제로 트러스트 정책 발견에 필요한 것
에 대한 근본적인 진실 마이크로 세그멘테이션 보호해야 할 트래픽에 대한 우리의 이해보다 더 세분화될 수는 없다는 것입니다.보이지 않는 것은 정말 구분할 수 없어요.
현재 대부분의 세그멘테이션 공급업체는 애플리케이션을 일종의 “버블”에 빠뜨려 격리 가능성을 보여주는 일종의 애플리케이션 맵을 제공합니다.대안 대비 크게 개선되었지만 (시각화 기능 없음), 실제로는 이 정도로는 견고한 제로 트러스트 정책을 작성하기에 충분하지 않습니다.필요하지만 충분하지 않습니다. 그 밖에 무엇이 필요할까요?
에서 논의한 바와 같이 이 시리즈 소개, 제로 트러스트 마이크로 세그멘테이션의 성공 여부는 정책 관리 프로세스의 효율성에 따라 결정됩니다.세그멘테이션 규칙을 작성하는 것은 하나의 작업이 아니라 다양한 분석 및 의사 결정 단계입니다.따라서 세분화를 개선하려면 심층적인 이해가 필요하며 각 단계에 대한 올바른 가시성과 워크플로에 반영되어야 합니다. 단순한 단일 시각화가 모든 작업과 의사 결정 지점에 적용될 가능성은 없습니다.
정책 검색은 조직이 제로 트러스트 정책을 작성할 수 있을 만큼 애플리케이션과 해당 컨텍스트를 잘 이해하기 위해 거치는 일련의 작업입니다.여기에는 서비스, 호스트 및 애플리케이션 수준 정보뿐 아니라 다른 많은 정보도 포함됩니다.
전체 애플리케이션 컨텍스트
애플리케이션의 전체 컨텍스트는 내부 작업을 넘어섭니다.다른 애플리케이션과 통신할 수 있고, 20-30개의 공통 핵심 서비스에 연결될 수 있고, 기업 및 VPN 위치에서 오는 사용자가 있고, SaaS 서비스 또는 기타 원격 주소 공간과 상호 작용할 수 있습니다.조직도 없이 이 모든 것을 지도에 그냥 버리는 것은 혼란의 원인이 되어 크롤링 진행 속도가 느려질 수 있습니다!
외부 연결을 IP 관리 시스템에 있을 수 있는 일반 명명된 주소 범위로 요약하는 것이 중요합니다.이러한 방식으로 사용자 서브넷, DMZ 트래픽 등을 쉽게 찾아낼 수 있습니다. 특히 마이크로 세그멘테이션 배포 초기에는 “보호된” 시스템보다 “보호되지 않는” 시스템이 더 많습니다.이러한 시스템은 어떻게 표시, 구성 및 분류됩니까?이러한 시스템이 정책 모델의 객체이고 맵에 그대로 표시되면 복잡성과 규칙 작성이 단순화됩니다.마지막으로, 대부분의 애플리케이션은 사용자를 위해 존재합니다.사용자 컨텍스트를 어떻게 이해하고, 표시하고, 조치를 취할 수 있을까요?
궁극적으로 정책을 검색하려면 완전한 애플리케이션 컨텍스트가 필요하며, 이를 위해서는 외부 IP 주소 또는 호스트 이름을 100줄 이상 포함하는 단순한 애플리케이션 도면 이상의 작업이 필요합니다.
마이크로 워크플로와 매크로 워크플로우
데이터 센터 또는 클라우드 환경은 애플리케이션 외에도 고려해야 할 사항이 많은 복잡한 곳입니다.애플리케이션 종속성 맵은 애플리케이션을 이해하는 데 매우 중요하지만 더 큰 구조를 볼 수 있다면 어떨까요?어떻게 알 수 있을까요? Dev와 Prod 간에 어떤 트래픽이 전달되고 있습니까??전체 환경에서 포트 3306의 모든 데이터베이스 트래픽을 확인하여 누락된 것이 없는지 어떻게 확인할 수 있을까요?LDAP나 RDP와 같은 핵심 서비스의 “도달 범위”를 보고 현재 활동을 파악하는 것은 어떨까요?
100,000개 이상의 노드가 넘는 여러 환경을 보호하는 데 있어 Illumio의 경험은 애플리케이션 컨텍스트 외에도 매크로 환경을 위한 시각화 및 탐색 도구를 갖춘 데 반영됩니다.또한 추상화된 레이블 기반 정책을 효과적으로 작성하려면 정책 모델이 제공하는 모든 추상화 수준에서 통신을 시각화하고 검사할 수 있어야 합니다.흥미롭게도 애플리케이션 뷰에 매우 유용한 애플리케이션 버블은 이러한 상황에서는 거의 쓸모가 없습니다.최상의 정책 검색 솔루션은 수집된 흐름 데이터의 데이터베이스 덤프뿐만 아니라 모든 추상화 수준에서 통신을 표시할 수 있는 명확한 방법을 제공합니다.
대량 또는 집계 정책 작성을 통해 대규모 트래픽을 신속하게 처리하는 데 필수적인 매크로 수준의 보기를 제공하는 마이크로 세분화 솔루션이 필요합니다.
다양한 이해관계자에 대한 다양한 견해
방화벽 팀만이 정책 검색 활동 중에 흐름과 정책을 검사하는 것은 아닙니다.세분화 경계가 애플리케이션 서버 또는 컨테이너 호스트로 이동함에 따라 운영 및 애플리케이션 팀은 필요한 모든 서비스가 적절하게 프로비저닝되었는지 확인하는 데 많은 관심을 기울일 것입니다.이러한 동료들은 정책을 신속하게 검사하고 기능을 검증해야 하는 필요에 맞게 특별히 설계된 뷰를 통해 질문에 가장 잘 답할 수 있습니다.정책 개발 세부 정보 중 상당수는 필요하지 않으며, 실제로 애플리케이션 및 운영 팀의 핵심 관심사를 분산시킵니다.
애플리케이션 및 운영 팀을 위해 신중하게 시각화와 워크플로를 구성한 마이크로 세분화 제품을 찾으십시오. 이들은 정책 워크플로의 일부이므로 요구 사항을 지원하는 도구가 있어야 합니다.An RBAC 물론 필터링된 뷰는 필수적이지만 더 많은 것을 기대하세요 — get 애플리케이션 소유자별 시각화 정책 검색 프로세스를 가속화합니다.
요약하면
필요한 사항을 이해하는 것보다 더 빠르게 정책을 작성할 수 있는 사람은 없습니다!정책 발견은 모든 정책 관리 워크플로우의 첫 번째 부분입니다.최신 애플리케이션 또는 컨테이너화된 마이크로서비스 컬렉션의 정책 요구에는 단순한 애플리케이션 버블을 훨씬 뛰어넘는 완전한 애플리케이션 컨텍스트가 필요합니다.IP 범위, 비관리형 시스템, 핵심 서비스 등을 표현하는 것은 모두 애플리케이션 서비스를 컨텍스트에서 이해하는 데 필수적입니다.
좋은 정책 모델은 커뮤니케이션을 여러 수준 또는 “레이블”로 추상화하는 기능을 제공하므로 이러한 상위 정책 목표를 지원하는 시각화를 갖추는 것도 중요합니다.결국 대량 정책은 신속한 정책이므로 적절한 기능을 갖추면 정책 개발을 크게 가속화할 수 있습니다.
마지막으로 마이크로 세분화에는 여러 조직이 포함됩니다.정책 발견은 팀 스포츠입니다. 각 팀이 최대한 효율적으로 업무를 수행할 수 있도록 모든 구성원이 맞춤형 검색 관점을 갖도록 하세요.
빠르고 효율적인 정책 검색은 빠르고 효율적인 정책 작성으로 이어집니다.다음 주에는 정책 작성을 가속화하기 위해 무엇이 필요한지 논의할 예정입니다.