마이크로세그멘테이션을 시작할 때 기대할 수 있는 사항

에 따르면 가트너, “2026년까지 제로 트러스트 아키텍처를 목표로 하는 기업의 60% 가 마이크로세그멘테이션을 하나 이상의 배포 형태로 사용할 것이며, 이는 2023년의 5% 미만에서 증가한 수치입니다.”

마이크로세그멘테이션은 제로 트러스트의 기본입니다.제로 트러스트가 없으면 제로 트러스트를 달성할 수 없습니다.

사실 제로 트러스트의 창시자인 John Kindervag는 이 주제에 대해 작성된 두 번째 보고서에서 제로 트러스트와 세분화 간의 연관성에 대해 언급했습니다. 네트워크 DNA에 보안 구축: 제로 트러스트 네트워크 아키텍처.그는 보고서에서 “미래의 모든 네트워크는 기본적으로 세분화해야 하기 때문에 네트워크를 분할하는 새로운 방법을 만들어야 한다”고 말했다.

제로 트러스트 아키텍처를 구축하는 경우 마이크로세그멘테이션이 계획의 중요한 부분이 되어야 합니다.마이크로세그멘테이션을 시작할 때 기대할 수 있는 10가지 사항은 다음과 같습니다.‍

1.모든 환경의 모든 워크로드 트래픽에 대한 가시성 확보

마이크로세그멘테이션을 구축하는 첫 단계이자 가장 중요한 단계 중 하나는 네트워크의 모든 세그먼트에서 어떤 일이 벌어지고 있는지 파악하는 것입니다.클라우드, 엔드포인트, 데이터 센터 환경 전반의 모든 워크로드 간의 모든 트래픽을 어떻게 보고 계신가요?지나치게 복잡한 워크플로 없이 모든 규모에서 이러한 수준의 가시성을 확보할 수 있는 것이 중요합니다.

네트워크 전반의 다양한 세그먼트에 대해 다양한 가시성 도구를 사용해 볼 수 있습니다.하지만 여러 도구를 사용하면 시각이 세분화될 수 있습니다.이로 인해 전 세계 모든 세그먼트의 행동을 이해하기가 어려울 수 있습니다.

대신 모든 세그먼트에서 트래픽을 검색하여 한 눈에 표시할 수 있는 솔루션을 찾으십시오.예를 들어 Illumio를 사용하면 누가 어떤 포트를 통해 누구와 대화하고 있는지 파악할 수 있으므로 모든 종속성을 파악할 수 있습니다.

이 정보를 사용하여 네트워크에서 “열린 문”을 찾고 필요한 트래픽을 결정한 다음 기본적으로 다른 모든 트래픽을 거부할 수 있습니다.

‍2.앱이 통신하는 방식 이해하기

대부분의 사람들은 제로 트러스트가 좋은 아이디어라는 데 동의하지만 무엇을 보호할지 결정하기 전에 어떤 트래픽이 필요한지 어떻게 이해할 수 있을까요?네트워크에서 어떤 앱이 실행되고 있고 어떤 포트를 사용해야 하는지 파악하는 것이 항상 쉬운 것은 아닙니다.

Illumio와 같은 솔루션을 사용하면 모든 워크로드에서 어떤 애플리케이션이 실행되고 어떤 포트를 사용하는지 확인할 수 있습니다.이를 통해 네트워크의 모든 애플리케이션 및 해당 종속성에 대한 포괄적인 인벤토리가 제공되므로 세그멘테이션 정책을 적용하는 방법을 결정할 수 있습니다.

‍3.가장 중요하고 위험도가 높은 리소스를 잠그세요

네트워크의 모든 진입점을 사용자가 직접 제어할 수 있는 것은 아닙니다.캠퍼스 네트워크용 데이터 센터는 강력한 제어 기능을 갖추고 있을 수 있지만 클라우드의 리소스 또는 파트너의 타사 액세스는 보안이 취약한 경우가 많습니다.

대부분의 위협은 보안이 취약한 환경에서 시작됩니다. 사람의 실수로 인해 개방된 상태로 남게 되는 경우가 많기 때문입니다.이러한 액세스 포인트는 모두 공격자가 침입하는 첫 단계가 될 수 있으며, 이를 통해 위협이 네트워크를 통해 고가치 자산으로 옮겨갈 수 있습니다.

Illumio와 같은 마이크로세그멘테이션 솔루션을 사용하면 네트워크의 취약한 부분을 보호할 수 있습니다.보안 침해가 어디서 발생하든 마이크로세그멘테이션은 사용자가 세분화한 중요 리소스에 도달하지 못하도록 차단합니다.침해는 해당 세그먼트의 반대편으로 격리되므로 추가 피해가 발생하지 않습니다. ‍

4.네트워크 주소가 아닌 비즈니스 기능별로 워크로드에 레이블을 지정합니다.

오늘날의 최신 네트워크에서는 워크로드가 하이브리드, 멀티클라우드 아키텍처에 배포됩니다.따라서 네트워크 주소는 일시적입니다.워크로드의 네트워크 주소는 기본 호스팅 환경에 따라 동적으로 변경될 수 있습니다.

따라서 기존 IP 주소 대신 사람이 읽을 수 있는 레이블을 사용하여 워크로드에 레이블을 지정해야 합니다.Illumio Zero Trust Segmention과 같은 마이크로 세그멘테이션 솔루션을 사용하면 역할, 애플리케이션, 환경, 위치, 운영 체제 또는 사업부 등 비즈니스 기능이나 소유권별로 워크로드를 식별할 수 있습니다. 이는 IP 주소를 사용하는 경우 훨씬 더 많은 정보를 제공합니다.

Illumio의 라벨링 도구는 다음을 수행할 수 있습니다.

• 워크로드 라벨을 동적으로 변경

• CMDB (구성 관리 데이터베이스) 와 같은 기존 레이블 지정 구조에서 레이블 가져오기

• 관리 환경에서 검색한 애플리케이션 및 트래픽을 기반으로 레이블을 추천합니다.

사람이 읽을 수 있는 레이블을 사용하면 네트워크 주소와 완전히 분리된 워크로드 간 세그먼트가 어떻게 적용되는지 확인할 수 있는 메타데이터 기반 솔루션을 얻을 수 있습니다. ‍

5.에이전트 및 에이전트 없는 접근 방식을 결정하세요.

마이크로세그멘테이션을 구축할 때는 언제 에이전트 또는 에이전트 없는 접근 방식이 가장 효과적인지 이해하는 것이 중요합니다.Illumio와 같은 일부 솔루션에서는 에이전트 사용 여부를 선택할 수 있으므로 모든 환경의 모든 워크로드에 대한 가시성과 세분화를 확보할 수 있습니다.

상담원 접근 방식

Illumio VEN (가상 적용 노드) 에이전트는 워크로드 내부 및 워크로드 간 애플리케이션 사용에 대한 원격 분석을 수집합니다.이를 통해 워크로드에서 직접 세그먼트에 대한 액세스를 제어할 수 있습니다.

에이전트 없는 접근 방식

또한 Illumio는 에이전트 없이도 세그먼트의 사용을 발견하고 적용할 수 있습니다.

이는 제조 또는 의료 산업의 IoT 장치와 같이 에이전트를 지원할 수 없는 환경에서 매우 중요합니다.규정 준수 요구 사항 때문에 에이전트를 사용할 수 없는 환경에서도 중요합니다.

• 데이터 센터의 경우: Illumio는 에이전트를 지원할 수 없는 장치 앞에 배포되는 네트워크 스위치를 보호할 수 있습니다.Illumio는 스위치에서 네트워크 텔레메트리를 수집하고 레이블 기반 정책을 스위치가 사용할 액세스 목록으로 변환합니다.

• 클라우드에서: Illumio는 에이전트 없이 애플리케이션 및 네트워크 동작을 수집할 수 있습니다.레이블 기반 정책을 변환하여 이미 클라우드에 있는 기존 네트워크 적용 지점에 적용합니다.

‍6.거부 목록 모델로 시작한 다음 허용 목록 모델로 이동하십시오.

마이크로세그멘테이션을 구축할 때 팀이 직면하는 일반적인 문제는 거부하려는 포트는 알고 있지만 애플리케이션에 허용하는 데 필요한 모든 포트를 완전히 이해하지 못한다는 것입니다.

랜섬웨어는 일반적으로 RDP (원격 데스크톱 프로토콜) 및 SMB (서버 메시지 블록) 와 같은 포트를 사용하여 워크로드 간 세그먼트 간에 이동합니다.하지만 워크로드 간에 이러한 포트를 열 필요가 거의 없다는 사실은 잘 알고 있습니다.

그렇기 때문에 거부 목록 모델부터 시작하는 것이 가장 좋습니다.열려 있으면 안 된다고 알고 있는 포트만 차단하고 나머지는 모두 허용하세요.그런 다음 애플리케이션에 필요한 포트를 완전히 이해하면 허용 목록 모델로 전환할 수 있습니다.필요한 포트만 열어 두고 다른 포트들은 모두 차단하세요.
이 접근 방식을 사용하면 지금 바로 랜섬웨어에 의한 마이크로세그멘테이션 구축을 시작하고 준비가 되면 정책을 강화할 수 있습니다. ‍

7.배포 전 모델 정책

사이버 보안은 오랫동안 배포 및 복제 접근 방식에 의존해 왔습니다.보안팀은 정책 모델을 만들고 올바르게 보일 때까지 수정합니다.그런 다음 배포를 마치면 애플리케이션 종속성이 깨져서 전화벨이 울리지 않기를 기도합니다.

따라서 정책이 완전히 배포되기 전에 정책을 테스트하는 것이 가장 좋습니다.Illumio를 사용하면 정책을 생성한 다음 모니터링 모드로 전환할 수 있습니다.이렇게 하면 배포 후 정책으로 인해 발생할 수 있는 모든 문제가 강조 표시되므로 작업이 중단되기 전에 문제를 해결할 수 있습니다.

모델링을 통해 실수로 애플리케이션 종속성을 손상시킬 위험 없이 정책을 안전하게 배포할 수 있습니다.

8.하이브리드 멀티 클라우드 전반에서 일관된 세그멘테이션을 확장하세요.

데이터 센터에서만 세그멘테이션을 구축할 수 있는 솔루션을 사용하는 경우 클라우드와 같은 다른 환경에서 일관된 보안을 유지할 수 없을 것입니다.세그멘테이션은 단일 환경에 의존해서는 안 됩니다.이로 인해 세그멘테이션에 대한 사일로화된 접근 방식이 되고 이로 인해 취약점만 남게 되고 보안 침해를 막고 억제하기가 더 어려워집니다.

대신 마이크로세그멘테이션은 환경 전반에서 마이그레이션할 때 워크로드를 따라가야 합니다.이렇게 하면 워크로드가 서로 다른 환경에서 호스팅되더라도 세그멘테이션이 중단되지 않습니다.

Illumio를 사용하면 클라우드, 엔드포인트 및 데이터 센터 환경 전반에 걸쳐 일관된 세그멘테이션 정책을 구축할 수 있습니다.이를 통해 전체 아키텍처에서 동일하게 작동하는 하나의 일관된 마이크로세그멘테이션 모델을 사용하여 환경 간에 워크로드를 마이그레이션할 수 있습니다.

‍9.사람의 결정에 의존하지 않고 보안 변경을 자동화합니다.

멀웨어는 사람이 키보드로 입력할 수 있는 속도보다 빠르게 확산됩니다.보안 침해가 확산되는 즉시 정책 변경을 자동화할 수 있는 마이크로세그멘테이션 솔루션을 갖추는 것이 중요합니다.

Illumio의 풍부한 API 라이브러리를 사용하여 Illumio를 SOAR 솔루션과 통합할 수 있습니다.SOAR 도구는 멀웨어가 네트워크를 통해 확산하는 데 사용하는 열린 포트를 찾아냅니다.그러면 도구가 Illumio에 API 호출을 보내 위험에 처한 포트를 즉시 종료합니다.

이 모든 것은 사람의 개입 없이 이루어집니다.‍

10.보안이 규정을 준수하고 있음을 입증

애플리케이션과 세그먼트의 보안에는 많은 부분이 포함될 수 있으므로 위험을 정량화하는 것은 어려울 수 있습니다.감사 과정에서 기존 위험과 보안 정책 적용 후 위험 감소 방법을 명확하게 파악하는 것이 항상 쉬운 것은 아닙니다.비교 전후에 이를 보여주는 도구를 사용하는 것이 중요합니다.

Illumio의 취약성 맵을 사용하면 Illumio와 외부 스캐너가 발견한 위험을 합한 점수로 위험을 정량화할 수 있습니다.그러면 도구가 위험을 줄일 수 있는 수정된 정책을 추천합니다.

이를 통해 감사자는 환경의 노출 위험에 대한 명확한 사전 및 사후 점수를 얻을 수 있으므로 팀의 규정 준수 추측에 의존하지 않아도 됩니다.

Illumio ZTS에 대해 자세히 알아볼 준비가 되셨나요? 오늘 저희에게 연락하세요 무료 상담 및 데모를 제공합니다.