클라우드 방화벽이란 무엇입니까? | 서비스형 방화벽

클라우드 방화벽은 명확히 정의된 네트워크 경계가 없어도 클라우드 인프라를 보호합니다. 클라우드 방화벽의 작동 원리와 NGFW와 차이점을 알아보세요.

Share facebook icon linkedin icon twitter icon email icon

클라우드 방화벽

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 클라우드 방화벽을 알아보세요
  • 클라우드 컴퓨팅이 네트워크 경계에 어떻게 바꾸는지 알아보세요
  • 클라우드 방화벽과 기존 방화벽의 차이점을 알아보세요
  • 차세대 방화벽과 클라우드 방화벽의 차이점을 알아보세요
  • '서비스형 방화벽'의 의미를 알아보세요

클라우드 방화벽이란 무엇입니까?

은행은 다양한 물리적 보안 방안을 마련하고 있습니다. 대부분의 실제 은행은 보안 카메라와 방탄 유리 같은 보안 기능을 갖추고 있습니다. 경비원과 은행 직원도 도난의 가능성을 방지하는 데 도움을 주고 현금은 매우 안전한 금고에 보관됩니다.

하지만 은행의 현금을 한 곳에 모두 보관하는 대신, 보안 전문 회사가 운영하는 전국 곳곳에 분산된 금고에 각 은행 지점의 현금을 저장한다고 생각해보세요. 분산된 금고에 추가 보안 자원을 배치하지 않고 현금이 안전하다는 것을 어떻게 확신할 수 있을까요? 이것이 바로 클라우드 방화벽의 역할입니다.

클라우드 방화벽

클라우드는 자원이 분산된 은행과 같습니다. 단, 클라우드는 현금이 아닌 데이터와 컴퓨팅 파워를 저장합니다. 인증된 사용자는 어느 곳에서나 또 거의 모든 네트워크에서 클라우드에 연결할 수 있습니다. 클라우드에서 작동하는 애플리케이션은 어디에서나 작동할 수 있으며, 이것은 클라우드 플랫폼과 인프라에서도 마찬가지입니다.

클라우드 방화벽은 클라우드 자산에 대한 사이버 공격을 차단합니다. 이름이 암시하듯이 클라우드 방화벽은 클라우드에 호스팅된 방화벽입니다. 기존 방화벽이 조직 내부 네트워크 주변에 차단벽을 구축하는 것처럼, 클라우드 기반 방화벽도 클라우드 플랫폼, 인프라, 애플리케이션 주변에 가상 차단벽을 구축합니다. 클라우드 방화벽을 배치하는 것은 은행의 현지 보안 카메라와 경비원을 글로벌 상시 보안 센터로 교체하는 것과 같습니다. 글로벌 상시 보안 센터는 중앙에 직원이 있어, 은행 자산이 보관된 모든 곳에서 제공하는 보안 카메라 영상을 받습니다.

방화벽이란 무엇입니까?

방화벽은 악성 트래픽을 걸러내는 보안 제품입니다. 일반적으로 방화벽은 신뢰할 수 있는 내부 네트워크와 신뢰할 수 없는 네트워크 사이, 즉 프라이빗 네트워크와 인터넷 사이에서 작동합니다. 초기 방화벽은 물리적인 장치로서 조직의 온프레미스 인프라에 연결되어 있었습니다. 방화벽은 내부 규칙 집합에 따라 네트워크 트래픽을 차단하고 허용합니다. 일부 방화벽의 경우 관리자가 이러한 규칙을 사용자 지정할 수 있습니다.

기존의 방화벽

하지만 클라우드 컴퓨팅의 인기가 높아지면서 신뢰할 수 있는 네트워크와 대형 인터넷 사이의 구분이 사라졌습니다. 따라서 신뢰할 수 있는 클라우드 자산과 신뢰할 수 없는 인터넷 트래픽 사이에 가상 차단벽을 구축하는 클라우드 방화벽이 필요합니다.

FWaaS(Firewall-as-a-Service)란 무엇입니까?

FWaaS(Firewall-as-a-Service)는 클라우드 방화벽을 지칭하는 또 다른 용어입니다. FWaaS는 Software-as-a-Service나 Platform-as-a-Service 같은 다른 "as-a-Service" 유형처럼 클라우드에서 작동하고 인터넷을 통해 액세스되며, 제3자 업체가 이들을 서비스로 제공하여 업데이트하고 유지합니다.

클라우드 방화벽과 NGFW(Next-Generation Firewall)는 어떻게 다릅니까?

NGFW(Next-Generation Firewall)는 다음과 같이 이전 방화벽 제품에서는 사용할 수 없던 새로운 기술을 포함한 방화벽입니다.

  • IPS(Intrusion Prevention System): 사이버 공격을 감지하고 차단하는 침입 방지 시스템입니다.
  • DPI(Deep Packet Inspection): NGFW는 헤더뿐만 아니라 데이터 패킷 헤더와 페이로드를 모두 검사합니다. 따라서 맬웨어와 기타 악성 데이터 탐지에 도움이 됩니다.
  • 애플리케이션 제어: NGFW는 애플리케이션별로 액세스할 수 있는 것을 제어하거나 애플리케이션을 완전히 차단할 수 있습니다.

NGFW는 기타 첨단 역량도 갖출 수 있습니다.

"NGFW"는 널리 적용되는 용어지만 반드시 클라우드에서 작동하는 것은 아닙니다. 클라우드 기반 방화벽에 NGFW 역량이 있을 수 있지만 온프레미스 방화벽도 NGFW가 될 수 있습니다.

네트워크 경계란 무엇입니까? 클라우드 컴퓨팅이 네트워크 경계에 어떻게 영향을 줍니까?

네트워크 경계는 조직이 관리하는 내부 네트워크와 일반적으로 ISP(Internet Service Provider)인 외부업체가 제공하는 네트워크 액세스 사이의 경계입니다. 다시 말해, 네트워크 경계는 조직이 통제력을 가진 가장자리입니다. 네트워크는 물리적으로도 차단할 수 있습니다. 즉, 회사 직원은 사무실에서 회사가 관리하는 장치를 사용해야만 기업 네트워크에 연결할 수 있습니다. 방화벽은 원래 이러한 유형의 네트워크 경계를 관리하고 악성 트래픽을 차단하도록 제작됐습니다.

클라우드 컴퓨팅에서는 네트워크 경계가 사실상 사라집니다. 사용자는 통제되지 않는 인터넷을 통해 서비스에 액세스합니다. 사용자의 물리적인 위치는 중요하지 않으며, 사용자가 사용하는 장치도 이제는 중요하지 않은 경우가 있습니다. 기업 리소스에 보안 레이어를 설치하기 어렵습니다. 보안 레이어를 설치할 곳을 결정하기가 거의 불가능하기 때문입니다. 일부 기업은 기존 방화벽, VPN, 액세스 제어, IPS 제품을 비롯한 다양한 보안 제품을 결합하지만 이로 인해 IT는 더욱 복잡해지고 관리가 어려워집니다.

클라우드 기반 방화벽은 어떻게 SASE 프레임워크에 통합됩니까?

SASE(Secure Access Service Edge)는 클라우드 기반 네트워킹 아키텍처로서 소프트웨어 정의 WAN 같은 네트워킹 기능을 FWaaS를 비롯한 다양한 보안 서비스와 결합합니다. 온프레미스 방화벽이 온프레미스 데이터 센터의 경계를 보호해야 하는 기존 네트워킹 모델과 달리 SASE는 네트워크 에지에서 포괄적인 보안 및 액세스 제어를 제공합니다.

SASE 네트워킹 모델 내에서 클라우드 기반 방화벽은 다른 보안 제품과 연계하여 공격, 데이터 침해, 기타 사이버 위협으로부터 네트워크 경계를 보호합니다. 여러 제3자 벤더를 사용하여 각 서비스를 배포하고 유지하는 대신, 단일 벤더를 이용하여 FWaaS, CASB(Cloud Access Security Broker), SWG(Security Web Gateway), ZTNA(Zero Trust Network Access)를 SD-WAN 역량과 결합할 수 있습니다.

Cloudflare WAF(Web Application Firewall)는 어떤 역할을 합니까?

Cloudflare WAF(Web Application Firewall)를 통해 클라우드 경계를 취약성 악용으로부터 보호하고, DDoS 공격을 차단하며, IT 관리자는 맞춤형 방화벽 규칙을 작성할 수 있습니다. 기업은 하이브리드 클라우드, 멀티클라우드, 퍼블릭 클라우드 등 모든 유형의 클라우드 환경 앞에 Cloudflare WAF를 배포할 수 있습니다.