캐세이퍼시픽 보안, 일루미오 세분화로 도약하다

개요 및 과제

항공기 안전부터 항공권 판매까지 다양한 분야에서 상위 10위 안에 드는 거의 모든 "누가 누가 항공사" 리스트에 그들의 이름이 올랐습니다.

캐세이퍼시픽은 세계 최고 수준의 항공 서비스를 제공하는 데 주력해 왔기 때문에 이러한 영예는 어쩌면 당연한 결과였습니다. 하지만 오늘날 사이버 보안 환경의 새로운 피할 수 없는 공격의 표적이 되자 홍콩에 본사를 둔 이 통신사는 곧바로 보안 프로그램에 집중했습니다.

"Zero Trust와 최소 권한은 곧바로 논의의 대상이 되었습니다."라고 캐세이의 인프라 엔지니어링 책임자 YC Chan은 설명합니다. "우리는 가장 중요한 애플리케이션에 대한 적절한 수준의 보호를 위해 마이크로세그멘테이션 을 구현해야 한다는 것을 알고 있었습니다."

마이크로세그멘테이션의 최종 목표가 측면 이동을 방지하고 '크라운 주얼' 애플리케이션을 보호하는 것이라면, 찬과 그의 팀은 처음부터 네트워크를 누구보다 잘 알고 있어야 합니다.

이 팀은 전체 네트워크의 애플리케이션 트래픽에 대한 가시성이 필요했습니다. 하지만 그 이상으로 Chan은 가장 효율적인 방법으로 가시성 및 세분화 목표를 달성하는 데 도움이 되는 솔루션을 찾고자 했습니다.

"어느 정도 가시성과 인사이트를 제공하는 검색 도구가 있었지만, 궁극적으로 시각화와 정책 워크플로를 통합하지는 못했습니다."라고 Chan은 말합니다. "연말 마감일까지 목표를 달성하려면 애플리케이션 및 워크플로 트래픽을 보여주고 흐름을 차단하거나 허용하기 위해 신속하고 효율적으로 조치를 취할 수 있는 인터페이스가 필요했습니다."

일루미오의 지원 방법

찬과 그의 팀은 일루미오 세분화를 사용하면서 이것이 "마이크로세분화를 수행하는 가장 쉬운 방법"이라는 사실을 금방 깨달았습니다.

일루미오의 실시간 애플리케이션 종속성 맵은 온프레미스 서버와 AWS 및 Azure 클라우드 간의 연결을 시각화하여 캐세이퍼시픽의 애플리케이션이 어떻게 통신하고 있는지 보여줍니다. 팀은 보호가 필요한 항목을 파악하고 차단 또는 승인을 위한 즉각적인 조치를 취할 수 있습니다. 팀은 보호가 필요한 항목을 파악하고 워크플로우 차단 또는 승인에 대한 즉각적인 조치를 취할 수 있습니다.

그리고 600개의 애플리케이션이 걸려 있는 상황에서 팀은 기대 이상의 성과를 거두었습니다.

정책을 시행하기 전에 테스트 모드에서 실행할 수 있는 기능은 캐세이퍼시픽의 성공적인 배포에 필수적인 역할을 했습니다. 이를 통해 인프라 및 보안 팀과 애플리케이션 소유자 간의 지속적인 협업을 강화할 수 있었습니다.

애플리케이션 소유자와 협력하여 흐름을 검토하고 정책을 정의하는 데 도움을 줍니다. 방화벽 규칙을 읽으라고 요청할 수는 없지만 Illumio의 앱 소유자 보기 맵과 일반 언어 레이블을 사용하면 흐름을 이해하고 정책을 적용하기가 훨씬 쉬워집니다. YC Chan 캐세이퍼시픽 인프라 엔지니어링 책임자

결과는? 안정적이고 철저한 시행 프로세스를 통해 가장 시급한 기한을 맞출 수 있었습니다.

"우리는 애플리케이션 소유자와 협력하여 플로우를 검토하고 정책을 정의하는 데 도움을 줍니다."라고 Chan은 말합니다. "방화벽 규칙을 읽으라고 요청할 수는 없지만 Illumio의 앱 소유자 보기 맵과 일반 언어 레이블을 사용하면 흐름을 이해하고 정책을 적용하기가 훨씬 쉬워집니다. 우리는 애플리케이션이 적절한 수준의 세분화로 보호되고 있으며, 시행 중에도 중단 없이 보호되고 있다고 확신합니다.

캐세이퍼시픽은 내부 방어를 강화하기 위해 일루미오를 계속 사용하고 있을 뿐만 아니라 또 다른 과제를 해결하는 데도 일루미오를 활용하고 있습니다: PCI DSS 규정 준수입니다.

캐세이퍼시픽은 카드 소지자 데이터 보안을 가장 중요하게 생각합니다. 일루미오 세분화 매핑 및 정책 생성 기능을 통해 기업은 다양한 PCI 규정 준수 요건을 충족할 수 있습니다.

또한 이동 중인 데이터의 즉각적인 워크로드 간 암호화를 위해 1,000대 이상의 워크스테이션에서 SecureConnect를 활용하고 있습니다.

이 규정 준수 이니셔티브의 대안은 캐세이 콜센터 사무실을 보호하기 위해 수십 개의 데이터 센터 방화벽을 설치하는 것이었는데, 약 5백만 달러의 비용이 들었습니다. 캐세이퍼시픽은 훨씬 적은 노력과 비용으로 안심하고 PCI 인증을 받을 수 있는 길을 가고 있습니다.

결과 및 이점

• 빠른 가치 실현 시간
  팀은 예상보다 빠르게 예정보다 일찍 캐세이의 가장 중요하고 취약한 애플리케이션을 세분화했습니다.
• 위험은 줄이고 가동 시간은 늘리세요
  네트워크를 변경하지 않고도 새 정책의 영향을 테스트할 수 있는 기능을 통해 팀에서는 정책 시행으로 인해 애플리케이션이 중단되지 않을 것이라는 확신을 가질 수 있습니다.
• 부서 간 가시성 향상
  실시간 지도를 사용하여 애플리케이션 소유자를 세분화 프로세스에 참여시키면 정책 정확도가 향상되고 궁극적으로 캐세이퍼시픽의 보안 태세가 강화됩니다.
• 규정 준수를 위한 명확한 경로
  PCI 규정 준수를 위한 잠재적인 방화벽 비용 수백만 달러를 절감한 이 팀은 Illumio Segmentation의 암호화, 가시성, 세분화 기능을 활용하여 규정 준수 의무를 충족할 수 있게 되었습니다.
• AWS에 배포: Illumio SaaS 제품은 AWS를 기반으로 구축되어 EC2, S3, EKS 및 RDS와 같은 여러 서비스를 활용하여 고객 구현 환경을 간소화하고 성능을 개선합니다. 

새로운 서버나 애플리케이션을 도입할 때마다 Illumio는 시운전 과정의 일부가 됩니다. 배포 및 구현이 용이하고 애플리케이션 중심적으로 전환하는 데 도움이 되는 것으로 입증되었습니다. YC Chan 캐세이퍼시픽 인프라 엔지니어링 책임자