멀티 클라우드를 위한 인프라 자동화 소프트웨어 기업인 하시코프(HashiCorp)는 안전한 원격 액세스 제품인 하시코프 클라우드 플랫폼(HCP: HashiCorp Cloud Platform) 바운더리(Boundary)를 공식 출시한다.
이번 릴리스를 통해 하시코프는 HCP 볼트(Vault)와 HCP 컨설(Consul)에 이어 클라우드용으로 구현된 애플리케이션과 네트워크 및 사용자를 보호하는 바운더리를 추가해 업계 최초의 제로 트러스트(Zero Trust) 보안 솔루션에 제공할 수 있게 됐다.
최근 클라우드로의 이행이 가속화되면서 기존의 보안 방식과의 격차가 확대되면서 보안 침해 사례가 크게 증가하고 있다. 하시코프의 클라우드 전략 현황 조사에 따르면, 응답자의 89%가 클라우드 성공을 결정짓는 가장 중요한 요소로 보안을 꼽았으며, 이는 기업들의 제로 트러스트 보안 도입으로 이어지고 있다.
하시코프의 제로 트러스트 보안에 대한 접근방식은 아이덴티티(Identity)를 사용하여 멀티 클라우드와 온프레미스 및 하이브리드 환경 전반에 걸쳐 애플리케이션과 네트워크 및 사용자를 보호하는데 중점을 두고 있다. 이는 공격대상(Attack Surface)을 줄이고, 복잡한 보안 워크플로우를 자동화할 수 있으며, 사용자와 머신 및 서비스에 대한 인증을 보장하고, 모든 작업의 승인 및 데이터 보호가 가능하다.
기업들이 기존의 데이터센터에서 멀티 클라우드, 하이브리드 및 엣지 환경으로 전환함에 따라 인프라 보안은 규모에 따라 더욱 복잡해지고 있다. 하시코프의 제로 트러스트 솔루션은 다음과 같은 3가지 측면을 모두 처리할 수 있다.
• 애플리케이션: 하시코프 볼트는 다수의 플랫폼과 아이덴티티 프로바이더를 통합하여 일관된 방법으로 애플리케이션 아이덴티티를 관리할 수 있다. 볼트는 동적으로 변경되는 자격증명과 PKI 인증서 및 API 토큰을 비롯해 애플리케이션과 데이터베이스 간의 세분화된 액세스 제어 및 인증을 지원하며, 전송 및 저장 중인 애플리케이션 데이터를 항상 안전하게 보호한다.
• 네트워크: 하시코프 컨설은 애플리케이션과 서비스 간의 네트워크 트래픽을 보호하고, 세분화된 액세스 제어 정책과 옵저버빌리티(Observability) 및 트래픽 형성을 지원한다. 컨설은 볼트의 아이덴티티 플랫폼과 통합하여 애플리케이션 아이덴티티를 정책에 활용하고, 동적 PKI를 지원할 수 있다.
• 사용자: 하시코프 바운더리는 적합한 사용자가 올바른 시스템과 클라우드 서비스에 액세스할 수 있도록 보장하며, 자격증명 배포 및 발급 또는 사설 네트워크 노출이나 정적 자격증명 관리가 필요하지 않다. 바운더리는 볼트와 통합하여 임시 자격증명을 발급하고, 중요 시스템에 대한 일시적 액세스를 지원할 수 있다.
HCP 바운더리 공식 출시
HCP 바운더리는 클라우드 운영 모델을 위한 안전한 원격 액세스 솔루션으로, VPN과 같은 기존 SDP(Software-Defined Perimeter) 솔루션과 IP기반의 매우 수동적인 PAM(Privileged Access Management) 솔루션보다 향상된 기능을 제공한다. 팀은 HCP 바운더리를 통해 인증을 세분화하고, 인증 제어 및 신속한 사용자 온보딩 등을 처리할 수 있으며, 임시 리소스에 대한 대상 검색 및 자격 증명 관리 워크플로우를 자동화할 수 있다. 클라우드 기반 서비스인 HCP 바운더리는 인력과 기술 부족으로 클라우드 전환에 따른 보안 문제로 어려움을 겪는 기업들에게 상당한 이점을 제공한다.
HCP 바운더리를 사용하면, 팀과 사용자들은 세션 연결과 설정, 자격 증명 발급 및 폐기를 하면서도 필요한 중요 시스템에 안전하게 액세스할 수 있다. 또한 바운더리는 운영 및 보안 팀이 클라우드 서비스 카탈로그 및 온프레미스 리소스를 동적으로 불러오고, 시스템과 사용자 및 그룹의 액세스 정책을 매핑할 수 있는 기능을 제공한다.
이를 위해 바운더리는 볼트를 활용하여 암호 없이 연결할 수 있도록 하고, 사용 후에는 해당 자격 증명을 폐기한다. 이를 통해 자격 증명과 네트워크, 리소스와 같은 중요한 정보가 사용자나 외부 행위자에게 절대 노출되지 않도록 할 수 있다.
바운더리는 핵심 보안 원격 액세스 기능 외에도 다음과 같은 기능을 제공한다.
• 신뢰할 수 있는 아이덴티티를 온보딩하고, 인증을 위임하기 위해 OIDC(OpenID Connect)를 지원하는 여러 다른 아이덴티티 플랫폼과 함께 마이크로소프트 애저 액티브 디렉토리(Microsoft Azure Active Directory) 및 옥타(Okta) 등의 아이덴티티 플랫폼 통합
• 조직의 전체 사용자들에게 세분화된 액세스를 제공하는 RBAC(Role-based Access Control)
동적 시크릿 및 볼트와 원활한 통합을 위해 암호 없는 인증 (Passwordless Authentication)
• 대상 검색 및 구성을 간소화하는 자동화된 서비스 검색. 현재 마이크로소프트 애저와 AWS에서 사용할 수 있고, 직접 하시코프 테라폼(Terraform)과 통합하여 관리 대상 리소스를 가져올 수 있는 동적 호스트 카탈로그
• 데이터를 비즈니스 인텔리전스 및 이벤트 모니터링 툴로 내보낼 수 있는 기능을 통해 세션 지표와 이벤트 로그 및 추적에 대한 통찰력을 얻을 수 있는 세션 가시성 및 로깅
