믿고 쓰는 Azure 방화벽 ~ 드디어 위협 인털리전스 기반 탐지 기능 장착!

클라우드 서비스가 제공하는 방화벽이 기능이 뭐 얼마나 되겠어? 처음에는 그랬지만 요즘 신기능 장착 속도를 보면 머지않아 기본 방화벽 기능만 잘 써도 모자람이 없어질 날이 올 듯합니다.

​

마이크로소프트가 최근 애저 방화벽(Azure Firewall)에 신기능을 2개나 추가했습니다.

​

신기능 1) 위협 인텔리전스 기반 필터링

신기능 2) 서비스 태그 필터링

​

위협 인텔리전스, 보안에 관심 있는 분은 다 아는 키워드죠. 위협 인텔리전스란 간단히 말해 공격자들이 동원하는 TTPs(기술, 도구, 절차)를 꾸준히 추적 조사하며 쌓은 지식 기반입니다. 최근 사이버 위협은 세계 각국의 정부가 배후에 있는 공격 그룹이 이끄는 경우가 많죠. 여기에 돈을 목적으로 활동하는 전문가 그룹도 적지 않습니다. 이들이 어떤 일들을 벌이고 다니는지 눈을 떼지 않고, 그들의 행적을 되짚어가며, 주로 사용하는 기법과 수법 그리고 위협 인자로 보이는 도메인, IP 주소에 대한 정보를 파악해 만든 것이 위협 인텔리전스라고 보면 됩니다.

​

위협 인텔리전스 부문의 선두 주자는 파이어아이로 알려져 있죠. 요즘에는 모든 보안 솔루션 업체들이 위협 인텔리전스를 매우 강조합니다. 우리도 위협 인텔리전스 기반 탐지와 방어를 한다고 말이죠.

​

이런 측면에서 볼 때 애저 방화벽에 위협 인텔리전스 기반 필터링 기능이 추가된 것은 대환영입니다. 프리뷰 단계이긴 하지만 위협 인텔리전스가 있을 때와 없을 때의 차이는 매우 크니, 일단 쓰고 봐야 할 것 같습니다. 마이크로소프트는 윈도우, 오피스 그리고 다양한 서버 제품군을 기업에 공급해 왔죠. 제품을 개발하고, 보안 취약점을 찾아, 패치를 하고, 정기적으로 업데이트를 하는 작업을 오랜 기간 해왔습니다. 자연스럽게 마이크로소프트는 위협 인텔리전스 역량을 오랜 기간 키워왔는데요, 이 역량을 이번에 애저에 쏟아부은 것입니다.

​

마이크로소프트는 방대한 위협 인텔리전스 정보와 첨단 분석을 바탕으로 하는 인텔리전트 시큐리티 그래프(Intelligent Security Graph) 서비스를 제공합니다. 이의 연장 선상에서 클라우드를 지원하는 것이 바로 애저 방화벽의 위협 인텔리전스 기반 필터링 기능입니다.

​

이 기능을 켜두면 위협 인텔리전스 정보를 바탕으로 공격으로 의심되는 이상 행위가 탐지되었을 때 관리자에게 경보(alert)를 보냅니다.

위협 인텔리전스 필터를 통해 어떻게 탐지와 차단이 이루어지는 간단히 볼까요? 다음 화면은 애저 방화벽이 공격을 받은 VM을 위협 인텔리전스를 통해 가려낸 다음 아웃바운드 연결을 차단한 예입니다.

다음 화면은 포트 스캔 시도를 탐지해 인바운드 연결을 차단하는 것을 보여주는 예입니다.

다음으로 서비스 태그 필터링을 살펴보죠. 이 기능은 애저 사용자들이 많이 요구한 것 중 하나인데요, 현재 사용 중인 애저 서비스의 IP 주소 프리픽스를 관리할 수 있도록 돕습니다. 이를 통해 무엇을 하냐? 애저 방화벽과 연계해 목적지 필드를 제어하는 네트워크 룰을 간편하게 적용할 수 있습니다.

​

한편 애저 방화벽은 REST API를 지원합니다. 따라서 써드파티 보안 정책 관리 도구와 연계도 가능합니다. 바라쿠다, 알고섹 클라우드 플로우, 터핀 등에서 애저 방화벽과 연동을 프리뷰, 베타 형식으로 공개했네요.