마이크로세그멘테이션 배포를 위한 아키텍트 가이드: 보안 모델 변경의 의미

마이크로세그멘테이션 배포의 아키텍트 또는 프로젝트 관리자는 원하는 결과와 배포가 조직에 실제로 어떤 영향을 미칠지 명확하게 파악하는 것이 좋습니다. 동시에 이러한 인사이트를 제공하려면 종종 다른 팀원의 지원이 필요하며, 그 중 일부는 IT 부서에 속하지 않을 수도 있습니다. 아키텍트나 프로젝트 관리자가 새로운 프로젝트를 시작하고, 프로젝트를 순조롭게 진행하며, 최적의 결과를 얻기 위해 마이크로세그멘테이션 배포에 대해 알아야 할 것은 무엇일까요?

이 시리즈에서는 바로 이러한 질문을 살펴보고, 수백 건의 마이크로세그멘테이션 배포 경험을 바탕으로 팀이 비즈니스에 기대하는 결과를 제공하기 위해 최적의 상태로 조정할 수 있는 핵심 인사이트를 살펴봅니다.

1부에서는 보안 모델 변경의 의미에 대해 설명합니다. 마이크로세그멘테이션 솔루션으로 전환하면 아래에 설명된 몇 가지 중요한 방식으로 기존 네트워크/경계 모델이 변경됩니다. 이러한 각 수정 사항은 애초에 마이크로 세분화를 매력적으로 만들었던 몇 가지 이점을 가능하게 하며, 이러한 각 수정 사항은 기업에 영향을 미칩니다.

적용 지점이 네트워크에서 호스트로 이동

전통적으로 보안은 VLAN의 에지, PROD 환경 또는 인터넷 등 경계 초크포인트에 배치됩니다. 이 모델에서는 애플리케이션, 서버 운영 또는 자동화 팀과의 직접적인 상호 작용이 거의 없습니다. 호스트 기반 적용으로 변경된다는 의미입니다:

• 운영 체제 조합 및 상담원 지원 문제
• 가용성 & 자동화 및 관리 도구의 일관성은 상담원 배포 방식과 속도에 영향을 미칩니다.
• 애플리케이션 소유자, 시스템 관리자 및 자동화 개발자는 보안 팀과 새로운 방식으로 상호 작용하게 됩니다.
• 애플리케이션/관리팀에게는 '운영 체제 내부'의 보안이 새로운 개념이며, 이것이 무엇을 의미하는지 이해해야 합니다.

보안 정책이 블랙리스트/화이트 리스트 혼합 모델에서 순수 화이트리스트 모델로 전환됩니다.

하드웨어 방화벽은 허용 문과 거부 문을 혼합하여 사용합니다. 즉, 각 디바이스에서 규칙의 순서가 매우 중요합니다. 최상의 마이크로세분화 정책에는 허용 문만 있습니다. 이는 당연히 세분화를 위한 제로 트러스트 원칙의 실질적인 구현입니다. 또한 규칙 순서에 대한 우려를 없애고 유연한 다차원 정책을 적용할 수 있습니다. 이는 정책 작성자가 자신의 욕구를 표현하는 새로운 방법을 배우면서 잠시 과도기를 거치는 다른 업무 방식이자 정책 지정 방식입니다. 훨씬 더 간단하고 '읽기 쉬운' 정책을 만들어 감사 및 규정 준수 확인이 훨씬 쉬워집니다. 이러한 팀과 함께 새로운 정책 모델에 대해 교육하는 데 시간을 할애할 것으로 예상됩니다.

보안 정책 문이 네트워크/IP 종속 문에서 메타데이터 중심 문으로 이동합니다.

하드웨어 방화벽은 규칙 작성을 위해 IP 주소, 포트 및 프로토콜에 의존합니다. 모든 마이크로세그멘테이션 공급업체는 네트워크 구성에 대한 참조 없이 정책 설명을 표현하기 위해 몇 가지 유형의 레이블 또는 메타데이터를 제공합니다. 즉, 네트워크 또는 네트워크 보안 팀뿐만 아니라 그 이상의 사람들이 보안 정책을 이해할 수 있게 됩니다. 규칙 작성을 위한 그래픽 '포인트 앤 클릭' 메커니즘도 보안 정책을 거의 기술적으로 작성하지 않고도 작성할 수 있는 방법을 제공합니다. 강력한 역할 기반 액세스 제어(RBAC)와 결합하면 조직 내에서 규칙 작성을 보다 광범위하게 배포하는 것을 고려할 수 있습니다. 이것이 바람직한지 여부는 조직에 따라 달라질 수 있습니다.

메타데이터는 역사적으로 보안 팀에게 중요하지 않았지만, 자동화와 관련된 광범위한 조직에서는 메타데이터를 많이 활용하고 있습니다. 메타데이터를 생성하고 소비하는 보안 팀과 자동화 팀이 서로 융합되어 있다는 것은 메타데이터 설계, 저장, 수정 등에 특별한 주의를 기울이는 것이 필요하고 조직 전체의 민첩성에 긍정적인 영향을 미칠 수 있는 가치 있는 노력이라는 것을 의미합니다. 이러한 폭넓은 대화는 리더십이 사일로와 작업 그룹을 아우르고 영향을 받는 모든 구성원을 모아 공통의 솔루션을 추진할 때 가장 잘 이루어집니다.

API 기반 보안 자동화 사용 가능

자동화 및 오케스트레이션은 IT의 애플리케이션 및 시스템 측면에서는 일반적인 단어이지만, 네트워크 및 보안 팀에서는 그다지 흔하지 않습니다. 하지만 좋은 마이크로세분화 솔루션은 완전한 API 기반 워크플로우를 제공합니다. 플랫폼의 모든 기능은 API를 통해 액세스할 수 있어야 합니다. 즉, 보안을 자동화하는 능력은 상상력, 시간, 주의력만으로는 한계가 있습니다. 조직이 가능성을 이해하고, 자동화 요구 사항의 우선순위를 정하고, 적절한 단계에 따라 결과 계획을 구현하려면 다시 한 번 부서 간 팀워크가 필요합니다. 메타데이터 정리와 정돈에 소요되는 시간은 마이크로세분화 정책을 자동화할 때 큰 도움이 될 것입니다.

이러한 각각의 관찰에서 공통점은 이러한 배포가 조직 내부의 경계를 넘나든다는 점입니다. 기존에 없던 기능을 제공하고 팀에 새로운 데이터를 생성하고 소비하게 될 것입니다. 간단히 말해서, 이것은 '같은 것의 더 많은 것'이 아니라 '변화'입니다. 각 조직은 변화에 대한 각자의 태도를 가지고 있으며, 가장 큰 관리 과제는 이러한 변화를 조직이 흡수할 수 있는 능력과 일치시키는 것입니다.

오늘은 마이크로세그멘테이션이 조직에서 '익숙하게' 사용하는 기존 네트워크/경계 모델을 어떻게 근본적으로 변화시키는지 살펴보았습니다. 2부에서는 팀이 마이크로세그멘테이션을 가장 성공적으로 배포할 수 있는 다음 핵심 인사이트인 배포 팀을 구성하는 방법에 대해 설명합니다.

마이크로세그멘테이션을 성공적으로 배포하기 위해 알아야 할 모든 것을 자세히 살펴보고 싶으시다면 eBook, Secure Beyond Breach를 확인하세요: 마이크로세그멘테이션을 통해 심층적인 사이버 보안 전략을 구축하기 위한 실용적인 가이드입니다.