Akamai Diversity

Akamai 블로그

Akamai EAA 클라이언트를 통한 SaaS 어플리케이션 접속

SaaS 서비스의 보안

미팅에서 고객이 요청한 사항은 Windows 10으로 마이그레이션한 이후 Microsoft DirectAccess를 대체할 수 있는 솔루션을 제공해 달라는 것이었습니다. 이는 내부 애플리케이션을 원격 근무자나 써드파티 사용자에게 제공하기 위해 새로운 보안 기술을 찾고 있는 많은 기업들이 공통적으로 고민하고 있는 부분입니다. Akamai를 비롯한 다른 대규모 기업에서 제로 트러스트로 전환하는 여정을 시작함에 따라 제로 트러스트 솔루션에 대한 관심이 빠르게 증가하고 있습니다. VPN을 대체하는 트렌드에 관한 자세한 내용은 이 게시물을 참조하시기 바랍니다.


요구사항

고객은 아래 다이어그램에 표시되어 있듯이, 정의된 SaaS 사업자의 트래픽을 온프레미스 포워드 프록시를 통해 포워드하고 싶어했습니다.

eaa two.PNG

그 이유는 2가지입니다. SaaS 사업자의 관점에서 고객 위치가 정의되면 SaaS 서비스를 보호하기 위해 DOS 정책을 구현하는 것은 그리 어렵지 않습니다. 고객사의 관점에서 IT 직원은 어느 곳에서나 SaaS 서버에 접속할 수 있도록 허용하는 것이 아니라 위치에 따라 접속을 제한하고 싶을 수 있습니다. DOS 정책은 소스 IP 주소를 기반으로 SaaS 사업자 측에서 배포됩니다. 확인된 NAT IP 주소를 사용하여 온프레미스 프록시에서 트래픽을 전송하면 이 정책을 간단하게 적용할 수 있습니다.


Akamai ID 인지 프록시(IAP)

Enterprise Application Access(EAA) 솔루션은 기업 직원 및 써드파티 사용자가 내부 웹 서버, 원격 데스크톱 서버, SSH 서버에 안전하게 접속할 수 있도록 합니다. EAA 솔루션은 이중 리버스 프록시 아키텍처로 구축되어 있습니다. 첫 번째 클라우드 프록시는 모든 사용자 접속의 사전 인증을 처리합니다. 두 번째 온프레미스 프록시는 Active Directory에 대한 인증 브로커 작업을 지원하고 상태 확인, 부하 분산, Single Sign-On(SSO)과 같은 기타 애플리케이션 제공 컨트롤러 서비스를 제공합니다. Akamai의 IAP 접근 방식만의 장점은 사용자와 애플리케이션 서버 간에 서비스를 추가할 수 있다는 것입니다. 즉, 25만 개 이상의 노드로 구성된 광범위한 Akamai Intelligent Edge Platform을 활용해 성능을 개선하고 보안을 강화할 수 있습니다.


네트워크 관련 고려사항

IPsec 및 SSL VPN 등의 기존 접속 기술은 데이터센터 네트워크에 대한 직접 접속을 제공합니다. DirectAccess도 IPsec을 이용합니다. 여기에 주목해야 하는 이유는 무엇일까요? 해커와 멀웨어 생성자는 기업의 환경을 정확하게 알고 있으며 정찰 활동의 일환으로 사설 서버 IP 주소를 찾기 위해 핑 스윕(Ping Sweep)을 진행합니다. 멀웨어는 이를 악용하기 때문에 측면 이동을 통한 서버 간의 감염이 흔히 발생합니다. 네트워크에 관한 두 번째 고려사항은 경계 방화벽입니다.  그림 1에서 인바운드 화살표로 표시된 것처럼 오픈 TCP 포트를 인터넷에 노출시켜야 합니다. 문제는 경계 방화벽으로 몰려오는 무단 네트워크 트래픽을 대량으로 처리해야 한다는 것입니다. 이 때 트래픽 규모를 줄이면 좋지 않을까요?

다음 그림에서는 EAA 아키텍처를 간략하게 소개합니다. 그 전에 이 경계 방화벽에 대해 한 가지 언급하고 싶은 것은 EAA는 인바운드 TCP 포트를 오픈할 필요가 없습니다. 트래픽 폭증을 막아줘서 고마워요 Akamai!


EAA 클라이언트

Akamai EAA 클라이언트는 Akamai의 제로 트러스트 솔루션을 보완하는 가벼운 클라이언트로 모든 애플리케이션은 물론, 데이터센터에서 실행되며 웹 기반이 아닌 포트·프로토콜을 사용하는 무거운 클라이언트를 지원합니다. Outlook, SAP GUI, SQL 클라이언트, AWS 명령줄 인터페이스 등이 포함됩니다. SaaS 트래픽을 명시적 포워드 프록시로 포워드해달라는 고객의 요구사항에 대해 EAA 클라이언트는 DNS 네임을 기반으로 목적지 트래픽을 인터셉트하는 매우 유용한 기능을 제공합니다. 이제 이 기능의 작동 방식을 살펴보겠습니다. 예를 들어 브라우저가 대상 URL인 drive.google.com을 찾으려 한다고 가정해 보겠습니다. EAA 클라이언트는 DNS를 Google의 IP 주소로 리졸브하지 않고 drive.google.com에 대한 DNS 요청을 인터셉트해서 저장된 주소로 리졸브합니다. 이에 따라 EAA 클라이언트는 drive.google.com으로 향하는 모든 트래픽을 인터셉트할 수 있습니다. 

eaa three.PNG

아마 여러분은 EAA 클라이언트가 트래픽을 가로챈 후에 트래픽이 어떻게 되는지 궁금하실 겁니다.

결론만 말하면 깔끔하게 처리됩니다. Akamai는 애플리케이션 요청이 목적지로 안전하게 전달될 수 있도록 WebSocket을 활용해 전이중(full-duplex) 통신 채널(Wikipedia에 정의됨)을 생성하기로 했습니다. 상위 수준의 콜 흐름 다이어그램에 대해서는 뒷부분에서 조금 더 자세히 설명하겠습니다. 


G Suite로 테스트하기

개념을 테스트하기 위해 저는 Google G Suite로 빠르게 테스트해 보기로 결정했습니다. 이제 EAA 
설정이 어떻게 되어 있는지 확인해 보겠습니다. drive.google.com, mail.google.com, accounts.google.com 등 모든 G Suite 구성요소를 하나하나 설정하는 대신 *.google.com과 같은 
와일드카드 설정을 사용하면 설정을 크게 간소화하고 배포 시간을 줄일 수 있습니다.

eaa four.PNG

사용자는 설정된 IdP(Identity Provider)를 기준으로 EAA 클라이언트를 통해 인증됩니다. 인증이 완료되면 EAA 클라이언트는 설정된 특정 와일드카드 호스트에 대한 DNS 요청을 인터셉트하기 시작합니다. 이 예시에서 호스트는 *.google.com이며 그림 4의 ①단계에 표시되어 있습니다. 그 다음, GET 
요청이 전송되면 요청 대상은 EAA 클라이언트가 리스닝하는 예약된 IP 주소이므로 ②단계에서 요청이 수신됩니다. 이 요청은 ③단계에서 Akamai 플랫폼을 통해 EAA 커넥터로 전달되고 다시 ④단계에서 포워드 프록시로 전달됩니다. 포워드 프록시는 ⑤~⑩단계에 표시된 대로 콘텐츠를 검색하여 브라우저로 전달합니다.

eaa five.PNG


요약

새로운 Akamai EAA 클라이언트는 위에서 언급한 SaaS 문제의 해결과 같이 보안 접속과 관련된 다양한 사용 사례를 지원할 수 있습니다. EAA 솔루션의 장점은 다음과 같습니다.

  • 제로 트러스트 아키텍처를 활용하여 보안 체계가 크게 강화됩니다. 우선 정상 사용자가 Akamai EAA 클라우드를 통해 인증받도록 하여 데이터센터로 향하는 무단 트래픽을 차단하기 때문에 방화벽을 원래 목적대로 사용할 수 있습니다.
  • 클라우드 서비스인 EAA는 구축이 매우 간편하고 새로운 애플리케이션도 몇 분 안에 프로비저닝할 수 있습니다.
  • 관리가 간편하고, 다운타임이 없으며, 어플라이언스를 업그레이드하기 위해 한밤중에 유지관리 작업을 할 필요도 없습니다. EAA 커넥터는 데이터센터의 필수 구성요소이지만 이 가상 머신은 헤드리스이며 직접 유지관리할 필요가 없습니다.

SaaS 서비스를 인터셉트하는 사용 사례를 처음 들었을 때 저는 이것이 일회성 고객 요구사항일 거라 생각했습니다. 하지만 제 동료가 중국 고객도 동일한 요구사항을 가지고 있다라는 얘기를 들었을 때 적잖이 놀랐습니다. EAA의 빠른 테스트에 관심이 있으시면 Akamai 무료 체험 페이지로 이동해 30일 무료 체험을 시작해 보시기 바랍니다.