By Dr.Anton Chuvakin, Computer Technology Review

이 기사는 보안, 컴플라이언스, 운영의 이슈들을 다루기 위해 조직 전반에 걸쳐 네트워크와 스토리지 시스템을 위한 통합되고 확장가능한 로그 관리 플랫폼 구현의 중요성을 논의하고있다.

무엇을:Logs

최근에, 보안은 많은 조직들에게 최고 우선순위 리스트로 성장하였다. 그러한 두드러짐에도 불구하고, 많은 조직들은 그들의 네트워크와 시스템에서 발생하는 것들을 제대로 관리하지 못해왔다. 실제로, CIO와 IT 관리자들은 이것-로그 관리-을 하는 효과적인 방법이 있다는 것을 거의 깨닫지 못하고 있다.

모든 사용자와 시스템들은 로그 파일의 형태로 그들의 활동의 흔적을 만들어낸다. 로그는 방화벽, 라우터, 서버, 그리고 클라이언트 OS, 데이터베이스, 심지어 비즈니스 어플리케이션과 같은 IT 구성요소들에 의해 놀라운 속도로 생성되어진다. 그 결과, 로그 데이터의 산더미가 축적되고, 때로, 보안과 시스템 운영 이슈들을 감지하고 해결하는 유용성에도 불구하고 아무도 그것들을 관찰하지 않는다.

적극적으로 로그 데이터를 모니터링하는 것은 외부 보안 위협뿐만 아니라 조직 내부에서 좀처럼 사라지지 않는 잠재적 위협들로부터 비즈니스를 보호하는데 도움이 될 것이다. 불만이 있는 직원에 의한 의도적인 데이터 유출 또는 잘못 놓아둔 노트북에서의 우발적인 정보 손실이던지 간에 내부에는 항상 위험이 존재한다. 불행하게도, 로그 데이터를 수집하는 것은 아직도 일반적으로 정보 위험 요새를 위한 많은 방어벽들의 최우선이라기 보다는 IT 관리자들의 일상적인 업무로서만 여겨지고 있다. 이런 인식은 많은 규정들이 실제로 로그 관리를 의무화한다는 사실에도 불구하고 지속되고 있다.

위의 과제들을 다루기 위해, 비즈니스는 전체 회사 전반에서의 다양한 소스들로부터의 로그 데이터를 100% 캡처할 수 있는 로그 관리 솔루션을 채택해야 한다. 그러나, 로그를 수집하는 건은 전쟁의 절반일 뿐이다. 대부분의 가치가 존재하는 곳은 로그를 모니터링하고 분석하고 그것에 관해 보고하는 것에 있다.

왜:비즈니스 퍼포먼스, 보안. 그리고 컴플라이언스 준수

이제 우리는 로그 관리 솔루션 구현 배후의 뿌리깊은 원동력을 설명해야 한다. 그러한 원동력은 로그 관리의 세가지 기둥 중의 하나에 속한다: 컴플라이언스, 보안 그리고 IT 운영.

보안을 넘어, 로그 데이터 모니터링은 비즈니스 수행을 향상시키기 위해 조직 전반에 적용되어질 수 있다. 예를 들면, 로그 관리는 Identity Management(IdM)과 Business Process Management (BPM)에서 핵심적인 역할을 한다. IdM의 경우, 로그 데이터는 언제 어디에서 사용자들이 패스워드로 보호된 정보에 접근하는 것에 관한 것 뿐만 아니라 새로운 ID가 언제 생성이 되었고, 어떻게 그것들이 관리되는지, 언제 그것들이 삭제되는지를 나타낸다. 로그를 보다 날카로이 이해하는 것은 비즈니스 프로세스를 정의, 평가 및 최적화함으로써 BPM을 또한 향상시킬 수 있다.

컴플라이언스와 산업 규정들은 또한 로그 관리와 인텔리전스로 네트워크와 데이터베이스를 보호하기 위한 주요한 원동력이다. PCI DSS는 신용카드 사기, 해킹, 그리고 다양한 부가적인 보안 취약점들을 방어하기 위해 메이저 신용카드 회사들에 의해 개발되었다. PCI는 20개의 요구사항으로 구성되는데 그 중의 하나인 Requirements 10은 전적으로 로깅과 로그 관리(다른 요구사항들도 또한 로깅을 참조하고 있다)를 다루고 있다. 이 요구사항 하에서는, 모든 시스템 컴포넌트의 로그들은 매일 검토되어야 하고, 이 로그들의 검토는 모든 영역의 시스템을 포함해야 한다. PCI-DSS는 또한 “ 조직들은 그들 로그의 무결성을 보장하고 로그들이 경고를 발생하지 않고 변경될 수 없도록 하는 강력한 접근 통제책을 유지해야 한다” 라고 명시하고 있다.

조직이 로그 관리 시스템을 배치하도록 요구하는 다른 산업 규정들과 표준들에는 의료 관련계를 위한 HIPAA, 연방기관을 위한 FISMA를 포함하여 다른 많은 것들을 포함한다. 이들 경우에, 로그 관리는 고객 데이터를 보호하도록 요구하고 데이터 유출 발생시 핵심 사고 대응과 포렌식 툴로 고려되어진다.

어떻게: 로그 관리를 여러분의 네트워크, 서버 그리고 데이터베이스에 적용하라

요약하자면, 조직들은 전체 IT 인프라 활동의 청사진을 그리고, 최근의 규정들의 다양한 로깅 요구사항을 충족할 필요가 있다. 이러한 목표를 달성하는 것은 단순히 로그 데이터 생성과 수집 이상을 요한다. IT 전문가들은 그들의 시스템이 로그를 생성하고 저장하도록 구성하는 것에 더하여, 실시간 로그 분석과 로그의 심층깊은 리포팅과 검색을 수행할 방법을 또한 모색해야 한다.

이렇게 하는 유일한 실용적인 방법은 로그 관리 플랫폼을 배치하는 것이다. 특히 대기업에서는, 수동으로 로그를 다루는 것은 비용이 들고, 시간 소모적이며, 노동 집약적이다; 이것은 로그의 양이 증대될수록 불가능하게 되는 것은 당연한 일이다.

유사하게, 많은 컴플라이언스 노력들은 보안 개선을 목표로 삼고, 위험감소 노력과 중복이 된다. 더 훌륭한 거버넌스는 전형적으로 컴플라이언스 게임에서 성공하도록 돕는다.

로그 관리 솔루션 구현의 모든 이점들 중에서, 다양한 로그 소스들에서의 중앙화된 로그 수집과 보존이 최고로 손꼽힌다. 왜일까?

로그 관리의 전통적 접근은 이런 식으로 행해졌다: 사고가 발생하면 그들 원천의 개별 포인트에 관한 로그들의 검토가 뒤따른다. 이 접근법은 소규모 기업에서조차도 생성되는 모든 다른 장치들로부터의 엄청난 로그 데이터의 양을 고려할 때, 비효율적이고 복잡하며 잠재적으로 매우 비싸다. 모든 데이터가 다른 데이터의 context에서 발견이 되고 수동적으로 평가될 때까지, 보안유출은 도난당한 데이터와 타격을 받은 명성의 측면에서 회사는 이미 최대의 손상을 입은 것을 당신은 상상해볼 수 있다.

그러나, 중앙식 로그 데이터 웨어하우스에서의 다른 로그들의 context에서 검토되는 이기종 소스로부터의 로그들은 상황 인식력(situational awareness)을 제공하는데 이는 보안 사고와 회사일상의 IT 운영 둘 다를 관리하는데 필수적이다. 예를 들어, 사고에 대응할 때, 모든 가용한 증거는 무엇이 발생했는지를 판단하기 위해 관찰되어야 하는데, 이는 모든 영향을 받은 그리고 의심이 가는 시스템들(그것들과 연결되어 있는 다른 시스템들까지)로부터의 모든 로그들을 의미한다. 각각 개별 소스들로부터 로그들을 보존하여 수동으로 함께 그것들을 검토하는 것과 모든 로그들을 통과하는 하나의 query를 제안하여 검토를 위한 실제 침해사실들에 잘 조준을 맞추는 것 사이의 사고 대응 시간의 격차를 상상해 보라.

일상의 운영을 고려할 때, 중앙식 로그 보존은 모든 시스템들에서의 문제해결 이슈들과 모든 정해진 비즈니스 단위에서의 모든 시스템들을 아우르는 high-level의 트렌드 리포트 운영을 재빨리 처리하도록 한다. 부가적으로, 단일 포인트의 통제는 하나의 버튼 클릭으로 모든 관련된 정보를 시스템관리자가 쉽게 입수할 수 있고 모든 로깅 구성들이 보안 정책, 위협들 그리고 컴플라이언스 명령의 발전과 같이 업데이트 될 수 있다는 것을 의미한다.

결론적으로, 로그 관리는 컴플라이언스 규정을 만족시킬 뿐만 아니라 보안 방침을 지지하면서, IT 운영의 탄력성을 보호하고 유지하는데 반드시 필요하다. 핵심기반이 없이는, 기업의 비즈니스는 악의적 또는 우발적 위험으로부터 나락으로 떨어지기 쉬울 것이다