it-swarm-korea.com

방화벽 또는 방화벽으로?

최근 서버 앞에 방화벽을 설치하는 장단점에 대해 토론 (관대하게)되었습니다. 단점은 주로 DDoS의 경우 실패 지점이라는 것입니다. Microsoft는 독립 실행 형 방화벽을 제거하고 PKI 및 IPsec에 대한 보안을 기반으로하는 것에 대해 이야기하고 있습니다. 즉, 적절한 인증서가 없으면 서버와 대화 할 수 없습니다 (이 소스는 제가 참석 한 대화였습니다) ).

So : 웹 서버, 메일 서버 및 데이터베이스 서버 웹 서버 백업, 현재 방화벽/네트워크 디자인의 모범 사례는 무엇입니까? 가장 잘 알고 있습니다. 배포는 간단하지 않지만이 예제는 토론의 기반이되기에 충분하다고 생각합니다.

나는 또한 전통적이고 이론적 인 모범 사례는 가능한 한 많은 방어 계층을 추가하는 것임을 알고 있습니다. 그러나 이것이 최대한의 가용성을 가져 오는 디자인입니까?

(서버가 적절하게 강화되고 실행 중이 아니어야하는 서비스가 노출되지 않고 스위치가 보안 방정식에 아무것도 추가하지 않으며 관리가 대역 외 또는 클라우드 부분에서 있다고 가정합니다. 어느 쪽이든 자신의 합병증을 추가하기 때문에 어느 쪽이든 선호합니다 ...)

시나리오 # 1, 단순 라우팅

명확하고 라우팅 된 비 방화벽 디자인. Edge 라우터는 속도를 제한하는 ACL을 적용 할 수 있습니다. DB 서버가 인터넷에서 라우팅 할 수없는 개인 주소에있을 수 있습니다. 호스트는 각각 Windows 내장 또는 iptables 등과 같은 방화벽을 실행하고 있습니다. 호스트를 실행하는 관리자 는 다음을 고려해야합니다 . 적대적 주변 환경.

Routed design

시나리오 # 2, 기존 방화벽

라우터는 단순히 패킷을 전달하는 것 이상의 기능을 제공하거나 제공하지 않을 수 있습니다. 방화벽은 완전한 정책 및 세분화를 구현합니다. 호스트에는 선택적으로 일종의 방화벽이있을 수 있지만, 그렇지 않을 수도 있습니다. 호스트를 실행하는 관리자는 아마도 환경을 안전한 것으로 간주 할 것입니다.

enter image description here

시나리오 # 3, 우리는 방화벽을 정말 좋아합니다

# 2로 더 세분화되었습니다.

enter image description here

나는 전통적으로 # 2 또는 # 1을 만들고 있었고 점점 더 # 1에 기대고 있습니다. 아마도 디자인의 "단순성"과 적대적인 환경에서 호스트가 생존하기를 원하는 "순 도성"에 유혹을 받았을 것입니다. 나는 이것이 심층 방어와는 대조적이라는 것을 알고 있습니다. :)

23
Jakob Borg

많은 보안 위협 및/또는 규정 준수 요구 사항에 대해 네트워크 기반 및 호스트 기반 완화 제어가 모두 존재한다는 것을 알고 있습니다.

본질적으로 호스트 지향 회사 인 Microsoft는 당연히 호스트 기반 보안 솔루션의 측면에 서 있습니다. 사람과 응용 프로그램을 다룰 때는 전통적으로 호스트 기반 솔루션을 사용해야합니다. 그러나 방화벽이 변경되었습니다. Gartner에서 정의한 "차세대 방화벽"은 기존 IP, 포트 및 프로토콜 정책 제어뿐만 아니라 사용자 및 응용 프로그램을 사용할 수 있도록 특별히 설계되었습니다. (저는 항상 Gartner의 팬은 아니지만 NGFW에서 바로 사용할 수 있습니다.) 따라서 레이어 3에서 레이어 7까지 액세스를 제어 할 수있는 NGFW는 호스트 기반 방식보다 더 나은 솔루션이 될 것입니다. 더 낮은 수준의 커뮤니케이션.

내 고향 인 매사추세츠는 매우 엄격한 개인 정보 보호법을 통과했습니다. 조직은 요구 사항을 충족시키기 위해 사용자와 서버간에 NGFW를 배치하고 있습니다. 다음은 법의 요구 사항 중 일부와 NGFW가이를 충족시키는 방법입니다.

  • 개인 데이터 격리-개인 데이터를 보유한 서버를 격리 할 수있는 논리 보안 영역을 정의하십시오.

  • 애플리케이션을 기반으로 개인 데이터에 대한 액세스 제어-개인 데이터가 포함 된 서버에 액세스 할 수있는 애플리케이션을 제어하는 ​​정책을 정의하십시오.

  • 개인 데이터에 액세스 할 수있는 사용자 제어-방화벽을 LDAP 서버와 통합하여 개인 데이터에 액세스 할 수있는 그룹을 제어하는 ​​정책을 정의 할 수 있습니다.

  • 위협 탐지 및 차단-이 방화벽에는 허용 된 트래픽을 모니터링하고 탐지 된 위협을 차단하는 위협 방지 기능도 있어야합니다.

BTW는 사용중인 방화벽에 따라 하나의 물리적 방화벽으로 시나리오 # 3을 생성 할 수 있습니다.

그러나 개인 식별 정보 (PII)를 보호하는 것이 목표라면 NGFW 자체가 완전한 답은 아닙니다. 먼저 PII가있는 곳을 찾아야합니다.

둘째, 모든 PII를 찾았 으면 가능한 한 적은 수의 서버로이를 통합하기위한 조치를 취할 수 있습니다.

셋째, PII가 최종 사용자 워크 스테이션에서 "휴식"되어 사용자가 다른 사람에게 전송되지 않도록하는 컨트롤을 구현할 수 있습니다.

넷째, 데이터베이스 액세스를 100 % 모니터링하는 특정 데이터베이스 액세스 제어를 추가 할 수 있습니다. 호스트 기반 컨트롤이어야합니다. 뷰, 저장 프로 시저 및 트리거를 포함한 모든 것을 모니터링 할 수있는 다른 방법은 없습니다.

8
Bill Frank

내 경험은 주로 대규모 글로벌 은행에 대한 것이기 때문에 이것이 모두에게 적합하지는 않지만 일반적인 시나리오는 더 분리 된 것을 제외하고는 # 3과 매우 유사하므로 일반적으로 기능, 위험 프로파일, 부서 소유자별로 분리 된 여러 DMZ가 있습니다. 또는 다른 기준.

또한 인터넷에 연결되는 모든 항목이 복제되므로 구조에 따라로드 밸런서 내부 또는 외부에서 VPN 가속을 사용하여 초크 라우터가로드 밸런서에 연결되는 다른 공급 업체의 MPLS 서비스가 두 개 이상 연결됩니다. .

그런 다음 외부 방화벽 세트는 웹 서버 등을위한 분리 된 DMZ를 제공하고 데이터베이스를 보호하는 내부 방화벽을 제공합니다. 경우에 따라 앱 서버와 함께 추가 계층이 있지만 응용 프로그램이 웹 서버에 점점 더 많이 구축됨에 따라 서서히 사라집니다.

내부 사용자는 외부 방화벽에 연결하는 별도의 방화벽 또는 역방향 프록시를 사용하는 별도의 연결 세트와 원격 액세스 연결을위한 또 다른 방화벽 세트가 사용됩니다.

적어도 이러한 구성 요소가 없었던 글로벌 은행을 검토해야한다면 적절한 관리를하지 않은 이유에 대해 매우 우려 할 것입니다. IT 감사는 비즈니스가 실패한 이유에 대해 흥미로운 의견을 제시 할 것입니다 안전한 환경에 의존하십시오.

7
Rory Alsop

그 이론에서 가장 큰 문제는 비슷한 주장을 들었습니다. 방화벽을 제거해도 응용 프로그램 서버를 여전히 DoS 할 수 있다는 것입니다.

그러나 후속 질문은 인터넷에 연결된 웹 서버에서 IPsec 및 PKI를 성공적으로 사용할 수 있습니까?

또한 심층 방어 조치를 추가하면 정의에 따라 가용성이 높아지지만 제대로 수행하는 경우이를 확보해야하는 사람들에게만 해당됩니다.

그 말로, 시나리오 2의 일부이지만 스위치로 메일/웹 및 DB 서버를 분리하지는 않습니다. 네트워크에 다른 서버와 클라이언트가 있으면 DMZ를 생성하는 방화벽을 추가 할 것입니다. 그런 다음 중복 방화벽과 스위치를 추가하는 것이 좋습니다.

5
Steve

최근 몇 년 동안 내가 구성한 모든 서버 OS에는 방화벽 기능이 있으며 거의 ​​모든 라우터도 마찬가지입니다. 상자에서 액세스 제한을 구성하는 것이 좋습니다. 물론 불필요한 서비스를 실행하지 않는 것이 좋습니다.

그러나이 수준에서는 쉽게 구현할 수없는 방화벽의 기능으로 간주 될 수있는 사항이 있습니다 (예 : AV 필터링). 그러나 다른 네트워크 홉 비용에 비해 추가 CPU 비용으로 서버에서 실행되는 도구가 다시 있습니다. 그러나 서비스가 손상되어 가용성을 유지해야하는 서비스를 실행중인 경우 이미 단일 노드가 아닌 클러스터를 실행 중이어야합니다.

IMHO, MS winsock.dll은 여전히 ​​방화벽 외부에서 엄청나게 많은 복잡성을 드러냅니다. 그러나 이것은 특별한 경우 일 것입니다.

DOS, 특히 DDOS에 대한 보호로 병목 현상을 유지해야한다는 강력한 논거가 있습니다. 실시간 식별 및 차단이 훨씬 간단합니다. SPOF 일 필요는 없습니다.

규모가 큰 조직에서는 서버와 독립적으로 보안 상자를 소유하고 관리하는 이점이 종종 있습니다. 허위 전제 인 IMHO-보안이 널리 보급되어 있어야합니다. 시스템은 안전하지만 응용 프로그램 수준에서 대부분의 문제를 해결하지는 못합니다.

설명하는 서버를 설정했다면 (각 서버가 단일 실패 지점으로 보이는 사실을 제외하고) 라우터와 동일한 네트워크에 DB를 연결하지 않을 것입니다. 내부에 DB가있는 네트워크.

5
symcbean

DDoS에 대한 단일 장애 지점이 걱정된다면로드 밸런스 시스템에서 여러 방화벽을 설정하여 회선 속도로 트래픽을 처리 할 수 ​​있습니다. 이러한 유형의 설정에서 성공할 유일한 DDoS 공격은 들어오는 라인이 포화 된 공격입니다. 이 시점에서 방화벽이 있는지 여부는 중요하지 않습니다.

DDoS 공격이 있어도 호스트 간 통신이 가능하므로 솔루션 2를 권장합니다. 해결 방법 1에서는 원치 않는 트래픽이 여전히 스위치를 통해 처리되고 있으므로 속도를 줄이고 불필요한 트래픽을 추가 할 수 있습니다.

4
jhulst