클라우드 보안에 다시 집중하기: 제로 트러스트 세분화가 클라우드를 보호하는 방법

퍼블릭 클라우드로 시선을 돌려 사이버 보안 인식의 달 시리즈를 이어갑니다.

언뜻 보기에 클라우드 자산을 보호하는 것은 개념적으로 데이터 센터에서 자산을 보호하는 것과 다르지 않습니다. 신원 확인, 액세스 제어, 보안 연결 등 모든 것이 동일합니다.

그러나 인프라 계층을 소유하지 않고 많은 서비스가 DNS 주소에 대한 API 호출에 불과한 경우, 결국에는 전혀 동일하지 않게 됩니다.

어떤 IP 주소에 어떤 연결이 필요한지 정확히 알기는 어렵습니다. 클라우드 네이티브 방화벽은 IP 주소와 수동 프로세스에 전적으로 의존하는 기본적인 텍스트 중심 인터페이스를 제공합니다.

물론 자동화할 수 있지만, 그 코드를 누가 작성할까요? 이미 바쁜 데브옵스 팀인가요? 또 다른 수작업에 불과하지 않나요? 그리고 이러한 노력은 결국 데이터 센터의 액세스 정책과 분리되어 또 다른 계층의 번역과 수작업이 필요합니다.

다행히도 클라우드 보안을 강화할 수 있는 더 좋은 방법이 있습니다: 바로 제로 트러스트 세분화입니다.

제로 트러스트 세분화가 사이버 공격의 확산으로부터 클라우드를 보호하는 4가지 주요 방법이 있습니다.

일루미오의 수석 에반젤리스트인 나다니엘 아이버슨의 동영상에서 주요 내용을 확인하세요:

 
자세히 알아보려면 계속 읽어보세요.

1. 네트워크 통신 흐름에 대한 종합적인 가시성

클라우드에서 사용되는 많은 서비스, 애플리케이션, 데이터 저장소 자체가 API 호출만으로 가능한 경우, 기존의 네트워크 흐름 분석으로는 클라우드 연결에 대한 유용한 정보를 얻을 수 없는 경우가 많습니다.

제로 트러스트 세분화는 클라우드 시스템 인벤토리 및 연결 테이블에 직접 연결하는 것으로 시작됩니다. 즉, 탄력적 네트워크 인터페이스(ENI)가 있는 모든 것이 자동으로 검색되고, 메타데이터가 수집되어 이름 지정에 사용되며, 애플리케이션 종속성 맵에 배치됩니다.

따라서 애플리케이션 종속성 맵은 지속적으로 변경되는 IP 주소가 아니라 조직에서 이미 시간과 노력을 투자하여 만든 이름 지정 및 개체 규칙을 기반으로 합니다.

이 맵은 EC2 인스턴스부터 Kubernetes 및 컨테이너화된 개체, SaaS 서비스, 클라우드 애플리케이션, 서비스 브로커까지 거의 모든 통신 흐름에 대한 포괄적인 범위를 제공합니다.

정보는 애플리케이션 및 서비스별로 깔끔하게 정리되어 있으며 클라우드, 인프라 및 보안 팀의 모든 사람이 지도를 읽을 수 있도록 이름이 지정되어 있습니다. 이 보기는 VPC, 서브넷 및 영역과 무관하게 실제 연결 토폴로지를 보여줍니다.

2. 자동화된 최적화된 세분화 정책

애플리케이션 종속성 맵을 통해 사물이 어떻게 연결되어 있는지 명확하게 이해했다면, 연결이 얼마나 잘 보호되고 있는지 묻는 것은 당연한 일입니다. 이러한 서비스에 부적절하게 액세스하거나 중단될 수 있는 위험은 무엇인가요?

제로 트러스트 세분화에는 정책 자동화 및 최적화가 포함되어 있어 진정한 제로 트러스트, 최소 권한 결과를 쉽게 달성하고 유지할 수 있습니다.

보안 팀에 통신 흐름을 알려주는 동일한 애플리케이션 종속성 맵은 정책 자동화 코드에도 알려줄 수 있습니다:

• 필요한 연결 분석
• 해당 연결을 현재 VPC 정책과 비교합니다.
• 그런 다음 보안 정책을 최적화하고 강화하여 필요한 연결은 허용하고 그 외의 모든 연결은 거부하는 방법에 대한 권장 사항을 제시합니다.

그런 다음 결과 정책 권장 사항을 에이전트 없이 클라우드 네이티브 방화벽에 직접 구현할 수 있습니다.

제로 트러스트 세분화는 기본 방화벽에 쓰기 때문에 대상에 관계없이 트래픽을 제어할 수 있습니다. EC2에서 EC2로? 예. EC2에서 Kubernetes 클러스터로? 물론이죠. SaaS 서비스에서 람바 기능으로? 물론입니다.

제로 트러스트 세분화는 완전히 API 기반이며 API로 액세스할 수 있는 자동화된 에이전트 없는 세분화를 제공합니다. 클라우드의 메타데이터를 사용하기 때문에 이제 서비스형 세분화를 사용할 수 있습니다.

CloudOps 및 자동화 팀은 신뢰할 수 있는 메타데이터 중심의 추상화 계층에 액세스하여 IP 주소 및 방화벽 정책으로의 모든 변환을 처리하고 애플리케이션 토폴로지 변경을 자동으로 따라잡을 수도 있습니다.

3. 클라우드, 데이터 센터 및 엔드포인트 환경을 위한 올인원 가시성 및 제어 기능

제로 트러스트 세분화가 제공하는 클라우드 네이티브 기능 중 일부를 살펴보았지만, 가장 좋은 소식은 이러한 기능에 데이터 센터 및 엔드포인트 환경에 대한 완전한 가시성과 제어 기능도 포함되어 있다는 점입니다.

어떤 클라우드도 섬은 없습니다.

사용자와 관리자는 클라우드에 액세스하고 클라우드는 데이터 센터 및 코로케이션 시설의 시스템과 통신합니다. 클라우드 제공업체 간 커뮤니케이션은 끊임없이 이루어지는 경우가 많습니다.

제로 트러스트 세분화는 단일 정책 모델, 시각화 및 정책 배포 계층을 제공하여 이러한 다양한 환경을 모두 협업적이고 원활한 워크플로로 연결합니다. 클라우드 API에서 시각화된 시스템은 데이터 센터 또는 VDI 인스턴스 또는 사용자 엔드포인트에서 검색된 시스템과 동일한 화면에 나타납니다.

제로 트러스트 세분화는 엔드포인트와 함께 배포할 경우 클라우드 워크로드를 위한 ID 기반 세분화 및 액세스 제어 기능을 제공합니다.

4. 운영 복원력 향상

세분화 정책을 위한 범용 허브가 있으면 모든 시스템을 공통 정책에 쉽게 포함할 수 있습니다.

많은 조직이 사전 예방적 및 사후 대응적 세분화 정책을 사전 프로비저닝하여 사고 대응을 강화하고자 합니다. 이 아이디어는 간단하며 모든 사람이 보안 침해를 발견하는 즉시 해야 할 일, 즉 세분화 제어를 강화해야 한다는 것을 알고 있는 것에 기반을 두고 있습니다.

가장 중요한 시스템을 보호하기 위해 사이버 공격이 발생할 경우 즉시 시행하고 싶은 비상 정책은 무엇인가요?

제로 트러스트 세분화를 사용하면 이러한 정책을 미리 생성하고 구현하여 즉시 활성화할 수 있습니다. 무엇보다도 이러한 정책은 클라우드, 데이터 센터 및 엔드포인트 환경으로 확장됩니다.

제로 트러스트 세분화를 사용하면 모든 시스템이 준수해야 하는 기본 정책을 쉽게 설정한 다음 클라우드 기반 컨테이너 배포부터 데이터 센터의 가상 머신에 이르기까지 모든 곳에서 해당 정책을 적용할 수 있습니다.

제로 트러스트 세분화로 클라우드 보안 태세 강화

조직은 가용성, 민첩성, 글로벌 배포 자동화 등을 위해 클라우드로 이전합니다.

제로 트러스트 세분화는 서비스형 세분화를 제공하는 데 필요한 가시성, 자동화, 적용 범위를 제공합니다. 이는 클라우드 제공업체 API에서 직접 스트리밍되는 정보를 통해 자동화된 가시성 및 연결 매핑으로 시작됩니다. 이 데이터는 세분화 정책을 최적화하고 강화하는 방법을 제안하는 강력한 자동화 및 최적화 코드를 제공합니다.

이러한 정책이 배포되면 필요에 따라 클라우드, 데이터 센터 및 엔드포인트 시스템으로 푸시할 수 있습니다. 클라우드는 데이터 센터와 다른 점이 있지만, 클라우드 메타데이터, 연결 정보 및 API를 활용하면 조직이 클라우드 배포에서 자동화된 세분화 정책을 추진할 수 있다는 것을 알 수 있습니다.

마지막으로 제로 트러스트 원칙에 최적화되는 완전 자동화된 클라우드 세분화가 있습니다.

사이버 보안 인식의 달은 클라우드 보안 태세에 가장 큰 영향을 미치는 제로 트러스트 세분화와 같은 기능을 한 발 물러서서 생각해 볼 수 있는 좋은 기회입니다.

다음 주에는 사이버 보안 인식의 달에 다시 한 번 집중해야 할 주제에 대한 시리즈를 이어가겠습니다.

클라우드 보안에 대해 자세히 알아보고 싶으신가요? 전자책을 읽어보세요: 클라우드 보안에 대해 모를 수 있는 5가지 사항