퍼블릭 클라우드 방화벽은 퍼블릭 클라우드에 배포된 가상 네트워크 보안 디바이스입니다. 통상적으로 퍼블릭 클라우드 방화벽은 하드웨어 방화벽과 유사한 기능을 제공합니다. 그러나 하이브리드 클라우드 배포에서 퍼블릭 클라우드 방화벽은 확장성과 가용성 측면에서 온프레미스 디바이스에 비해 큰 장점이 있습니다. 이른바 "가상 방화벽"이라고 불리는 이 디바이스는 이러한 환경에서 사용할 때 "퍼블릭 클라우드 방화벽"이라고도 합니다.

퍼블릭 클라우드 방화벽의 필요성

클라우드 애플리케이션의 보안은 고객과 클라우드 서비스 제공업체(CSP)가 공동으로 책임집니다. CSP는 서비스를 운영하는 인프라(하드웨어, 소프트웨어, 네트워킹, 시설)를 보호합니다. 그러나 서비스 제공업체 인프라 위에서 실행되는 운영 체제, 플랫폼, 액세스 제어, 데이터, 지적 재산, 소스 코드, 고객 대면 콘텐츠의 보안은 이러한 서비스를 이용하는 조직에서 책임져야 합니다(그림 1 참조). 많은 CSP가 방화벽을 서비스 옵션으로 제공하지만, 방화벽 정책을 구성하고 위협을 모니터링해야 할 책임은 여전히 사용자에게 있습니다.

그림 1: 클라우드 기반 환경의 공동 보안 모델

기업이 기존 애플리케이션을 데이터 센터에서 클라우드로 이동할 때 온프레미스 방화벽을 그대로 클라우드 자산에 적용하는 경우가 많습니다. 이러한 구성은 친숙하고 효과가 검증되었다는 장점이 있지만, 확장이 어렵고 비용이 많이 들어갈 뿐만 아니라, 하드웨어와 소프트웨어에 상당한 자본 지출과 더불어 온프레미스 디바이스를 설치, 관리, 업그레이드하는 데 대한 간접비도 발생합니다. 게다가 방화벽의 고가용성을 보장하는 데 필요한 중복성에 투자하기를 꺼리는 기업이 많습니다. 또한, 글로벌 조직이 전 세계에 흩어진 애플리케이션에 회사 보안을 적용하기에는 현실적인 문제가 있습니다.

퍼블릭 클라우드 방화벽의 장점

퍼블릭 클라우드 방화벽은 온프레미스 방화벽의 한계 등 여러 가지 문제를 해결해줍니다. CSP의 예비 전원과 난방, 환기 및 공기 조화(HVAC), 네트워크 서비스, 자동 백업 시스템을 활용하여 사이트 장애 발생 시 데이터 손실을 예방할 수 있기 때문에 CSP의 인프라에서 실행되는 이런 가상 방화벽은 매우 가용성이 높습니다. 

조직에서 클라우드의 비중이 커지면, 퍼블릭 클라우드 방화벽은 하드웨어를 설치하거나 유지관리할 필요 없이 가상 인스턴스를 추가해 적절히 확장할 수 있습니다. DDoS(Distributed Denial-of-Service) 공격과 같은 대역폭을 차지하는 위협도 퍼블릭 클라우드 방화벽을 사용하여 신속하고 효과적으로 완화할 수 있습니다.

온프레미스 방화벽과 달리, 퍼블릭 클라우드 방화벽은 보호해야 할 자산 가까이 배포됩니다. 이 구성은 지역에서 데이터 센터로 트래픽을 백홀하면서 발생하는 대역폭 소모를 피할 수 있고, CSP가 지역 경계를 넘어가는 트래픽에 부과하는 수수료를 낮추거나 절약할 수 있습니다. 대부분 주요 CSP가 상호 연결 협정을 맺고 있으므로 CSP의 경계도 문제가 되지 않습니다.

퍼블릭 클라우드 방화벽의 작동 원리

온프레미스 방화벽과 마찬가지로, 퍼블릭 클라우드 방화벽은 애플리케이션을 식별 및 제어하고, 사용자 기반 정책을 통해 액세스 권한을 부여하며, 알려진 위협과 알려지지 않은 위협이 네트워크 경계로 침입하지 못하게 차단합니다. 퍼블릭 클라우드 방화벽은 모든 멀티 클라우드 환경에 애플리케이션 가시성을 제공하기 때문에 조직에서 보안 정책과 절차에 대해 정보에 입각한 결정을 내릴 수 있습니다. 개발자는 자동화와 중앙 집중식 관리를 통해 차세대 보안을 애플리케이션 개발 수명 주기에 포함하고, 보안 기능과 클라우드 네이티브 개발 전략 및 DevOps 원칙(예: 지속적 통합과 지속적 전달(CI/CD))을 일치시킬 수 있습니다. 

지능적 위협이 더욱 정교해지면서 경계에 침입이 발생할 수밖에 없습니다. 오늘날 사이버 위협은 보통 개별 워크스테이션이나 사용자를 해킹한 다음, 네트워크를 따라 이동하면서 액세스 권한을 획득하고, 미션 크리티컬 애플리케이션과 데이터가 어디에 있든 찾아내 위험에 처하도록 합니다. 최고의 퍼블릭 클라우드 방화벽은 세그먼테이션과 마이크로 세그먼테이션 전략을 통해 중요한 애플리케이션과 데이터를 안전한 세그먼트에 격리하여 위협의 내부망 이동을 차단하고, 규제 준수를 간소화합니다.

퍼블릭 클라우드 방화벽은 제공업체의 네이티브 보안 솔루션과 맞물려 빈틈없이 작동하도록 설계하고 구성해야 가장 효과적입니다. 조직에서 사용하고자 하는 CSP와 솔루션을 공동 개발한 사이버 보안 공급업체의 퍼블릭 클라우드 방화벽을 구매하는 것이 좋습니다.

사용 사례

앞서 말씀드렸듯이, 퍼블릭 클라우드 방화벽은 매우 다재다능합니다. 일반적인 사용 사례의 예시는 다음과 같습니다. 

• 미션 크리티컬 애플리케이션 및 데이터 보호: 퍼블릭 클라우드 방화벽은 제로 트러스트 원칙을 액세스 제어 방법으로 사용하여 보안 세그먼트의 중요한 애플리케이션 및 데이터를 격리합니다. 존(zone) 기반 정책 아키텍처가 애플리케이션과 사용자를 기반으로 액세스 제어 정책을 구축하도록 지원하고, 가상 머신 간의 이스트-웨스트 트래픽을 보호합니다.
• 지사 사무실로 보안 확장: 조직에서는 지사 사무실로 보안을 확장하기 위해 퍼블릭 클라우드 방화벽을 배포합니다. 앞서 언급했듯이, 퍼블릭 클라우드 방화벽은 가상에 설치되기 때문에 전 세계 어디에나 배포할 수 있어 글로벌 대기업에 매력적입니다.
• 안전한 소프트웨어 정의 환경: 퍼블릭 클라우드 방화벽은 소프트웨어 정의 네트워크(SDN)와 소프트웨어 정의 광역 네트워크(SD-WAN)를 비롯한 소프트웨어 정의 환경을 보호할 수 있습니다. 회사 전체에 일관된 네트워크 보안을 적용하고, POS와 기타 중요 시스템을 분리하고, SD-WAN을 통과하는 라이브 트래픽 흐름을 보호할 수 있습니다.
• 프라이빗 클라우드 자산 보호: 퍼블릭 클라우드 방화벽은 프라이빗 클라우드(단일 조직에서 사용하는 온디맨드 컴퓨팅 환경)의 보안 요구 사항도 충족할 수 있습니다. 이러한 환경에서 가상 방화벽은 매우 가상화된 환경에 대한 투자 수익을 극대화하고, 시간이 오래 걸리는 수동 프로비저닝을 줄여줍니다.

퍼블릭 클라우드 방화벽에 대한 자세한 내용은 Palo Alto Networks 웹사이트를 참조하세요.