최신 애플리케이션을 위한 6가지 마이크로세분화 요구 사항

보안을 강화하기 위한 방법으로 네트워크를 세분화한다는 아이디어는 새로운 것이 아닙니다. 하지만 컴퓨팅과 보안이 서로 밀접하게 연관되어 있어 세분화된 세분화를 달성하기 어려웠습니다. 즉, 원하는 보안 태세를 달성하기 위해 변경하려면 기본 네트워크 전송을 변경하거나 세분성을 희생해야 합니다. 또한 IT 팀과 보안 팀은 종종 서로 다른 우선순위를 두고 경쟁하고 있으며, 세분화가 항상 가장 인기 있는 전략은 아닙니다.

사이버 공격의 규모와 범위가 증가함에 따라 이러한 상황도 변화하고 있습니다.

"...이제 어떤 회사나 인프라에서도 마이크로세그멘테이션을 사용하지 않을 이유가 없습니다."

마이크로세그멘테이션은 해커에게 큰 억지력을 발휘합니다. 점점 더 많은 조직에서 심층 방어 전략의 필수 요소로 마이크로세분화를 구현하고 있습니다. 최근 300명 이상의 IT 전문가를 대상으로 실시한 설문조사에 따르면 45%가 현재 세분화 프로젝트를 진행 중이거나 계획 중이라고 답했습니다. Forrester Research의 2020년 3분기 제로 트러스트 웨이브 보고서는 "...이제 어떤 회사나 인프라에도 마이크로세그멘테이션을 사용하지 않을 이유가 없다고 강조하며 그 중요성을 강조했습니다."

그러나 모든 보안 제어와 마찬가지로 비즈니스 전략과 보안의 필요성 간의 균형을 맞추는 것이 중요합니다. 네트워크를 세분화하는 것은 중요한 프로젝트이자 완전히 다른 방식의 네트워크 관리입니다. 통신이 광범위하게 개방된 평평한 네트워크 인프라에서 경계 인프라와 마찬가지로 방화벽 규칙 집합이 필요한 네트워크로 전환할 수 있습니다. 공격자에게는 어렵지만 사용자에게는 관리하기 쉬운 네트워크의 원하는 결과를 얻으려면 신중한 계획이 필요합니다.

그렇다면 어떻게 도달할 수 있을까요?

효과적인 마이크로세그멘테이션 배포를 위해 솔루션이 제공해야 하는 6가지 주요 기능 및 기능의 목록은 다음과 같습니다:

1. 애플리케이션 컨텍스트에 대한 가시성

'보이지 않는 것은 지킬 수 없다'는 격언은 이보다 더 진리일 수 없습니다. 조직은 비즈니스를 운영하기 위해 다양한 애플리케이션을 실행하며, 각 애플리케이션은 서로 통신하고 데이터를 공유합니다. 여기에 도전 과제가 있습니다. 가시성이 없으면 권한이 없는 사용자가 기업에 침투하여 보호되지 않거나 취약한 자산에 착륙한 후 탐지 징후가 나타나기 전에 중요한 자산을 향해 측면으로 이동할 수 있는 충분한 기회를 갖게 됩니다.

애플리케이션 자산을 적절히 마이크로세분화하면 침해 확산을 최소화하거나 방지할 수 있지만 애플리케이션 계층에서 가시성을 확보해야 합니다. 이는 넷플로우 트래픽을 가져오거나 L2 및 L3에서 네트워크 흐름에 대한 정보를 제공하는 스위치의 SPAN 포트를 탭하는 것과는 다릅니다. 애플리케이션 구성 요소가 다양한 계층(웹, 처리, 데이터베이스)에서 서로 통신하는 방식과 애플리케이션이 서로 상호 작용하는 방식을 확인할 수 있어야 합니다.

애플리케이션은 고립된 섬이 아닙니다. 서로 대화하는 것이 비즈니스 프로세스가 작동하는 방식입니다. 예를 들어 POS(Point-of-Sale) 시스템은 고객 주문을 처리하기 전에 재고 관리 애플리케이션과 대화할 가능성이 높습니다. 이해가 되네요. POS 시스템의 트래픽이 인벤토리 애플리케이션과 통신할 수 있어야 합니다. 반면 퍼블릭 웹 서버는 데이터베이스와 직접 통신하지 않고 애플리케이션 처리 서버를 거쳐 트랜잭션이나 쿼리를 완료해야 합니다.

그러나 이러한 흐름은 네트워크 팀은 물론 보안 팀에게도 잘 알려져 있지 않습니다. 애플리케이션 개발자에게는 이 정도의 명확성이 있을 수 있지만 항상 그런 것은 아닙니다. 조직은 마이크로세그멘테이션을 올바르게 수행하려면 애플리케이션 종속성을 보여주는 기본 제공 가시성이 필요합니다. 이상적으로는 다양한 애플리케이션이 계층 간은 물론 서로 통신하는 방식을 보여주는 지도 형태로 표시하는 것이 좋습니다. 이 맵에는 개발, 스테이징, 프로덕션 및 규정과 같은 다양한 환경이 어떻게 배치되어 있는지, 그리고 이들 환경 간에 어떤 종류의 커뮤니케이션이 이루어지는지도 표시되어야 합니다. 이를 통해 조직은 원하는 보안 태세에 따라 '무슨 일이 일어나고 있는지', '어떤 일이 일어나야 하는지'를 파악할 수 있습니다.

Illumio의 지원 방법: Illumio의 애플리케이션 종속성 맵은 애플리케이션 구성 요소가 상호 작용하는 방식과 서로 다른 애플리케이션이 서로 통신하는 방식을 명확하게 보여줍니다. 일루미네이션이라고 하는 이 맵은 탁월한 가시성을 제공할 뿐만 아니라 원하는 세분성을 기반으로 정책을 추천합니다. 정책은 레이블을 사용하여 자연어로 정의되며, 정책을 정의하는 데 네트워크 계층 정보가 필요하지 않습니다. 이 접근 방식은 이러한 자연어 정책을 기반으로 무거운 작업을 처리하고 정확한 L2/L3/L4 규칙을 계산합니다. 이를 통해 조직의 목표에 부합하는 보안 태세를 쉽게 개발할 수 있습니다.

2. 확장 가능한 아키텍처

마이크로세분화를 달성하는 방법에는 여러 가지가 있습니다. 각 접근 방식에는 장점이 있지만 확장성, 솔루션의 효과 및 세분성, 사용 편의성, 마지막으로 비용 효율성을 고려해야 합니다.

일반적인 접근 방식은 다음과 같습니다:

• 네트워크를 사용하여 세분화하기: 네트워크 장치(스위치, 라우터, 방화벽 등)에서 액세스 제어 목록(ACL) 프로그래밍하기. 이 접근 방식은 어느 정도 거친 수준의 분리를 제공하지만 매우 번거롭고 오류가 발생하기 쉬우며 비용이 많이 듭니다. 네트워크는 A 지점에서 B 지점으로 패킷을 최대한 빨리 전송해야 하며, 세분화를 위해 ACL을 할당하는 것은 모든 패킷을 중지하여 허용 여부를 확인하는 것과 같습니다. 이 두 가지 목표는 정반대의 목표이며, 이 두 가지를 함께 섞으면 모든 것이 깨지기 시작합니다.
• SDN으로 세분화하기: 소프트웨어 정의 네트워킹(SDN)으로 위의 작업을 자동화하면 사용자가 중앙 컨트롤러에 액세스하여 적절한 네트워크 장치에 푸시되는 규칙을 정의할 수 있습니다. 이 접근 방식은 약간의 구성 편의성을 제공하지만 여러 면에서 네트워크 장치를 사용하는 것보다 낫지 않습니다. 게다가 대부분의 SDN 시스템은 보안 기능이 아닌 네트워크 자동화를 제공하도록 설계되었습니다. 최근에야 공급업체들이 보안 사용 사례를 깨닫고 마이크로세그멘테이션을 제공하기 위해 SDN 시스템의 용도를 변경하려고 시도했지만 미미한 성공을 거두었습니다.
• 호스트 기반 마이크로세그멘테이션: 이 접근 방식은 구조적으로 다릅니다. 네트워크 어딘가에서 정책을 시행하는 대신, 조직은 기본 제공 상태 저장 방화벽의 강력한 기능을 사용하여 성능 저하 없이 회선 속도로 규칙을 시행할 수 있습니다. 또한 유일한 스케일아웃 아키텍처로, 워크로드를 추가할 때마다 용량을 추가할 수 있습니다. 스케일아웃 아키텍처는 성능 저하 없이 시스템 구성 요소가 증가함에 따라 잘 추적되는 것으로 입증되었습니다. 단속이 이루어지려면 단속 주체가 트래픽을 확인해야 한다는 점을 기억하세요. 방화벽(또는 작업을 수행하는 네트워크 장치)의 경우 트래픽을 확인해야 합니다. 어느 시점이 되면 트래픽의 양이 시행자의 용량을 초과하게 되어 조직이 보호 없이 노출될 수 있습니다. 트래픽 스티어링은 큰 문제를 야기하며 때로는 네트워크 계층에서 문제를 일으키거나 엄청난 복잡성을 유발합니다.

네트워크의 엣지는 경계 방화벽이 아니라 내부 세그먼트이므로 세그먼트가 세분화될수록 더 나은 보호를 받을 수 있습니다. 이 개념을 더 발전시키면 최고의 세그먼트는 하나의 세그먼트, 즉 워크로드가 새로운 엣지가 된다는 것을 알 수 있습니다. 워크로드 외부의 모든 것은 신뢰할 수 없으며 트래픽 허용 또는 중지에 대한 모든 적용은 성능 저하 없이 워크로드에서 이루어집니다. 호스트 기반 시스템이 바로 그 역할을 합니다.

일루미오의 지원 방법 초기에 우리는 거친 단위의 세분화와 세분화된 마이크로세분화를 모두 달성할 수 있는 확장 가능한 유일한 방법은 호스트 기반 아키텍처라는 것을 인식했습니다. 이 접근 방식은 작업이 이루어지는 곳과 매우 가까운 곳에 보안을 제공하며, 제어는 네트워크와 독립적입니다. 호스트의 기능과 용량을 활용하여 OS 커널의 회선 속도 상태 저장 방화벽을 사용하여 네트워크에서 세그먼테이션을 분리하고 방화벽에 존재하는 차단 지점을 제거하고 새로운 워크로드가 온라인 상태가 되면 용량을 추가하여 확장 가능한 방식으로 세그먼테이션을 수행할 수 있습니다.

3. 추상화된 보안 정책

전통적으로 보안은 네트워크와 연계되어 왔지만, 두 기관은 서로 다른 목표를 가지고 있습니다. 네트워크는 속도와 처리량이 핵심입니다. 보안은 격리와 예방에 관한 것입니다. 이 두 가지를 혼합하면 두 가지 모두 최악의 결과를 낳게 됩니다. 마치 두 참가자가 서로 다른 방향으로 나아가는 세발자전거 경주에 참가하는 것과 같습니다. 말할 필요도 없이 시나리오의 결말은 좋지 않습니다. 보안 정책은 네트워크에서 추상화되어야 하므로 기본 인프라와 독립적으로 원하는 보안 태세를 달성할 수 있습니다.

일루미오의 지원 방법: 네트워크에서 세분화를 분리함으로써 조직이 쉽게 이해할 수 있는 비즈니스 중심 레이블을 기반으로 정책을 구축할 수 있는 워크플로우를 제공합니다. 워크로드는 네 가지 차원의 레이블을 기반으로 구성되며, 이러한 레이블을 사용하여 정책이 작성됩니다. 추상화된 정책을 네트워크 수준 적용에 매핑하는 모든 작업은 정책을 적용하기 전에 정책을 테스트할 수 있는 모델을 통해 이루어집니다. 이렇게 하면 애플리케이션을 중단하지 않고도 원하는 결과인 마이크로세분화를 달성할 수 있습니다.

4. 세분화된 제어

조직에는 다양한 비즈니스 중요도를 가진 수많은 애플리케이션이 있습니다. 따라서 보안 요구 사항은 중요도에 따라 다르며, 때로는 해당 애플리케이션과 관련된 규제 요건에 따라 달라집니다. 고유한 컴퓨팅 환경에 맞는 다양한 보안 태세를 정의할 수 있는 메커니즘이 필요합니다. 때로는 단순히 서로 다른 환경을 분리하는 것도 괜찮을 수 있습니다(예: 개발과 프로덕션을 분리하거나 범위 내 규제 자산을 다른 모든 것과 분리하는 경우). 보다 엄격한 제어를 위해 애플리케이션 계층(웹, 프로세싱, 데이터베이스)을 잠그고 어떤 계층이 어떤 계층과 통신할 수 있는지 제어해야 할 수도 있습니다. 이러한 옵션은 정책 워크플로우의 일부여야 하며 네트워크를 변경하지 않고도 쉽게 구현할 수 있어야 합니다.

일루미오의 지원 방법: 당사의 정책 모델은 간단하지만 강력하고 사용하기 쉽습니다. 애플리케이션 종속성 맵은 애플리케이션 계층 가시성을 제공할 뿐만 아니라 단순한 링펜싱부터 계층 기반 분리, 포트, 프로세스 및 서비스 기반 세그멘테이션에 이르기까지 다양한 옵션을 권장하여 정책 생성을 유도합니다.

5. 컴퓨팅 자산 전반에 걸친 일관된 정책 프레임워크

기업은 점점 더 하이브리드 멀티 클라우드로 전환하고 있으며, 애플리케이션의 설치 공간은 복원력, 기능, 성능 및 데이터 상주 요구 사항에 따라 다양한 온프레미스 위치, 호스팅 시설 및 퍼블릭 클라우드에 분산되어 있는 경우가 많습니다. 특정 환경에 적용할 수 있는 호환되지 않는 개별 솔루션을 뛰어넘는 일관된 보안 메커니즘을 개발해야 합니다.

퍼블릭 클라우드의 보안 모델은 온프레미스 배포와 다릅니다. 퍼블릭 클라우드는 공유 보안 모델을 기반으로 운영됩니다. 클라우드 공급업체는 기본적인 인프라 보안을 제공하며 고객은 자산과 애플리케이션을 보호할 책임이 있습니다. 또한 온프레미스 배포를 보호하는 데 사용되는 도구는 퍼블릭 클라우드에서 사용할 수 있는 도구와 다릅니다. 대부분의 퍼블릭 클라우드는 가상 사설망별로 기본 방화벽을 제공하는 보안 그룹(공급업체에 따라 다양한 이름으로 불립니다)을 제공합니다. 이러한 보안 그룹은 규모가 제한되어 있고 구성 복잡성 측면에서 방화벽과 동일한 문제를 가지고 있으며 클라우드 간에 호환되지 않습니다. 이는 진정한 하이브리드 멀티 클라우드를 사용하고 일관된 보안 메커니즘이 필요한 고객에게는 어려운 문제가 될 수 있습니다.

일루미오의 지원 방법: 당사의 솔루션은 위치 및 워크로드 폼팩터에 구애받지 않습니다. 워크로드는 어디에나 있을 수 있습니다. 전체 컴퓨팅 자산에 적용할 수 있는 일관된 보안 모델뿐만 아니라 완벽한 가시성을 제공합니다.

6. 보안 에코시스템과의 통합

보안 태세를 정의하고 규칙을 시행하면 조직의 비즈니스가 계속 운영되는 데 도움이 됩니다. 이 부분은 조직이 새로운 자산을 만들고, 애플리케이션을 배포하고, 시스템을 운영하는 데 사용하는 프로세스 및 도구와 단단히 통합되어야 합니다. 대부분의 기업 조직에는 일상 업무에 도움이 되는 시스템이 있습니다. 예를 들어, 보안 운영팀은 Splunk를 기본 제어 센터로 사용하고 다른 시스템은 이 시스템에 알림 및 경고를 제공해야 합니다. 보안팀이 매일 여러 도구를 모니터링하여 작업을 계속 실행할 가능성은 거의 없습니다. 보안이 이러한 프로세스와 통합되지 않으면 항상 문제가 되고 사일로와 복잡성을 야기할 수 있습니다.

일루미오의 지원 방법 당사의 솔루션은 완전히 API 기반이므로 조직의 대규모 에코시스템과 쉽게 통합할 수 있습니다. Illumio GUI로 할 수 있는 모든 작업은 선택한 시스템에서 API 호출을 통해 수행할 수 있습니다. 또한 기능을 향상시킬 수 있는 통합 기능을 지원합니다. 주목할 만한 통합 기능은 다음과 같습니다:

• ServiceNow: Illumio는 ServiceNow에서 호스트 속성을 수집하여 각 워크로드에 할당되고 정책을 정의하는 데 사용되는 레이블을 생성하는 데 사용할 수 있습니다. 또한 Illumio는 실시간 지도를 기반으로 불일치에 대한 정보를 ServiceNow에 전송하고 정보를 수정하여 CMDB를 더욱 정확하게 만들 수 있습니다.
• Splunk: Illumio는 차단된 트래픽, 변조 이벤트, 규칙 위반 등에 대한 모든 경고 및 알림을 Splunk와 같은 SIEM에 전송할 수 있습니다.
• 취약성 스캐너(Qualys, Tenable, Rapid7): 취약점 정보를 수집하고 해당 정보를 애플리케이션 종속성 맵에 오버레이하여 위험을 시각화하고 정량화하여 취약점 맵을 제공하는 Illumio의 고유한 기능입니다. 그런 다음 이 정보를 사용하여 취약성을 설명하는 마이크로세그멘테이션 정책을 도출하고, 즉각적인 패치가 불가능한 경우 마이크로세그멘테이션을 보완 제어 수단으로 사용할 수 있습니다.
• AWS 보안 허브: Splunk와 마찬가지로, Illumio는 클라우드 배포를 위한 SIEM 기능을 제공하는 AWS Security Hub와 통합됩니다.
   

마이크로세분화의 주요 이점을 요약하면 다음과 같습니다:

• 보안 강화: 네트워크 트래픽을 격리 및/또는 필터링하여 네트워크 세그먼트 간의 액세스를 제한하거나 방지할 수 있습니다.
• 더 나은 봉쇄: 네트워크 문제가 발생하면 그 영향은 로컬 서브넷으로 제한됩니다.
• 액세스 제어 개선: 사용자가 특정 네트워크 리소스에만 액세스하도록 허용하세요.
• 규정 준수: 규정 준수: 규제 또는 고객이 요구하는 규정 준수 요건을 준수하는 조직은 적절한 조치를 취했음을 입증하고 적시에 감사를 통과할 수 있습니다.
• 향상된 모니터링: 이벤트를 기록하고, 허용 및 거부된 내부 연결을 모니터링하고, 의심스러운 행동을 감지할 수 있는 기회를 제공합니다.

마이크로세그멘테이션은 조직 내에서 무단 횡방향 이동을 방지하는 매우 효과적인 접근 방식이며, 제로 트러스트 프레임워크의 핵심 원칙이 된 것은 결코 우연이 아닙니다. 보안 침해도 피해를 입힐 수 있지만, 내부적으로 세분화된 네트워크가 없는 것도 그에 못지않게 해로울 수 있습니다.

대부분의 유명 침해 사고는 침입자가 몇 주 또는 몇 달 동안 탐지되지 않은 채 네트워크를 가로질러 고가의 자산에 접근하기 위해 측면으로 이동하기 때문에 조직을 무력화시킵니다. 마이크로세그멘테이션은 이러한 움직임을 방지하여 조직이 다음 공격의 표적이 되는 일이 없도록 합니다.

세분화 여정의 첫 걸음을 내딛을 준비가 되셨나요? 30일 무료 평가판에 가입하세요.