Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
제로 트러스트 세분화

퍼블릭 클라우드 환경에서 마이크로세그멘테이션을 배포하는 5가지 사용 사례

Illumio Editorial
Illumio Editorial
10월 20, 2020
23 분 읽기

퍼블릭 클라우드는 변화하는 비즈니스 요구사항에 맞춰 쉽게 확장할 수 있는 온디맨드의 탄력적인 환경을 만들어냈습니다. 애플리케이션은 정적인 모놀리식 코드 블록에서 다양한 퍼블릭 클라우드 제공업체, 다양한 지역, 다양한 운영 체제에서 대규모 자동화에 의존하여 배포할 수 있는 마이크로서비스로 전환되어 위험 노출을 줄이고 악의적인 공격자의 측면 이동을 방지하기 위한 기존 보안 관행에 도전하고 있습니다.

사이버 공격의 규모와 범위가 지속적으로 진화함에 따라 점점 더 많은 조직에서 심층 방어 전략의 필수 요소로 마이크로세그멘테이션을 구현하고 있습니다. 최근 300명 이상의 IT 전문가를 대상으로 실시한 설문조사에 따르면 45%가 현재 세분화 프로젝트를 진행 중이거나 계획 중이라고 답했습니다.

모든 주요 퍼블릭 클라우드 제공업체는 자체 클라우드 보안 솔루션을 보유하고 있어 기본적인 수준의 정책 시행도 가능합니다. 클라우드 컴퓨팅이 확장됨에 따라 퍼블릭 클라우드 제공업체에 보안 그룹을 늘려달라고 요청하여 운영 복잡성이 증가하고 규칙 부풀리기로 인한 위험이 증가할 수 있습니다. 또한 이러한 클라우드 보안 도구는 전체 아키텍처에서 사일로화되어 있습니다. 각 보안 솔루션은 샌드박스에서 다른 보안 솔루션과 잘 작동하지 않으며, 모든 보안 솔루션 간에 보안 침해의 연관성을 찾는 것은 해결에 큰 지연을 초래하는 번거로운 작업입니다. 이 챌린지에 대한 자세한 내용은 제 동료 크리스터가 작성한 이 게시물을 확인하세요.

보안 제어가 발전하여 이제 애플리케이션 및 비즈니스 프로세스의 맥락에서 클라우드 컴퓨팅 인스턴스를 볼 수 있는 기능을 제공하므로 사용자는 각 컴퓨팅 인스턴스에서 제공되는 기본 제공 상태 저장 방화벽을 활용하여 위험을 더 잘 이해하고 정책을 수립할 수 있습니다.

패킷이 탄생하는 첫 번째 단계는 정책을 첨부하는 것입니다. 패킷이 네트워크 포워딩 플레인에 도달할 때쯤이면 이미 보안이 적용된 상태입니다. 이 접근 방식은 네트워크와 독립적으로 클라우드 보안을 작업과 제어가 이루어지는 위치에 매우 가깝게 가져옵니다. 네트워크와 보안을 분리하여 두 가지 장점을 모두 누릴 수 있습니다.

이 게시물에서는 조직에서 마이크로세그멘테이션을 고려할 때 흔히 발생하는 퍼블릭 클라우드 보안 관련 질문 5가지에 대해 답변해드리겠습니다.

1. 워크로드의 전체 수명 주기 동안 클라우드 보안을 적용할 수 있나요?

물론입니다. 클라우드 보안 제어는 생성부터 종료까지 전체 수명 주기 동안 워크로드에 자동으로 적용됩니다.

오케스트레이션 도구(예: Ansible, Chef, Puppet)를 Illumio의 애플리케이션 프로그램 인터페이스(API)와 통합하면 워크로드가 Illumio의 정책 컴퓨팅 엔진(PCE) 과 페어링됩니다. 페어링하는 동안 워크로드와 연결된 태그가 PCE의 레이블에 매핑되고 워크로드는 PCE의 레이블을 사용하여 생성된 올바른 보안 정책 집합을 상속받습니다. 워크로드에 레이블이 잘못 지정된 경우 레이블을 변경하면 자동으로 적절한 정책 변경이 트리거됩니다. 워크로드 IP 주소가 변경되면 PCE가 자동으로 새 IP 주소를 선택합니다. 보안 정책은 네트워크에서 분리되어 있으므로 더 이상 변경할 필요가 없습니다. 워크로드가 종료되면 PCE는 자동으로 적절한 정책 변경을 트리거합니다.

네트워크를 세분화에서 분리하면 정책 변경이 자동으로 트리거되어 전체 수명 주기 동안 워크로드에 적합한 보안 제어 세트를 적용합니다. 보안은 항상 중요했지만, 조직이 비즈니스를 추진하는 데 있어 소프트웨어에 대한 의존도가 높아지면서 비즈니스 위험을 최소화하기 위해 보안을 제대로 갖추는 것이 점점 더 중요해지고 있습니다.

2. 퍼블릭 클라우드에서 실시간 애플리케이션 가시성이 가능한가요?

당연하죠. 애플리케이션은 고립된 섬이 아닙니다. 서로 대화하는 것이 비즈니스 프로세스가 작동하는 방식입니다.

애플리케이션 종속성에 대한 실시간 가시성은 정확한 세분화 정책을 추진하는 애플리케이션 동작을 이해하는 데 도움이 됩니다. 마이크로서비스가 여러 퍼블릭 클라우드 제공업체와 여러 지역에 배포되므로 애플리케이션 중심의 가시성은 우수한 보안을 위한 중요한 기반입니다.

일루미오 코어 (이전의 일루미오 ASP)는 워크로드와 애플리케이션 간의 통신을 시각화하는 일루미네이션이라는 실시간 애플리케이션 종속성 맵을 제공합니다. 지도의 선은 클라우드 또는 온프레미스에서 워크로드 간에 감지된 트래픽 흐름을 나타냅니다. Illumio는 선의 색상을 빨간색과 녹색으로 표시하여 마이크로세분화 정책에 의해 연결이 허용되는지 또는 차단되는지를 나타냅니다.

아래 스크린샷은 프로덕션 환경에서 AssetManagement 애플리케이션의 애플리케이션 종속성 맵을 보여줍니다. 여기서 지도의 선은 워크로드 간에 감지된 트래픽 흐름을 나타냅니다. Illumio는 마이크로세그멘테이션 정책에 따라 연결이 허용되는지 또는 차단되는지를 표시하기 위해 빨간색과 녹색으로 선을 표시합니다. 녹색 줄은 연결을 허용하는 정책이 작성되었음을 의미합니다. 빨간색 선은 정책이 존재하지 않으며 시행 모드로 전환할 때 연결이 차단됨을 의미합니다. 빨간색과 초록색 선으로 세분화 정책과 정책 위반 사항을 매우 쉽게 시각화할 수 있습니다. 색맹으로 고생하고 계신가요? Illumio ASP는 색각 이상 사용자에게 색각 결핍 옵션을 제공합니다.

AD자산관리

일루미오의 에이전트인 가상 시행 노드 (VEN)가 워크로드에 설치되고 PCE에 페어링되면 가시성 및 시행을 사용할 수 있습니다. VEN과 PCE 페어링은 Ansible 및 Terraform과 같은 도구를 사용하여 자동화할 수 있습니다.

워크로드에 VEN이 설치되어 있지 않은 경우, 고객은 Illumio Labs에서 공유하는 솔루션을 사용하여 PCE에서 Microsoft Azure 및 Amazon AWS에서 실행되는 워크로드의 애플리케이션 종속성을 시각화할 수 있습니다.

3. 멀티 클라우드에서 클라우드 보안 제어를 검증할 수 있나요?

애플리케이션을 손상시키지 않고도 가능합니다. 멀티 클라우드 배포에서 가장 큰 문제 중 하나는 각 공급업체가 개념적으로는 유사하지만 구현 방식이 크게 다른 일련의 제어 기능을 제공하므로 일관된 보안이 부족하다는 점입니다. Illumio는 보안 정책을 개발하기 위해 인프라에 대한 지식이나 제어에 의존하지 않고 애플리케이션에서 기본 클라우드를 추상화합니다.

Illumio는 보안 제어를 검증하는 두 가지 솔루션을 제공합니다:

  • 조명을 초안 보기로 전환하여 초안 정책을 시각화하여 프로비저닝 변경 시 어떤 일이 발생하는지 확인하세요.
  • 워크로드 정책 상태를 테스트로 전환하여 규칙 집합의 모든 규칙을 적용하고 워크로드를 정책 적용 상태로 설정할 때 차단되는 모든 트래픽을 시각화합니다. 테스트 상태에서는 트래픽이 차단되지 않습니다.

4. PaaS(서비스형 플랫폼)에서 마이크로세분화가 가능한가요?

예. 일루미오 랩은 Microsoft Azure SQL 데이터베이스와 Amazon AWS RDS에 대한 가시성과 시행을 제공하는 솔루션을 공유하고 있습니다.

일루미오 연구소는 가시성 및 시행을 위한 세 가지 단계를 설명합니다. 여기서 Azure SQL 데이터베이스 서버를 보호하는 서버 수준 방화벽은 PCE에 정의된 보안 정책을 사용하여 프로그래밍됩니다.

일루미오 연구소는 또한 가시성 및 시행을 위한 6가지 단계를 설명합니다. S3 버킷은 PCE에 정의된 보안 정책에 따라 VPC 보안 그룹을 다시 프로그래밍하는 람다 함수를 트리거하는 플로우 로그를 저장하는 데 사용됩니다.

5. 일루미오가 주요 클라우드 보안 침해에 도움을 줄 수 있나요?

의심의 여지가 없습니다. 보안이 잘못되면 데이터 손실, 데이터 유출, 민감한 데이터 노출, 매출에 대한 영향, 브랜드에 대한 지속적인 영향, 규정 준수와 관련된 과징금까지 초래할 수 있습니다. 보안은 인프라와 애플리케이션 전반의 진화를 따라가지 못했습니다. 새로운 방식으로 보안에 접근하고 애플리케이션 환경과 이를 보호하는 방법에 대해 다르게 생각해야 합니다.

보안 침해의 가장 큰 문제 중 하나는 측면 이동입니다. 일루미오는 측면 이동을 막고 폭발 반경을 줄이도록 설계되었습니다. Illumio는 설계상 '허용 목록' 모델을 따르기 때문에 워크로드가 손상되면 다른 모든 워크로드의 보안 정책이 자동으로 업데이트되어 손상된 워크로드의 트래픽을 차단합니다.

인터넷 보안 센터(CIS)의 보안 제어 이니셔티브는 널리 채택되어 10년 이상 사용되어 왔습니다. 제어 기능은 주요 위협 보고서에서 강조된 가장 일반적인 공격 패턴에서 파생되었으며 정부 및 업계 실무자로 구성된 매우 광범위한 커뮤니티에서 검증되었습니다. 이는 상업 및 정부 포렌식 및 사고 대응 전문가들의 결합된 지식을 반영합니다. Illumio의 기능은 CIS의 기본, 기초 및 조직 제어를 직접 충족하거나 지원하는 데 도움이 됩니다.

빠른 요약

마이크로세그멘테이션은 조직 내에서 무단 횡방향 이동을 방지하는 매우 효과적인 접근 방식이며, 제로 트러스트 프레임워크의 핵심 원칙이 된 것은 우연이 아닙니다.

조직이 비즈니스 요구 사항을 충족하기 위해 확장함에 따라 퍼블릭 클라우드 제공업체 전반에서 작동하는 일관된 보안 제어를 구축하는 것이 위험 노출을 줄이고 복잡성을 줄이는 데 매우 중요해졌습니다. 마이크로세분화 여정의 첫 걸음을 내딛을 준비가 되셨나요? 30일 무료 평가판에 가입하세요.

관련 주제

Cloud Security

관련 문서

RSA 컨퍼런스 2023에서 일루미오에 대해 알아야 할 4가지 사항
제로 트러스트 세분화

RSA 컨퍼런스 2023에서 일루미오에 대해 알아야 할 4가지 사항

4월 24일부터 27일까지 샌프란시스코에서 열리는 RSA 컨퍼런스 2023에 일루미오와 함께하세요.

Read more
크리에이터 존 킨더백, CISO 자레드 누스바움과 함께하는 제로 트러스트의 실제 사례
제로 트러스트 세분화

크리에이터 존 킨더백, CISO 자레드 누스바움과 함께하는 제로 트러스트의 실제 사례

두 제로 트러스트 리더가 전략, 세분화 및 비즈니스 조정을 통해 제로 트러스트가 현실 세계에서 어떻게 작동하는지에 대한 강력한 RSAC 2025 대담에서 얻은 주요 인사이트를 살펴보세요.

Read more
제로 트러스트 세분화가 단독 탐지 및 대응보다 4배 빠르게 랜섬웨어를 차단하는 방법
제로 트러스트 세분화

제로 트러스트 세분화가 단독 탐지 및 대응보다 4배 빠르게 랜섬웨어를 차단하는 방법

최근 비숍 폭스가 실시한 랜섬웨어 공격 에뮬레이션에 따르면 제로 트러스트 세분화는 10분 이내에 랜섬웨어 확산을 차단하는 것으로 나타났습니다.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more