라벨링이 세분화에 방해가 되는 것을 방지하는 방법
제로 트러스트 보안에 대한 조직의 사고 방식이 바뀌었습니다.과거에는 '불량' 요소를 모두 찾아내 차단하려고 노력했습니다.하지만 제로 트러스트 접근법이란 커뮤니케이션의 출처를 확인하고 이를 허용하여 무엇이 “좋은” 것인지 식별하는 것입니다.
제로 트러스트를 달성하려면 다음을 수행해야 합니다.
- 신뢰할 수 있는 단체의 신원을 식별하고 관리하세요.
- 제로 트러스트 세그멘테이션을 사용하여 해당 ID에 적용되는 정책을 적용합니다.
하지만 구현과 관련하여 인식되는 어려움 중 하나는 제로 트러스트 세그멘테이션 그리고 정책 시행은 네트워크상의 모든 엔티티에 대한 지식이 얼마나 완전한지에 관한 것입니다.
에서 최근 설문조사 Illumio가 의뢰한 결과 응답자의 19% 는 완벽한 데이터가 없기 때문에 제로 트러스트를 구현할 수 없다고 답했습니다.
Illumio의 제로 트러스트 가상 워크숍 시리즈 참석자들은 다음과 같은 이유로 제로 트러스트를 사용하는 데 어려움을 겪고 있다고 강조하면서 비슷한 우려를 표명했습니다.
- 시스템에 대한 정확한 정보.
- 어떤 서버 또는 워크로드가 존재하는지에 대한 지식
- 어떤 애플리케이션이 어떤 리소스에 연결되었는지 파악
대부분의 조직에서는 CMDB (구성 관리 데이터베이스), IP 주소 관리 시스템, 클라우드 태그, 스프레드시트 또는 유사한 리포지토리 시스템이 이러한 정보를 “신뢰할 수 있는 출처”로 사용하는 것이 이상적입니다.하지만 이러한 정보 리포지토리 시스템은 정확하지 않거나 아예 존재하지 않을 수도 있습니다.
존재하는 정보를 사용하여 구조화된 라벨링 모델을 구축할 수 있는 것이 중요합니다.정보가 없으면 환경이 이렇게 보일 것이기 때문입니다.

CMDB는 라벨링의 전부가 아닙니다.
조직이 직면하는 주요 문제 중 하나는 위생이라는 이름을 지정하는 것입니다.시스템이 발전하고 직원이 바뀌면서 명명 규칙도 바뀝니다.
예를 들어, '프로덕션'으로 시작한 것이 '프로덕션'이 되고, 그 다음에는 '프로덕션'이 됩니다.즉, 제로 트러스트 정책을 적용하는 규칙은 처음 작성된 시점부터 이름이 변경될 때까지 더 이상 사용되지 않을 수 있습니다.
자유 텍스트 스타일의 레이블링으로 인해 규칙 작성 시 많은 불일치가 발생할 수도 있습니다.리소스에 대한 레이블이 부정확하거나 제한적이면 사용자 환경을 이해하기 어려울 수 있습니다.
정책 시행은 CMDB 또는 기타 정보 저장소의 정확성이나 완전성에 의해 제한되어서는 안 됩니다.이름이 일치하지 않는 경우 이 문제를 해결할 수 있는 방법이 있어야 합니다.
CMDB가 없는 사용자에게는 훨씬 더 간단한 것을 사용하는 데 아무런 문제가 없습니다.예를 들어 대부분의 시스템에서는 데이터를.CSV 형식으로 가져오고 내보낼 수 있으므로 데이터 관리를 위한 이동성이 매우 뛰어난 방법입니다.
Illumio가 워크로드 라벨링을 간소화하고 자동화하는 방법
Illumio는 제로 트러스트 세그멘테이션 정책의 이름 지정 및 적용 프로세스를 근본적으로 단순화하는 간단한 도구 세트를 개발했습니다.툴을 갖추는 것도 솔루션의 한 부분이라고 할 수 있습니다. 툴을 올바르게 적용하는 것이야말로 차별화된다는 것입니다.
제로 트러스트 구현의 핵심은 일관성입니다.구조화된 이름 지정 체계를 사용하면 다양한 환경 (예: 다양한 환경) 간에 보안 정책을 적용할 수 있습니다. 하이퍼바이저 및 클라우드).
예를 들어 IP 주소 모델은 항상 동일하기 때문에 효과가 있습니다.네트워크에 연결된 모든 디바이스에는 AAA.BBB.CCC.DDD/XX 형식이 필요합니다.이것이 없었다면 우리는 어떤 형태의 통신도 할 수 없었을 것입니다.워크로드에 레이블을 지정할 때도 마찬가지입니다.일관된 모델이 없으면 조직의 보안이 침해될 수 있습니다.
Illumio는 다음과 같은 몇 가지 간단한 단계를 통해 네이밍 프로세스를 간소화합니다.
- 단계 1: CMDB, 스프레드시트, 태그 목록 (또는 이 모든 것의 조합) 등 모든 조직에는 고유한 “정보 소스”가 있습니다.정확하지 않다고 생각하더라도 Illumio는 각 워크로드에서 메타데이터를 수집하고 네트워크와 워크로드의 데이터를 자동으로 업데이트할 수 있습니다.
- 2단계: 네트워크의 정보를 사용하십시오.예를 들어 프로덕션 서버는 개발 서버와 다른 서브넷에 있을 수 있습니다.IP 주소를 사용하여 규칙을 작성하는 것은 실용적이지 않지만 네트워크 정보는 이름 생성을 위한 좋은 출발점이 됩니다.
- 3단계: 호스트 이름을 사용하세요.시간이 지나면서 불일치가 쌓였을 수도 있지만 문자열의 일관된 부분을 식별하고 가능한 많은 워크로드에 대해 파싱하면 격차를 메울 수 있습니다.이 정보는 거의 모든 출처에서 수집할 수 있습니다.
지금까지 기존 정보 소스를 활용하여 잠재적 환경을 발견한 다음 웹 또는 데이터베이스와 같은 서버 역할을 강조할 수 있는 호스트 이름 정보를 식별했습니다.
이러한 단계를 완료하면 트래픽 흐름 정보를 사용하여 다른 단계에서 누락되었을 수 있는 핵심 서비스 및 기타 기능에 대해 알아보고 식별할 수 있습니다.이렇게 하면 알 수 없지만 꼭 필요한 서버를 식별하는 데 도움이 될 수 있습니다.
이러한 모든 지식을 바탕으로 각 워크로드에 레이블을 간단하게 적용할 수 있으며, 이를 사용하여 워크로드 간 통신을 시각화하고 제로 트러스트 세그멘테이션 정책을 적용할 수 있습니다.
구조화된 레이블링을 사용하면 이제 환경 맵이 다음과 같이 표시됩니다.

워크로드에 레이블을 지정하는 프로세스가 쉬울수록 맵은 더 단순해지고 세그멘테이션을 통해 실제 가치를 더 빨리 얻을 수 있습니다.
물론 이러한 단계는 어떤 순서로든 수행할 수 있습니다.일부 공급업체는 트래픽 학습을 첫 번째 단계로 삼고 있습니다.여기서 문제는 인식된 포트에서 많은 플로우를 생성한다는 이유만으로 통신이 합법적으로 보일 가능성이 있다는 것입니다.그러면 결과의 잠재적 부정확성을 복구하는 데 시간이 오래 걸릴 수 있습니다.이렇게 하면 맵을 정리하는 데 시간이 걸리므로 값을 얻는 과정이 느려질 수 있습니다.고정된 정보를 먼저 사용하는 것이 훨씬 쉽고 안전합니다.
에서 간단한 도구 사용 일루미오 코어필요한 데이터를 쉽게 수집하고 라벨링 프로세스를 자동화할 수 있습니다.이 접근 방식을 사용하면 보안 정책을 식별하고 배포하는 과정에서 발생할 수 있는 잠재적 복잡성과 데이터 부족에 대한 걱정을 없앨 수 있습니다.
자세히 알아보려면:
- 읽기 마이크로 세분화를 위한 라벨링 간소화를 위한 5가지 팁.
- 다운로드 일루미오 코어 개요 제로 트러스트 세분화에 대한 Illumio의 접근 방식에 대해 자세히 알아보십시오.