인프라 팀이 마이크로세그멘테이션을 좋아하는 5가지 이유

이상적인 세계에서는 세분화가 점점 더 엄격해질수록 더 나은 보안 결과를 얻을 수 있다는 사실을 많은 사람이 기꺼이 인정할 것입니다. 안타깝게도 현실에서 세분화는 시간이 많이 걸리고 복잡하며 비용이 많이 드는 작업이었습니다. 애플리케이션 팀은 인프라 팀이 필요로 하는 정보를 제공하는 데 어려움을 겪고 있으며, 모든 비즈니스 로직을 IP 주소로 변환하고 수동으로 확인하기 전까지는 아무 일도 할 수 없습니다. 다행히 마이크로세그멘테이션은 더 나은 방법을 제공하며 세분화 제어를 강화하는 데 따른 운영상의 부담을 상당 부분 덜어줍니다.

인프라 팀이 경험하는 5가지 이점을 살펴보겠습니다.

1. 보안상의 이유로 더 이상 VLAN을 사용하지 않습니다.

마이크로세그멘테이션은 세분화 적용 지점을 네트워크에서 애플리케이션 인스턴스로 이동합니다. 즉, 세분화 정책은 기존 서브넷, VLAN 또는 영역과 독립적으로 존재합니다. 순수한 네트워킹 관점에서 볼 때, 대규모 플랫 네트워크는 잘 작동하고 확장성이 뛰어나며 관리가 간편합니다. 보안 정책은 오히려 관리가 번거로운 소규모의 엄격한 제약이 있는 네트워크를 선호합니다. 마이크로세그멘테이션은 이러한 난관을 해결합니다. 세분화가 더 이상 네트워크 적용에 의존하지 않게 되면 세분화된 세분화와 간단한 VLAN 구조를 가질 수 있습니다.
 

2. 더 이상 관리할 ACL이 없습니다.

마이크로세그멘테이션은 IP 주소가 아닌 레이블과 메타데이터를 기준으로 세분화 정책을 정의합니다. 마지막으로, 정책을 작성할 때 서버 또는 애플리케이션 이름과 IP 주소를 수동으로 변환할 필요가 없습니다! 마이크로세그멘테이션을 통해 네트워크 구성에서 정책 정의를 추상화하면 정책 개발의 전체 프로세스가 더 간단하고 빨라집니다. 순수 허용 목록 모델에 지정된 마이크로세분화 정책에는 규칙 순서 고려를 피하고 정책 상속을 지원한다는 추가적인 이점이 있습니다. 종합하면, 마이크로세그멘테이션 정책은 기존 ACL보다 더 빠르고 간단하고 쉬우면서도 더 엄격한 제어 기능을 제공합니다.
 

3. 모든 애플리케이션에 대한 애플리케이션 토폴로지 확보

네트워크 흐름 데이터는 모든 트래픽에 대한 기록을 포함하고 있음에도 불구하고 애플리케이션 동작을 이해하는 데 적합하지 않았습니다. 마이크로세그멘테이션은 기본 네트워크 토폴로지와 무관하게 애플리케이션 종속성 맵을 생성합니다. 여러 데이터 센터 또는 클라우드 위치에 분산되어 있는 애플리케이션도 단일 애플리케이션 인스턴스로 시각화됩니다. 이러한 명확성은 조직 전체, 특히 네트워크 토폴로지에 대해 기본적으로 관심이 없는 애플리케이션, DevOps 및 보안 팀과의 대화를 간소화합니다. 특히 세분화 정책을 개발할 때 이러한 공유된 이해는 승인 대화와 정책 의사 결정을 간소화합니다.
 

4. 자동화된 세분화

가장 좋은 세분화 규칙은 아무도 작성하거나 조정할 필요가 없는 규칙일 수 있습니다. 마이크로세그멘테이션은 라벨과 메타데이터에 정책을 지정하므로 전체 정책을 자동화할 수 있습니다. 마이크로세분화 정책 엔진은 새로운 디바이스 또는 IP 주소 변경을 알리는 API 호출을 수신하면 필요한 세분화 규칙을 자동으로 다시 계산하여 배포합니다. 보안 정책은 지속적으로 지속적으로 최신 상태로 유지됩니다. 레이블은 서버 인스턴스화를 위한 DevOps 워크플로에 쉽게 구축할 수 있으며, 이렇게 통합되면 구축되거나 해체되는 모든 서버에 대해 정책이 자동으로 계산 및 조정됩니다.
 

5. 운영상의 어려움 없이 세분화된 세분화에 대한 보안 요구 충족

보안 설계자는 거의 항상 세분화가 적은 것보다 많은 것을 선호합니다. 유일한 문제는 마이크로세분화 없이 보다 세분화된 세분화 정책은 인프라 운영 팀에 큰 비용을 초래한다는 점입니다. 세분화 정책이 더 이상 네트워크 시행, IP 주소 또는 네트워크에서 파생된 흐름 데이터에 의존하지 않게 되면 운영 부담이 크게 줄어듭니다. 정책 작성 도구, 자동화 및 가시성을 통해 프로젝트를 개선하면 매우 엄격한 세분화도 예상되는 골칫거리 없이 수행할 수 있습니다.

ACL을 사용한 세분화에는 힘들고 시간이 많이 걸리는 노력이 필요합니다. 마이크로세그멘테이션은 워크로드를 간소화하고 역할 기반 액세스 제어를 통해 애플리케이션, DevOps, 보안 및 인프라 팀 간에 부하를 분산할 수 있습니다. 기존 ACL에서는 비용이 너무 많이 드는 것으로 여겨졌던 세분화 작업이 마이크로세그멘테이션을 사용하면 훨씬 쉬워집니다.

기존에는 세분화가 어려웠기 때문에 운영상의 고려 사항에 따라 실현 가능성이 결정되는 경우가 많았습니다. 하지만 마이크로세그멘테이션은 보다 엄격한 세분화 정책과 가벼운 운영 부담이라는 두 마리 토끼를 모두 잡을 수 있는 즐거운 가능성을 제공합니다. 마이크로세그멘테이션은 네트워크에서 정책 적용을 제거합니다. IP 주소에 의존하지 않고 정책을 재정의하고, 정책 자동화를 용이하게 하며, 유용한 시각화 및 정책 작성 도구를 제공합니다.

이를 종합하면 인프라 팀은 세분화된 정책을 요청해야 하는 보안 동료들을 만족시킬 수 있습니다. 실제로 마이크로세그멘테이션은 네트워크 인프라에서 세분화를 제거할 수 있다는 점에서 인프라 팀에게 최고의 희소식을 제공합니다.

자세한 내용은 네트워크 인프라에서 세분화를 분리하는 방법에 대한 백서를 참조하세요.