©2024 Akamai Technologies
고객
대형 주립 대학교
이 대형 주립 대학교는 24개 캠퍼스에서 17000명 이상의 교직원과 함께 10만 명 이상의 학생에게 고등 교육 서비스를 제공합니다.
도전 과제
600개 이상의 건물에 대한 네트워크 인프라 중앙 집중화
한 유명 주립대학교는 주 전역의 스마트 캠퍼스 이니셔티브에 건물 자동화 시스템을 안전하게 통합하고자 했습니다. 이 대학의 물리적 플랜트 및 OT 시스템을 담당하는 팀은 이러한 디바이스와 애플리케이션을 보호하는 세그멘테이션이 부족할 것을 우려했습니다. 또한 대학의 IT 네트워크가 기존의 에어 갭 상태에서 제거될 경우 발생할 수 있는 문제도 우려했습니다. 결과적으로 팀은 건물 자동화 시스템을 중앙 집중화하고 보안을 개선하기 위한 야심찬 노력을 시작했습니다.
이 대학의 프로젝트 리더는 "약 2년 전까지만 해도 모든 캠퍼스가 거의 독립적으로 운영되었습니다. 메인 애플리케이션 서버를 호스팅하고 있었지만 개별 캠퍼스 컨트롤러는 IT 네트워크에 있었으며 나머지 캠퍼스 트래픽과 항상 별도의 VLAN으로 분리되어 있지는 않았습니다."라고 설명했습니다. 즉, 한 건물의 제어 시스템에 대한 공격이 성공하면 캠퍼스의 IT 네트워크로 쉽게 확산되거나 그 반대의 경우도 발생할 수 있었습니다.
이 프로젝트에는 추가적인 경제적 이유도 있었습니다. 프로젝트 리더는 "대학은 에너지 관리를 통해 비용을 절감할 수 있는 부분을 찾고자 했지만 캠퍼스들이 모두 독립형 시스템이었기 때문에 데이터를 얻을 수 없었습니다."라고 말했습니다. “그래서 이들을 연결하되 안전하게 연결해야 했습니다. 원격 캠퍼스에서 데이터 센터로 연결되면 네트워크에 백도어가 생성되어 공격이 발생할 가능성이 있었기 때문입니다."
모든 것을 공유 네트워크 인프라로 가져오는 야심 찬 프로젝트는 24개 캠퍼스에 있는 600개 이상의 건물을 대상으로 진행되었습니다. 부서의 시설 자동화 팀이 프로젝트 실행자로 선정되었습니다. 그러나 대학 자동화 시스템의 복잡성과 관련된 벤더사의 수는 또 다른 큰 도전 과제였습니다.
"우리는 엘리베이터 시스템, HVAC, 진동 분석, 조명, 배전, 전기 계량 등을 관리하고 있습니다. 그리고 증기 발생, 배전, 폐수 처리 등 모든 주요 유틸리티를 관리하고 있습니다. 이러한 시스템을 담당하는 약 260개 이상의 다양한 계약업체와 거래합니다.”
모든 벤더사는 리스크를 초래하거나 서로의 제어 시스템을 방해하지 않고 네트워크에 접속할 수 있어야 했습니다.
목표: 동서 트래픽 가시성 및 중앙 집중식 정책
스마트 제어 시스템 및 사물 인터넷 네트워크에 초점을 맞춘 보안 공급업체인 Tempered Networks는 원격 캠퍼스와 대학의 1차 데이터 센터 간의 남북 간 연결을 처리하는 데 동원되었습니다. 이러한 도전 과제를 해결한 후에도 대학은 데이터 센터 내에서 실행되는 300대 이상의 서버를 유출로부터 보호해야 하는 문제에 직면했습니다.
대학의 프로젝트 책임자는 "동서 트래픽을 처리할 수 있는 솔루션들을 검토했지만, 우리가 원하는 만큼 깔끔하고 간편한 솔루션은 없었습니다."라고 회상했습니다.
“단일 창에서 쉽게 관리할 수 있는 솔루션과 애플리케이션 종류에 따라 룰을 생성할 수 있는 방법이 필요했습니다. 그때 Akamai를 알게 된 거죠.”
팀은 무료 유출 및 공격 시뮬레이션 툴인 Infection Monkey를 통해 Akamai를 알게 되었습니다. Infection Monkey는 데이터 센터 운영자가 유출 발생 후 공격과 측면 이동에 대한 환경의 안정성을 평가하는 데 도움이 됩니다.
[Akamai]는 방화벽 관리 시스템과 비교 불가한 수준입니다.
대학 프로젝트 리더
해결책
Akamai Guardicore Segmentation 보안 플랫폼
대학 팀원들은 Akamai Guardicore Segmentation을 다운로드하고 사용하기 시작한 후, 이 솔루션이 Infection Monkey가 발견한 문제를 해결할 수 있다는 것을 깨달았습니다.
Akamai Guardicore Segmentation 보안 플랫폼은 현재 시장에서 마이크로세그멘테이션을 주로 다루는 몇 안 되는 솔루션 중 하나입니다. 운영자는 이 솔루션을 활용해 개별 또는 논리적으로 그룹화된 애플리케이션 간의 통신을 관리하기 위한 보안 정책을 간편하게 정의, 생성, 배포할 수 있습니다.
Akamai 팀은 대학과의 첫 번째 프레젠테이션에서 플랫폼의 고유한 시각화 기능을 시연했습니다. 데이터 센터 운영자는 Akamai Guardicore Segmentation을 사용하여 자신의 환경에서 실행되는 모든 애플리케이션을 확인하고 이들 애플리케이션 간의 의존성을 그래픽으로 매핑할 수 있습니다.
"Akamai 솔루션은 즉각적인 효과를 가져다주었습니다. 우리에게 꼭 필요한 기능이라는 것을 바로 알 수 있었습니다."
보안을 간소화하는 분산형 통합 플랫폼
프로젝트 리더는 "어떤 사람들은 방화벽이 모든 것을 해결해 줄 것이라고 생각합니다.”라고 말했습니다. "중앙 집중식 방화벽 관리를 사용하면 각 방화벽에 대해 개별적으로 룰을 설정해야 합니다. Akamai를 통해 애플리케이션 그룹을 만들고 '이 시스템들만 서로 통신하도록 하고 싶습니다.'라고 말할 수 있습니다."
또한 방화벽은 비용, 리소스 및 관리 효율성 문제를 야기합니다. “이러한 모든 방화벽을 관리하는 것은 악몽과도 같습니다. 시스템을 배포하고 문제가 없는지 확인하는 데만 6명의 직원이 필요하고, 이를 관리하는 데 최소 2명의 전담 직원이 필요할 겁니다.”
또한 방화벽은 애플리케이션 수준에서 정책을 설정하고 수정할 수 있는 유연성이 부족합니다.
"[Akamai] 솔루션을 활용하면, 잠시 수신 대기하여 시스템 간에 벌어지는 상황과 시스템에 통신이 필요한 이유를 이해할 수 있습니다. 방화벽의 경우 양자택일이죠. 방화벽은 포트에서 포트만 차단할 뿐입니다.”
간편한 중앙 집중식 관리를 통한 마이크로세그멘테이션
팀원들이 빠르고 쉽게 룰을 만들고 배포할 수 있다는 점도 또 다른 주요 이점으로 꼽혔습니다.
"처음 실행한 날 두어 대의 박스에 설치한 다음 한 벤더사가 다른 벤더사를 볼 수 없도록 차단하는 정책을 만들어 보았습니다. 그랬더니 바로 첫 번째 벤더사가 차단되었습니다. 이를 통해 이 제품이 우리가 찾던 제품이라는 것을 알 수 있었습니다."라고 프로젝트 리더는 말했습니다.
Akamai의 마이크로세그멘테이션 툴과 방법론에는 전문가가 필요하지 않습니다. "팀원 누구나 활용할 수 있을 만큼 간단하다는 점이 저에게 큰 매력으로 다가왔습니다."
설치 즉시 팀이 작업을 시작하고 배포해 몇 가지 보호 룰을 설정할 수 있었고, 모두가 열광적인 반응을 보였습니다.
대학 프로젝트 리더
Akamai를 통해 확보한 가시성은 데이터 센터 내에서 운영상의 이상 징후를 파악하는 데 도움이 되었습니다. 프로젝트 리더는 이렇게 회상했습니다. "저희 네트워크가 아닌 다른 네트워크에 연결되는 프린트 스풀 서비스를 발견했습니다. 마침내 추적해 보니 누군가의 원격 데스크톱 세션이 연결이 끊어졌지만 종료되지 않았고, 그 세션은 계속해서 PC의 인쇄 서버와 대화를 시도하고 있었습니다. 만약 해당 PC가 감염되었다면 애플리케이션 서버로 돌아가는 통로가 될 수 있었습니다."
효과
이 대학의 팀은 간단한 마이크로세그멘테이션 솔루션을 찾기 시작했습니다. Akamai와 함께 그 이상의 솔루션을 찾았습니다.
이제 팀에서 Akamai를 적극적으로 사용하고 있는 이 대학은 이 솔루션을 통해 보안을 더욱 강화하고 효율성을 높일 계획을 세우고 있습니다.
“향후 프로젝트는 인시던트가 발생할 경우 네트워크의 많은 기능을 자동화하는 것입니다. 예를 들어 한 건물에서 악성 MAC 주소나 접속 지점을 탐지한 경우 Akamai Guardicore Segmentation으로 Tempered Networks 솔루션에 명령을 보내 해당 건물을 잠그고, 운영자에게 알림을 보내 문제를 해결하고 무슨 일이 일어났는지 파악할 수 있습니다. 지금까지는 이러한 탐지 기능이 없었습니다."
Akamai 플랫폼을 통해 대학의 시설 자동화 팀은 이전보다 훨씬 빠르고 쉽게 원하는 보안 상태에 도달할 수 있었습니다. 프로젝트 리더는 "모든 것을 지속적으로 모니터링하는 이와 같은 선제적인 툴은 없었습니다."라고 설명했습니다.
Akamai가 동서 데이터 센터 트래픽을 모니터링하기 때문에 팀원들이 직접 모니터링할 필요가 없습니다. “저는 우리 팀이 대학의 에너지 절약과 비용 절감이라는 본연의 업무에 집중할 수 있기를 바랍니다. 데이터 센터에서 일어나는 일에 대해 걱정해야 한다면 그 일에 집중할 수 없습니다."
"우리는 장기간 유지 관리가 아주 쉬운 솔루션을 원했고, Akamai는 우리 기대를 훨씬 뛰어넘었습니다. 과연 명성 그대로입니다."