고 DLP 기능을 통해 민감한 데이터 유출을 방지할 수 있습니다. 하지만 엔드포인트에서의 데이터 전송은 추적할 수 없는 한계가 있습니다. 따라서 NGFW와 함께 엔드포인트 DLP 솔루션을 활용하는 것이 효과적일 수 있습니다.

이상 탐지 기반 위협 탐지(Threat Detection) 기능

• Palo Alto NGFW의 위협 탐지 시스템은 기계 학습(ML)을 활용하여 강력한 보안 기능을 제공합니다.
• ML 기반 기능은 알려진 악성 파일 탐지와 새로운 공격 패턴 식별을 통해 위협을 탐지합니다.
• 파일 활동과 사용자 모니터링에 ML 기술을 적용하여 의심스러운 행동을 식별합니다.
• URL 필터링 기능도 ML을 활용하여 이메일 및 첨부 파일의 악성 콘텐츠를 탐지합니다.
• Palo Alto NGFW는 알려진 악성 파일 목록을 참조하여 요청된 파일을 검사합니다. 
• 이를 통해 알려진 위협을 효과적으로 차단할 수 있습니다.
• 알려지지 않은 파일이라도 특정 특성을 기반으로 새로운 공격을 식별할 수 있습니다. 
• 이는 보안 분석가가 아직 식별하지 못한 새로운 위협을 탐지할 수 있게 해줍니다.

Palo Alto NGFW의 이상 탐지 기반 위협 탐지 기능은 ML 기술을 활용하여 알려진 위협과 새로운 공격을 효과적으로 탐지하고 차단할 수 있습니다. 이를 통해 기업의 네트워크와 데이터를 보호할 수 있습니다.

블랙리스팅과 화이트리스팅

• 이상 탐지 프로세스를 통해 발견된 침입 또는 피싱 시도는 차단 조치로 이어집니다.
• 방화벽은 IP 주소 또는 URL을 블랙리스트에 추가하여 해당 대상과의 모든 통신을 차단합니다.
• 감염된 엔드포인트에 대한 의심이 있는 경우 네트워크 내 IP 주소를 블랙리스트에 추가할 수 있습니다.
• 외부 소스에서 제공된 블랙리스트를 업로드하거나 입력할 수도 있습니다.
• 화이트리스팅 시스템은 일반 차단 규칙에 대한 예외를 만들어 허용 가능한 사이트 또는 IP 주소에 대한 접근을 허용합니다.
• 블랙리스팅은 알려진 위협 IP 주소나 URL을 차단하는 방식입니다. 
• 이상 탐지 프로세스에서 발견된 침입 또는 피싱 시도에 대해 차단 조치를 취하기 위해 사용됩니다.
• 화이트리스팅은 허용 목록을 만들어 승인된 엔티티만 접근을 허용하는 방식입니다. 
• 일반 차단 규칙에 대한 예외를 만들어 허용 가능한 사이트 또는 IP 주소에 대한 접근을 허용합니다.
• 이를 통해 보안을 강화하고 신뢰할 수 있는 엔티티에 대한 접근을 보장할 수 있습니다.

블랙리스팅과 화이트리스팅 기능을 활용하여 알려진 위협을 차단하고 신뢰할 수 있는 엔티티에 대한 접근을 허용함으로써 네트워크 보안을 강화할 수 있습니다.

반응형

방화벽 구성 옵션

• Palo Alto Networks는 NGFW(Next-Generation Firewall)를 6가지 형태로 제공합니다.
• PA 시리즈: 네트워크 어플라이언스
• VM 시리즈: VMware NSX 기반의 가상 네트워크 보안
• CN 시리즈: 컨테이너 기반 방화벽 시스템
• Panorama: 네트워크 보안 패키지, 성능 모니터링 포함
• CDSS(Cloud-Delivered Security Services): 엣지 서비스 기반의 Firewall-as-a-Service
• PAN-OS: Palo Alto 고유의 가상 어플라이언스 프레임워크

PA 시리즈: 네트워크 어플라이언스

• 물리적 하드웨어 기반의 NGFW 어플라이언스 
• 다양한 크기와 성능 옵션 제공
• 온-프레미스 배포에 적합

VM 시리즈: 가상 네트워크 보안

• VMware NSX 기반의 가상 NGFW 
• 소프트웨어 정의 네트워크 환경에 적합
• 가상화된 데이터 센터 및 클라우드 환경에 배포 가능

CN 시리즈: 컨테이너 기반 방화벽

• 컨테이너 환경에서 실행되는 NGFW 
• 마이크로서비스 아키텍처에 적합
• 민첩성과 확장성 제공

Panorama: 네트워크 보안 관리 콘솔

• 중앙 집중식 보안 관리 및 모니터링 플랫폼 
• 여러 NGFW 디바이스를 통합 관리
• 보안 정책, 로깅, 보고 기능 제공

Panorama

CDSS: 클라우드 기반 보안 서비스

• 엣지 서비스 기반의 Firewall-as-a-Service 
• 클라우드에서 제공되는 보안 서비스
• 온-프레미스 및 클라우드 환경에 적용 가능

PAN-OS: 가상 어플라이언스 프레임워크

• Palo Alto 고유의 가상 어플라이언스 운영 체제 
• 다양한 하드웨어 및 가상화 플랫폼에서 실행 가능
• 일관된 보안 정책 및 기능 제공

이처럼 Palo Alto Networks는 다양한 배포 옵션을 제공하여 고객의 네트워크 환경과 요구사항에 맞는 NGFW 솔루션을 선택할 수 있습니다.

방화벽의 장단점

Palo Alto 방화벽의 강점

• 통합된 서비스로 구성되어 시너지 효과 발휘
• 다양한 배포 옵션 제공
• 사용자 활동에 대한 상세한 대시보드와 보고서
• 방화벽 콘솔에서 액세스 권한 관리 가능
• 제로데이 공격 식별 기능

강점 상세 설명

1. 통합된 서비스
   • Palo Alto 방화벽은 네트워크 성능 모니터링, 엔드포인트 보호, 중요 데이터 액세스 추적 등의 다양한 보안 서비스를 제공 
   • 이러한 통합된 서비스는 시너지 효과를 발휘하여 보안 관리를 효율화할 수 있음
2. 유연한 배포 옵션
   • PA 시리즈 물리 어플라이언스, VM 시리즈 가상 방화벽, CN 시리즈 컨테이너 방화벽 등 다양한 배포 옵션 제공 
   • 고객의 네트워크 환경과 요구사항에 맞는 최적의 솔루션 선택 가능
3. 사용자 활동 모니터링 및 보고
   • 사용자 활동에 대한 상세한 대시보드와 보고서 제공 
   • 보안 정책 수립 및 모니터링에 유용
4. 액세스 권한 관리
   • 방화벽 콘솔에서 사용자 및 애플리케이션의 액세스 권한 관리 가능 
   • 효과적인 권한 관리로 보안 강화
5. 제로데이 공격 식별
   • Palo Alto의 기계 학습 기반 기술이 제로데이 공격을 최대 95% 차단 
   • 신종 위협에 대한 신속한 대응 가능

Palo Alto 방화벽의 약점

• PAN-OS 소프트웨어의 제한사항
• AWS 클라우드 NGFW의 문제점
• 트래픽 분류 및 디코딩의 어려움

약점 상세 설명

1. PAN-OS 소프트웨어 제한사항
   • PAN-OS 10.1 버전에서 일부 기능 제한사항 존재 
   • 최신 기능을 사용하기 위해서는 정기적인 업그레이드가 필요
2. AWS 클라우드 NGFW의 문제점
   • Palo Alto의 클라우드 NGFW for AWS에는 심각한 결함이 있다는 지적 
   • 클라우드 환경에서의 Palo Alto 방화벽 구현에 한계가 있을 수 있음
3. 트래픽 분류 및 디코딩의 어려움
   • 트래픽을 정확하게 분류하고 디코딩하는 것이 쉽지 않은 문제 
   • 이로 인해 방화벽의 성능과 정확성에 영향을 줄 수 있음

Palo Alto 방화벽은 강력한 보안 기능과 통합 서비스를 제공하지만, 일부 소프트웨어 제한사항과 클라우드 환경에서의 문제점, 트래픽 분류의 어려움 등 개선의 여지가 있습니다. 고객의 요구사항과 환경에 따라 Palo Alto 방화벽의 장단점을 면밀히 검토할 필요가 있습니다.