최신 애플리케이션을 위한 6가지 마이크로세그멘테이션 요구 사항

보안을 강화하기 위한 방법으로 네트워크를 세분화한다는 아이디어는 새로운 것이 아닙니다.하지만 컴퓨팅과 보안이 최전선에 묶여 있었기 때문에 세분화된 세분화를 달성하기는 어려웠습니다.즉, 원하는 보안 태세를 갖추기 위한 모든 변경은 기본 네트워크 전송을 변경해야 하거나 세분성을 희생해야 한다는 의미입니다.또한 IT 팀과 보안 팀은 서로 다른 우선 순위를 두고 경쟁하는 경우가 많으며, 세그멘테이션이 항상 가장 인기 있는 전략이었던 것은 아닙니다.

사이버 공격의 규모와 범위가 증가하면서 상황이 바뀌고 있습니다.

“... 이제 어떤 회사나 인프라에서도 마이크로세그멘테이션을 사용하지 않을 이유가 없습니다.”

마이크로세그멘테이션해커를 막아주는 훌륭한 수단입니다.점점 더 많은 조직이 심층 방어 전략의 필수 요소로 마이크로세그멘테이션을 구현하고 있습니다.300명 이상의 IT 전문가를 대상으로 한 최근 설문 조사에 따르면, 45% 가 현재 세그멘테이션 프로젝트를 가지고 있거나 계획 중인 것으로 나타났습니다.포레스터 리서치의 2020년 3분기 제로 트러스트 웨이브 보고서 “... 이제 어떤 회사나 인프라에서도 마이크로세그멘테이션을 사용하지 않을 이유가 없습니다.” 라고 말하면서 중요성을 강조했습니다.

그러나 모든 보안 제어와 마찬가지로 비즈니스 전략과 보안 필요성 간의 균형을 맞추는 것이 중요합니다.네트워크 세분화는 주요 프로젝트이며 네트워크 관리 방식과는 완전히 다릅니다.통신이 광범위하게 이루어지는 플랫 네트워크 인프라에서 경계 인프라와 마찬가지로 방화벽 규칙 세트가 필요한 네트워크로 전환하고 있을 수 있습니다.공격자는 어렵지만 사용자가 관리할 수 있는 네트워크에서 원하는 결과를 얻으려면 신중한 계획이 필요합니다.

그럼 거기 어떻게 갈 수 있죠?

효과적인 마이크로세그멘테이션 배포를 위해 솔루션이 제공해야 하는 6가지 주요 기능 및 기능 목록은 다음과 같습니다.

1.애플리케이션 컨텍스트를 통한 가시성

'보이지 않는 것은 보호할 수 없다'는 격언이 이보다 더 사실적일 수 없습니다.조직은 비즈니스를 운영하기 위해 다양한 애플리케이션을 실행합니다. 각 애플리케이션은 서로 통신하고 데이터를 공유합니다.여기에는 과제가 있습니다.가시성이 없으면 권한 없는 사용자는 탐지 징후가 나타나기 전에 기업에 침투하여 보호되지 않거나 취약한 자산을 이용하고 중요한 자산 쪽으로 이동할 수 있는 충분한 기회를 갖게 됩니다.

애플리케이션 자산을 적절히 마이크로세그멘테이션하면 보안 침해 확산을 최소화하거나 방지할 수 있지만 애플리케이션 계층에서의 가시성이 필요합니다.이는 네트워크 흐름 트래픽을 얻거나 L2 및 L3의 네트워크 흐름에 대한 정보를 제공하는 스위치의 SPAN 포트를 탭하는 것과는 다릅니다.다양한 계층 (웹, 프로세싱, 데이터베이스) 에서 애플리케이션 구성 요소가 서로 통신하는 방식과 애플리케이션이 서로 상호 작용하는 방식을 볼 수 있어야 합니다.

애플리케이션은 한 곳에 있지 않습니다.그들은 서로 대화하며, 이것이 바로 비즈니스 프로세스가 작동하는 방식입니다.예를 들어 POS (Point-of-Sale) 시스템은 고객 주문을 처리하기 전에 재고 관리 애플리케이션과 통신할 가능성이 높습니다.이는 당연한 이야기입니다.POS 시스템의 트래픽 해야 합니다 인벤토리 애플리케이션과 통신할 수 있습니다.반면, 공용 웹 서버는 데이터베이스와 직접 통신하지 말고 응용 프로그램 처리 서버를 거쳐서 트랜잭션이나 쿼리를 완료해야 합니다.

그러나 이러한 흐름이 반드시 잘 알려진 것은 아닙니다. 네트워크 팀이나 보안 팀에게도 잘 알려져 있지 않을 수도 있습니다.애플리케이션 개발자는 이 정도의 명확성을 가지고 있을 수 있지만 항상 그런 것은 아닙니다.조직에서 마이크로세그멘테이션을 올바르게 수행하려면 애플리케이션 종속성을 보여주는 내장된 가시성이 필요합니다.다양한 애플리케이션이 계층 간 및 서로 어떻게 통신하는지 보여주는 맵 형태로 표시되는 것이 이상적입니다.또한 이 맵은 개발, 스테이징, 프로덕션 및 규제와 같은 다양한 환경이 어떻게 배치되고 이들 간에 어떤 종류의 커뮤니케이션이 흐르는지 설명해야 합니다.이를 통해 조직은 원하는 보안 태세를 기반으로 “현재 상황”과 “어떤 일이 발생해야 하는지”를 이해할 수 있습니다.

일루미오가 도움을 주는 방법: Illumio의 애플리케이션 종속성 맵은 애플리케이션 구성 요소가 상호 작용하는 방식과 다양한 애플리케이션이 서로 통신하는 방식을 명확하게 보여줍니다.이 맵은 다음과 같이 알려져 있습니다. 일루미네이션는 타의 추종을 불허하는 가시성을 제공할 뿐만 아니라 원하는 세분성을 기반으로 정책을 권장합니다.정책은 레이블을 사용하여 자연어로 정의되며 정책을 정의하는 데 네트워크 계층 정보가 필요하지 않습니다.이 접근 방식은 어려운 작업을 수행하고 이러한 자연어 정책을 기반으로 정확한 L2/L3/L4 규칙을 계산합니다.따라서 조직 목표에 맞는 보안 태세를 쉽게 개발할 수 있습니다.

2.확장 가능한 아키텍처

마이크로세그멘테이션을 구현하는 방법은 여러 가지가 있습니다.각 접근 방식에는 장점이 있지만 확장성, 솔루션 효율성 및 세분성, 사용 편의성, 마지막으로 비용 효율성을 고려해야 합니다.

일반적인 접근 방식은 다음과 같습니다.

• 네트워크를 사용한 세그멘테이션: 네트워크 장치 (스위치, 라우터, 방화벽 등) 의 ACL (액세스 제어 목록) 프로그래밍이 방법을 사용하면 대략적인 수준의 구분이 가능하지만 매우 번거롭고 오류가 발생하기 쉬우며 비용이 많이 듭니다.네트워크는 가능한 한 빨리 지점 A에서 지점 B로 패킷을 전송하기 위한 것이며, 세그멘테이션을 위한 ACL을 할당하는 것은 모든 패킷을 중지하여 허용해야 하는지 확인하는 것과 같습니다.이 두 가지는 정반대의 목표이며, 서로 뒤섞으면 문제가 생기기 시작합니다.
• SDN을 사용한 세그멘테이션: 소프트웨어 정의 네트워킹 (SDN) 으로 위의 작업을 자동화하면 사용자가 중앙 컨트롤러에 액세스하여 적절한 네트워크 장치에 푸시되는 규칙을 정의할 수 있습니다.이 접근 방식은 구성을 어느 정도 줄여주긴 하지만 여러 면에서 네트워크 디바이스를 사용하는 것보다 낫지는 않습니다.게다가 대부분의 SDN 시스템은 보안 기능이 아닌 네트워크 자동화를 제공하도록 설계되었습니다.공급업체들은 최근에서야 보안 사용 사례를 깨닫고 SDN 시스템의 용도를 변경하여 마이크로세그멘테이션을 제공하려고 시도했지만 성공은 미미했습니다.
• 호스트 기반 마이크로세그멘테이션: 아키텍처적으로 이 접근 방식은 다릅니다.조직은 네트워크 어딘가에서 정책 시행이 이루어지는 대신 다음과 같은 기능을 사용할 수 있습니다. 내장된 스테이트풀 방화벽 성능 저하 없이 라인 속도로 규칙을 적용할 수 있습니다.또한 이 아키텍처는 유일한 스케일 아웃 아키텍처입니다. 즉, 워크로드를 추가할 때 용량을 추가할 수 있습니다.스케일 아웃 아키텍처는 시스템 구성 요소가 커져도 성능 저하 없이 원활하게 작동하는 것으로 입증되었습니다.시행이 이루어지려면 집행 주체가 트래픽을 확인해야 한다는 점을 기억하세요.방화벽 (또는 작업을 수행하는 네트워크 디바이스) 의 경우 트래픽을 확인해야 합니다.언젠가는 트래픽의 양이 집행자의 역량을 초과하게 되어 조직은 아무런 보호 없이 노출될 수 있습니다.트래픽 조정은 큰 문제를 야기하며 때로는 네트워크 계층의 문제를 일으키거나 상당한 복잡성을 야기하기도 합니다.

네트워크의 엣지가 경계 방화벽이 아니라 내부 세그먼트에 있기 때문에 세그먼트가 더 세분화될수록 더 나은 보호를 얻을 수 있습니다.이 개념을 더 발전시켜 보면 가장 좋은 세그먼트는 하나의 세그먼트라는 것을 알 수 있습니다. 즉, 워크로드가 새로운 엣지가 됩니다.워크로드 외부의 모든 항목은 신뢰할 수 없으며 트래픽 허용 또는 중지에 대한 모든 강제 조치는 성능 저하 없이 워크로드에서 이루어집니다.호스트 기반 시스템이 바로 그 역할을 합니다.

일루미오가 도움을 주는 방법: 초기에 우리는 조밀한 세분화와 세분화된 마이크로세그멘테이션을 모두 달성할 수 있는 유일한 확장 가능한 방법은 호스트 기반 아키텍처를 사용하는 것임을 깨달았습니다. 이 접근법 작업이 있는 위치와 매우 가까운 위치에 보안을 제공하며 제어 기능은 네트워크와 무관합니다.호스트의 기능과 용량을 활용하여 OS 커널의 회선 속도를 적용하여 적용합니다. 스테이트풀 방화벽, 네트워크로부터 세그멘테이션을 분리하고, 방화벽으로 인한 장애물을 없애고 새로운 워크로드가 온라인에 들어올 때 용량을 추가함으로써 확장 가능한 방식으로 세분화할 수 있는 방법을 제공합니다.

3.추상화된 보안 정책

전통적으로 보안은 네트워크와 연계되어 왔지만 두 주체 모두 서로 다른 목표를 가지고 있습니다.네트워크에는 속도와 처리량이 관건입니다.보안은 격리와 예방에 관한 것입니다.이 두 가지를 혼용하면 두 가지 측면에서 모두 최악의 결과를 얻을 수 있습니다.두 참가자가 서로 다른 방향으로 향하고 있는 세 발 달린 레이스에 참가하는 것과 같습니다.말할 필요도 없이, 시나리오는 잘 끝나지 않습니다.기본 인프라와 독립적으로 원하는 보안 상태를 달성할 수 있도록 보안 정책을 네트워크에서 추상화해야 합니다.

일루미오가 도움을 주는 방법: 에 의해 디커플링 세그멘테이션 네트워크를 통해 조직이 쉽게 이해할 수 있는 비즈니스 중심 레이블을 기반으로 정책을 수립할 수 있는 워크플로우를 제공합니다.워크로드는 네 가지 차원의 레이블을 기반으로 구성되며 정책은 이러한 레이블을 사용하여 작성됩니다.추상화된 정책을 네트워크 수준 적용에 매핑하는 작업은 모두 정책을 적용하기 전에 테스트할 수 있는 모델을 통해 수행됩니다.따라서 애플리케이션을 손상시키지 않고도 원하는 결과인 마이크로세그멘테이션을 달성할 수 있습니다.

4.세분화된 제어

조직에는 비즈니스 중요도가 서로 다른 많은 애플리케이션이 있습니다.따라서 보안 요구 사항은 중요도 및 경우에 따라 해당 응용 프로그램과 관련된 규정 요구 사항에 따라 달라집니다.고유한 컴퓨팅 환경에 맞는 다양한 보안 태세를 정의할 수 있는 메커니즘이 필요합니다.때로는 단순히 서로 다른 환경을 분리해도 괜찮을 수 있습니다 (예: 개발과 프로덕션을 분리하거나 범위 내 규제 자산을 다른 모든 것과 분리).더 엄격한 제어를 위해서는 애플리케이션 계층 (웹, 처리, 데이터베이스) 을 잠그고 어떤 계층과 통신할 수 있는지 제어해야 할 수 있습니다.이러한 옵션은 정책 워크플로의 일부여야 하며 네트워크를 변경하지 않고도 쉽게 구현할 수 있어야 합니다.

일루미오가 도움을 주는 방법: 우리의 정책 모델은 단순하지만 강력하며 사용하기 쉽습니다.애플리케이션 종속성 맵은 애플리케이션 계층에 대한 가시성을 제공할 뿐만 아니라 단순 링펜싱부터 계층 기반 분리, 포트, 프로세스 및 서비스를 기반으로 한 세분화에 이르기까지 다양한 옵션을 권장하여 정책 생성을 촉진합니다.

5.컴퓨팅 자산 전반에 걸친 일관된 정책 프레임워크

기업은 점점 더 하이브리드 멀티 클라우드로 전환되고 있으며, 이제 애플리케이션 풋프린트는 복원력, 기능, 성능 및 데이터 레지던시 요구 사항에 따라 다양한 온프레미스 위치, 호스팅 시설 및 퍼블릭 클라우드에 분산되는 경우가 많습니다.특정 환경에 적용할 수 있는 호환되지 않는 개별 솔루션을 뛰어넘는 일관된 보안 메커니즘을 개발해야 합니다.

퍼블릭 클라우드의 보안 모델은 온프레미스 배포와 다릅니다.퍼블릭 클라우드는 공유 보안 모델에서 운영됩니다.클라우드 공급업체는 기본 인프라 보안을 제공하며 고객은 자산과 애플리케이션을 보호할 책임이 있습니다.또한 온프레미스 배포를 보호하는 데 사용되는 도구는 퍼블릭 클라우드에서 사용할 수 있는 도구와 다릅니다.대부분의 퍼블릭 클라우드는 가상 사설망별 기본 방화벽을 제공하는 보안 그룹 (공급업체에 따라 이름이 다양함) 을 제공합니다.이러한 보안 그룹은 규모가 제한되어 있고, 구성 복잡성 측면에서 방화벽과 동일한 문제가 있으며, 클라우드 간에 호환되지 않습니다.이는 진정한 하이브리드 멀티 클라우드를 사용하고 일관된 보안 메커니즘이 필요한 고객에게는 어려운 과제가 될 수 있습니다.

일루미오가 도움을 주는 방법: 우리의 솔루션은 위치와 워크로드 폼 팩터에 구애받지 않습니다.워크로드는 어디에나 있을 수 있습니다.전체 컴퓨팅 영역에 적용할 수 있는 일관된 보안 모델뿐만 아니라 완전한 가시성을 제공합니다.

6.보안 에코시스템과의 통합

보안 태세를 정의하고 규칙을 적용하면 조직의 비즈니스를 계속 운영하는 데 도움이 됩니다.이 부분은 조직이 새로운 자산 생성, 애플리케이션 배포, 시스템 운영 등에 사용하는 프로세스 및 도구와 긴밀하게 통합되어야 합니다.대부분의 기업 조직에는 일상 업무를 지원하는 시스템이 있습니다.예를 들어 SecOps는 Splunk를 주 제어 센터로 사용할 수 있으며 다른 시스템은 이 시스템에 알림과 경고를 제공해야 합니다.SecOps가 매일 여러 도구를 모니터링하여 계속 운영할 가능성은 거의 없습니다.보안이 이러한 프로세스와 통합되지 않는 한 보안은 항상 문제가 되고 사일로와 복잡성을 야기할 것입니다.

일루미오가 도와주는 방법: 당사의 솔루션은 완전히 API 기반이므로 조직의 대규모 에코시스템과 쉽게 통합됩니다.Illumio GUI로 할 수 있는 모든 작업은 선택한 시스템의 API 호출을 통해 수행할 수 있습니다.또한 기능을 향상할 수 있는 통합을 지원합니다.주목할 만한 통합에는 다음이 포함됩니다.

• 서비스 나우: Illumio는 다음에서 호스트 속성을 수집할 수 있습니다. 서비스 나우 이를 사용하여 각 워크로드에 할당되고 정책을 정의하는 데 사용되는 레이블을 만들 수 있습니다.또한 Illumio는 실시간 맵을 기반으로 불일치에 대한 정보를 ServiceNow로 전송하고 해당 정보를 수정하여 CMDB의 정확도를 높일 수 있습니다.
• 스플렁크: Illumio는 다음과 같은 모든 경고 및 알림을 SIEM에 보낼 수 있습니다. 스플렁크, 트래픽 차단, 변조 이벤트, 규칙 위반 등에 대한 보고
• 취약성 스캐너 (퀄리티, 테너블, 래피드7): Illumio만의 고유한 기능으로는 취약성 정보를 수집하고 해당 정보를 애플리케이션 종속성 맵에 오버레이하여 위험을 시각화하고 정량화할 수 있어 다음과 같은 이점을 얻을 수 있습니다. 취약점 맵.그런 다음 이 정보를 사용하여 취약점을 설명하는 마이크로세그멘테이션 정책을 도출할 수 있습니다. 즉, 즉각적인 패치가 불가능한 경우 기본적으로 마이크로세그멘테이션을 보상 제어 수단으로 사용할 수 있습니다.
• AWS 보안 허브: Splunk와 마찬가지로 Illumio는 클라우드 배포를 위한 SIEM 기능을 제공하는 AWS Security Hub와 통합됩니다.
  

마이크로세그멘테이션의 주요 이점을 요약하면 다음과 같습니다.

• 보안 향상:네트워크 트래픽을 격리 및/또는 필터링하여 네트워크 세그먼트 간의 액세스를 제한하거나 방지할 수 있습니다.
• 더 나은 격리: 네트워크 문제가 발생하면 그 영향은 로컬 서브넷으로 제한됩니다.
• 향상된 액세스 제어:사용자가 특정 네트워크 리소스에만 액세스할 수 있도록 허용합니다.
• 규정 준수: 규제 또는 고객의 규정 준수 요구 사항에 따라 조직은 적절한 조치가 취해졌음을 입증하고 적시에 감사를 통과할 수 있습니다.
• 모니터링 개선:이벤트를 기록하고, 허용되거나 거부된 내부 연결을 모니터링하고, 의심스러운 행동을 탐지할 수 있는 기회를 제공합니다.

마이크로세그멘테이션은 조직 내에서 무단 측면 이동을 방지하는 데 매우 효과적인 접근 방식이며 제로 트러스트 프레임워크의 핵심 원칙이 된 것은 우연이 아닙니다.보안 침해는 피해를 줄 수 있지만, 내부적으로 세분화된 네트워크가 없는 것도 마찬가지로 해로울 수 있습니다.

세간의 이목을 끄는 보안 침해는 대부분 조직을 곤경에 빠뜨립니다. 침입자가 몇 주 또는 몇 달 동안 들키지 않고 네트워크를 횡단하여 고부가가치 자산에 액세스했기 때문입니다.마이크로세그멘테이션은 이러한 움직임을 방지하므로 기업이 다음으로 헤드라인을 뒤흔드는 기업이 공격을 당하지 않도록 방지할 수 있습니다.

세그멘테이션 여정의 첫 단계를 밟을 준비가 되셨나요? 가입하기 30일 무료 평가판을 이용할 수 있습니다.