무엇을 찾고 있습니까?
키사이트의 인라인 암호 해독
대부분의 트래픽이 암호화되고 그 경로에 임시 키를 사용하는 것이 지배적인 기술이 되면서 조직들은 TLS(Transport Layer Security) 1.3의 이점을 유지하면서 동시에 네트워크와 사용자를 보호하기 위해 트래픽에서 위협과 맬웨어를 검사할 수 있는 방법을 찾게 되었습니다.
조직에서 SecureStack 기능 세트에 추가된 키사이트의 인라인 암호 해독 기능을 사용하면 가시성 플랫폼을 통해 임시 키 암호화를 사용하는 내부 트래픽을 확인할 수 있습니다. 키사이트의 인라인 암호 해독 기능은 아웃바운드 트래픽과 인바운드 트래픽 모두에 사용할 수 있으며 NetStack, PacketStack 및 AppStack 기능과 동시에 사용할 수 있습니다. 인라인 암호 해독 기능은 고성능 무손실 가시성을 제공하는 턴키 네트워크 패킷 중계기들인 Vision ONE™ 및 Vision X와 호환되는 별도의 고성능 어플리케이션 모듈을 통해 사용할 수 있습니다. 전용 암호화 프로세서를 사용하는 인라인 암호 해독 기능은 가시성 솔루션과 통합된 최고의 스루풋을 제공합니다. 또한 정책 관리, URL(Uniform Resource Locator) 분류, 모든 주요 암호에 대한 지원 및 보고 기능도 내장하고 있습니다.
보안 딜레마
조직들은 전체 조직 및 개별 사용자 보호(특히, 신용카드 번호, 주민등록번호 등의 민감한 정보 보호)를 위해 인터넷을 통한 데이터 전송을 암호화합니다. 2017년 기준으로 Firefox와 Google의 브라우저를 통해 방문한 사이트의 75% 이상이 트래픽을 암호화하는 것으로 나타났습니다. 암호화는 신원 도용, 보안 침해 및 데이터 유출을 방지하는 데 도움이 됩니다. 하지만 트로이 목마와 마찬가지로 암호화가 맬웨어 및 기타 위협이 네트워크에 침투하는 방법이 될 수도 있습니다. Gartner는 2020년까지 60%가 넘는 조직에서 하이퍼텍스트 전송 프로토콜 보안(HTTPS)을 효율적으로 해독하지 못해서 "웹 맬웨어 표적을 대부분 놓칠 것"이라고 전망합니다. 게다가 해커들이 점점 더 영리해지고 일부 형태의 암호화는 더 취약해지고 있습니다.
이 딜레마에 대한 해결책은 이중 보안입니다.
- 공격하기 어려운 암호화 기술 사용
- 조직의 보안 및 모니터링 정책의 일환으로 암호화된 모든 트래픽에 가해지는 위협 검사
임시 키를 활용 이유
일반적으로 "SSL"이라고 부르는 SSL(Secure Sockets Layer)과 TLS(Transport Layer Security)는 모두 컴퓨터 네트워크를 통한 통신을 보호하기 위해 데이터를 스크램블하거나 "인코딩"하는 기술입니다. 오른쪽 그림과 같이, 이 기술은 기본적으로 공개 키(서버에서 제공)를 통해 코딩되고 인터넷을 통해 전송되는 정보를 교환하는 방식으로 작동합니다. 수신측(서버)에서 방정식의 나머지 절반인 개인 키를 보유하므로 데이터를 디코딩할 수 있습니다.
지금까지 정적 키를 사용하는 Rivest-Shamir-Adleman(RSA)이 지배적인 암호화 기술이었습니다. 즉, 서버가 통신용으로 지정된 키를 갖고 있는 방식입니다. 현재는 어떤 방식으로든 서버의 키가 손상되면 서버의 모든 통신이 노출됩니다. 이러한 문제를 해결하기 위해 많은 조직과 규제 기관에서 교환되는 각 통신에 대해 새로운 키가 생성되는 가장 일반적인 타원 곡선 디피-헬만(ECDHE) 임시 키 암호화 기술 사용을 의무화하는 방향으로 전환하고 있습니다.
완전 순방향 비밀성(Perfect Forward Secrecy, PFS) 및 TLS 1.3
정적 키가 물리적 키와 같다고 생각해 보겠습니다. 키를 도난당하거나 누군가 복사한 경우, 키를 가진 사람은 잠겨 있는 모든 통신에 액세스할 수 있습니다. 이와 대조적으로, 임시 키는 모바일 앱에서 특정 교환 용도로 생성한 번호입니다. 번호를 도난당한 경우, 해당 교환의 잠금을 해제하는 용도로만 사용할 수 있습니다. 모든 다른 교환은 계속 보호됩니다. 이 완전 순방향 비밀성은 임시 키를 강력하게 해주는 특성입니다.
Google, Facebook, Mozilla 등을 포함한 테크놀로지 업계 정상급 기업들이 사용자에게 더 강력한 보안을 제공하기 위해 암호화에 임시 키를 사용하는 방향으로 전환한다고 발표하고 있습니다. IETF(Internet Engineering Task Force)의 최신 TLS 프로토콜 표준인 TLS 1.3은 임시 키 교환을 장려합니다.
키사이트의 인라인 암호 해독
오프로드 TLS 암호 해독
네트워크 트래픽을 한 번 해독하고 여러 번 검사하여 보안 및 모니터링 인프라를 확장합니다. TLS 암호 해독은 도구 용량의 60-80%까지 점유할 수 있고, 이는 암호 해독에 소요되는 시간이 더 중요한 트래픽 검사 시간에 비해 많다는 것을 의미합니다. 게다가 몇몇 도구는 TLS 트래픽을 해독할 수조차 없습니다.
TLS 암호 해독을 오프로드하면 다음과 같은 장점이 있습니다.
- 보안 및 모니터링 도구 투자에 대한 ROI 개선
- 보안 및 모니터링 도구 성능 향상
- 보안 및 모니터링 인프라 확장
- 임시 키로 암호화된 트래픽을 비롯하여 암호화된 트래픽에 대한 완벽한 가시성
인라인 및 대역 외(OOB)
인라인 암호 해독은 인라인 및 대역 외 도구 배포에 사용할 수 있습니다.
- 인라인: 네트워크로 수신되거나 네트워크에서 송신되는 트래픽을 도중에 검사할 수 있습니다. 인라인 암호 해독을 사용하면 네트워크 패킷 중계기로 들어오는 데이터가 암호 해독된 다음 보안 및 모니터링 도구로 전송됩니다. 검사 후 도구가 데이터를 네트워크 패킷 중계기로 다시 전송하고, 이 중계기에서 인라인 암호 해독 기능을 사용하여 데이터를 다시 암호화합니다. 기본적으로 동일한 암호가 사용되지만 필요한 모든 정책을 적용할 수 있습니다. 그런 다음 데이터가 다시 네트워크로 라우팅됩니다. 여기서 최적의 보안을 위해 active-active 복원 아키텍처에 바이패스 스위치를 사용합니다. 임시 키를 사용하여 데이터를 다시 암호화하면 네트워크 보안과 검사, 두 가지 모두 가능합니다!
- 대역 외: 트래픽은 네트워크 패킷 중계기로 전송되어 암호 해독 및 복사된 후 대역 외 보안 및 모니터링 도구로 전송됩니다. 이러한 도구는 암호 해독된 트래픽을 사용하여 경고를 생성합니다.
- 동시 배포: 키사이트의 Vision ONE과 Vision X를 채용하면 인라인 모드와 대역 외 모드를 동시에 사용할 수 있습니다. 따라서 각 모드에 적합한 보안 및 모니터링 도구를 동일한 배포 환경에서 사용할 수 있습니다.
무제한 가시성
유연성과 무제한 가시성을 위한 키사이트의 NetStack, PacketStack 및 AppStack 기능과 함께 인라인 암호 해독 기능을 사용합니다.
키사이트와 함께 하면 대역 외 보안 도구로 전송하기 전에 트래픽을 해독하고, 패킷을 트리밍하고, 헤더를 제거하는 등의 작업을 수행할 수 있습니다. 이를 통해 도구 효율이 증가하고 작동 수명이 연장됩니다. Data Masking Plus 사용 여부와 관계없이 개인 식별 정보(PII)를 보호하기 위해 특정 어플리케이션을 이러한 도구로 전송하거나 제외시키는 데 어플리케이션 ID를 사용할 수 있습니다. 대역 외 도구로 전달할 트래픽을 선택하는 데 지리적 위치, 브라우저 유형 및 어플리케이션 유형, 그리고 사용자 지정 앱까지도 활용할 수 있습니다.
인라인 배포의 경우, 인라인 암호 해독 기능이 완전히 투명하므로 클라이언트에서 수동 프록시 구성이 필요하지 않습니다. 내장된 부하 분산 기능과 결함이 있는 인라인 디바이스의 작동성 감지 기능을 사용하면 서비스 체인을 유지하고 TLS 암호 해독 및 풍부한 Netflow 생성과 같은 작업을 오프로드하면서 Vision ONE 또는 Vision X을 통해 고성능, 복원력이 뛰어난 보안 배포를 유지 관리할 수 있습니다.
동시에 많은 기능을 사용함으로써 도구들을 효율적으로 작동하면서 동시에 최적화된 보안 정책 시행을 보장할 수 있습니다. 보안 및 모니터링 도구 수명 연장 키사이트의 바이패스 스위치와 ThreatARMOR를 추가하면 최상의 신뢰성과 효율성으로 최적의 모범 사례 보안 배포를 실현할 수 있습니다.
간편한 관리
인라인 암호 해독 기능을 사용하면 Vision ONE 또는 Vision X 네트워크 패킷 중계기 설정 및 배포의 일환으로 구성 및 관리 작업을 간편하게 수행할 수 있습니다.
Vision ONE과 Vision X에는 최대 수준의 보안과 복수의 동시 컨텍스트 지원에 사용될 유연성 높은 정책 구성이 포함되어 있습니다.
간단한 라이센스 수정만으로 더 높은 스루풋으로 쉽게 업그레이드할 수 있습니다. 액티브 Vision ONE은 1G, 2G, 4G 또는 10G 라이센스로 제공됩니다. 라이센스 간 이동에 구성 변경이 요구되는 추가적인 하드웨어 또는 대규모 업그레이드는 필요하지 않습니다. Vision X는 최대 25G에서 CPU당 하나의 라이센스를 제공합니다.
실시간 통찰력
키사이트의 인라인 암호 해독 기능에는 스루풋, 세션 및 암호화 데이터에 대한 세부 정보를 포함하는 실시간 화면 분석 기능이 함께 제공됩니다. 마우스오버 및 드릴다운 기능을 통해 모든 데이터를 추적할 수 있습니다. 인라인 암호 해독 기능에는 오류 및 예외 로깅과 내역 데이터에 액세스 기능도 포함됩니다.
주요 암호 지원
인라인 암호 해독 기능은 이미 TLS 1.3에 표시된 많은 주요 암호를 지원하고 있고, 그 외 암호들도 지속적으로 추가되고 있습니다.
| 지원되는 암호 | KX | AU | ENC | MAC | |
|---|---|---|---|---|---|
| TLS13-AES-256-GCM-SHA384 | TLSv1.3 | - | - | AES-128-GCM | AEAD |
| TLS13-CHACHA20-POLY1305-SHA256 | TLSv1.3 | - | - | AES-128-GCM | AEAD |
| TLS13-AES-128-GCM-SHA256 | TLSv1.3 | - | - | CHACHA20-POLY1305 | AEAD |
| TLS13-AES-128-CCM-8-SHA256 | TLSv1.3 | - | - | AES-128-CCM | AEAD |
| TLS13-AES-128-CCM-SHA256 | TLSv1.3 | - | - | AES-128-CCM-8 | AEAD |
| ECDHE-RSA-AES128-GCM-SHA256 | TLSv1.2 | ECDH | RSA | AESGCM(128) | AEAD |
| ECDHE-ECDSA-AES128-SHA | SSLv3 | ECDH | ECDSA | AES(128) | SHA1 |
| ECDHE-RSA-AES256-SHA384 | TLSv1.2 | ECDH | RSA | AES(256) | SHA384 |
| ECDHE-ECDSA-AES256-SHA384 | TLSv1.2 | ECDH | ECDSA | AES(256) | SHA384 |
| ECDHE-ECDSA-AES128-GCM-SHA256 | TLSv1.2 | ECDH | ECDSA | AESGCM(128) | AEAD |
| ECDHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | ECDH | RSA | AESGCM(128) | AEAD |
| ECDHE-ECDSA-AES256-GCM-SHA384 | TLSv1.2 | ECDH | ECDSA | AESGCM(128) | AEAD |
| DHE-RSA-AES128-GCM-SHA256 | TLSv1.2 | DH | RSA | AESGCM(128) | AEAD |
| DHE-RSA-AES256-GCM-SHA384 | TLSv1.2 | DH | RSA | AESGCM(128) | AEAD |
| ECDHE-RSA-AES128-SHA256 | TLSv1.2 | ECDH | RSA | AES(128) | SHA256 |
| ECDHE-ECDSA-AES128-SHA256 | TLSv1.2 | ECDH | ECDSA | AES(128) | SHA256 |
| ECDHE-RSA-AES128-SHA | SSLv3 | ECDH | RSA | AES(128) | SHA1 |
| DHE-RSA-AES256-SHA | SSLv3 | DH | RSA | AES(256) | SHA1 |
| ECDHE-RSA-DES-CBC3-SHA | SSLv3 | ECDH | RSA | 3DES(168) | SHA1 |
| ECDHE-ECDSA-DES-CBC3-SHA | SSLv3 | ECDH | ECDSA | 3DES(168) | SHA1 |
| AES128-GCM-SHA256 | TLSv1.2 | RSA | RSA | AESGCM(128) | AEAD |
| AES256-GCM-SHA384 | TLSv1.2 | RSA | RSA | AESGCM(256) | AEAD |
| AES128-SHA256 | TLSv1.2 | RSA | RSA | AESGCM(128) | SHA256 |
| AES256-SHA256 | TLSv1.2 | RSA | RSA | AES(256) | SHA256 |
| AES128-SHA | SSLv3 | RSA | RSA | AES(128) | SHA1 |
| AES256-SHA | SSLv3 | RSA | RSA | AES(256) | SHA1 |
| ECDHE-RSA-AES256-SHA | SSLv3 | ECDH | RSA | AES(256) | SHA1 |
| ECDHE-ECDSA-AES256-SHA | SSLv3 | ECDH | ECDSA | AES(256) | SHA1 |
| DHE-RSA-AES128-SHA256 | TLSv1.2 | DH | RSA | AES(128) | SHA256 |
| DHE-RSA-AES128-SHA | SSLv3 | DH | RSA | AES(128) | SHA1 |
| DHE-RSA-AES256-SHA256 | TLSv1.2 | DH | RSA | AES(256) | SHA256 |
| ECDHE-ECDSA-CHACHA20-POLY1305 | TLSv1.2 | ECDH | ECDSA | CHACHA20/POLY1305(256) | AEAD |
| ECDHE-RSA-CHACHA20-POLY1305 | TLSv1.2 | ECDH | RSA | CHACHA20/POLY1305(256) | AEAD |
| DHE-RSA-CHACHA20-POLY1305 | TLSv1.2 | DH | RSA | CHACHA20/POLY1305(256) | AEAD |
| CAMELLIA128-SHA256 | TLSv1.2 | RSA | RSA | CAMELLIA(128) | SHA256 |
| CAMELLIA256-SHA256 | TLSv1.2 | RSA | RSA | CAMELLIA(256) | SHA256 |
| DHE-RSA-CAMELLIA128-SHA256 | TLSv1.2 | DH | RSA | CAMELLIA(128) | SHA256 |
| DHE-RSA-CAMELLIA256-SHA256 | TLSv1.2 | DH | RSA | CAMELLIA(256) | SHA256 |
-
"임시 키를 구현하는 TLS 1.3 표준을 채용하면 암호화된 트래픽의 암호 해독 및 검사가 더욱 복잡해지고 리소스 집약적인 작업임을 알게 될 것입니다. 인라인 암호 해독과 같은 솔루션을 통해 조직에서 네트워크뿐만 아니라 모니터링 도구와 보안 디바이스 중단은 줄이면서 현재 네트워크 트래픽에 대한 가시성을 높일 수 있습니다."
DAN CONDE, ANALYST, ESG
인라인 암호 해독을 사용한 인라인 보안
인라인 암호 해독 기능은 인라인 배포 용도의 키사이트 페일세이프 보안 아키텍처에 완벽하게 통합됩니다. 키사이트의 위협 인텔리전스 게이트웨이인 ThreatARMOR™와 결합된 인라인 암호 해독 기능은 지속적인 트래픽 검사와 거의 실시간에 가까운 복구를 보장하는 active-active 고가용성 구성을 통해 불량 인터넷 프로토콜(IP)을 차단하고, 암호화된 트래픽을 처리하며, 네트워크를 보호할 수 있는 더욱 강력한 인라인 아키텍처를 구축합니다.
관련 자료
다른 도움이 필요하십니까?