다음 단계의 시각화 및 정책 생성 - 일루미네이션 2.0

2014년에 Illumio는 일루미네이션을 통해 실시간 애플리케이션 종속성 매핑과 마이크로세그멘테이션을 위한 가시성을 개척했습니다. Illumio 적응형 보안 플랫폼(ASP)을 출시했을 때, 조직은 애플리케이션 종속성 맵이 없으면 브라운필드 애플리케이션에 대한 세분화 정책을 구축할 수 없을 것이라고 생각했습니다(Illumio CTO PJ Kirner는 최근 블로그 게시물에서 보안에 맵이 필요한 이유를 설명합니다).

첫 버전부터 현재까지 Illumination은 조직이 트래픽 흐름 가시성을 사용하여 마이크로세분화 정책을 수립하고 테스트한 다음 애플리케이션별로 적용하여 시행할 수 있는 방법을 제공해 왔습니다.

가시성의 진화

일루미네이션의 첫 번째 버전에서는 중앙 보안팀이 애플리케이션 흐름을 분석하고 화이트리스트 레이블 기반 규칙을 수동으로 추가하여 허용할 수 있었습니다. 유일한 목표는 고객이 마이크로세분화 정책을 구축하도록 돕는 것이었고, Illumination의 모든 워크플로는 이 단일 목표에 집중했습니다. 처음 Illumination을 구상할 때만 해도 고객이 제한된 수의 워크로드를 페어링하고 정책을 구축한 다음 해당 워크로드를 실행으로 마이그레이션할 것이라고 생각했습니다.

많은 고객이 데이터센터와 클라우드 인프라를 세분화하기 위해 Illumination을 사용하면서 처음 제품을 출시한 이후 알게 된 사실은 다음과 같습니다:

1. 정책 생성은 정말 어려운 작업입니다 . 보안팀은 Illumination을 통해 트래픽 연결을 하나씩 분석하고 유효한 흐름이 확인되면 Illumio의 화이트리스트 레이블 기반 정책 모델에 규칙을 추가할 수 있습니다. 애플리케이션은 매우 상호 연결되어 있으며, 수천 개의 워크로드로 구성된 수백 개의 애플리케이션만 해도 분석해야 할 수백만 개의 고유한 연결이 있을 수 있다는 사실을 알게 되었습니다. 시작하는 가장 좋은 방법은 이러한 연결을 허용하는 정책을 자동으로 생성하는 것입니다. 이는 허용해서는 안 되는 연결을 허용할 위험이 있지만(아래에서 설명하겠지만 이를 지원하는 도구가 있습니다), 이 시점부터는 고객이 측면 이동을 제한하고 정책 위반을 즉시 감지할 수 있습니다.
   
2. 중앙 집중식 정책 생성이 항상 효과적인 것은 아닙니다: 일루미네이션의 워크플로우는 중앙 보안팀이 전체 인프라에 대한 마이크로 세분화 정책을 구축할 수 있도록 설계되었습니다. 그러나 마이크로 세분화 정책을 구축하는 것은 해당 애플리케이션을 이해하는 애플리케이션 팀에 위임하지 않고는 어렵고 시간이 많이 걸린다는 사실을 알게 되었습니다. (곧 공개될 예정입니다: 전 제품 부사장이었던 Matthew Glenn의 블로그 게시물에서 세분화를 조직에 맞게 조정하는 방법에 대해 알아보세요. 계속 지켜봐 주세요 - 좋은 읽을거리입니다).
   
3. 가시성은 규정 준수 및 보안 운영에 사용할 수 있습니다: 처음 출시했을 때 Illumination의 가시성을 통해 마이크로세분화 정책을 만들 수 있었습니다. 하지만 트래픽에 레이블과 정책의 컨텍스트를 추가한 후 이러한 가시성은 규정 준수/감사 및 보안 운영 팀에 엄청난 도움이 되었습니다. 규정 준수 팀은 가시성을 사용하여 감사자가 업무를 더 빠르고 효율적으로 완료할 수 있는 보고서를 생성합니다. 보안 운영팀은 가시성을 통해 정책 위반을 신속하게 찾아내고, 위협을 탐지하고, 위협에 보다 효과적으로 대응할 수 있습니다.
   
   실제로 일루미오의 일부 고객은 일루미오의 가시성을 통해 워너크라이의 영향을 받은 호스트를 탐지할 수 있었고, 정책을 위반하고 SMB 포트에 연결을 시도한 호스트는 신속하게 추적하여 문제를 해결했습니다. 다른 고객은 데이터 센터 서버 중 일부가 Spotify에서 음악을 듣고 Facebook에 업데이트를 게시하는 것을 발견했습니다. 그 연결고리를 발견한 사람들의 표정을 보셨을 겁니다.

저희는 끊임없이 고객의 의견을 경청하고 학습하고 있습니다. 작년에 애플리케이션 팀이 Illumio를 사용하여 중요한 애플리케이션과 워크로드에만 집중할 수 있도록 앱 그룹 맵을 추가했습니다. 오늘, 일루미네이션 2.0의 새로운 기능을 소개해드리고자 합니다.

새로운 기능, 향상된 가시성

정책 생성기 소개

수년간의 고객 피드백 루프와 교훈을 통해 정책에 대한 핵심 인사이트를 얻을 수 있었습니다:

• 대규모 환경에서 플로우별로 정책을 작성하는 것은 실제로 확장성이 떨어집니다. (경쟁사의 플로우별 흐름에 대한 증거가 필요하다면 이 동영상을 시청하세요).
• 중앙 집중식 보안팀은 애플리케이션의 작동 방식을 항상 구체적으로 알지 못하기 때문에 보안 정책을 작성할 때 흐름이 옳은지 그른지 검증할 수 없습니다. 이로 인해 애플리케이션에 대한 세부 정보를 가지고 있는 애플리케이션 팀까지 정책 생성을 확대하고자 하는 욕구가 생겼습니다.
• 애플리케이션 팀은 애플리케이션을 어떻게 보호해야 하는지에 대한 의견이 있을 수 있지만 보안 정책(예: 방화벽 규칙)을 만든 경험이 없으며, 애플리케이션 팀을 세분화 정책 학교를 통해 교육하는 것은 현실적으로 불가능합니다.

이것이 바로 정책 생성기를 만든 이유입니다.

단일 애플리케이션에서 보안 정책이 없는 애플리케이션 종속성.

마이크로세그멘테이션을 위한 보안 정책 권장 사항.

단일 애플리케이션에서 보안 정책을 적용하세요.

정책 생성기는 마이크로세분화 정책을 작성하는 데 필요한 시간, 교육 및 리소스를 대폭 줄여줍니다.  

사용자 지정 알고리즘과 네트워크 트래픽 기록을 사용하여 레이블 기반 마이크로세분화 정책을 자동으로 생성합니다. 정책 생성기를 통해 고객은 애플리케이션, 애플리케이션 계층 또는 포트/프로토콜 수준까지 원하는 세분화 세부 수준을 지정할 수 있습니다. 원하는 수준의 정책을 선택하면 정책 생성기가 몇 분 안에 적합한 마이크로 세분화 정책을 자동으로 생성하며, 마이크로 세분화 정책은 자연어로 되어 있어 모든 애플리케이션 팀이 읽고 이해할 수 있습니다.

정책 생성기는 역할 기반 액세스 제어(RBAC)와 함께 사용하여 각 애플리케이션 팀에 정책 생성을 위임할 수 있습니다. 보안팀은 애플리케이션 팀에서 만든 정책을 프로덕션으로 승격하기 전에 최종 점검을 수행하여 정책이 소프트웨어 개발 수명 주기(SDLC)를 따를 수 있도록 할 수 있습니다.

정책 생성기를 사용하면 대규모 조직은 시간과 리소스를 크게 줄이면서 완전히 마이크로세분화된 데이터 센터 및 클라우드 인프라를 구축할 수 있습니다.

또한 고객이 세분화 정책을 반복적으로 개발할 수 있습니다. 예를 들어, 조직은 초기 마이크로세분화 정책을 생성할 수 있습니다. 몇 주 또는 몇 달 후에 정책 생성기를 다시 실행하여 새로운 흐름을 수용하는 정책을 생성하거나 세분성을 조정하여 정책을 포트/프로토콜 수준까지 강화할 수 있습니다. 나노 세분화).

탐색기 소개

Explorer를 통해 고객에게 완전히 새로운 차원의 시각화를 제공할 수 있게 되었습니다. 고객들이 왜 이런 흐름이 발생하는지 의문을 품고 "다른 곳에서도 이런 일이 발생하나요?" 같은 질문을 하기 시작했습니다. 그런 다음 다른 곳에서 그런 일이 발생하고 있다면 그 장소를 보여주었습니다. 다음 질문은 "내가 놓치고 있는 또 다른 것은 무엇인가요?"였습니다.

그래서 Explorer를 만들게 되었습니다.

Explorer를 사용하면 보안, 운영 및 규정 준수 팀이 트래픽 쿼리를 생성할 수 있습니다. 다음은 우리가 본 몇 가지 예입니다:

• 규정 준수 팀은 탐색기 도구를 사용하여 PCI 환경으로 유입되는 연결 목록을 빠르게 다운로드할 수 있습니다. 그런 다음 해당 보고서를 QSA에 전달하여 PCI 감사를 통과할 수 있도록 지원합니다.
• 보안 운영팀은 앱 팀이 연결을 정당화할 수 있도록 SSH 및 데이터베이스 포트에서 '개발' 환경과 '프로덕션' 환경 간의 모든 트래픽 흐름을 요청할 수 있습니다.
• 운영팀은 원격 애플리케이션 종속성을 식별하거나 데이터 센터 중단이 애플리케이션의 가용성에 전반적으로 영향을 미칠 수 있는지 확인하는 데 사용할 수 있는 "두 데이터 센터의 서버 간 모든 흐름에 대해 알려주세요(" )와 같은 쿼리를 제기할 수 있습니다.
  

조직은 탐색기를 사용하여 수백만 개의 흐름에서 '건초 더미 속의 바늘'을 찾아 숨겨진 정책 위반 또는 보안 위협을 식별하고 있습니다.

탐색기를 통해 사용자는 매우 다양한 방식으로 트래픽에 접근할 수 있습니다. 사용자는 병렬 좌표 지도(아래 그림)를 사용하여 레이블 세트와 관련된 트래픽을 확인할 수 있습니다. 그런 다음 사용자는 평행 좌표 지도의 지점을 '클릭'하여 관심 있는 트래픽으로 이동할 수 있습니다. 그런 다음 흐름 목록을 CSV로 다운로드할 수 있지만 소스 및 대상 모두에 대한 연결에 대한 레이블 컨텍스트를 포함할 수 있습니다. 또한 탐색기는 각 연결에 정책 컨텍스트를 추가하여 정책에 따라 연결이 허용되는지 여부를 신속하게 알려줍니다.

정책 위반 및 보안 위협을 식별합니다.

PCI 환경의 모든 커뮤니케이션을 볼 수 있습니다.

PCI 애플리케이션 트래픽에 대해 질문하세요.

VMworld 2017에서 실시간으로 보기

저희는 3년 전부터 실시간 애플리케이션 종속성 매핑과 세분화를 위한 가시성을 제공하기 위해 이 여정에 착수했습니다. 그 이후로 마이크로세분화 시장의 다른 공급업체들도 가시성 및 애플리케이션 종속성 매핑의 중요성을 깨닫게 되었습니다. 작년에는 거의 모든 기업이 솔루션을 구축하거나 인수하여 제품 공백을 메우려고 노력했습니다. 다른 회사들은 이제 막 여정을 시작하는 단계이지만, 저희는 정책 생성기와 탐색기를 Illumination에 추가하여 가시성을 새로운 차원으로 끌어올리게 되어 매우 기쁩니다.

일루미네이션 2.0을 통해 조직은 이러한 가시성 기능을 사용하여 데이터 센터 및 클라우드 인프라를 보다 효율적으로 마이크로세분화하고 보호하는 동시에 운영, 규정 준수 및 보안 운영 워크플로우에 이러한 가시성을 사용할 수 있습니다.

VMworld 2017에서 이러한 새로운 기능을 소개할 예정입니다. 전시회에 참석하실 예정이라면 800번 부스에서 라이브 데모를 시연해 보세요.