방화벽 팀이 마이크로세그멘테이션을 좋아하는 5가지 이유

고객 역사 초기에 발생한 한 사건을 잊을 수 없습니다. 방금 대형 고객의 방화벽 아키텍처 및 구현 팀과 함께 교육을 마쳤습니다. 방화벽 수석 관리자 중 한 명이 손을 들고 "제가 이 내용을 제대로 이해했다면 다시는 방화벽 규칙을 작성할 필요가 없을 것 같습니다."라고 말했습니다. 저는 웃으며 "맞습니다."라고 대답했습니다.

6개월 후, 우리는 함께 엘리베이터에 서 있었는데 그는 마이크로세그멘테이션이 얼마나 마음에 드는지 신나게 이야기했습니다. 이유를 물었더니 그는 "당신 말이 맞았어요. 저는 더 이상 ACL을 작성하지 않으며 저희의 정책은 훨씬 더 엄격합니다."

하지만 분명한 사실은 마이크로세그멘테이션이 방화벽 운영 팀에 매우 유용하다는 것입니다. 그 이유 5가지는 다음과 같습니다.

1. 더 이상 수동 ACL이 필요하지 않습니다. 개념적으로 방화벽 규칙을 작성하는 것은 "쉬운" 작업입니다. 허용하려는 항목에 대한 규칙만 입력하면 그 외의 모든 항목은 거부됩니다. 높은 수준의 추상화에서는 사실이지만, 작업에 가까이 다가가면 지나치게 단순화되어 있습니다. 기존 방화벽에서는 앱 소유자가 시스템에 대해 이야기하는 방식부터 IP 주소, 서브넷, 영역의 언어까지 모든 정책 요구 사항을 번역해야 합니다. 마이크로세그멘테이션을 사용하면 적용 지점이 애플리케이션 인스턴스 자체로 이동하므로 세분화가 적용을 위해 네트워크 구성에 의존하지 않습니다. 강력한 정책 컴퓨팅 엔진과 함께 사용하면 관리자는 "웹 서버는 애플리케이션 서버와 대화하고, 애플리케이션 서버는 다시 데이터베이스와 대화하는" 일반 언어로 정책을 작성할 수 있습니다. 웹 서버는 서로 또는 데이터베이스와 직접 통신하지 않습니다." IP 주소, 서브넷 또는 영역을 몰라도 간단한 정책을 시행 가능한 규칙 기반으로 전환할 수 있습니다. 마이크로세그멘테이션을 통해 방화벽 관리자는 ACL을 작성할 필요가 없습니다.
    
2. 확장 가능한 정책 모델을 확보하세요. 방화벽은 기본적으로 규칙 테이블 하단에 기본 거부가 있는 상태로 출시되지만, 허용 및 거부 문이 복잡하게 혼합된 형태로 빠르게 성장합니다. 이러한 혼합 거부 목록 및 허용 목록 정책은 상속이 제한되어 있기 때문에 확장성이 떨어집니다. 규칙에 허용 및 거부 문이 혼합되어 있는 경우 규칙 순서가 중요하며 상속이 제한되는 경우 병합된 정책은 어떤 순서를 따라야 하나요? 마이크로세그멘테이션은 순수한 제로 트러스트 모델에서 작동합니다. 허용 문만 있기 때문에 정책 상속이 쉬우며, 어떤 항목이 두 번 이상 허용되는 경우만 발생할 수 있습니다. 따라서 임의의 추상화 수준에서 정책을 쉽게 지정할 수 있습니다. 특정 서버는 데이터 센터 전체 정책과 프로덕션 환경 및 데이터베이스 일반에 대한 정책 모두에서 정책을 상속받을 수 있습니다. 대량의 정책이 템플릿에서 시작되면 정책 작성 작업이 훨씬 더 단순해지고 확장성이 높아집니다.
    
3. 정책이 올바른지 확인합니다. 방화벽 정책을 개발하는 것은 쉽지 않습니다. 모든 애플리케이션 트래픽은 포트와 프로토콜까지 특성화해야 합니다. 이러한 정보는 인프라 및 보안 팀의 손이 닿지 않는 곳에 있는 경우가 많습니다. 더 심각한 문제는 더 이상 관여하지 않는 공급업체나 계약업체가 애플리케이션을 설치했을 수 있기 때문에 앱 팀조차도 이를 인지하지 못하는 경우가 많다는 것입니다. 마이크로세그멘테이션은 팀 전체가 이해할 수 있는 풍부한 애플리케이션 종속성 맵을 제공합니다. 맵에는 네트워크 장치가 아닌 애플리케이션 데이터만 표시되므로 애플리케이션 및 DevOps 팀은 애플리케이션이 생성하는 흐름과 보호해야 하는 항목을 쉽게 이해할 수 있습니다. 마이크로세그멘테이션을 사용하면 중요한 애플리케이션 보호에 대한 합의에 쉽게 도달하고 정책 팀에 정확한 정보를 전달할 수 있습니다.
    
4. 정책이 안전하다는 것을 알아두세요. 방화벽 규칙은 어떻게 테스트하나요? 그렇지 않습니다. 방화벽은 그런 식으로 작동하지 않습니다. 규칙을 입력하면 문제가 발생하면 전화가 울립니다. 2021년에는 더 이상 그것만으로는 충분하지 않습니다. 새로운 애플리케이션을 제작할 때는 앱 팀과 수시로 의견을 주고받아야 합니다. 그러나 기존 애플리케이션에서는 세분화 정책에 실수가 발생하면 서비스 중단이 발생합니다. 마이크로세그멘테이션은 더 나은 방법을 제공합니다. 정책은 개별적인 빌드, 테스트 및 적용 단계가 포함된 수명 주기를 거칩니다. 이렇게 하면 앱 소유자부터 보안 및 인프라 팀에 이르기까지 모든 사람이 정책이 '설계된 대로' 적용되고 필요한 모든 커뮤니케이션에 정책이 적용되는지 확인할 수 있습니다. 간단한 애플리케이션 종속성 맵을 사용하면 정책이 안전한지 쉽게 확인할 수 있으며 정책을 시행할 수 있습니다.
    
5. 애플리케이션 소유자의 도움을 받습니다. 모든 조직에서 애플리케이션 팀에 보안 팀보다 훨씬 더 많은 인원이 있습니다. 애플리케이션 수와 세분화 정책 작성자의 수를 고려하면 그 차이는 더욱 커질 것입니다. 이러한 불균형을 고려할 때 각 팀이 방화벽 팀에 필요한 것이 무엇인지 이해하고 적시에 제공하도록 돕는 것은 항상 어려운 일입니다. 마이크로세분화는 애플리케이션 소유자가 프로세스의 일부가 될 수 있도록 설계된 시각화 및 워크플로우를 제공합니다. 앱 팀이 마이크로세분화 프로젝트에 참여하면 앱에 대한 보안 및 인프라 팀의 목표를 훨씬 더 쉽게 지원할 수 있습니다. 모든 사람이 애플리케이션의 작동 방식과 세분화 정책과 이러한 흐름의 상호 작용을 볼 수 있으면 신뢰가 쌓이고 비난 게임이 사라집니다. 앱 소유자는 정책의 흐름과 애플리케이션 부분을모두 쉽게 검증할 수 있어 정책 시행을 위한 진행 속도를 높일 수 있습니다.

마이크로세그멘테이션은 방화벽 관리자에게 유용합니다. 수동 방화벽 규칙을 네트워크에 대한 지식이 필요 없는 간단한 자연어 정책으로 대체하세요. 완전한 상속을 통해 쉽게 확장할 수 있는 진정한 제로 트러스트 정책 모델을 사용하세요. 모든 세분화 정책은 정확하고 완전해야 합니다. 마이크로세분화는 애플리케이션 소유자가 참여할 수 있는 간단한 그래픽 프로세스를 제공합니다. 이들과 함께라면 세분화 프로젝트가 더 빠르고, 더 쉽고, 더 즐거워집니다. 마이크로세그멘테이션은 방화벽 관리자들이 기다려온 업그레이드입니다.