마이크로세분화 배포를 위한 아키텍트 가이드: "기대어야 할" 5가지 장소

일루미오에서는 가장 성공적인 마이크로세그멘테이션 배포 사례 중 일부는 설계 고려 사항, 프로세스, 필요한 팀을 사전에 명확하게 파악한 결과라는 사실을 확인했습니다. 정보가 많을수록 배포가 원활해지므로 수백 건의 고객 배포 작업을 통해 얻은 교훈과 검증된 모범 사례를 문서화하여 여러분의 마이크로세분화 여정에 도움을 드리고자 합니다.

과거를 간단히 돌아보려면 여기에서 확인할 수 있습니다:

• 1부에서는 보안 모델 변경(즉, 기존의 이스트-웨스트 방화벽을 계속 사용하는 대신 마이크로세그멘테이션을 배포하는 것)의 의미에 대해 설명합니다.
• 2부에서는 최적의 마이크로세그멘테이션 배포를 위한 권장 팀 구조를 살펴봅니다.
• 3부에서는 배포 과정에서 발생할 수 있는 장애물을 피하기 위해 주의해야 할 구체적인 체크포인트를 살펴봅니다.

우리는 먼 길을 걸어왔으며, 여기서 이 논의를 한 단계 더 발전시켜 보겠습니다.

모든 조직은 새로운 기술을 배포하거나 조직 보안을 위해 새로운 접근 방식을 채택할 때 비공식적인 보호 장치와 공식적인 보호 장치를 모두 갖추고 있습니다. 각 담당 팀원들은 자신이 할 수 있는 일, 그리고 언제 결재, '에어 커버' 또는 조치를 취하기 위한 허가가 필요한지 내재화했습니다. 팀에서 이를 갖추지 못하면 진행이 지연되고, 출장 일정으로 인해 문제 해결에 필요한 내부 회의가 지연되면 일주일 이상 시간을 허비하기 쉽습니다.

제 경험상, 이 시리즈의 2부에서 설명한 대로 경영진 스폰서 또는 신뢰할 수 있는 위임자가 '의지'하여 결정을 내리고 프로젝트를 가속화할 수 있는 다섯 가지 장소가 있으며, 아래에 간략하게 설명해 두었습니다.

이러한 각 지점은 실제 결과가 잘못될 수 있는 지점이기도 합니다. 팀원들은 이러한 순간에 자연스럽게 위험을 회피하게 될 것이며, 준비 사항과 예방 조치를 제시한 후 계획대로 진행하라는 지시를 받으면 감사하게 될 것입니다. 또한 배포 계획에서 관리팀이 프로젝트 팀으로부터 전화, 이메일 또는 방문을 받아 도움, 승인 또는 안내를 요청할 가능성이 있는 시점이므로 나중에 명백한 지연을 피하려면 미리 파악하는 것이 중요합니다.

"기대고 싶은" 5가지 장소

1. 마이크로세분화 에이전트를 대량으로 설치할 수 있는 권한

서버/운영팀은 전체 테스트와 검증을 거친 후에도 이 시점에 민감하게 반응할 것입니다. 이러한 일이 발생하고 모든 올바른 알림과 프로세스가 준수되었는지 확인하기 위해 '푸시' 또는 경영진 문의를 하는 것이 도움이 되는 경우가 많습니다.

2. 모니터 전용 모드에서 벗어나도록 승인(및 요구)하고 파손에 대처하기 2.

상담원이 정책 구축 모드로 전환되면 운영 체제 방화벽을 완전히 제어하거나 자체 방화벽을 설치합니다. 테스트와 검증을 거쳤기 때문에 가능성은 극히 낮지만, 워크로드에 영향을 미칠 가능성은 여전히 남아 있습니다. 어느 시점에서는 팀이 무한정 분석하는 것보다 앞으로 나아가서 잘못된 것을 고쳐야 한다는 결정을 내릴 수 있는 리더십이 필요할 것입니다. 공급업체에서 이 작업을 최대한 쉽게 수행할 수 있는 방법에 대한 지침을 제공할 것으로 기대합니다.

3. 초기 정책 가이드라인 및 그에 따른 규칙 승인하기

위에서 설명한 것처럼 초기 정책 정의는 팀의 중요한 목표입니다. 모든 사람이 그것을 향해 달려갈 수 있도록 정확하고 받아들일 수 있다는 것을 알아야 합니다. 또한 기술 책임자가 프로젝트의 범위 확대를 방지할 수 있는 집결점이 될 것입니다. 심리적으로 대부분의 보안 관리자는 기존 프로세스에 의해 철저하게 검증된 규칙 집합으로 프로그래밍하는 데 익숙합니다. 첫 번째 규칙을 작성하면 이러한 프로세스를 사용하지 않을 가능성이 높으며, 정의되고 승인된 초기 정책이 있으면 모든 사람이 편안하게 운영할 수 있습니다.

4. 내부 워크플로 및 프로세스가 올바르게 생성되었는지 확인합니다.

PROD 환경에 들어가기 전에 팀이 모든 적절한 사람, 프로세스, 승인자 및 이해관계자와 조율했는지 확인하는 것이 중요합니다. 판돈이 크면 놀라움은 매우 나쁩니다. 프로세스를 주의 깊게 살펴보고 팀에서 누락된 사람이나 알아야 할 경영진이 없는지 확인하는 것이 좋습니다.

5. 정책 시행으로의 전환 승인(및 요구) 및 위반에 대한 처리

초기 마이크로세분화 정책을 몇 주 동안 신중하게 구현하고 테스트하면 팀에서 정책 시행에 대한 확신을 갖게 될 것입니다. 시행 시 마이크로세그멘테이션은 명시적으로 허용되지 않은 모든 트래픽을 차단합니다. 이것은 "큰 걸음"입니다. 그렇기 때문에 많은 조직에서 마이크로세그멘테이션을 구매하고 감사자가 결과를 검사하는 경우가 많습니다. 대규모 프로젝트에서는 무언가 놓치거나, 알 수 없거나, 설명할 수 없는 일이 발생할 것이 거의 확실합니다. 며칠 또는 몇 주 후에 차단된 항목이 표시되고 전화가 걸려오게 됩니다.

이는 하드웨어 방화벽에서도 마찬가지이며 마이크로세그멘테이션에서도 마찬가지입니다. 프로젝트의 어느 시점이 되면 총괄 스폰서는 모든 합리적인 준비가 완료되었음을 알게 될 것입니다. 이 시점에서 팀은 계속 진행하기 위해 승인이 필요하고 원할 것입니다. 명확한 리더십과 소통이 없으면 조직은 앞으로 나아가는 통제된 위험 대신 옆으로 나아가는 안전에 편향되는 경향이 있습니다. 올바른 경영진의 결정은 앞으로 나아갈 동기를 부여하고 앞으로 나아가기 위한 우선순위를 명확하게 전달할 수 있습니다.

각 사례에 대해 미리 계획을 세우고 그에 따라 준비하면 이러한 (그리고 다른) 함정을 피할 수 있습니다. 위에서 언급했듯이 투명성은 이 모든 논의의 핵심입니다.

이 시리즈의 다섯 번째이자 마지막 파트에서는 공급업체 관계를 가장 잘 관리하는 방법과 운영 무결성을 유지하는 방법에 대해 살펴봅니다. 자세한 내용은 지금 바로 Medium에 대한 종합 가이드를 읽어보세요: https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30