목차/04. Software Blade 총람

04Software Blade 총람Software Blade 총람

Software Blade게이트웨이에 얹는 보안 기능 모듈 입니다. 각 블레이드는 트래픽의 특정 측면을 검사하거나 특정 역할을 맡으며, 필요한 것만 켜서 조합합니다. 원문은 블레이드마다 한 절씩 짧게 소개하는데, 이 장에서는 성격별로 묶어 빠짐없이 정리하되 블레이드마다 무엇을 하는지·어디에 적용되는지·무엇이 함께 필요한지를 함께 풀어 둡니다. 블레이드별 상세 설정은 각 전용 관리자 가이드에 있습니다.

여기서 자주 나오는 "게이트웨이"라는 표현은 별도 언급이 없으면 Security Gateway / Cluster Member / Scalable Platform Security Group 을 모두 가리킵니다. 일부 블레이드는 적용 대상에 제한이 있는데, 그런 경우는 본문에서 따로 짚습니다.

토대 — Firewall

Firewall Software Blade모든 것의 뿌리 입니다. 게이트웨이(Security Gateway·Cluster Member·Scalable Platform Security Group)에서 Access Control 정책과 NAT 정책을 집행 하는 주(main) 블레이드로, 이 위에 나머지 블레이드들이 얹혀 동작합니다(보안 정책).

VPN과 원격 접속

조직 바깥과 안을 안전하게 잇는 블레이드들입니다. 암호화 터널을 만드는 엔진(IPsec VPN)부터, 원격 사용자가 붙는 방식(Remote Access VPN·Mobile Access), 원격 클라이언트의 방화벽을 통제하는 보조 블레이드(Policy Server)까지 함께 동작합니다.

IPsec VPN Software Blade게이트웨이와 다른 게이트웨이·클라이언트 사이의 트래픽을 암호화·복호화 합니다. Site-to-Site VPN(거점 간 연결)과 원격 접속 양쪽의 암호화 토대가 됩니다.

함께 쓰이는 Policy Server Software BladeRemote Access Client에 Desktop Security 정책을 집행 합니다. 이 정책은 Remote Access Client에 깔린 Firewall Software Blade가 트래픽을 어떻게 검사할지 를 통제합니다. 자세한 내용은 보안 정책의 Access Control Policy 안 Desktop Rule Base와 R82 Remote Access VPN Administration Guide를 참고하세요.

Remote Access VPN원격 사용자와 내부망 사이에 VPN 터널을 만들 어 줍니다. 직원이 여러 장소·여러 기기에서 민감 정보에 접근할 때 그 접근이 보안 취약점이 되지 않도록 하는 것이 핵심으로, 어디서 접속하든 안전한 통로를 보장합니다(상세: R82 Remote Access VPN Administration Guide).

이 원격 접속 기능을 더 많은 클라이언트와 배포 형태로 넓힌 것Mobile Access Software Blade(Check Point Mobile Remote Access VPN) 입니다. 모바일 기기나 PC에서 인터넷을 통해 회사 애플리케이션에 붙는 안전하고 쉬운 방법으로, 다음 특징이 있습니다.

  • Layer 3 VPN과 SSL VPN을 모두 제공 하는 엔터프라이즈급 원격 접속입니다.
  • 이메일·일정·연락처·회사 애플리케이션에 간단하고 안전하게 연결하면서, 동시에 네트워크와 엔드포인트 컴퓨터를 위협으로부터 보호 합니다.
  • Mobile Access Portal 로 모바일·원격 근무자가 인터넷 너머의 핵심 자원에 쉽고 안전하게 접속합니다.
  • Check Point Mobile Apps관리되지 않는(unmanaged) 스마트폰·태블릿에서도 회사 자원에 암호화 통신 으로 연결합니다.

Access Control 계열 블레이드

Firewall이 깔아 둔 Access Control 정책 위에서 누가·무엇을·어떤 데이터를 다루는지 더 세밀하게 통제하는 블레이드들입니다. 신원, 애플리케이션, URL, 콘텐츠, 데이터 유출, 메일 등을 각자 맡습니다.

Identity Awareness — IP 너머의 신원

전통 방화벽은 트래픽을 IP 주소로만 봅니다. 그 주소 뒤에 어떤 사용자·컴퓨터가 있는지는 알 수 없지요. Identity Awareness Software Blade사용자·컴퓨터 신원을 IP에 매핑 해 이 빈틈을 메웁니다. 덕분에 더 세밀한 Access Control 정책을 만들고 데이터 감사도 개선됩니다.

  • Active Directory 환경이든 아니든 두루 쓸 수 있는 확장성 있는 솔루션으로, 직원과 게스트 사용자를 모두 아우릅니다.
  • 출발지·목적지 IP 주소를 사용자·컴퓨터 식별에 활용 하며, 이를 Access Control 정책 규칙의 매칭 기준으로 씁니다.
  • 정책에 넣을 수 있는 기준은 두 가지입니다 — 사용자 또는 사용자 그룹(User/User Group) 신원, 컴퓨터 또는 컴퓨터 그룹(Computer/Computer Group) 신원.
  • 지정한 사용자가 지정한 컴퓨터 또는 임의의 컴퓨터 에서 보낸 트래픽에 규칙을 적용할 수 있고, 반대로 지정한 컴퓨터의 임의의 사용자 에게 적용하는 규칙도 만들 수 있습니다.
  • 신원은 구성된 신원 소스(identity source) 에서 가져옵니다.

Application Control — 앱을 식별·통제

Application Control Software Blade애플리케이션 트래픽을 탐지하거나 차단 합니다.

  • 세밀한 애플리케이션 통제 — 수천 개 애플리케이션을 식별·허용·차단 해, 인터넷 애플리케이션이 끌어들이는 늘어나는 위협 벡터와 멀웨어로부터 보호합니다.
  • AppWiki 기반 업계 최대 라이브러리4,500개 이상 애플리케이션과 10만 개 이상 Web 2.0 위젯 을 스캔·탐지합니다. Check Point 데이터베이스는 전 세계 앱·위젯으로 자주 갱신 됩니다.

UserCheck 기능을 지원합니다(아래 UserCheck 참고).

URL Filtering — 분류 기반 웹 통제

URL Filtering Software Blade웹사이트·애플리케이션을 그 분류(category)에 따라 접근 통제 합니다. 카테고리별로 허용·차단을 정해, 어떤 부류의 사이트에 갈 수 있는지를 다룹니다. UserCheck 기능을 지원합니다.

Content Awareness — 데이터를 보고 통제

Content Awareness Software Blade 는 통합 Access Control 정책 안에서 데이터 가시성과 집행 을 제공합니다. 즉 오가는 데이터의 종류를 보고 규칙을 거는 블레이드입니다. Access Control 정책에서 다음을 지정합니다.

먼저 데이터의 방향(direction) 을 정합니다.

  • Download Traffic — 조직 안으로 들어오는 트래픽
  • Upload Traffic — 조직 밖으로 나가는 트래픽
  • Any Direction — 방향 무관

다음으로 Data Type(데이터 유형) 을 정합니다.

Data Type분류 방식
Content Types파일 내용을 분석 해 분류PCI(신용카드 번호), 국제 은행 계좌 번호(IBAN)
File Types파일 ID를 분석 해 분류Viewer File(PDF), 실행 파일(Executable), 프레젠테이션 파일

검사할 서비스 도 다음 중에서 고릅니다 — CheckPointExchangeAgent, ftp, http, https, HTTP_proxy, HTTPS_proxy, smtp, Squid_NTLM.

UserCheck 기능을 지원합니다.

Data Loss Prevention — 유출 전에 막기

Data Loss Prevention(DLP) Software Blade보호 대상 데이터가 조직을 떠나기 전에 붙잡아 의도치 않은 데이터 유출을 방지 합니다. 깊은 콘텐츠 검사 와 함께 트랜잭션 파라미터(출발지·목적지·데이터 객체·프로토콜 등)를 분석해 데이터 전송을 식별·모니터링·보호 하며, 이를 중앙 관리 틀에서 다룹니다. 요컨대 기밀 정보의 무단 전송을 탐지·차단 합니다.

UserCheck 기능을 지원합니다.

Anti-Spam & Email Security — 스팸 차단

Anti-Spam & Email Security Software Blade 는 다음 세 가지 근거로 스팸을 집행(차단) 합니다.

  • 콘텐츠 지문(content fingerprint) 기반 — 알려진·새로 떠오르는 배포 패턴 을 분석해 스팸을 식별합니다. 키워드·문구 검색(정상 메일을 스팸으로 오인하기 쉬움) 대신 다른 메시지 특성에 집중 하므로, 높은 탐지율과 낮은 오탐(false positive) 을 함께 얻습니다.
  • IP 평판(IP Reputation) 기반알려진 스패머 를 차단합니다.
  • 사용자 정의 IP·발신자/도메인 기반 — 이름·도메인·IP 주소로 식별되는 발신자 를 차단합니다.

다음을 구성할 수 있습니다.

  • SMTP 트래픽 에 대한 방향성(directional) 스캔
  • POP3 트래픽 에 대한 방향성 스캔
  • 네트워크 예외(Network exceptions)
  • 허용 발신자 목록(List of allowed email senders)

Threat Prevention 계열 블레이드

오늘날의 멀웨어 지형에 맞서, Check Point의 Threat Prevention감염 전·후를 아우르는 다층(multi-layered) 방어 와 통합 플랫폼을 제공해 현대 멀웨어를 탐지·차단합니다. 다음 블레이드들이 함께 Threat Prevention을 이룹니다 — Anti-Bot, Anti-Virus, Threat Extraction, Threat Emulation, IPS, 그리고 R81.20에 도입된 Zero Phishing(상세: R82 Threat Prevention Administration Guide).

Anti-Bot — 감염 후 봇 잡기

Anti-Bot Software Blade여러 탐지 방법을 상관 분석(correlate) 해 감염을 찾아냅니다.

  • 호스트의 봇을 감염 후(post-infection) 탐지 합니다.
  • 봇의 C&C(Command and Control) 통신을 차단 해 봇이 끼칠 피해를 막습니다.
  • 사이버 범죄에 맞서는 협업 네트워크 ThreatCloud로 끊임없이 갱신 됩니다.

UserCheck 기능을 지원합니다.

Anti-Virus — 게이트웨이에서 멀웨어 차단

Anti-Virus Software Blade여러 탐지 엔진의 정보를 상관 분석 해 게이트웨이(Security Gateway·Cluster Member·Scalable Platform Security Group)에서 멀웨어를 탐지·차단 합니다. 역시 ThreatCloud로 끊임없이 갱신 됩니다. UserCheck 기능을 지원합니다.

Threat Extraction — 위험 요소를 도려낸 안전한 사본

SandBlast 제품군의 일부인 Threat Extraction Software Blade들어오는 악성 콘텐츠를 막 습니다.

  • 악용 가능한 콘텐츠(active content·임베디드 객체 포함)를 제거 하고 파일을 재구성해 잠재 위협을 없앤 뒤, 정제된(sanitized) 콘텐츠를 사용자에게 즉시 전달 해 업무 흐름을 끊지 않습니다.
  • 위협을 제거하기 위해 파일의 안전한 사본을 만들 고, 그러는 동안 원본 파일은 잠재 위협이 있는지 검사합니다.

UserCheck 기능을 지원합니다.

Threat Emulation — 샌드박스에서 실행해 보기

역시 SandBlast 제품군의 일부인 Threat Emulation Software Blade 는 파일을 빠르게 검사하고 가상 샌드박스(virtual sandbox)에서 실제로 실행 해 악성 행위를 찾아냅니다.

  • 발견된 멀웨어는 네트워크에 들어오지 못하도록 차단합니다.
  • 에뮬레이션 서비스는 새로 식별한 위협 정보를 보고하고 다른 고객들과 자동으로 공유 합니다.

UserCheck 기능을 지원합니다.

IPS — 침입 방지의 또 한 겹

IPS Software Blade완전하고 선제적인 침입 방지 를 제공합니다.

  • 수천 개의 시그니처(signature), 행위(behavioral)·선제(preemptive) 보호 를 제공합니다.
  • Check Point 방화벽 기술 위에 또 한 겹의 보안층 을 더합니다.
  • 클라이언트와 서버를 모두 보호 하고, 특정 애플리케이션의 네트워크 사용을 통제할 수 있습니다.

하이브리드 탐지 엔진 은 다음을 제공합니다.

  • 여러 겹의 방어층 — 알려진 위협, 나아가 많은 경우 미래의 공격까지도 탁월하게 탐지·방지합니다.
  • 유례없는 배포·구성 유연성과 뛰어난 성능.

Zero Phishing — 실시간 피싱 차단

Zero Phishing Software Blade 는 R81.20에 도입된 새 기술이자 Threat Prevention 보호입니다. 업계 선도 머신러닝 알고리즘 과 특허 검사 기술로 웹사이트의 알려지지 않은 zero-day 및 알려진 피싱 공격을 실시간 차단 합니다. 대부분의 사이버 공격이 피싱에서 시작되는 만큼, 점점 정교해지는 이 위협을 막는 데 핵심적입니다.

  • 게이트웨이에서 웹 트래픽을 스캔해 Check Point Cloud로 보내 분석 하므로, 알려진 것은 물론 완전히 새로운(zero-day) 피싱 사이트 접근까지 막습니다.
  • 보호가 네트워크 게이트웨이에서 시작 되므로 브라우저·플랫폼에 구애받지 않고 이메일 보안 솔루션에도 의존하지 않습니다. 보통 엔드포인트·이메일 솔루션이 맡던 보호를 게이트웨이가 제공하니, 어떤 기기에도 클라이언트를 설치·유지할 필요가 없 습니다.
  • 켤 때는 FQDN(Fully Qualified Domain Name)을 설정 해야 합니다. FQDN은 게이트웨이 IP로 해석되어 스크립트–게이트웨이 상호작용 채널 을 만듭니다. 활성화하면 클라이언트 트래픽 흐름에 전용 스크립트가 매끄럽게 삽입 되어 악성 피싱 페이지로부터 보호합니다.

두 가지 주 엔진을 씁니다.

  1. URL 기반 실시간 피싱 방지 — URL의 여러 특징(브랜드 유사성, 비(非)ASCII 문자, 등록 시점 등)을 실시간 분석합니다. URL 정보를 URL 평판 클라우드 서비스 로 보내 분석하고, 머신러닝으로 위험도를 계산해 피싱으로 분류되면 차단합니다.
  2. In-browser Zero Phishing — 게이트웨이가 특허 JavaScript 주입 으로 브라우저에 로드되는 HTML 폼(동적 폼 포함)을 검사합니다. 사용자가 입력 필드를 클릭하면 모든 HTML 구성요소를 실시간 스캔해 Check Point Zero Phishing 클라우드의 AI 분석 으로 보내고, 위험도를 계산해 피싱 사이트를 차단합니다.

UserCheck 기능을 지원합니다.

가용성·대역폭 블레이드

트래픽을 직접 검사하기보다 게이트웨이의 가용성과 트래픽 흐름 을 다루는 블레이드들입니다.

ClusterXL — 이중화와 Load Sharing

ClusterXL Software Blade 는 게이트웨이 이중화(redundancy)와 Load Sharing 을 위한 Check Point의 소프트웨어 기반 클러스터 솔루션입니다. ClusterXL Security Cluster는 동일한 Check Point Security Gateway들 로 구성됩니다.

  • High Availability Security Cluster — 한 멤버에 장애가 나면 백업 게이트웨이로 투명하게(transparent) 페일오버 해 게이트웨이와 VPN 연결의 이중화를 보장합니다.
  • Load Sharing Security Cluster모든 멤버가 활성(active) 이므로 신뢰성을 높이는 동시에 성능도 향상 시킵니다.
p.57
p.57

위 그림의 구성요소는 다음과 같습니다 — (1) 내부 네트워크, (2) 내부 네트워크용 스위치, (3) ClusterXL Software Blade를 얹은 Security Gateway들, (4) 외부 네트워크용 스위치, (5) 인터넷.

QoS — 대역폭 관리

QoS Software Blade정책 기반 대역폭 관리 솔루션으로 다음을 할 수 있습니다.

  • ERP·데이터베이스·웹 서비스 같은 업무 핵심 트래픽 을 낮은 우선순위 트래픽보다 우선 처리 합니다.
  • VoIP(Voice over IP)·화상회의 같은 스트리밍 애플리케이션 의 대역폭을 보장하고 지연(latency)을 제어합니다.
  • 지정한 직원에게 보장된 또는 우선적인 접근 을 줍니다 — 원격으로 네트워크 자원에 접근할 때도 마찬가지입니다.

QoS는 Security Gateway와 함께 배포 하며, 암호화·비암호화 트래픽 모두 에 대해 동작합니다.

p.58
p.58

위 그림의 구성요소는 다음과 같습니다 — (1) SmartConsole, (2) Security Management Server, (3) QoS Policy, (4) QoS Software Blade를 얹은 Security Gateway, (5) 인터넷, (6) 내부 네트워크.

QoS는 업계 가장 앞선 트래픽 검사·대역폭 제어 기술을 활용합니다. Check Point의 특허 Stateful Inspection 기술이 모든 네트워크 트래픽의 상세 상태 정보를 포착·동적 갱신하고, 이 정보로 트래픽을 서비스·애플리케이션별로 분류한 뒤, 계층적 WFQ(Weighted Fair Queuing) 알고리즘 으로 대역폭 할당을 정밀하게 제어합니다.

검사 보조 — ICAP·HTTPS Inspection·Proxy

블레이드 자체라기보다, 다른 블레이드들이 트래픽(특히 HTTP/HTTPS)을 제대로 검사하도록 돕거나 외부 검사 장비와 연동 하는 기능들입니다.

ICAP — 외부 콘텐츠 검사 장비와 연동

ICAP(Internet Content Adaptation Protocol) 은 투명 프록시 서버를 확장하는 데 쓰는 가볍고 HTTP를 닮은(요청·응답) 프로토콜 입니다. 자원을 아끼고 새 기능 구현 방식을 표준화해 주며, 보통 투명 HTTP 프록시 캐시에서 바이러스 스캔·콘텐츠 필터 를 구현하는 데 씁니다.

ICAP은 ICAP Client가 HTTP/HTTPS 메시지를 ICAP Server에 넘겨 콘텐츠 적응(content adaptation)을 받게 합니다. ICAP Server는 그 메시지에 변환 서비스를 실행하고, 보통 수정된 HTTP/HTTPS 메시지 를 응답으로 돌려줍니다. 적응되는 메시지는 HTTP/HTTPS 요청일 수도, 응답일 수도 있습니다.

Check Point Security Gateway / ClusterXL은 다음 역할로 구성할 수 있습니다.

  • ICAP Client — HTTP/HTTPS 메시지를 ICAP Server로 보내 콘텐츠 적응을 받습니다.
  • ICAP Server — ICAP Client에게서 받은 메시지에 콘텐츠 적응을 직접 수행 합니다.
  • 둘을 동시에 — ICAP Client이면서 ICAP Server.

Check Point Scalable Platform Security Group은 ICAP Client 로만 구성할 수 있습니다.

ICAP으로 구성한 Check Point 게이트웨이(Security Gateway·ClusterXL·Scalable Platform Security Group)는 네트워크 토폴로지를 바꾸지 않고 서드파티 ICAP 장비와 함께 동작할 수 있습니다.

HTTPS Inspection — 암호화 트래픽을 열어 검사

게이트웨이는 HTTPS 트래픽이 암호화되어 있어 그대로는 검사할 수 없 습니다. HTTPS Inspection 기능을 켜면 게이트웨이가 외부 사이트·서버와 새 SSL 연결을 맺 어, 그 새 연결을 쓰는 HTTPS 트래픽을 복호화해 검사 할 수 있게 됩니다.

이 기능으로 HTTP/HTTPS 트래픽을 검사하는 블레이드는 다음과 같습니다 — Anti-Bot, Anti-Virus, Application Control, Content Awareness(Data Awareness), Data Loss Prevention, IPS, Threat Emulation, URL Filtering.

HTTP/HTTPS Proxy — 게이트웨이를 프록시로

게이트웨이(Security Gateway·ClusterXL·Scalable Platform Security Group)를 네트워크의 HTTP/HTTPS Proxy 로 구성할 수 있습니다. 이렇게 하면 게이트웨이가 서로 통신하는 호스트들 사이의 중개자(intermediary) 가 되어 직접 연결을 허용하지 않 습니다. 성공한 연결마다 두 개의 별개 연결 이 만들어집니다.

  1. 조직 안의 클라이언트와 프록시(게이트웨이) 사이의 연결
  2. 프록시(게이트웨이)와 실제 목적지 사이의 연결

지원하는 프록시 모드는 두 가지입니다.

모드설명
Transparent지정한 포트·인터페이스의 모든 HTTP 트래픽 을 게이트웨이의 프록시 코드가 가로채 처리합니다. 클라이언트 쪽 설정이 필요 없 습니다.
Non Transparent지정한 포트·인터페이스의 모든 HTTP/HTTPS 트래픽 을 가로채 처리합니다. 클라이언트 기기에 프록시 서버·포트 설정이 필요 합니다.

UserCheck — 사용자에게 직접 알리기

UserCheck 를 켜면, 관리자가 보안 정책에 설정한 규칙에 따라 규정에 어긋나는 행위나 위험한 인터넷 브라우징에 대해 게이트웨이가 사용자에게 직접 메시지를 보냅 니다. 사용자가 스스로 보안 사고를 막고 조직의 보안 정책을 익히 도록 돕는 것이 목적입니다. 메시지를 전달하는 방법은 두 가지입니다.

  1. 게이트웨이의 UserCheck Web Portal로 리디렉션 — 사용자에게 새 브라우저 탭·창에서 열리는 포털에 해당 메시지가 뜨고, 거기서 필요한 조치를 합니다.
  2. 단말에 UserCheck Client 설치 — 사용자가 자기 컴퓨터에서 해당 메시지를 보고 조치합니다.

다음 블레이드들이 UserCheck 기능을 지원합니다.

  • Data Loss Prevention
  • Access ControlApplication Control, URL Filtering, Content Awareness
  • Threat PreventionAnti-Bot, Anti-Virus, Threat Emulation, Threat Extraction, Zero Phishing