AhnLab CPP 는 클라우드 서버 워크로드 보호에 필요한 보안 기능과 보안 제품을 하나의 콘솔에서 통합하여 관리합니다.
화이트리스트 기반의 애플리케이션 콘트롤(Application Control), 침입방지시스템(IPS)과 방화벽 기능을 담당하는 Host IPS, 악성코드를 탐지/차단하는 V3 Net 제품 등을 하나의 콘솔에서 관리하는 것입니다.
AhnLab CPP 는 온프레미스 상의 윈도우/리눅스(Windows/Linux) 서버, 그리고 AWS, 애저(Azure) 클라우드상의 윈도우/리눅스 서버에 대한 가시성과 함께 통합 관리를 지원합니다. AWS, 애저 클라우드 계정과의 연동을 통해 오토 스케일링되는 단말에 대해서 자동 식별을 지원합니다.
또한 서버에서 발생하는 보안 이벤트에 대한 로깅과 함께 다양한 대시보드를 제공해서 관리자가 보안 상태를 직관적으로 파악할 수 있도록 합니다. 시스로그(Syslog) 제공으로 SIEM 등의 서드파티(3rd party) 솔루션과의 연동을 통해 신속한 탐지 및 대응이 가능합니다.
AhnLab CPP 를 통해 관리되는 보안 제품은 AhnLab Application Control(안랩 애플리케이션 콘트롤), AhnLab V3 Net(안랩 V3 Net), 그리고 AhnLab Host IPS(안랩 호스트 IPS)가 있습니다.
안랩 애플리케이션 콘트롤은 화이트리스트 기반의 애플리케이션 실행 제어 및 접근 제어로 서버가 보다
안정적으로 운영되도록 합니다. 안랩 V3 Net 은 서버 내 악성코드에 대해 실시간 검사 및 수동 검사를 통해 악성코드 감염으로부터 서버를 보호합니다. 안랩 호스트 IPS 는 시그니처 기반으로 네트워크 공격을
탐지/차단며 방화벽 기능을 함께 제공합니다.
각 보안 제품의 특징을 살펴보면, 먼저 안랩 애플리케이션 콘트롤은 허가된 애플리케이션만 실행을 허용하고 그 외는 모두 실행을 차단해서 원래의 용도로만 서버가 운영되도록 합니다. 실제 허가되지 않은 애플리케이션은 실행이 차단되어 사전 방역 효과를 제공합니다. 이와 함께 중요 파일로 지정된 프로세스만 접근을 허용해서 부적절한 변경으로 서비스가 중지되지 않도록 합니다.
안랩 애플리케이션 콘트롤은 서비스 운영을 고려해서 다양한 운영 모드를 지원하고 있습니다. 락다운(Lockdown)은 일반적인 보안 모드이고, 메인터넌스(Maintenance) 모드는 소프트웨어 설치나 업데이트가 되는 경우를 고려한 것입니다. 업데이트가 이루어질 때는 많은 실행 파일의 변경이 이루어지는데, 락다운 상태에서는 패치가 불가능합니다. 이때 메인터넌스 모드로 변경해주면 차단 없이 변경되는 모든 실행 파일이 화이트리스트로 자동 등록될 수 있습니다. 시뮬레이션(Simulation) 모드 화이트리스트에 없는 파일에 대해 차단이 아닌 탐지만하는 모드로, 락다운 전에 보안 정책의 적절성을 판단하는 용도로 쓸 수 있습니다.
안랩 호스트 IPS 는 서버로 들어오거나 나가는 트래픽을 모니터링해서 방화벽 설정에 따라 차단하거나, 적용된 IPS 시그니처에 따라 공격을 탐지/차단합니다. IPS 는 시그니처 기반으로 네트워크 공격을 탐지/차단하는 것인데 안랩 호스트 IPS 는 자사의 차세대 침입방지시스템인 AIPS 를 통해 국내에서 검증된 수천여 개의 시그니처를 제공하며 주기적으로 업데이트를 지원합니다. 또한 관리자는 조직이 필요한 시그니처를 직접 설정할 수 있습니다.
이때 기존 스노트(Snort), PCRE 시그니처가 있다면 손쉽게 적용할 수도 있습니다. 네트워크 IPS 와 달리 호스트 IPS 는 모든 시그니처를 적용하는 게 아니라, 해당 서버에 필요한 시그니처만을 적용하도록 설계되어 있는데, 이것은 서버의 부하를 줄이고 보안의 효율성을 높이기 때문에 서버 부하와 보안의 효율성 측면에서 호스트 IPS 라는 점은 매우 중요한 이점이 있습니다.
관리자가 각 서버의 환경을 분석하고, 그에 맞는 시그니처를 직접 적용하기란 쉽지 않습니다. 특히 서버 대수가 많거나 클라우드처럼 서버가 유연하게 추가/삭제되는 경우는 더욱 어렵습니다. 안랩 호스트 IPS 는 각 서버의 환경 정보를 기반으로 분석해서 단말에 적합한 시그니처를 추천, 자동 할당을 지원합니다. 또한 일반적인 방화벽 기능과 함께, 국가별 IP 기반으로 특정 국가에 대한 들어오거나 나가는 트래픽의 차단을 지원합니다. 호스트 IPS 는 기본적으로 인라인(Inline) 모드로 동작하지만, 서버의 가용성을 고려한 탭(TAP) 모드와 장애 환경을 고려한 바이패스(Bypass) 모드도 지원하고 있습니다.
정리하자면, AhnLab CPP 는 온프레미스와 클라우드 상의 윈도우/리눅스 서버를 보호하기 위한 플랫폼으로, 조직 내 서버에 대한 통합된 가시성과 함께 애플리케이션 콘트롤, 호스트 IPS 및 방화벽, 안티멀웨어 기능 등을 제공합니다. AhnLab CPP 는 서버 위치와 무관하게 일관성 있는 보안 관리 지원으로, 보다 안전한 서버 보안 환경 구축을 가능하게 합니다. 클라우드로의 전환 시, 조직의 책임 범위가 어디까지인지 파악과 함께 조직 내 자산 보호에 무엇이 필요한지 검토하여 보안 체계를 함께 마련해가는 것이 가장 중요한 부분이기도 합니다.
이러한 AhnLab CPP에 대하여 자세히 알고 싶다면?
참고자료:
본 글은 아래 보고서를 기반하여 작성되었습니다. 더 자세한 내용은 아래의 자료를 참고하시기 바랍니다.
안랩, [백서] 클라우드 보안 위협에 대비하는 방법