방화벽 팀이 마이크로세그멘테이션을 좋아하는 5가지 이유

고객 역사 초기에 일어난 사건을 절대 잊지 못할 거예요.대규모 고객과 함께 교육을 막 마쳤습니다. 방화벽 아키텍처 및 구현 팀.선임 방화벽 관리자 중 한 명이 손을 들고 이렇게 말했습니다. “따라서 이 내용을 제대로 이해하면 다시는 방화벽 규칙을 작성할 필요가 없을 거예요.”저는 미소를 지으며 “맞아요.” 라고 말했습니다.

6개월 후, 우리는 엘리베이터에 함께 서 있었습니다. 그는 마이크로세그멘테이션을 얼마나 좋아하는지 신나게 말해주었습니다.이유를 물었더니 그는 이렇게 대답했습니다. “당신 말이 맞았어요.저는 더 이상 ACL을 작성하지 않아요. 우리 정책이 훨씬 더 엄격해요.”

좋은 순간이었지만 간단한 사실은 마이크로세그멘테이션이 방화벽 운영 팀에 유용하다는 것입니다.그 주요 이유 다섯 가지는 다음과 같습니다.

1. 더 이상 수동 ACL이 필요 없습니다. 개념적으로 보면 방화벽 규칙을 작성하는 것은 “쉽습니다”. 허용하려는 규칙을 입력하기만 하면 나머지는 모두 거부됩니다.높은 수준의 추상화에서는 사실이지만, 작업 가까이에서는 상당히 지나치게 단순화한 것입니다.기존 방화벽에서는 앱 소유자가 시스템에 대해 이야기하는 방식부터 IP 주소, 서브넷 및 영역의 언어로 모든 정책 요구 사항을 변환해야 합니다.마이크로세그멘테이션을 사용하면 적용 지점이 애플리케이션 인스턴스 자체로 이동합니다. 즉, 세그멘테이션은 어떤 네트워크 구조에도 의존하지 않고 시행할 수 있습니다.강력한 기능과 함께 사용할 경우 정책 컴퓨팅 엔진, 관리자가 작성할 수 있습니다 정책 간단히 말해서, “웹 서버는 애플리케이션 서버와 통신하고, 애플리케이션 서버는 다시 데이터베이스와 통신합니다.웹 서버는 서로 통신하거나 데이터베이스와 직접 통신하지 않습니다.”사람이 IP 주소, 서브넷 또는 영역을 알 필요 없이 간단한 정책을 실행 가능한 규칙 기반으로 전환할 수 있습니다.마이크로세그멘테이션을 사용하면 방화벽 관리자가 ACL을 작성할 필요가 없습니다.
   
2. 확장 가능한 정책 모델을 확보하십시오. 방화벽은 기본적으로 규칙 테이블 맨 아래에 기본-거부가 표시되지만 빠르게 확장되어 허용 및 거부 명령문이 복잡하게 혼합되어 있습니다.이 둘은 섞여 거부 목록 및 허용 목록 상속이 제한되어 있기 때문에 정책이 제대로 확장되지 않습니다.허용 명령문과 거부 명령문이 혼재되어 있는 한 규칙 순서가 중요하고 상속이 제한됩니다. 병합된 정책에서는 어떤 순서를 준수해야 할까요?마이크로세그멘테이션은 순수하게 작동합니다. 제로 트러스트 모델.허용 명령문만 있기 때문에 정책 상속은 쉽습니다. 어떤 것이 두 번 이상 허용된 경우에만 발생할 수 있습니다.따라서 임의의 추상화 수준에서 정책을 쉽게 지정할 수 있습니다.특정 서버는 데이터 센터 전체 정책과 프로덕션 환경 및 데이터베이스 전반에 대한 정책 모두에서 정책을 상속할 수 있습니다.정책의 상당 부분이 템플릿에서 생성되면 정책 작성 작업이 단순화되고 확장성이 훨씬 향상됩니다.
   
3. 정책이 올바른지 확인하십시오. 방화벽 정책 개발은 쉽지 않습니다.모든 애플리케이션 트래픽은 포트 및 프로토콜에 따라 특성화되어야 합니다.이러한 정보는 인프라 및 보안 팀의 손이 닿지 않는 경우가 많습니다.설상가상으로, 더 이상 관여하지 않는 공급업체나 하청업체가 애플리케이션을 설치했을 수 있기 때문에 앱 팀도 모르는 경우가 많습니다.마이크로세그멘테이션은 풍부한 기능을 제공합니다. 애플리케이션 종속성 맵 팀 전체가 이해할 수 있는 것이죠.맵에는 애플리케이션 데이터만 표시되고 네트워크 디바이스는 표시되지 않으므로 애플리케이션 및 DevOps 팀은 애플리케이션이 생성하는 플로우와 보호해야 할 사항을 쉽게 이해할 수 있습니다.마이크로세그멘테이션을 사용하면 중요한 애플리케이션 보호에 대한 합의에 쉽게 도달하고 정책 팀에 정확한 정보를 제공할 수 있습니다.
   
4. 정책이 안전하다는 것을 알아두세요. 방화벽 규칙을 어떻게 테스트하나요?그렇지 않아요. 방화벽은 그런 식으로 작동하지 않아요. 규칙을 입력하면 문제가 생기면 전화벨이 울립니다.2021년에는 더 이상 충분하지 않습니다.완전히 새로운 애플리케이션이 출시되면 앱 팀과 의견을 주고받으며 프로덕션에 도입할 수 있는 여지가 어느 정도 있습니다.하지만 기존 애플리케이션의 경우 세그멘테이션 정책이 잘못되면 운영 중단이 발생합니다.마이크로세그멘테이션은 더 나은 방법을 제공합니다.정책은 개별적인 라이프사이클을 통해 이동합니다. 스테이지 구축, 테스트 및 적용.이를 통해 앱 소유자부터 보안 및 인프라 팀에 이르기까지 모든 사람이 정책이 “설계된 대로” 제공되며 정책이 필요한 모든 커뮤니케이션을 포괄하는지 확인할 수 있습니다.간단한 애플리케이션 종속성 맵을 통해 정책이 안전하고 시행될 수 있는지 쉽게 알 수 있습니다.
   
5. 애플리케이션 소유자에게 도움을 받으세요. 모든 조직에는 보안 팀보다 애플리케이션 팀에 훨씬 더 많은 사람들이 있습니다.애플리케이션 수와 세그멘테이션 정책 작성자 수를 고려한다면 그 차이는 훨씬 더 클 것입니다.이러한 격차를 감안할 때 각 팀이 방화벽 팀에 필요한 것을 이해하고 이를 적시에 제공할 수 있도록 돕는 것은 항상 어려운 일입니다. 마이크로세그멘테이션은 애플리케이션 소유자를 위해 설계된 시각화 및 워크플로우를 제공합니다. 프로세스의 일부가 되기 위해서요.앱 팀이 마이크로세그멘테이션 프로젝트에 참여하면 보안 및 인프라 팀의 앱 목표를 훨씬 쉽게 지원할 수 있습니다.모든 사람이 애플리케이션의 작동 방식과 세그멘테이션 정책과 이러한 흐름의 상호 작용을 볼 수 있게 되면 신뢰가 쌓이고 비난을 피할 수 있습니다. 앱 소유자는 쉽게 검증할 수 있습니다 정책의 흐름과 적용 부분 모두 시행을 향한 진행을 가속화합니다.

마이크로세그멘테이션은 방화벽 관리자에게 적합합니다.수동 방화벽 규칙을 네트워크 지식이 전혀 필요 없는 간단한 자연어 정책으로 교환하세요.전체 상속을 통해 쉽게 확장할 수 있는 진정한 제로 트러스트 정책 모델을 확보하세요.모든 세그멘테이션 정책은 정확하고 완전해야 합니다.마이크로세그멘테이션은 애플리케이션 소유자가 참여할 수 있는 간단한 그래픽 프로세스를 제공합니다.이들을 곁에 두면 세그멘테이션 프로젝트가 더 빠르고, 쉬워지고, 더 즐거워집니다.마이크로세그멘테이션은 방화벽 관리자가 기다리던 업그레이드입니다.