마이크로세분화를 시작할 때 예상되는 사항

Gartner에 따르면 "2026년까지 제로 트러스트 아키텍처를 지향하는 기업 중 60곳(% )이 두 가지 이상의 마이크로세그멘테이션 배포 형태를 사용할 것이며, 이는 2023년의 5곳(% ) 미만에서 증가한 수치입니다."라고 합니다.  

마이크로세그멘테이션은 제로 트러스트의 기본입니다. 제로 트러스트 없이는 제로 트러스트를 달성할 수 없습니다.  

실제로 제로 트러스트의 창시자인 존 킨더백은 제로 트러스트와 세분화 사이의 연관성을 다룬 두 번째 보고서인 ' 네트워크의 DNA에 보안을 구축하라'에서 제로 트러스트와 세분화의 연관성에 대해 설명한 바있습니다: 제로 트러스트 네트워크 아키텍처. 보고서에서 그는 "미래의 모든 네트워크는 기본적으로 세분화되어야 하기 때문에 네트워크를 세분화하는 새로운 방법을 만들어야 합니다."라고 말했습니다.  

If you’re building a Zero Trust architecture, microsegmentation should be a crucial part of your plan. Here are the 10 things you can expect to do when starting out with microsegmentation.‍

1. 모든 환경의 모든 워크로드 트래픽에 대한 가시성 확보

The first — and one of the most important — steps of building microsegmentation is being able to know what’s going on across all segments in your network. How do you see all traffic between all workloads across your cloud, endpoint, and data center environments? It’s crucial to be able to achieve this level of visibility at any scale without an overly complex workflow.  

You can try to use different visibility tools for different segments across your network. But using multiple tools will create a fragmented view. This can make it challenging to understand behavior across all segments everywhere.  

Instead, find a solution that can discover traffic across all segments and display it in one view. For example, Illumio can help you see who is talking to who over what ports so that you can discover all dependencies.       

이 정보를 통해 네트워크에서 '열려 있는 문'을 찾아 필요한 트래픽을 결정한 다음 기본적으로 다른 모든 트래픽을 거부할 수 있습니다.  

‍2. 앱이 통신하는 방식 이해하기

대부분의 사람들은 제로 트러스트가 좋은 아이디어라는 데 동의하지만, 무엇을 보호할지 결정하기 전에 어떤 트래픽이 필요한지 어떻게 파악할 수 있을까요? 네트워크에서 어떤 앱이 실행 중이고 어떤 포트를 사용해야 하는지 확인하는 것이 항상 쉬운 일은 아닙니다.  

Illumio와 같은 솔루션을 사용하면 모든 워크로드에서 어떤 애플리케이션이 실행 중이고 어떤 포트를 사용하고 있는지 파악할 수 있습니다. 이를 통해 네트워크의 모든 애플리케이션과 해당 종속성에 대한 포괄적인 인벤토리를 제공하므로 세분화 정책을 적용할 방법을 결정할 수 있습니다.  

‍3. 가장 중요하고 위험도가 높은 리소스 잠그기

네트워크의 모든 진입 지점을 직접 제어할 수 있는 것은 아닙니다. 캠퍼스 네트워크용 데이터 센터는 강력한 제어 기능을 갖추고 있지만, 클라우드의 리소스나 파트너의 타사 액세스는 보안이 취약한 경우가 많습니다.  

많은 위협이 이러한 보안이 취약한 환경에서 시작되는데, 이는 사람의 실수로 인해 취약한 환경이 방치되는 경우가 많기 때문입니다. 이러한 모든 액세스 포인트는 공격자의 첫 번째 단계가 될 수 있으며, 위협이 네트워크를 통해 기업의 고가치 자산으로 이동할 수 있게 합니다.  

바로 이러한 네트워크의 취약한 부분을 보호하는 데 Illumio와 같은 마이크로세그멘테이션 솔루션이 도움이 될 수 있습니다. 침해가 발생하는 위치에 상관없이 마이크로세그멘테이션은 세분화된 중요 리소스에 침해가 도달하는 것을 차단합니다. 침해는 해당 세그먼트의 반대편으로 격리되어 더 이상의 피해를 유발하지 않습니다. ‍

4. 네트워크 주소가 아닌 비즈니스 기능별로 워크로드에 라벨링하기

오늘날의 최신 네트워크에서는 워크로드가 하이브리드 멀티 클라우드 아키텍처에 배포됩니다. 따라서 네트워크 주소는 임시 주소가 됩니다. 워크로드의 네트워크 주소는 기본 호스팅 환경에 따라 동적으로 변경될 수 있습니다.  

That’s why you should label workloads using human-readable labels rather than traditional IP addresses. With a breach containment solution like Illumio, you can identify workloads by their business function or ownership — such as their role, application, environment, location, operating system, or business unit — which is a lot more informative their using an IP address.

Illumio’s labelling tools can:

• 워크로드 레이블을 동적으로 변경
• CMDB(구성 관리 데이터베이스)와 같은 기존 라벨링 구조에서 라벨 가져오기
• 관리되는 환경에서 검색된 애플리케이션 및 트래픽을 기반으로 레이블 추천

사람이 읽을 수 있는 레이블을 사용하면 네트워크 주소와 완전히 분리된 워크로드 간 세그먼트가 어떻게 적용되는지 확인할 수 있는 메타데이터 기반 솔루션을 얻을 수 있습니다. ‍

5. 에이전트 및 에이전트 없는 접근 방식 결정

마이크로세분화를 구축할 때는 에이전트 또는 에이전트 없는 접근 방식이 가장 효과적인 시기를 파악하는 것이 중요합니다. Illumio와 같은 일부 솔루션은 모든 환경의 모든 워크로드에 대한 가시성과 세분화를 확보할 수 있도록 에이전트 사용 여부를 선택할 수 있도록 지원합니다.  

에이전트 접근 방식

Illumio 가상 시행 노드(VEN) 에이전트는 워크로드에서 애플리케이션 사용에 대한 원격 분석을 수집합니다. 이를 통해 워크로드에서 직접 세그먼트에 대한 액세스를 제어할 수 있습니다.

에이전트 없는 접근 방식

일루미오는 에이전트 없이도 세그먼트의 사용을 발견하고 강제할 수 있습니다.  

이는 제조 또는 의료 산업의 IoT 디바이스와 같이 에이전트를 지원할 수 없는 환경에서 매우 중요합니다. 또한 규정 준수 요건 때문에 상담원을 사용할 수 없는 환경에서도 중요합니다.  

• In a data center: Illumio can secure network switches that are deployed in front of devices that can't support agents. Illumio will collect network telemetry from the switches and convert label-based policy into access lists for the switches to use. ‍
• 클라우드에서: Illumio는 에이전트 없이도 애플리케이션 및 네트워크 동작을 수집할 수 있습니다. 레이블 기반 정책을 변환하여 이미 클라우드에 있는 기존 네트워크 시행 지점에 적용합니다.

‍6. 거부 목록 모델로 시작한 다음 허용 목록 모델로 이동합니다.

마이크로세그멘테이션을 구축할 때 팀이 직면하는 일반적인 문제는 거부할 포트는 알고 있지만 애플리케이션에 허용해야 하는 모든 포트를 완전히 이해하지 못한다는 점입니다.

Ransomware commonly uses ports such as Remote Desktop Protocol (RDP) and Server Message Block (SMB) to move across segments between workloads. But we know that these ports rarely need to be open between workloads.  

That’s why it’s best practice to start with a denylist model. Block only the ports you know shouldn’t be open and allow all others. Then, when you have a full understanding of what ports applications need, you can switch to an allowlist model.

Keep only the required ports open and block all others. This approach allows you to begin building microsegmentation by ransomware today and tightening policy when you’re ready.   ‍

7. 배포 전 모델 정책

사이버 보안은 오랫동안 배포 후 기도하는 접근 방식에 의존해 왔습니다. 보안팀은 정책 모델을 만들고 올바르게 보일 때까지 수정합니다. 그런 다음 배포할 때 깨진 애플리케이션 종속성으로 인해 전화벨이 울리지 않기를 기도합니다.

그렇기 때문에 정책을 완전히 배포하기 전에 테스트하는 것이 가장 좋습니다. Illumio를 사용하면 정책을 생성한 다음 모니터링 모드로 전환할 수 있습니다. 이렇게 하면 정책이 배포된 후 발생할 수 있는 모든 문제를 강조 표시하여 운영이 중단되기 전에 문제를 해결할 수 있습니다.  

모델링을 통해 실수로 애플리케이션 종속성을 깨뜨릴 위험 없이 정책을 안전하게 배포할 수 있습니다.  

8. 하이브리드 멀티 클라우드 전반에서 일관된 세분화 확장

If you use a solution that can only build segmentation in the data center, then you’re unlikely to get consistent security in other environments like the cloud.

Segmentation should never be dependent on a single environment. This will result in a siloed approach to segmentation which will only leave vulnerabilities and make it harder to stop and contain breaches.

Instead, microsegmentation needs to follow the workload as it migrates across environments. This ensures that segmentation doesn’t break as workloads are hosting in different environments.

With Illumio, you can build consistent segmentation policy across your cloud, endpoint, and data center environments. This allows workloads to migrate between environments with one consistent microsegmentation model that works the same across the entire architecture.  

‍9. 사람의 결정에 의존하지 않고 보안 변경 자동화

멀웨어는 사람이 키보드로 타이핑하는 것보다 더 빠르게 확산됩니다. 침해가 확산되는 속도만큼 빠르게 정책 변경을 자동화할 수 있는 마이크로세그멘테이션 솔루션을 갖추는 것이 중요합니다.

Using the rich library of Illumio APIs, you can integrate Illumio with your SOAR solution. The SOAR tool will discover open ports that malware is using to spread through the network. Then, the tool will send Illumio an API call to immediately shut down at-risk ports.  

이 모든 것이 사람의 개입 없이 이루어집니다.  ‍

10. 보안 규정 준수 증명

애플리케이션과 세그먼트의 보안에는 많은 부분이 움직일 수 있기 때문에 위험을 정량화하는 것은 어려울 수 있습니다. 감사 중에 기존 위험과 보안 정책 적용 후 위험도가 어떻게 낮아졌는지 명확하게 파악하는 것이 항상 쉬운 일은 아닙니다. 이를 비교하기 전과 후를 보여주는 도구를 사용하는 것이 중요합니다.

일루미오의 취약성 맵을 사용하면 일루미오와 외부 스캐너가 발견한 위험을 결합한 점수로 위험을 정량화할 수 있습니다. 그러면 도구에서 위험을 줄일 수 있는 수정된 정책을 추천합니다.  

이를 통해 감사자는 환경의 노출 위험에 대한 전후 점수를 명확하게 파악할 수 있으므로 팀의 규정 준수 추측이 필요 없습니다.  

Ready to learn more about Illumio? 지금 바로 문의하세요 를 통해 무료 상담 및 데모를 신청하세요.