마이크로세그멘테이션 배포를 위한 아키텍트 가이드: 배포 프로세스 관리

이 시리즈의 1부와 2부에서는 보안 모델 변경의 의미와 마이크로세그멘테이션 배포의 성공에 필요한 리소스를 살펴봅니다.

3부에서는 계획에 추가할 구체적인 체크포인트를 통해 배포 프로세스를 가장 잘 관리하는 방법을 살펴봅니다.

여러 면에서 마이크로세그멘테이션 배포는 또 하나의 IT 프로젝트에 불과합니다. 다른 프로젝트와 마찬가지로 기술적인 작업, 정치적인 작업, 조정 작업이 있습니다. 아래에서는 마이크로세분화를 최대한 원활하게 배포하기 위해 특별히 고려해야 할 사항을 강조하겠습니다. 이는 많은 대규모 엔터프라이즈 배포에서 추출한 '모범 사례'로, 모든 규모의 배포에 적용할 수 있습니다.

전체 프로젝트 팀을 위한 광범위한 개요 교육 보장

공급업체의 개요 교육 클래스를 통해 최대한 많은 사람이 교육을 받을 수 있도록 하세요. 이를 통해 참석자들은 마이크로세분화의 아키텍처, 정책 언어 및 핵심 개념에 대한 기초를 다질 수 있습니다. 프로젝트 팀 전체가 함께 참여하면 전체 디자인 프로세스가 더욱 견고해집니다. 위에 나열된 교차 기능 팀의 각 구성원은 IT에 대해 서로 다른 관점을 가지고 있으며 고유한 관점에서 제약 조건과 기존 아키텍처를 이해합니다.

각 사람이 마이크로세그멘테이션 배포에 대해 충분히 알고 있어 문제가 발생할 수 있는 부분, 테스트 또는 인증 획득, 기타 세부 사항을 구두로 설명할 수 있다면 완벽한 배포 계획을 세우는 것이 훨씬 쉬워집니다. 기획 과정에서 이러한 관점이 빨리 반영될수록 좋습니다. 프로젝트가 진행됨에 따라 팀원들이 하나씩 참여하게 되면 몇 주가 지나서야 많은 '중요한 경로' 항목이 발견될 수 있습니다. 이러한 조기 알림을 통해 조직 전체가 계획하고 대응할 수 있는 시간을 확보할 수 있습니다.

완벽한 디자인 결과물 기대

마이크로세분화 배포에는 위에서 언급했듯이 몇 가지 새로운 개념이 있습니다. 이를 프로젝트 계획과 일정에 반영해야 합니다. 프로젝트 계획에 기술적 마일스톤만 있고 조정, 팀 간 알림 및 기타 접점을 놓치면 프로젝트가 끝날 때까지 몇 주 정도 늦어질 수 있습니다. 모든 회사는 현지의 특색에 맞게 프로젝트를 구성하고 추적하지만, 각 프로젝트에는 반드시 있어야 합니다:

• 자세한 배포 계획. 공급업체는 모든 '교훈'과 '모범 사례'가 포함된 '수행해야 할 작업'의 템플릿을 제공해야 합니다. 이는 실행 가능한 배포 계획에 통합되어야 하며, 이름과 날짜가 적절히 지정되어야 합니다. 계획은 이를 실행하는 팀의 서명을 받아야 하며, 임원 스폰서는 진행 상황에 대한 보고 주기를 예상해야 합니다.
• 라벨링 및 메타데이터 계획. 마이크로세분화 정책은 IP 주소가 아닌 이름과 레이블을 기반으로 하므로, 팀은 현재 데이터 소스를 평가하고 격차를 파악해야 합니다. 지속적인 운영을 위해서는 애플리케이션이 왔다 갔다 할 때 메타데이터가 생성되고 유지되는 방식에 대한 정책과 워크플로우를 만들거나 개선해야 할 수 있습니다.
• 자세한 초기 보안 정책. 가장 빠른 배포는 배포 팀이 프로젝트 초기에 명확한 정책 목표를 가지고 있었던 곳에서 이루어졌습니다. 마이크로세분화는 기업이 과거에 가졌던 것보다 더 세분화할 수 있습니다. 대부분의 고객에게 마이크로세분화는 처음에 필요한 것보다 훨씬 더 많은 것을 제공합니다. 현명한 프로젝트 팀은 프로젝트 목표를 먼저 달성하고 플랫폼의 모든 가능성에 매몰되지 않을 것입니다. 초기 정책을 세부적으로 정하고 팀이 그 목표를 향해 열심히 달려가도록 하는 것이 가장 좋습니다. 초기 보안 정책에 따라 워크로드가 모두 보호된 후에는 비즈니스 요구 사항에 따라 위험도에 따라 보안을 강화할 수 있습니다. '바다를 끓이려는 시도'는 피하세요.
• 필요한 모든 자동화 목록과 설명, 그리고 누가 작성할 것인지에 대한 설명입니다. 에이전트의 대량 배포, 레이블 및 메타데이터 가져오기 등 다양한 작업을 자동화를 통해 수행할 수 있습니다. 어느 팀이 기술 리드 포지션을 맡느냐에 따라 이 작업은 다른 팀에서 수행할 수도 있습니다. 이를 위해서는 추가적인 일정 관리와 조정이 필요합니다. 무엇이 언제까지 필요한지 정확히 미리 파악하면 각 팀에서 예상치 못한 상황을 피하고 계획대로 진행할 수 있습니다.
• 필요한 모든 통합 포인트의 목록과 설명 및 통합을 수행할 사람. 최소한 보안 및 운영 로그는 SIEM 또는 빅 데이터 분석 플랫폼으로 전송될 것입니다. 추가 사용자 지정, 대시보드 및 기타 도구가 필요할 수 있습니다. 프로젝트 리드 팀이 아닌 다른 팀과 관련된 영역인 경우가 많습니다. 공급업체는 특정 전문 지식을 갖춘 전문 서비스 엔지니어를 보유하고 있으며 프로젝트에 적합한 리소스를 가져와야 합니다. 프로젝트 초기에 누가 어떤 작업을 하는지 파악하여 일정을 맞추는 것이 중요합니다.
• 마이크로세분화 배포로 인해 영향을 받게 되는 내부 프로세스 및 워크플로 목록입니다. 마이크로세그멘테이션은 조직에서 보안 정책을 작성하는 방식을 변경합니다. 누군가 레이블이나 메타데이터를 변경하면 워크로드에 적용되는 보안 정책이 변경됩니다. 이론적으로는 방화벽 규칙 변경을 요청하는 것과 다르지 않습니다. 그러나 대부분의 조직은 기존 보호조치를 적용하기 위해 적용하거나 확장해야 하는 주요 워크플로우가 있다는 것을 알게 됩니다. 팀에서 이러한 사항을 파악하고 적절한 수준으로 올려 조정 및 결재를 받을 수 있도록 합니다. 이는 마이크로세분화 솔루션의 장기적인 소유권을 원활하게 유지하기 위한 핵심 요소이며, 경영진의 승인과 조정 없이는 불가능한 작업입니다.

보고 주기

마이크로세분화 배포는 각각 고유한 주기를 가진 세 가지 수준의 보고가 있을 때 원활하게 이루어집니다:

1. 기술 프로젝트 상태: 팀 리더, 공급업체의 전문 서비스 엔지니어 및 해당 업무에 깊이 관여하는 다른 사람들과 정기적으로 소통해야 합니다. 짧게는 매일에서 길게는 일주일에 한 번씩 진행되는 스케줄에서 이러한 상황을 자주 보게 됩니다. 이러한 통화는 일반적으로 PM과 기술 책임자가 주도하며 업무에 직접적으로 집중합니다. 이 통화에는 다양한 사람들이 초대되어 필요에 따라 참여할 수 있습니다.
2. 프로젝트 상태: PM, 팀장, 양측의 관심 있는 관리자 및 디렉터가 참석하는 통화입니다. 일반적으로 격주 또는 한 달에 한 번입니다. 전반적인 적색-녹색 상태를 전달하고, 격차를 파악하고, 에스컬레이션 또는 추가 리소스를 요청하는 등의 작업을 수행하도록 설계되었습니다. 기술적인 통화가 아니라 공급업체와 기업 모두에게 상태를 알리기 위한 프로젝트 관리 통화입니다.
3. 경영진 상태: 기업은 특정 비즈니스 이점을 얻기 위해 마이크로세그멘테이션을 배포합니다. 경영진 스폰서, 공급업체 임원 및 계정 관리자와 함께 월별 또는 분기별 주기를 통해 프로젝트가 전반적인 비즈니스 목표와 우선순위에 부합하는지 확인합니다. 두 팀이 상호 작용하고 프로젝트 성공을 위해 적절한 우선순위를 정할 수 있는 상설 포럼을 제공합니다. 회의는 일반적으로 30분 정도 진행되지만, 처음 시행에 들어가는 것과 같은 중요한 일정이 있을 때는 회의 시간이 더 길어질 수도 있습니다.

여기까지입니다. 모든 성공적인 마이크로세그멘테이션 배포의 핵심은 커뮤니케이션입니다. 모든 팀원이 적절한 교육을 받고, 결과물의 윤곽을 정하고 준수하며, 보고 주기를 합의하고 유지하면 효과적인 마이크로세분화 배포를 달성할 수 있을 뿐만 아니라 생각보다 쉽게 달성할 수 있습니다.

이 시리즈의 4부에서는 마이크로세그멘테이션 배포의 성공을 가속화하기 위해 '의지'해야 할 5가지 사항에 대해 설명합니다.