성공적인 마이크로세분화 프로젝트를 보장하는 방법: 6가지 가장 큰 위험

There’s a reason why so many organizations have not yet implemented microsegmentation to establish greater Zero Trust security protection. These cybersecurity projects are inherently challenging. They cross many functions within the organization, and most importantly, if done poorly, they can negatively impact the availability and performance of critical applications that run the business.

이 시리즈에서는 성공적인 프로젝트를 빠르고, 간단하고, 비교적 쉽게 제공할 수 있는 마이크로세분화에 대한 실용적이고 상세한 접근 방식을 소개합니다.

In part one, we explored the three key reasons why microsegmentation projects fail.

In part two, we outlined three strategic principles that increase project success rates.

이 세 번째 글에서는 마이크로세분화 프로젝트에서 가장 큰 위험 요소 6가지와 이를 제한하거나 제거하는 방법에 대해 간략하게 설명합니다. 이러한 위험을 관리하면 성공적인 마이크로세분화 프로젝트를 수행할 수 있는 가능성이 크게 높아집니다.

이러한 위험은 다음과 같습니다:

1. 적절한 팀과 이해 관계자를 참여시키지 못함
2. 가장 가치가 높은 자산을 식별하고 우선순위를 정하지 않음
3. 다음에 대한 충분한 지식 없이 마이크로세그멘테이션 구축
4. "모든 것에 맞는 하나의 사이즈" 세분화 전략 적용하기
5. 새 정책을 먼저 테스트하지 않고 시행하기
6. 지속적인 정책 관리 문제 지연

각각에 대해 자세히 살펴보겠습니다.

위험 1: 적절한 팀과 이해 관계자를 참여시키지 못함

마이크로세분화는 팀 스포츠입니다. 세분화 전략은 당연히 조직 전반의 여러 기능에 영향을 미치며, 모든 구현 프로젝트에는 다양한 팀과 역할의 실무 작업이 수반됩니다.

그러나 많은 마이크로세분화 프로젝트는 프로젝트가 영향을 미치거나 의존하게 될 모든 사람을 정확하게 파악하고 적절한 시기에 이들을 참여시키는 데 실패합니다. 이는 불필요한 마찰, 협업 부족, 시간 낭비로 이어집니다.

이러한 위험을 줄이려면 처음부터 프로젝트에 참여하는 다양한 그룹을 정확하게 파악하고 온보딩하세요. 일반적으로 여기에는 전략 프로세스에 참여해야 하는 팀과 이해관계자, 그리고 구현 과정에서 실무 작업을 수행할 팀 등 크게 두 가지 그룹이 포함됩니다.

이러한 그룹은 조직마다 다르겠지만 다음은 시작점입니다:

• Strategy teams are primarily focused on identifying which of your applications are high value and need additional protection from microsegmentation. They typically include representatives from sales, finance, engineering, marketing, operations, IT, risk and security.
• 구현 팀에는 전략을 배포하고 유지 관리할 때 관련될 수 있는 모든 기능과 역할이 포함되어야 합니다. 이러한 팀과 역할에는 일반적으로 애플리케이션 소유자 및 팀, 핵심 서비스 엔지니어, 네트워크 팀, 구성 관리 데이터베이스(CMDB) 팀, 보안 팀 및 보안 운영 센터가 포함됩니다.

위험 2: 가장 가치가 높은 자산을 식별하고 우선순위를 정하지 않음

모든 자산은 동일하게 만들어지지 않습니다. 일부 자산은 다른 자산보다 더 민감한 데이터를 담고 있거나 조직의 일상적인 운영에 더 중요합니다.

하지만 많은 마이크로세그멘테이션 프로젝트는 모든 자산을 가능한 모든 위협으로부터 방어하려고 합니다. 이로 인해 조직은 실현이 불가능한 복잡하고 근본적으로 비현실적인 프로젝트 계획을 세우게 됩니다.

To mitigate this risk, focus your microsegmentation strategy around identifying which of your assets are highest value to your organization, then quickly setting up defenses that protect those assets before you touch anything else in your network.

고가치 자산(HVA)은 조직에 고유하게 존재합니다. 여기에는 데이터, 애플리케이션, 시스템, 서비스 및 기타 디지털 및 미션 크리티컬한 모든 것이 포함될 수 있습니다. 소매업에 종사하는 경우 고객 데이터베이스가 될 수 있습니다. 의료 업계에 종사하는 경우 의료 기록일 수 있습니다. 고유한 HVA가 무엇이든 가장 먼저 보호해야 하는 것을 선택한 다음 이를 중심으로 전략을 수립하세요.

위험 3: 충분한 가시성 없이 마이크로세그멘테이션 구축

보이지 않는 것은 세분화할 수 없습니다. 우선적으로 보호해야 할 고가치 자산을 결정한 후에는 침해 시 해당 자산에 액세스할 수 있는 방법을 이해해야 합니다. 이러한 가시성을 통해 이러한 자산을 손상시키는 데 사용될 수 있는 경로를 차단하는 효율적이고 효과적인 마이크로세분화 전략을 설계할 수 있습니다.

하지만 조직은 자산이 서로 연결되고 소통하는 방식에 대한 기본적인 가시성이 부족한 경우가 많습니다. 이로 인해 조직은 자신도 모르게 가장 중요한 자산에 숨겨진 백도어를 남겨두는 세분화 전략을 수립하게 됩니다.

To mitigate this risk, you must establish real-time network visibility before you design and implement your microsegmentation strategy.

You need to be able to map the connections between your workloads, applications and devices. Doing so will show you where your HVAs are connected, vulnerable and exposed to other systems through ports that bad actors could travel to access digital resources.

이러한 가시성을 통해 HVA를 보호하기 위해 네트워크를 세분화해야 하는 위치와 방법을 알 수 있습니다. HVA로 연결되는 경로, 사용되지 않는 경로 중 폐쇄할 수 있는 경로, 정상적인 트래픽을 위해 열려 있어야 하는 경로를 알려줍니다.

위험 4: "모든 것에 맞는 획일적인" 마이크로세분화 전략 적용

마이크로세분화는 각 조직의 고유한 요구 사항에 따라 다양한 사이버 보안 개선 효과를 제공할 수 있는 유연한 전략입니다. 이러한 결과에는 핵심 서비스 보안, 랜섬웨어 보호 강화, 환경 분리, 클라우드 애플리케이션 보안, 개별 애플리케이션 내 여러 계층 분리 등이 포함됩니다.

그러나 일부 마이크로세분화 프로젝트는 네트워크의 모든 구석에서 동일한 결과를 얻으려고 시도합니다. 이로 인해 조직은 일부 영역에서는 잘 작동하지만 다른 영역에서는 실패하는 "모든 것에 맞는 획일화된" 전략을 적용하게 됩니다.

이러한 위험을 완화하려면 네트워크의 각 부분에 적합한 전략을 적용하고 올바른 보안 목표를 수립하는 데 집중하세요. 예를 들어, 보안팀은 가치가 낮은 자산이 있는 네트워크 위치에는 거친 세분화를 적용하고 가치가 높은 자산이 있는 영역에는 세분화된 마이크로세분화를 적용하여 보다 효과적으로 대응할 수 있습니다.

위험 5: 새로운 정책을 먼저 테스트하지 않고 시행하는 경우

마이크로세분화를 적용함으로써 얻을 수 있는 보안상의 이점이 무엇이든 한 가지 분명한 것은 있습니다. 마이크로세분화는 비즈니스를 방해할 수 있습니다.

모든 마이크로세그멘테이션 정책은 자산과 외부 세계 간의 합법적인 연결과 통신을 허용해야 하며, 정상적인 운영에 필요한 경로를 개방하고 액세스할 수 있도록 해야 합니다.

그러나 보안 및 IT 팀은 새로운 마이크로세분화 정책이 비즈니스 운영 및 애플리케이션 성능에 어떤 영향을 미칠지 확실하지 않은 상태에서 정책을 구현하는 경우가 많습니다.

보안 담당자가 새 규칙에 대한 '게시' 버튼을 누른 후 몇 분 후 조직의 절반이 무전기로 연결되지 않아 전화가 울리기 시작하는 익숙한 상황이 발생하게 됩니다.

To mitigate this risk, you must ensure your microsegmentation strategy won’t block legitimate traffic that must continue to flow within your network — before you implement it.

세 가지 방법이 있습니다:

1. 실시간 네트워크 가시성을 사용하여 정상적인 비즈니스 운영 중에 트래픽이 자연스럽게 흘러야 하는 방식에 민감한 보안 정책을 작성하세요.
2. Write simple security policies that have minimal chance of creating unexpected outcomes when applied in the wild.
3. 세분화 기술을 사용하면 변경 사항을 실제로 먼저 적용하지 않고도 테스트를 실행하고 새 규칙 변경이 라이브 트래픽에 미치는 영향을 확인할 수 있습니다.

위험 6: 지속적인 정책 관리 문제 지연

Finally, microsegmentation is not a “one and done” project. Most organizations refine their segmentation to continuously improve and evolve their security posture. Even if an organization chooses to keep their microsegmentation strategy “as is” indefinitely, it still needs to maintain policies and ensure they always remain operative and relevant, even as the organization's underlying network changes.

그러나 일부 보안 및 IT 팀은 배포를 완료한 후에야 이러한 문제에 대해 생각하다가 갑자기 이러한 장기적인 질문에 답해야 하는 상황에 직면하게 됩니다. 이로 인해 조직은 오래 지속되지 않거나 많은 수작업을 통해서만 지속될 수 있는 마이크로세분화 전략을 구축하게 됩니다.

이러한 위험을 완화하려면 마이크로세분화 전략을 설계하는 순간부터 장기적인 관리와 지속 가능성에 대해 고민해야 합니다.

다음은 마이크로세분화 프로젝트 계획 과정에서 가능한 한 빨리 질문하고 답변해야 할 몇 가지 관련 질문입니다:

• 시스템 위치가 변경될 때 시스템에 대한 정책을 어떻게 유지하나요?
• 새로운 시스템이 온라인 상태가 되면 관련 정책에 따라 어떻게 적용하나요?
• 세분화 프로그램을 매일 모니터링하고 운영할 팀원은 누구인가요?

리스크 제거 및 마이크로세분화 프로젝트의 성공 보장

대부분의 마이크로세분화 프로젝트는 방금 정의한 위험 중 하나, 일부 또는 전부를 안고 있습니다. 프로젝트에서 이러한 문제를 사전에 해결하고 제거하면 보다 탄력적이고 안정적인 마이크로세분화 프로젝트를 개발하고 제공하는 데 큰 도움이 될 것입니다.

하지만 단순히 이러한 위험을 제거하는 것만으로는 마이크로세분화 프로젝트의 성공을 보장할 수 없습니다. 이 시리즈의 다음 글이자 마지막 글에서는 마이크로세분화 프로젝트 성공의 주요 결정 요인인 프로젝트 구현에 적합한 도구를 선택하는 방법에 대해 안내해 드리겠습니다.

지금은 마이크로세그멘테이션과 일루미오로 올바른 조치를 취하세요:

• Download our in-depth guide How to Build a Micro-Segmentation Strategy in 5 Steps.
• Get a free copy of the Forrester New Wave: Microsegmentation, Q1 2022 in which Illumio is named a Leader.
• Schedule a no-obligation demo and consultation with our microsegmentation experts.