구글의 BeyondCorp 2부 – 새로운 보안 모델로의 이동

앞서 1부에서는 구글의 BeyondCorp 프로젝트의 시작 배경과
기본적인 아키텍쳐 구성에 대해 알아보았다.

구글의 BeyondCorp 1부 – 보안네트워크의 새로운 패러다임 ☞ http://noplanlife.com/?p=1500

기존의 Perimeter 보안 모델에서 완전히 새로운 방식의 보안 네트워크 모델로의 전환은
굉장히 모험적인 일이었을 것이라 예상된다.
특히, 기업의 네트워크를 구축하는데 있어 가장 중요하게 생각되는 것이 바로 “가용성”과 “안정성”인 만큼
보수적인 시각으로 아키텍쳐를 구성하는 것이 일반적이다.

그럼에도 불구하고 구글은 완전히 새로운 모델을 구축하고 안정화시키는데 성공했다.
데이터 센터간의 서버 수십대 이전 작업만해도 굉장히 치밀한 계획이 필요한 것을 생각해보면,
전체 네트워크를 이와같이 변경한것이 얼마나 대단한지를 알 수 있다.

2부에서는 구글이 새로운 네트워크 모델로 어떻게 이전(Migration) 했는지에 대해 다룰 것이다.
또한 1부에서 BeyondCorp 각각의 구성 요소들을 소개했다면
2부에서는 이 모델이 전체적으로 동작하는 흐름에 대해 알아볼 것이다.

 

BeyondCorp의 TrustLevel(보안 등급) 정책

앞서 1부에서 다루었다시피 BeyondCorp는 접속자의 디바이스, HR데이터베이스 등
다양한 정보를 수집한다.

이렇게 수집된 데이터는 상관분석 (Correlation)과 신뢰도 평가(Trust Evaluation)과정을 거친 후,
최종적으로 보안등급이 부여되어 Access Control Engine에 전달된다.

아래 2개의 예시 상황을 통해 보안 등급 평가가 어떤 것인지를 알아보자.

예시 ① – (높은 보안 등급이 요구되는) 핵심 시스템에 접속할 때 아래 사항을 만족해야 한다.

– 접속 디바이스의 디스크 암호화 (Disk Encryption)가 설정되어 있어야 함
– 모든 관리 에이전트 (보안 Configuration, OS Patch Status 정보 수집)가 정상적으로 동작함
– 가장 최신 버전의 OS가 설치된 상태임 (최신 패치 완료)
– 디바이스로 부터 수집되는 정보가 일관성을 유지 (이상징후가 보이지 않음)

예를 들어 Level 10(가칭)의 보안 등급을 요구하는 시스템이 있다고 가정해보자.
엔지니어가 이 시스템에 접속할때는 위와 같이 디바이스의 최신 패치 상태를 유지해야 하고,
디스크 암호화가 되어있어야 하며, 시스템에 접속하는 패턴(접속 장소, 시간 등)도 일정해야 한다.

만약, 이 중 하나의 조건이라도 만족시키지 못한다면 Trust Level은 Level 10보다 낮게 설정되어
해당 시스템에 접속이 불가능해진다.

예시 ② – 취약점이 패치되지 않은 디바이스의 경우 시스템 접속 차단

– 안드로이드 Stagefright 취약점이 패치되지 않은 모바일 디바이스에서의 시스템 접속을 차단
– 접속 디바이스에 대한 취약점 스캔 또는 안티바이러스 검사 결과 악성코드가 발견된 경우,
시스템 유지 보수 포탈 사이트만 접속 가능하며, 나머지 시스템은 접속 차단

예시 ②와 같이 접속 디바이스가 악성코드에 감염되거나 취약점 패치가 되지 않은 경우에도
Trust Level이 낮게 설정되어 시스템 접속이 불가능해진다.

이밖에도, 평소에 접속하지 않았던 새로운 장소나 시간대에서 시스템에 접근할 경우
낮은 Trust Level이 부여된다.

 

BeyondCorp 전체 접속 과정 (Connection Flow)

다음 그림을 통해 사용자 디바이스에서 부터 시스템 접속에 이르는 전체 과정을 살펴보자.

cap-2016-11-02-17-27-13-017

 BeyondCorp Connection Flow

① 사용자가 시스템 접속을 요청하면 Access Proxy로 Redirect 된다.
이 때, 사용자 인증서가 함께 전달된다.

② Access Proxy에서 사용자를 확인하기 위해 SSO 시스템으로 다시 Redirect 시킨다.

③ SSO 시스템에서 2-Factor 인증을 요구하며, 인증을 마치면 다시 Access Proxy로 Redirect 된다

④ Access Proxy가 전달된 인증서를 검증하여 사용자와 디바이스의 정상 여부를 확인한다.

⑤ Access Control 엔진이 접속 요청에 대한 상세한 검증을 수행한다.
– 해당 사용자가 대상 시스템에 접속 가능한 그룹에 속하는가?
– 해당 사용자가 충분한 Trust Level을 부여 받았는가? (사용자 권한 체크)
– 접속하고자 하는 디바이스가 정상적인 상태를 유지 하는가? (인증서, 기기 자산 형태 등)
– 접속하고자 하는 디바이스가 충분한 Trust Level을 부여 받았는가? (디바이스 권한 체크)
– 위 모든 사항을 충족할 경우에만 접속을 허용하며, 그 외 상황에는 접속을 차단한다.

이와 같이 디바이스와 사용자에 대한 인증, 그리고 Trust Level이라 불리는 보안 등급을
종합적으로 분석하여 시스템 접속 허용/차단 여부를 결정하게 된다.

그렇다면 Access Control Engine이 잘못된 판단을 내려 False Positive를 발생할 가능성은 없을까?

예를 들어 정상적인 디바이스를 사용하는 개발자 임에도 불구하고
엔진이 잘못된 Trust Level을 부여해서 시스템에 접속하지 못하는 경우가 발생할 수 있지 않을까.

이와 같은 문제를 방지하기 위해 구글은 오탐을 최소화하기 위한 이주 (Migration) 전략을 수립하였다.

 

BeyondCorp Migration 전략

새로운 네트워크 아키텍쳐로 이주(Migration) 하는 작업은 치밀한 전략과 계획이 필요하다.
만에 하나 중요 시스템에 대한 접속 장애가 발생하거나, 권한이 없는 사용자에게 접속이 허용되는 것과 같은
불상사가 발생해서는 안된다.

이에 구글은 BeyondCorp로의 이전을 위해 다음과 같이 단계별 Migration 전략을 수립하여 실행하였다.

cap-2016-11-01-11-18-05-871

BeyondCorp Migration 절차

① Workflow Qualification – 업무 진행 프로세스 분석
– 구글 내부에서 사용되는 모든 어플리케이션 및 시스템에 대한 자산 및 접속 정보 등을 파악

② Job Function Analysis – 사용자별 직무 분석
– 재무, 영업, 엔지니어링 등 부서/업무를 분석하여 네트워크와 권한을 사용자에 맞게 분리

③ VPN 접속 차단 실시 – 기존 네트워크에서 점차적인 이주 실시
– VPN 장비 모니터링을 통해 사용하지 않는 계정부터 기존 네트워크 차단 시작
– 이후, 모든 접속은 VPN이 아닌 Access Proxy를 통해 하도록 변경

④ BeyondCorp 시뮬레이션 및 트래픽 분석 – Learning Mode
– 모든 사용자 호스트(PC)에 트래픽 모니터링 프로그램 설치
– 사용자의 BeyondCorp를 통한 모든 트래픽을 로깅하여 사용자 접속 패턴을 분석 (30일간)
– 사용자 트래픽의 99.9퍼센트 이상이 BeyondCorp 네트워크를 통해 접속 가능하면
정상적으로 Migration 된 것으로 판단

흥미로운 점은 개개인의 디바이스 트래픽을 모두 학습(Learning)함으로써,
False Positive 확률을 제로에 가깝게 낮추었다는 것이다. (④ 단계)

Agent 형태의 어떠한 프로그램을 설치하여 트래픽을 분석했을 듯 싶으나
아쉽게도 자세한 방법은 공개되지 않은 상태이다.

 

BeyondCorp 마무리 정리

지금까지 2부에 거쳐 구글의 새로운 보안 네트워크 모델인 BeyondCorp에 대해 알아보았다.

언제 어디서나 접속이 가능하면서도, 보안성을 높인 BeyondCorp 모델이 가능했던 것은
어찌보면 구글의 기업문화와도 연관이 있어 보인다.

기존의 관습을 탈피하여 완전히 새로운 것을 시도할 수 있는 문화,
새로운 것을 자체적으로 개발/구축 해 낼 수 있는 기술력,
그리고 각 임직원에게 주어진 명확한 Job Description 과 권한의 분리

이러한 것들이 융합되어 시너지를 발휘한 결과물이 BeyondCorp 모델이 아닐까 싶다.

향후 Perimeter Security 모델이 완전히 사라지지는 않더라도,
점차적으로는 구글과 비슷한 형태로 바뀌지 않을까 조심스럽게 전망해본다.

 

참고문헌

http://static.googleusercontent.com/media/research.google.com/en/us/pubs/archive/43231.pdf
-BeyondCorp – A New Approach to Enterprise Network

https://www.usenix.org/conference/lisa13/enterprise-architecture-beyond-perimeter
-Enterprise Architecture Beyond the Perimeter

http://static.googleusercontent.com/media/research.google.com/ko//pubs/archive/44860.pdf
-BeyondCorp – Design to Deployment at Google

 

 

Site Footer

Sliding Sidebar

About Me

About Me

June Park