데이터 센터에서의 Palo Alto Networks: 타협 제거2011년 5월

데이터 센터에서의 Palo Alto Networks: 타협 제거

2페이지

주요 요약데이터 센터 네트워크의 보안은 기본적으로는 간단합니다. 위협 요소를 차단하고, 규정과 엔터프라이즈

정책을 준수하며, 이러한 과정에 업무를 방해하지 않으면 됩니다. 그러나 실제로는 응용 프로그램 가용성과

성능에 대한 요구가 계속 증가하고, 위협 요소의 환경 역시 지속적으로 진화하고 있으며, 보안의 관점에서

응용 프로그램에서 일어나는 일을 이해해야 하는 필요성 때문에 데이터 센터 보안의 비교적 수월해 보이는

요구를 충족하기가 더욱 어려워지고 있습니다. 실제로 지금까지 대부분의 조직에서는 거래 보안, 기능, 그리고

성능에 대한 가시성, 단순성 및 효율성에서 상당히 많이 타협하도록 강요를 받았습니다. 게다가 모든 데이터

센터가 동일한 것이 아니기 때문에 내부 엔터프라이즈 데이터 센터에는 인터넷 연결 데이터 센터와는 다른

임무 및 보안 요구 사항이 있습니다. 이러한 두 가지 유형의 데이터 센터에서는 응용 프로그램 및 사용자

특성, 규제 요구 사항 및 추가적인 고유한 보안 고려 사항이 모두 다릅니다. 엔터프라이즈 데이터 센터의 경우

네트워크 보안을 다양한 네트워크 아키텍처에 통합하는 능력, 업무 관련 조건(예: 응용 프로그램 및 사용)에

따라 네트워크를 분할하는 능력, 그리고 응용 프로그램 개발자와 보조를 같이할 수 있는 능력이 필수적이며

이러한 능력은 네트워크 보안 인프라의 고유한 요구 사항입니다. 반면에 인터넷 연결 데이터 센터의 관리자는

유연성 향상, 높은 가시성, 쉽고 개선된 위협 요소 차단의 통합과 더욱 안정적인 운영을 요구하는 경우가

많습니다.

Palo Alto Networks는 고유한 기술을 통해 두 가지 데이터 센터 환경의 네트워크 보안 요구를 충족합니다.

데이터 센터의 성능 및 안정성을 향상하도록 설계된 아키텍처와 혁신적인 기술 기반(App-ID™, User-ID 및

Content-ID)을 접목한 Palo Alto Networks 차세대 방화벽은 기존의 데이터 센터 네트워크 보안의 고질적인

약점이었던 받아들이기 힘든 여러 타협이 더 이상 문제되지 않는 데이터 센터 네트워크 보안 솔루션을 조직에

제공합니다.

데이터 센터 네트워크 보안 = 위협 요소 차단, 준수, 성능미국의 악명 높은 은행 강도 Willie Sutton에게 은행을 턴 이유를 물었을 때 “그곳에 돈이 있으니까”라고 한

그의 대답은 유명한 이야기입니다. Sutton은 이 이야기를 과장된 것이라고 했지만 데이터 센터 역시 같은 이유

때문에 범죄자들에게는 매력적입니다. 이곳에는 데이터가 있고 데이터에는 금전 또는 이에 상응하는 가치가

있기 때문입니다. 데이터 센터 네트워크 보안은 개념상으로는 쉽습니다. 엔터프라이즈 고객과 이야기해 보면

현재 데이터 센터 네트워크 보안에 대한 세 가지 주요 요구가 있음을 알 수 있습니다.

n 위협 요소 차단n 준수 및 분할n 응용 프로그램 성능 및 가용성 유지

첫 번째 요소인 위협 요소 차단은 최근 몇 년 동안 더욱 어려워진 것이 사실입니다. 인프라에 대한 기본적인

공격은 자취를 감추고 다중 벡터 및 응용 프로그램에 기반을 두는 탐지하기 어려운 정교한 공격이 주류를

차지하고 있으며, 모르는 사이에 엔터프라이즈 사용자가 도움을 받아 이익을 노리고 수행되는 다형성 공격이

대세를 이루고 있습니다. 이러한 위협 요소의 개발과 관련된 조직의 수준 또한 전례 없는 수준입니다. 두 번째

요구 사항인 준수는 계속해서 데이터 센터 아키텍처 및 네트워크 보안에 중요한 영향을 발휘하고 있습니다.

PCI, US 보건 규정 또는 유럽 개인 정보 규정에서는 모두 조직에 대한 일반적이고 데이터 센터에 대한

구체적인 네트워크 분할의 수준을 높이도록 강제하는 규정 및 준수 요구 사항들이 많이 있습니다. 마지막으로

성능 및 가용성 유지라는 두 가지 요구 사항 중 한 가지는 일반적으로 단순성과 연관되어 있습니다. 복잡성은

일반적으로 통합 문제 증가, 가동 중단 가능성 상승 그리고 지연율 증가를 의미합니다. 간단하게 유지하는

것이 필수적입니다. 두 번째 요구 사항은 속도이며 신속한 처리를 통해 업무에 지연율이 추가되지 않도록 하는

것입니다. 보안 솔루션이 이러한 요건을 충족하지 못하면 데이터 센터에서 오래 사용될 수 없습니다.

3페이지

수용할 수 없는 타협 때문에 문제에 처한 데이터 센터 네트워크 보안데이터 센터 네트워크 보안은 전통적으로 경계 네트워크 보안에 비해 뒤쳐지는 경우가 많은데 응용 프로그램

가용성과 성능이 보안보다 중요하기 때문입니다. 데이터 센터에서 호스팅 중인 응용 프로그램이 사용할

수 없게 되거나 사용자에게 응답하지 않으면 조직에서 수익 기회를 놓치는 경우가 많습니다. 이 때문에

엔터프라이즈에서 상태 저장 조사, 데이터 센터 네트워크 보안이 적용된 ACL을 라우터에 사용하여 경계

네트워크 보안 인프라를 구축할 때 종종 지연율과 가동 중단을 유발하는 네트워크 보안 제어를 “간소화”하는

것이 일반적입니다. 그리고 이후에 엔터프라이즈 경계 네트워크 보안 인프라에서 IPS, 프록시, DLP 및 다른

장치를 도입할 때 일부 데이터 센터에서 상태 저장 조사 기술을 도입하기 시작합니다. 이러한 전통적인 상황은

데이터 센터 네트워크 보안에서 자주 발생하는 중요한 타협 상황을 잘 보여 줍니다.

n 성능 또는 보안n 단순성 또는 기능n 효율성 또는 가시성

이러한 타협들은 “고착화”된 경우가 많습니다. 예를 들어 인터넷 연결 데이터 센터를 보유하고 있는 데이터

센터에서는 장비를 선택할 때 성능 또는 보안 사이에서 선택해야 합니다. 풍부한 성능 용량을 갖추고 있지만

보안 수준이 낮은 서비스 공급자 수준 방화벽을 선택하거나 풍부한 보안 기능을 갖추고 있지만 성능이 낮고 몇

가지 신뢰성 기능이 필요한 경계 네트워크 수준 방화벽을 선택할 수 있습니다. 문제는 일단 조직에서 선택하면

바꾸기가 어렵다는 것입니다. 보안과 성능 간에 균형을 변경하려면 새 디자인과 새 제품을 구현해야 합니다.

모든 데이터 센터가 같은 것은 아닙니다.보험 회사의 내부 클레임 처리 응용 프로그램을 호스팅하는 데이터 센터와 소매 웹 사이트를 호스팅하는

데이터 센터를 비교해 보면 상당히 큰 차이가 있음을 쉽게 알 수 있습니다. 이러한 차이에는 응용 프로그램의

특성 및 수, 사용자의 수준 및 수, 그리고 특정한 보안 제어의 우선 순위 및 가능성이 있습니다. 이 백서에서는

다른 네트워크 보안 속성과 두 가지 다른 데이터 센터 유형의 필요성에 대해 알아보겠습니다.

n 엔터프라이즈/내부 데이터 센터n 인터넷 연결 데이터 센터

Palo Alto Networks 차세대 방화벽을 통해 조직에서 두 가지 유형의 데이터 센터를 위한 데이터 센터

네트워크 보안의 주요 요소를 달성할 수 있지만, 이러한 데이터 센터 간에는 상당한 차이점이 있기 때문에 Palo

Alto Networks의 혁신적인 기술이 다르게 적용됩니다(부록 참조).

데이터 센터에서의 Palo Alto Networks: 타협 제거

4페이지

엔터프라이즈/내부 데이터 센터엔터프라이즈 데이터 센터는 상대적으로 응용 프로그램을 더 많이 호스팅하지만 사용자의 수는 적습니다. 응용

프로그램의 출처는 패키지 응용 프로그램, 자체 개발 또는 사용자 지정 응용 프로그램 등 다양합니다. 응용 프로그램은

브라우저 기반일 수 있지만 클라이언트/서버일 가능성이 높습니다. 응용 프로그램은 터널 기반이거나 가상화될 수

있습니다. 사용자는 일반적으로 알려진 경우가 많고 일반적으로 직원, 계약자 또는 파트너입니다. 그림 1을 참조하십시오.

그림 1: 엔터프라이즈 데이터 센터

엔터프라이즈 데이터 센터에서 직면하고 있는 고유한 네트워크 보안 문제에는 네트워크 분할의 필요성(일반적으로 규정

준수를 위해), 응용 프로그램 개발자의 보조를 맞추어야 하는 필요성, 그리고 네트워크 보안을 다양한 데이터 센터

디자인에 “맞추어야”하는 요구 사항이 포함됩니다. 엔터프라이즈 데이터 센터에서 점차 관심을 받고 있는 다른 문제로

“불량” 응용 프로그램의 급증이 있습니다. 불량 SharePoint 설치 또는 비표준 포트에서 관리자가 사용하는 SSH와 같은

이러한 응용 프로그램은 데이터 센터 네트워크에서 식별하고 제어해야 합니다.

엔터프라이즈 데이터 센터에서의 Palo Alto Networks

위에서 언급한 것처럼 엔터프라이즈 데이터 센터에서의 네트워크 보안은 네트워크 분할과 관련된 경우가 많습니다.

어떤 방화벽이라도 네트워크 분할을 수행할 수 있지만 데이터 센터에서 포트 및 IP 주소 기반 분할은 경계

네트워크에서만큼이나 의미가 없습니다. 말하자면 대부분의 경우 어떠한 열린 포트라도 이용할 수 있는 응용

프로그램과 위협 요소가 혼합된 상황에서는 실질적인 의미가 없습니다. 게다가 IP 주소 또는 IP 주소 풀을 기준으로

액세스를 제어하는 것도 사용자에 대한 근사치를 기준으로 구분하는 것에 불과합니다. 엔터프라이즈에서 원하는

것은 규정을 준수하기 위한 것이든 또는 외부 요구 사항(예: PCI 부록 F 참조)을 준수하기 위한 것이든 사용자 및

응용 프로그램을 기준으로 하는 네트워크 분할입니다. 예를 들어 조직에서는 카드 소지자 데이터를 포함하는 서버를

분할하고 지불 응용 프로그램을 사용하는 재무 사용자에게만 해당 세그먼트에 대한 액세스를 허용하여 액세스를 포함

및 제한하고 개인 책임을 유지 관리할 수 있습니다. 이러한 수준의 제어 및 아마도 가장 중요한 감사 능력을 확보하는

것은 대부분의 대기업에서 필수적인 기능일 것입니다.

엔터프라이즈 데이터 센터의 다른 핵심 요소로 아키텍처의 다양성이 있습니다. 이러한 특성의 원인에는 일부 조직의

경우 내부 “데이터 센터”가 한곳에 있지 않을 수 있기 때문입니다. 이것은 라우터, 코어 스위치, 액세스 스위치 및 다른

네트워크 리소스의 일반적인 스택을 VLAN 및 분산 응용 프로그램 구성 요소의 포괄적인 사용이라는 상황에서 조금

다른 방법으로 보아야 한다는 것을 의미합니다. 이것이 Palo Alto Networks 차세대 방화벽의 다른 장점으로서, 이러한

방화벽은 L1(가상 선로), L2 및 L3에서 통합은 물론 여러 다수 포트 장비에서 혼합 모드로 작동하는 기능까지 갖추고

있습니다. 게다가 VLAN 트렁크 설정, 포트 집계, 여러 보안 영역 및 가상 방화벽에서 역할 기반 관리를 수행할 수 있는

능력을 통해 조직에서 어떠한 아키텍처 및 운영 모델에도 차세대 방화벽을 통합할 수 있게 되었습니다. 그림 2에는

VLAN 및 L2 통합을 수행하는 “막대 위 방화벽” 디자인이 나옵니다. 이 디자인은 아직 인라인 형태이지만 유연한

통합을 통해 엔터프라이즈 고객이 선호하는 네트워크 아키텍처를 사용할 수 있습니다.

데이터 센터에서의 Palo Alto Networks: 타협 제거

5페이지

데이터 센터에서의 Palo Alto Networks: 타협 제거

그림 2: Palo Alto Networks를 통해 VLAN을 사용하는 L2 상의 엔터프라이즈 데이터 센터 디자인

마지막으로 엔터프라이즈 데이터 센터에서 Palo Alto Networks 차세대 방화벽의 다른 핵심 사용으로 불량

응용 프로그램의 제어가 있습니다. 고객 배포에서 불량, 잘못 구성된 SharePoint 배포, 표준이 아닌 포트에서

무단 SSH 사용, 심지어 P2P 파일 공유까지 검색하고 제어할 수 있습니다. 다른 예는 운영에 더욱 초점을

맞추어져 있는데, 응용 프로그램 개발자들은 데이터베이스 및 다른 응용 프로그램 구성 요소를 편리한

포트에서 개발하는 경우가 많습니다. 응용 프로그램 개발자를 제어하는 것이 아니라 응용 프로그램을 제어할

수 있습니다. 예를 들어 MySQL이 보안 영역 내에서 승인된 응용 프로그램이라면 사용하는 포트에 관계없이

이를 허용할 수 있습니다. 이를 통해 간단하게 개발자와 보조를 맞추고 공격 취약 지점의 증가 없이 안전하게

핵심 응용 프로그램을 활성화할 수 있습니다.

인터넷 연결 데이터 센터반면에 인터넷 연결 데이터 센터의 경우 일반적으로 응용 프로그램의 수가 적고 일반적으로 웹 응용

프로그램(즉, 브라우저 기반)입니다. 이러한 응용 프로그램들은 공용 웹 인프라 “스택”(예: IBM, LAMP,

Microsoft, Oracle) 중 하나를 사용하는 경우가 많습니다. 사용자의 수는 많으며 알려지지 않고 신뢰할 수

없는 경우가 많습니다. 그림 3을 참조하십시오.

사용자 데이터베이스 응용 프로그램/웹 서버

그림 3: 인터넷 연결 데이터 센터

인터넷 연결 데이터 센터가 직면한 고유한 네트워크 보안 문제로는 디자인(예: 방화벽이 결함 허용, 대량 출력량 배포에

맞추어져 있지만 IPS 성능과 관련된 공통적인 문제가 있을 때 IPS를 배치하는 위치), 앞서 언급한 고착된 타협들, 그리고

가시성(예: 사용되는 항목, 공격받는 항목)이 포함됩니다.

인터넷 데이터 센터에서의 Palo Alto Networks

인터넷 연결 데이터 센터에서 Palo Alto Networks

차세대 방화벽은 유연성이라는 중요한 장점을

제공합니다. 이제 엔터프라이즈에서 성능 및 보안 중

하나가 강요되거나 선택할 필요가 없는 네트워크 보안

인프라를 사용할 수 있습니다. 보안 자세의 변경은 전체

콘텐츠 검사부터 응용 프로그램 및 사용자별 방화벽

정책, 기본 방화벽 정책까지 정책 설정을 통해 수행할

수 있습니다.

이러한 디자인 유연성에는 단순화라는 중요한 부수적

장점에 따라옵니다. 그림 4를 참조하십시오. 이제 더

이상 데이터 센터 설계자가 전통적인 병목 지점이었던

IPS를 통합하는 방법을 알아낼 필요가 없습니다.

Palo Alto Networks 차세대 방화벽은 IPS용 NSS를

통한 테스트를 거쳤으며 최고의 차단율을 달성하는

데서 그치지 않고(93.4%, 회피에 대해서는 100%

저항), 데이터시트 클레임에서도 탁월한 성능을

발휘합니다(115% 출력량 제공). 따라서 데이터 센터

네트워크 설계자가 손쉽게 자신의 디자인을 정리할 수

있습니다.

데이터베이스 응용 프로그램 서버 웹 서버

마지막으로 한곳에서 사용 가능한 가시성은 상당한 장점입니다. 일반적으로 가시성은 여러 로그 파일을 검토하는

것을 의미했으며 모래 사장에서 바늘을 찾는 것과 비슷했습니다. 그러나 Palo Alto Networks 데이터 센터 고객은 응용

프로그램 가시성과 트래픽 가시성을 하나의 사용자 인터페이스에서 인바운드 URL 및 위협 요소 로그가 연결된 형태로

볼 수 있으므로 가시성 및 효율성 중 하나를 선택해야 하는 상황에서 벗어날 수 있습니다.

데이터 센터 네트워크 보안을 재창조하는 차세대 방화벽Palo Alto Networks 차세대 네트워크에서 제공하는 여러 혁신적인 기술(App-ID, User-ID, Content-ID 및 싱글 패스,

병렬 처리 아키텍처 – 자세한 내용은 부록 참조)을 통해 엔터프라이즈가 해결해야 했던 기존의 여러 데이터 센터

네트워크 보안의 타협을 해결할 수 있습니다. 조직에서는 처음으로 다음과 같은 능력을 갖추게 되었습니다.

n 위협 요소 차단n 준수 및 분할n 응용 프로그램 성능 및 가용성 유지

보안, 기능 및 가시성을 유지하고 성능, 단순성 및 효율성을 확보하면서 이러한 모든 작업을 수행할 수 있습니다.

그림 4: 인터넷 데이터 센터와 Palo Alto Networks

6페이지

데이터 센터에서의 Palo Alto Networks: 타협 제거

7페이지

데이터 센터에서의 Palo Alto Networks: 타협 제거

부록

고유한 Palo Alto Networks 기술Palo Alto Networks는 고객이 두 가지 유형의 데이터 센터에서 성능, 단순성 및 효율성을 위해 보안, 기능 및

가시성을 타협할 필요가 없도록 해 주는 4가지 고유한 기술을 보유하고 있습니다.

n App-IDn User-IDn Content-IDn 싱글 패스 병렬 처리 아키텍처

App-ID는 기본 분류 메커니즘입니다정확한 트래픽 분류는 모든 방화벽에서 가장 중요한 부분이며 보안 정책의 기반입니다. 과거 전통적인

방화벽은 트래픽을 포트와 프로토콜 기반으로 분류했고, 데이터 센터의 보안을 위한 메커니즘으로

충분했었습니다. 하지만 오늘날의 응용 프로그램과 위협 요소들은 포트 홉(hopping), SSL 및 SSH 사용, 80번

포트 은닉 사용, 비표준 포트 사용 등을 통해 포트 기반 방화벽을 쉽게 통과할 수 있습니다. App-ID는 기존의

방화벽에서 문제를 유발하던 트래픽 분류 제한을 해결하기 위한 Palo Alto Networks 고유의 특허 출원 트래픽

분류 메커니즘으로 장치에 트래픽 스트림이 전달된 후 즉시 여러 분류 메커니즘을 적용하여 네트워크에서

전달되고 있는 응용 프로그램의 실체가 표준 응용 프로그램, 패키지 응용 프로그램 또는 사용자 지정 응용

프로그램인지 확인하는 기술입니다.

디렉터리 사용자/그룹을 네트워크 보안 정책으로 통합하는 User-ID

모든 Palo Alto Networks 방화벽 플랫폼에서 갖추고 있는 표준 기능인 User-ID 기술은 IP 주소를 특정 사용자

ID로 연결하여 사용자별 네트워크 작업 가시성 및 제어를 가능하게 합니다. Palo Alto Networks 사용자 인증

에이전트는 Microsoft AD(Active Directory) 및 다른 LDAP 디렉터리와 밀접하게 통합되어 두 가지 방법으로

이 목표를 지원합니다. 첫째, 로그인 모니터링, 엔드 스테이션 폴링 및 Captive Portal 기술의 조합을 사용하여

주기적으로 사용자-IP 주소 관계를 확인하고 유지 관리합니다. 둘째, AD 도메인 컨트롤러와 통신하여 역할 및

그룹 할당과 같은 관련된 사용자 정보를 수집합니다. 이러한 세부 정보는 다음과 같은 작업에 사용됩니다.

n 네트워크 상에서 모든 응용 프로그램, 콘텐츠 및 위협 요소 트래픽에 대한 책임이 있는지에 대한

가시성(감사 능력)을 얻습니다.

n 액세스 제어 정책 내의 변수로서 사용자 ID 사용을 활성화합니다.

n 보고서에서 문제 해결/사고 대응을 원활하게 합니다.

User-ID를 사용하면 IT 부서에서 응용 프로그램을 지능적인 방법으로 제어하는 데 도움이 되는 강력한

메커니즘이 추가됩니다. 예를 들어 규제를 받은 데이터를 포함하는 응용 프로그램을 사용해야 하는 개인 또는

그룹에서 사용할 수 있도록 활성화하고, 위험을 완화하기 위해 검사하며, 기록된 항목을 감사 및 보존 요구

사항을 위해 액세스할 수 있습니다.

Content-ID로 허용된 트래픽에서 위협 요소를 검사해당하는 대응 기술과 마찬가지로 Content-ID는 Palo Alto Networks 차세대 방화벽에 이전에 엔터프라이즈

방화벽에는 없던 기능을 추가합니다. 특히 허용되는 응용 프로그램 트래픽 안에서 실시간 위협 요소 차단, 웹

응용 프로그램 사용에 대한 자세한 가시성, 그리고 파일 및 데이터 필터링이 이러한 기능입니다.

위협 요소 차단. Content-ID의 이 구성 요소는 몇 가지 혁신적인 기능을 사용하여 스파이웨어, 바이러스 및

응용 프로그램 취약점이 편승하는 응용 프로그램 트래픽의 유형(기존 또는 신규 유형)에 관계없이 네트워크를

통과하지 못하도록 방지합니다.

8페이지

데이터 센터에서의 Palo Alto Networks: 타협 제거

n 응용 프로그램 디코더. Content-ID는 이 App-ID 구성 요소를 활용하여 데이터 스트림을 전처리하고

특정한 위협 요소 식별자를 조사합니다.

n 통합화된 공격 시그니처 형식. 위협 요소 유형별로 별도의 검사 엔진을 사용하지 않도록 하여 성능을 더욱

향상시킬 수 있습니다. 바이러스, 스파이웨어 및 취약점 악용을 모두 단일 패스로 탐지할 수 있습니다.

n 취약점 공격 방지(IPS). 프로토콜 이상, 동작 이상을 기준으로 트래픽 정규화 및 조각 모음을 수행하는

강력한 루틴이며, 알려진 위협 요소 및 알려지지 않은 위협 요소를 포함하여 광범위한 보호를 제공하는

휴리스틱 탐지 메커니즘입니다.

n 통합된 URL 로깅. 데이터 센터에서 웹 응용 프로그램의 어떤 요소가 사용 또는 공격받고 있는지

이해합니다.

파일 및 데이터 필터링. 이 기능 집합은 App-ID가 수행하는 심도 있는 응용 프로그램 조사를 활용하여

무단 파일 및 데이터 전송이 유발하는 위험을 감소시키는 정책 적용을 활성화합니다. 구체적인 기능에는

확장자에만 의존하지 않고 실제 형식에 따라 파일을 차단하는 기능과, 신용 카드 및 주민 등록 번호와 같은

민감한 데이터 패턴의 전송을 제어하는 기능이 포함됩니다.

결과적으로 Content-ID를 사용하여 IT 부서에서는 알려진 위협 요소 및 알려지지 않은 위협 요소를 차단할

수 있는 능력을 확보하고, 가시성을 높이며, 성능, 단순성 또는 효율성을 타협하지 않고도 적절한 사용을

보장할 수 있습니다.

고성능 기반을 마련하는 싱글 패스, 병렬 처리 아키텍처무엇보다 중요한 것은 데이터 센터 네트워크 보안 인프라의 성능이 우수해야 한다는 것입니다. 앞에서 언급한

것처럼 성능이 우수하지 않으면 데이터 센터에 설치되지 않습니다. 진정한 차세대 방화벽을 구현하기 위해

Palo Alto Networks는 회선 속도에 맞게 컴퓨팅 집중적인 기능을 수행할 수 있는 새로운 아키텍처를 개발해야

했습니다.

Palo Alto Networks 차세대 방화벽은 싱글 패스 병렬 처리(SP3) 아키텍처를 사용하여 최대 20Gbps 속도로

데이터 센터 환경을 보호합니다.

SP3 아키텍처를 구성하는 두 가지 핵심 요소는 싱글 패스 소프트웨어 아키텍처와 사용자 지정 구축 하드웨어

플랫폼입니다. Palo Alto Networks SP3 아키텍처는 관리 간소화, 처리 능률화 및 성능 극대화를 가능하게

하는 하드웨어 및 소프트웨어 통합을 위한 고유한 방법입니다.

싱글 패스 소프트웨어Palo Alto Networks 싱글 패스 소프트웨어는 Palo Alto Networks 차세대 방화벽 내에서 두 가지 핵심

기능을 달성하도록 디자인되었습니다. 첫째, 싱글 패스 소프트웨어는 패킷당 한 번 작업을 수행합니다.

한 패킷이 처리되는 동안 네트워킹 기능, 정책 조회, 응용 프로그램 식별 및 디코딩, 그리고 모든 위협

요소 및 콘텐츠에 대한 시그니처 검색이 단 한 번에 수행됩니다. 이를 통해 단일 보안 장치에서 여러

기능을 수행하는 데 발생하는 처리 오버헤드를 크게 줄일 수 있습니다.

둘째, Palo Alto Networks 싱글 패스 소프트웨어의 콘텐츠 검사 단계는 스트림 기반이며 통합화된

시그니처 검색을 사용하여 위협 요소를 탐지 및 차단합니다. 차세대 방화벽의 싱글 패스 소프트웨어는

다중 패스 검색이 필요한 별도의 엔진과 별도의 집합을 사용하지 않으며, 검사하기 전에 파일 다운로드가

필요한 파일 프록시를 사용하지 않고 스트림 기반 방식으로 콘텐츠를 한 번만 검색하므로 지연율이

발생하지 않습니다.

3300 Olcott Street Santa Clara, CA 95054

본사: +1.408.573.4000영업: +1.866.320.4788지원: +1.866.898.9087

www.paloaltonetworks.com

Copyright ©2011, Palo Alto Networks, Inc. 모든 권리 보유. Palo Alto Networks, Palo Alto Networks 로고, PAN-OS, App-ID 및 Panorama는 Palo Alto Networks, Inc.의 상표입니다. 모든 사양은 공지 없이 변경될 수 있습니다. Palo Alto Networks는 본 문서의 부정확성에 대해 책임을 지지 않으며 또한 본 문서 내용을 업데이트할 의무가 없습니다. Palo Alto Networks는 본 발행물을 공지 없이 변경, 수정, 전송 또는 기타 개정할 수 있는 권한이 있습니다. PAN_WP_DC_051811

데이터 센터에서의 Palo Alto Networks: 타협 제거

이 싱글 패스 트래픽 처리를 통해 모든 보안 기능을 활성화하면서도 매우 높은 출력량 및 낮은 지연율을

유지할 수 있습니다. 또한 완전히 통합된 단일 정책을 통해 엔터프라이즈 네트워크 보안을 간소화할 수

있다는 추가적인 장점이 있습니다.

병렬 처리 하드웨어Palo Alto Networks SP3 아키텍처의 다른 핵심 구성 요소는 하드웨어입니다. Palo Alto Networks

차세대 방화벽은 싱글 패스 소프트웨어가 최대한 효율적으로 작동하도록 보장하기 위한 다수의 병렬

처리 뱅크가 장착되어 있습니다.

n 네트워킹: 라우팅, 흐름 조회, 상태 카운팅, NAT 및 유사한 기능들이 네트워크 전용 프로세서에서

수행됩니다.

n 보안: User-ID, App-ID 및 정책 조회 기능이 모두 암호화, 암호화 해독 및 압축 해제 가속 기능을 갖춘

다중 코어 보안 전용 프로세싱 엔진에서 처리됩니다.

n 위협 요소 차단: Content-ID에서는 전용 콘텐츠 검사 프로세서를 사용하여 모든 유형의 맬웨어에

대한 콘텐츠를 분석합니다.

n 관리: 전용 관리 프로세서가 데이터 처리 하드웨어의 도움 없이 구성 관리, 로깅 및 보고를 수행합니다.

아키텍처의 마지막 요소는 데이터 및 제어 플레인을 물리적으로 분리함으로써 얻어지는 기본 제공 탄성과

연관되어 있습니다. 이러한 분리를 통해 한 요소가 과도하게 사용되더라도 다른 요소에 부정적인 영향이

미치지 않습니다. 예를 들어 관리자가 프로세서 사용률이 매우 높은 보고서를 실행하는 동안에도 데이터 및

제어 플레인이 분리되어 있기 때문에 패킷 처리는 전혀 영향을 받지 않습니다.