8 네트워크 보안을 위한 방화벽 모범 사례

네트워크 보안을 위한 방화벽 보안 모범 사례 가이드가 있으면 보안 이해관계자에게 회사의 보안 정책 목표를 전달하고 업계 규정을 준수하며 회사의 전반적인 보안 태세를 개선할 수 있습니다.

아래에서 더 나은 보안 태세를 위한 여정을 시작하기 위한 몇 가지 리소스와 8가지 방화벽 보안 모범 사례에 대해 자세히 알아보세요.

NGFW 데모 Frost & Sullivan 보고서 읽기

#1. 방화벽을 강화하고 올바르게 구성하기

대부분의 올인원 방화벽 솔루션 운영 체제는 공급업체에 의해 강화됩니다. 소프트웨어 방화벽 솔루션을 배포하는 경우, 먼저 운영체제를 패치하고 강화해야 합니다.

 

보안 관리자는 강화된 운영체제로 시작하는 것 외에도 방화벽이 안전하게 구성되었는지 확인해야 합니다. 가이드는 CIS 벤치마크 네트워크 디바이스를 발행하는 인터넷 보안 센터(CIS)와 같은 공급업체 및 타사에서 제공합니다. 또한 SANS 방화벽 체크리스트를 참조하세요.

#2. 방화벽 배포 계획 세우기

방화벽은 제로 트러스트 보안 원칙을 적용하는 데 필수적인 도구입니다. 매크로로 세분화된 네트워크에서 네트워크 경계를 넘어 인바운드 및 아웃바운드 액세스를 모니터링하고 제어합니다. 이는 레이어 3 라우팅 방화벽 배포(방화벽이 여러 네트워크를 연결하는 게이트웨이 역할을 하는 경우)와 레이어 2 브리지 방화벽 배포(방화벽이 단일 네트워크 내에서 디바이스를 연결하고 격리하는 경우) 모두에 적용됩니다.

 

방화벽을 배포할 때 방화벽의 네트워크 인터페이스는 이러한 네트워크 또는 영역에 연결됩니다. 그런 다음 이러한 영역을 사용하여 방화벽 정책을 간소화할 수 있습니다. 예를 들어, 경계 방화벽에는 인터넷에 연결된 외부 영역, 내부 네트워크에 연결된 하나 이상의 내부 인터페이스, 그리고 DMZ 네트워크 연결이 있을 수 있습니다. 그런 다음 필요에 따라 방화벽 정책을 사용자 지정하여 보다 세분화된 제어 기능을 추가할 수 있습니다.

 

방화벽을 관리해야 합니다. 중요한 질문은 "방화벽에도 전용 관리 인터페이스가 필요한가?"입니다. 관리 및 직렬 콘솔 액세스는 전용 보안 네트워크에서만 액세스할 수 있어야 합니다.

 

마지막으로 하나의 방화벽은 단일 장애 지점(SPOF)입니다. 고가용성(HA) 클러스터에 두 개 이상을 배포하면 하나에 장애가 발생해도 보안이 계속 유지됩니다. 각 클러스터 구성원의 리소스를 지속적으로 사용하는 더 나은 옵션은 하이퍼스케일 네트워크 보안 솔루션입니다. 이는 트래픽 부하가 계절에 따라 피크가 발생하는 네트워크에서도 고려해야 합니다.

#3. 방화벽 보안

방화벽은 조직의 보안 인프라의 필수 구성 요소이며, 악용으로부터 보호해야 합니다. 방화벽을 보호하려면 다음 단계를 따르세요:

 

  • 텔넷 및 SNMP와 같은 안전하지 않은 프로토콜을 비활성화하거나 보안 SNMP 구성을 사용하세요.
  • 구성 및 데이터베이스의 정기적인 백업을 예약합니다.
  • 시스템 변경 사항에 대한 감사를 활성화하고 포렌식 및 보고를 위해 안전한 외부 중앙 보안 정보 및 이벤트 관리(SIEM) 서버 또는 방화벽 관리 솔루션으로 보안 syslog 또는 기타 방법을 통해 로그를 전송합니다.
  • 방화벽 정책에 스텔스 규칙을 추가하여 네트워크 검사에서 방화벽을 숨기세요.
  • 특정 호스트에 대한 관리 액세스를 제한합니다.
  • 방화벽도 취약성에서 자유로울 수 없습니다. 공급업체에 문의하여 해당 취약점을 수정하는 알려진 취약점 및 보안 패치가 있는지 확인하세요.

#4. 사용자 계정 보안

계정 탈취는 사이버 위협 공격자들이 흔히 사용하는 수법입니다. 방화벽에서 사용자 계정을 보호하려면 다음과 같이 하세요:

 

  • 기본 계정 및 비밀번호 이름 바꾸기 또는 변경
  • MFA 요구 및/또는 강력한 비밀번호 정책 설정(대문자, 소문자, 특수 문자, 숫자가 포함된 12자 이상의 복잡한 비밀번호, 비밀번호 재사용 방지)
  • 방화벽 관리자를 위해 역할 기반 액세스 제어(RBAC)를 사용하세요. 사용자의 액세스 요구 사항에 맞게 액세스 권한을 위임하고 제한합니다(예: 감사자에게 읽기 전용 액세스만 허용하고 DevSecOps 팀을 위한 전용 액세스 역할 및 계정 만들기).

#5. 승인된 트래픽에 대한 구역 액세스 잠금

방화벽의 주요 기능은 네트워크 세분화를 위해 액세스를 강제하고 모니터링하는 것입니다.

 

방화벽은 네트워크 경계를 넘어 북쪽/남쪽 트래픽을 검사하고 제어할 수 있습니다. 이 매크로 세분화 사용 사례에서 영역은 외부, 내부, DMZ, 게스트 와이파이와 같은 광범위한 그룹입니다. 데이터 센터, HR, 재무와 같은 별도의 내부 네트워크에 있는 비즈니스 그룹이거나 산업 제어 시스템(ICS)을 사용하는 제조 공장의 생산 현장일 수도 있습니다.

 

가상화된 프라이빗 또는 퍼블릭 클라우드에 배포된 방화벽은 인스턴스가 가동될 때 동적으로 변경되는 개별 서버 또는 애플리케이션 간의 트래픽을 검사할 수 있습니다. 이 마이크로 세분화 사용 사례에서 영역은 웹 앱이나 데이터베이스와 같은 애플리케이션에 의해 정의될 수 있습니다. 가상 서버의 기능을 태그로 설정하고 사람의 개입 없이 방화벽 정책에서 동적으로 사용할 수 있으므로 수동 구성 오류의 가능성을 줄일 수 있습니다.

 

배포, 매크로 및 마이크로 모두에서 방화벽은 트래픽 소스 및 대상을 기반으로 액세스를 광범위하게 정의하는 방화벽 정책 규칙을 설정하여 액세스를 제어합니다. 애플리케이션에서 사용하는 서비스 또는 포트도 정의할 수 있습니다. 예를 들어 포트 80과 443은 웹 트래픽의 기본 포트입니다. 웹 서버에서는 이러한 포트에 대한 액세스만 허용하고 다른 포트는 모두 차단해야 합니다. 허용된 트래픽을 화이트리스트에 추가할 수 있는 경우입니다.

 

조직에서 인터넷으로 나가는 송신 트래픽은 인터넷 액세스에 필요한 포트를 파악하기가 거의 불가능하기 때문에 화이트리스트 보안 정책에서 더 문제가 됩니다. 송신 보안 정책에 대한 보다 일반적인 접근 방식은 블랙리스팅으로, 알려진 악성 트래픽은 차단하고 그 외 모든 트래픽은 '모두 허용' 방화벽 정책 규칙을 통해 허용하는 방식입니다.

 

알려진 악성 사이트를 탐지하기 위해 IP 및 포트 제어 외에 차세대 방화벽(NGFW) 에서 추가 보안 기능을 사용하도록 설정할 수 있습니다. 여기에는 URL 필터링 및 애플리케이션 제어가 포함됩니다. 예를 들어, 페이스북 액세스는 허용하지만 페이스북 게임은 차단하는 데 사용할 수 있습니다.

#6. 방화벽 정책 및 사용이 표준을 준수하는지 확인하기

규정에는 방화벽에 대한 구체적인 요구 사항이 있습니다. 모든 보안 모범 사례는 이러한 요구 사항을 준수해야 하며 배포된 방화벽에 추가 보안 제어 기능을 추가해야 할 수도 있습니다. 예를 들어 전송 중인 데이터를 암호화하기 위한 가상 사설망(VPN) 사용, 알려진 멀웨어를 방지하기 위한 안티바이러스, 네트워크 침입 시도를 탐지하기 위한 침입 탐지 및 방지 시스템(IDS/IPS) 등이 요구 사항의 일부입니다.

 

예를 들어, PCI DSS는 신뢰할 수 있는 영역과 신뢰할 수 없는 영역 간에 방화벽 영역 기반 제어를 요구합니다. 여기에는 모든 무선 네트워크와 카드 소유자 데이터 환경 사이에 DMZ 및 경계 방화벽을 사용하는 것이 포함됩니다. 몇 가지 추가 PCI DSS 요구 사항은 다음과 같습니다:

 

  • 스푸핑 방지 수단을 사용하여 위조된 소스 IP 주소가 네트워크에 유입되는 것을 감지하고 차단합니다. 예를 들어 내부 네트워크 중 하나의 소스 주소를 사용하여 외부 인터페이스에서 인바운드 트래픽을 차단합니다.
  • NAT(네트워크 주소 변환)를 사용하여 권한이 없는 당사자에게 비공개 IP 주소 및 라우팅 정보를 공개하지 않고 비공개 네트워크에 대한 라우팅 광고를 제거합니다.
  • 반년마다 불필요하거나 오래되었거나 잘못된 규칙을 정리하고 모든 규칙 세트가 승인된 서비스 및 포트만 허용하는지 확인하세요.
  • 개방형 공용 네트워크에서 카드 소유자 데이터 전송을 암호화합니다.
  • 해당 공급업체에서 제공하는 보안 패치를 설치합니다. 중요한 보안 패치는 출시 후 한 달 이내에 설치하세요. (위협 행위자가 알려진 취약점을 얼마나 빨리 이용하는지 고려할 때, 기업은 패치가 출시되면 업데이트하도록 변경할 수 있습니다. IPS 시그니처를 자동으로 업데이트하는 NGFW는 새로 발표된 취약성으로부터 전체 네트워크를 보호할 수 있습니다.)
  • 알아야 할 필요성과 업무 책임에 따라 접근을 제한하는 프로세스를 마련해야 합니다.
  • 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링하세요.
  • 시간 동기화 기술을 사용하여 모든 중요한 시스템 시계와 시간을 동기화합니다.
  • 보안 시스템과 프로세스를 정기적으로 테스트하세요.

#7. 정책 확인 및 위험 식별을 위한 테스트

보안 정책의 규모가 커지면 새 연결을 처리하는 방법을 시각화하기 어려울 수 있습니다. 경로 분석을 수행하는 도구가 존재하며 보안 관리 시스템에 규칙을 검색하고 찾기 위한 도구가 존재할 수 있습니다.

 

또한 일부 보안 관리 시스템에서는 중복 개체가 생성되면 경고하거나 다른 개체를 숨기는 규칙이 있는 정책을 설치하지 않습니다. 정책을 정기적으로 테스트하여 사용하지 않는 개체와 중복된 개체를 찾아내도록 설계된 대로 작동하는지 확인합니다.

 

방화벽 정책은 일반적으로 하향식 순서로 적용되며, 상위 히트 규칙을 검사 순서에서 더 위로 이동하여 최적화할 수 있습니다. 방화벽 성능을 최적화하기 위해 정책을 정기적으로 검사하세요.

 

마지막으로, 정기적인 침투 테스트를 수행하여 방화벽 외에 조직을 보호하기 위해 추가 보안 조치가 필요할 수 있는 위험을 파악하세요.

#8. 소프트웨어 또는 펌웨어 및 로그 감사

소프트웨어와 펌웨어가 정확하고 최신 상태인지, 로그가 올바르게 구성되고 작동하는지 확인하려면 정기적인 감사가 필수적입니다. 이러한 감사에 대한 몇 가지 모범 사례는 다음과 같습니다:

 

  • 보안이 손상되지 않도록 보안 정책을 수정하기 위한 공식적인 변경 관리 계획을 수립하세요.
  • 소스, 대상 또는 포트에 아무 설정이 있는 규칙은 보안 정책에 구멍이 있을 수 있습니다. 가능하면 이를 변경하여 규칙의 목적이 되는 특정 소스, 대상 또는 서비스를 추가하세요.
  • 섹션 또는 레이어를 만들어 보안 정책에 계층 구조를 추가하면 검토가 더 쉬워집니다.
  • 섹션 또는 레이어의 끝에 레이어의 의도와 일치하는 정리 규칙(예: 모두 허용 또는 모두 거부)을 추가합니다.
  • 규칙에 댓글과 이름을 추가하여 각 규칙의 원래 목적을 식별하는 데 도움을 줍니다.
  • 로깅을 활성화하여 네트워크 흐름을 더 잘 추적하고 포렌식 조사 및 보고를 위한 가시성을 추가하세요.
  • 감사 로그와 보고서를 정기적으로 검토하여 누가 방화벽 정책을 변경했는지 확인하세요.

체크 포인트 정책 최적화를 위한 권장 사항

체크 포인트에서는 체크 포인트 NGFW를 구성하는 데 도움이 되는 다양한 리소스를 제공합니다. 체크 포인트 방화벽 정책에 대한 사전 논의는 규칙 기반 구축 및 최적화에 대한 이 지원 문서를 참조하세요. 또한, 체크 포인트를 처음 사용하는 경우 초보자를 위한CheckMates Community 체크 포인트 도움말을 참조하세요.

 

체크 포인트 솔루션을 더 효율적으로 관리하는 방법에 대해 자세히 알아보려면 무료 온라인 학습 과정을 수강하세요. NGFW 또는 보안 관리 데모도 요청할 수 있습니다.

시작하기

보안 점검 예약하기

체크 포인트 사이버 보안 플랫폼

Check Point Next Generation Firewalls

관련 항목

데이터 센터 보안 모범 사례

강력한 클라우드 보안의 6가지 기둥

통합 보안 아키텍처