마이크로세분화 배포를 위한 아키텍트 가이드: 공급업체 관계 및 운영 통합 관리하기

기존 네트워크 세분화 (방화벽 등)에서 마이크로세분화로 전환하려면 설계자나 프로젝트 관리자가 주도하는 조율된 노력이 필요합니다. 진정한 이점과 최적화를 위한 가장 명확한 경로를 미리 이해하고 탐색하면 배포 프로세스 전반에서 성공을 거둘 수 있습니다.

이 시리즈에서는 여러 가지 고려 사항을 정리했습니다. 이 다섯 번째이자 마지막 파트에서는 공급업체 관계를 관리하고 운영 통합을 유지하는 가장 좋은 방법에 대해 설명합니다.

공급업체 관계 관리

선택한 공급업체도 여러분만큼이나 여러분의 마이크로세분화 프로젝트가 성공하기를 원합니다. 공급업체 측에서는 각 배포에 대해 내부적으로 정기적으로 소통하여 필요할 때 기능, 리소스 및 코드를 모두 사용할 수 있도록 합니다.

공급업체를 전략적 파트너처럼 대하면 최고의 성과를 얻을 수 있습니다. '무엇이 필요한지' 뿐만 아니라 '왜 필요한지', '언제까지 필요한지'를 알면 확장된 팀을 훨씬 더 쉽게 움직일 수 있습니다. 공급업체가 프로젝트 계획의 바로 다음 단계만 볼 수 있는 상황에서는 큰 그림을 보지 못하고 너무 늦은 후에야 전문 지식과 교훈을 얻을 수 있는 경우가 많습니다. 모든 프로젝트는 지연되거나 조기 종료가 요구되거나 기타 여러 가지 결과가 발생할 수 있습니다. 큰 변경 사항을 조기에 전달하면 공급업체가 변경 사항을 흡수하고 계획과 실행을 조정하는 데 도움을 줄 수 있는 최적의 위치에 있을 것입니다.

프로젝트 초기 몇 주 동안 형성해야 하는 몇 가지 주요 파트너십이 있습니다:

1. 솔루션 설계자, 전문 서비스 엔지니어, 프로젝트 관리자, 기술 책임자. 핵심 기술 실무 팀입니다. 이들은 프로젝트의 성공을 위해 대부분의 기술적 작업을 함께 수행합니다. 자유롭고 개방적이며 서로를 존중하는 대화가 이루어지는 것이 중요합니다.
2. 고객 성공 아키텍트, 디렉터, 프로젝트 아키텍트. 전략 실무팀입니다. 기술적으로 어떤 일이 일어나고 있는지 파악하고 프로젝트 팀보다 앞서서 장애물을 제거하거나 최소화할 수 있어야 합니다. 이러한 관계는 양측이 문제와 도전에 대해 투명하게 이야기할 수 있을 만큼 편안해야 합니다. 이것은 문제가 잘 해결되지 않을 경우 양측 모두의 첫 번째 '에스컬레이션' 지점입니다.
3. 계정 관리자, 공급업체 부사장 및 임원 스폰서. 결과를 책임지는 비즈니스 수준의 실무 팀입니다. 이 팀은 회사 간에 발생할 수 있는 모든 에스컬레이션을 처리합니다. 각 측에는 이 수준에서 이해하고 표현해야 하는 실행 위험이 있습니다. 이 팀은 당면한 프로젝트 외에도 로드맵과 마이크로세분화를 위한 추가 기회 및 활용 포인트를 포함하도록 논의해야 합니다.

이러한 각 팀이 잘 작동하도록 보장하는 경영진 스폰서는 부정적인 측면에 놀라지 않을 것이며, 대부분의 불가피한 문제가 상황 보고를 제외하고는 경영진의 관심을 끌지 않고 처리된다는 것을 알게 될 것입니다. '자체 관리'되는 프로젝트는 없지만, 이 세 가지 수준의 관계가 잘 관리될 때 프로젝트가 원활하게 운영되는 경향이 있습니다.

운영 통합 관리

이제 기어를 바꿔보겠습니다. 대부분의 마이크로세분화 솔루션에는 최소한 중앙 정책 엔진과 호스트 기반 에이전트 등 몇 가지 구성 요소가 있습니다. 마이크로세그멘테이션 배포에 수반되는 복잡성은 이 두 가지 구성 요소가 엔터프라이즈 환경의 다른 많은 요소와 맞닿아 있기 때문에 발생합니다. 기존 시스템과의 운영 통합에 도움이 되는 몇 가지 '모범 사례'가 있습니다.

QA 또는 사전 프로덕션 테스트 환경 구축

내부 팀과 공급업체 팀 모두 자연스럽게 솔루션의 PROD 인스턴스에 집중하겠지만, 비프로덕션 환경에서 마이크로세분화 솔루션의 소규모 QA 버전을 설정하도록 하세요. 이 플랫폼은 여러 가지 용도로 사용됩니다. 초기에는 내부 개발자와 자동화 툴링 팀이 코드를 테스트하고 개발할 수 있는 공간이 될 것입니다. 운영팀은 로깅 통합 및 이벤트 처리를 테스트할 수 있습니다. 내부 교육 수업에서는 이 시스템을 사용하여 숙지 교육을 진행할 수 있습니다.

배포가 완료된 후에는 이 기능을 유지해야 합니다. 이 사전 프로덕션 시스템이 각 기본 OS 이미지 중 하나를 관리하도록 합니다. 이러한 방식으로 새 릴리스를 프로덕션에 적용하기 전에 비프로덕션 환경에서 전체 PROD 운영 체제 이미지 세트에 대해 새 공급업체 코드를 테스트할 수 있습니다. 이상적으로는 공급업체 배포 팀이 이 시스템을 단일 경량 가상 머신으로 구축할 수 있습니다.

프로덕션 배포 전에 로깅/이벤트 알림을 설정하고 테스트하세요.

당연히 OPS 팀은 프로덕션 워크로드를 페어링하기 전에 완전한 운영 통합이 완료되었을 때 가장 높은 신뢰도를 보입니다. 로그를 스트리밍하고, 구문 분석하고, 알림을 발생시키고, 대시보드를 구축하는 데는 시간과 노력이 필요합니다.

하지만 이 작업을 통해 정책 엔진, 에이전트 및 기본 시스템의 상태에 대한 완전한 가시성을 확보할 수 있습니다. 모든 사람이 필요한 모든 도구가 갖추어져 있다는 것을 알면 민감한 프로덕션 환경에서 훨씬 쉽게 작업할 수 있습니다. 공급업체의 전문 서비스 엔지니어가 주요 로그 메시지에 대한 권장 사항을 제공하고 다른 고객들에게 인기가 있었던 알림을 추천해 줄 것으로 기대하세요.

로그 분석/이벤트 처리 메커니즘에서 세 가지 다른 관점을 캡처해야 합니다:

1. 보안. 보안팀은 방화벽 로그와 에이전트의 변조 방지 메커니즘에 가장 집중할 것입니다. 그들은 항상 정책 및 정책 위반에 관심이 있습니다.
2. OPS. OPS 팀은 워크로드 및 정책 엔진 상태에 가장 중점을 두고 시스템 이벤트를 다른 데이터 센터 이벤트와 연관시키는 방법을 알고 싶어 할 것입니다.
3. 대시보드. 관리 또는 NOC 관리자는 하이라이트와 드릴다운 기능이 포함된 마이크로세그멘테이션 배포에 대한 통합 보기가 필요한 경우가 많습니다.

이러한 각각의 우려가 로그/이벤트/알람 처리 메커니즘에 반영되면, 다양한 팀들이 프로젝트가 기존 관행을 따르는 완전한 통합을 제공한다는 사실을 깨닫게 되면서 조직 전체에 신뢰가 쌓이게 됩니다.

자동화된 워크플로에 투자

마이크로 세분화 배포는 오랫동안 수작업으로만 이루어지던 보안 프로세스를 자동화할 수 있는 많은 기회를 제공합니다. 또한, 마이크로 세분화 라벨링은 기존 메타데이터 소스를 검토하고 개선하여 새로운 방식으로 결합합니다. 생성된 메타데이터는 그 자체로 가치가 있으며 다른 시스템 및 자동화 작업에서 사용할 수 있도록 보존할 수 있습니다. 기업이 마이크로세그멘테이션을 성공적으로 배포한 후 약간의 노력만 기울인다면 더 나은 메타데이터를 확보할 수 있는 것은 일반적입니다. 이러한 노력은 초기 마이크로 세분화 배포의 지속적인 운영과 확장에 큰 도움이 됩니다.

에이전트 설치

수백 또는 수천 개의 시스템에 마이크로세그멘테이션 에이전트를 배포하려면 어떤 형태로든 자동화가 수반됩니다. 어떤 경우에는 기존 툴을 사용하기도 하고, 어떤 경우에는 처음부터 새로 만들기도 합니다. 하지만 많은 경우 에이전트 설치와 자동화된 빌드 프로세스를 통합하고자 할 것입니다. Chef, Puppet, Ansible, Salt 또는 기타 프레임워크에 관계없이 기업의 표준 자동화 수명 주기에 보안을 구축할 수 있는 기회가 있습니다.

대부분의 엔터프라이즈 데이터센터에는 오케스트레이션 프레임워크를 사용하는 완전 자동화와 이러한 도구가 없는 레거시 환경이 혼재되어 있습니다. 가능한 경우 오케스트레이션 팀과의 통합을 통해 시간을 들여 작업하면 프로젝트의 성공 가능성을 높일 수 있습니다. 오케스트레이션 프레임워크가 제공되지 않는 구형 환경은 사용자 지정 스크립팅을 통해 별도로 처리할 수 있습니다.

정책 엔진 설치

일부 고객은 정책 엔진 생성을 오케스트레이션 패키지에 패키지화하기도 합니다. 정책 인스턴스화가 자동화되어 있는 경우, 자동화를 통해 새 정책 엔진을 구축하는 것만큼이나 빠르게 서버 충돌을 복구할 수 있습니다. DEV-OPS를 강력하게 추진하는 조직은 이를 고려할 수 있습니다.

정책 엔진 데이터베이스 백업

모든 마이크로세분화 정책 엔진에는 일종의 데이터베이스가 있습니다. 이 데이터베이스가 손상되었거나 사용할 수 없는 경우 솔루션이 전혀 작동하지 않거나 바람직하지 않은 결과를 제공할 가능성이 높습니다. OPS 팀이 필요한 백업을 자동화하고 공급업체의 절차에 따라 복원 및 복구에 숙련되어 있는지 확인하세요.

레이블 할당

워크로드에 레이블을 처음 할당하는 작업은 일반적으로 정책 엔진에 일종의 대량 업로드를 통해 이루어집니다. 이렇게 하면 초기 상태에서 초기 시스템에 대한 올바른 레이블이 생성됩니다. 시간이 지나면 레이블이 변경됩니다. 새로운 시스템이 추가되고 일부는 사라질 것입니다. 이 워크플로우가 자동화될수록 관련된 모든 사람이 더 쉽게 작업할 수 있습니다. 여기에는 내부 디자인 문서에 라벨 할당을 코드화하고 이를 저장, 업데이트 및 검색하는 방법을 결정하는 것이 포함됩니다.

마이크로세분화 솔루션은 항상 레이블을 사용하지만, 이러한 레이블은 중앙 집중식 메타데이터 관리를 통해 유지하는 것이 가장 효과적일 수 있습니다. 개발 운영팀은 메타데이터 관리에 대해 강한 의견을 가지고 있을 가능성이 높으므로 이들의 의견을 반영하는 것이 현명합니다.

메타데이터 관리

마이크로세그멘테이션 배포는 메타데이터 할당에 따라 보안 정책을 구축합니다. 즉, 시간이 지남에 따라 마이크로 세분화 솔루션에는 사물이 상호 작용하는 방식을 설명하는 일련의 레이블과 기타 메타데이터가 포함됩니다. 이러한 라벨은 일반적으로 공급업체에서 맞춤 제작하는 것이 아니라 기존 소스를 재사용합니다.

이는 자동화 기회를 제공합니다. 좋은 마이크로세분화 솔루션은 레이블이 변경되면 항상 정책을 다시 계산합니다. 따라서 메타데이터가 마이크로세분화 솔루션 외부에서 관리되는 경우, 이러한 업무 분리를 자동화에 활용할 수 있습니다. 마이크로세분화 솔루션이 외부의 '신뢰할 수 있는 소스'를 참조하는 경우, 메타데이터가 변경되면 정책 엔진에 프로그래밍 방식으로 알림이 전송되고 규칙이 자동으로 업데이트될 수 있습니다.

마이크로세분화를 통해 메타데이터 관리를 더 스마트하게 하는 것은 정책 및 정책 관리를 더 스마트하게 하는 것과 마찬가지입니다. 라벨을 만드는 데 사용되는 메타데이터가 어디에 저장되고, 어떻게 업데이트되고 검색되어 정책 엔진에 공급되는지에 대해 고민하는 시간은 항상 유익한 작업입니다. 다른 경우에는 정책 엔진의 정보가 기존 CMDB 시스템을 업데이트하는 데 유용할 수 있습니다. 마이크로세그멘테이션 배포는 조직에서 메타데이터가 어떻게 사용되고 활용되는지 고려할 수 있는 훌륭한 이유를 제공하며, 이러한 개선 사항을 자동화할 수 있는 원동력이 될 수 있습니다.

모든 것을 집으로 가져오기

마이크로세분화를 성공적으로 배포하면 내부 세분화 모델, 정책 대화 상자 및 보안 자동화 수준이 향상됩니다. 팀을 그 목적지로 이끄는 데는 새로운 배움과 새로운 기회가 수반됩니다. 마이크로세그멘테이션은 기존 운영 모델의 일부를 변경하며, 교차 기능 배포 팀이 가장 잘 수행할 수 있습니다.

리더는 몇 가지 중요한 시점에 여러분의 의견이 필요합니다. 메타데이터와 정책 개발에 대한 올바른 대화를 통해 비즈니스의 속도와 민첩성에 지속적인 변화를 가져올 수 있습니다. 세밀한 제어와 빠른 자동화를 동시에 수행할 수 있습니다. 마이크로세그멘테이션 배포, 운영 및 실행에 대한 여러분의 성공 사례를 듣고 싶습니다.

마이크로세그멘테이션 전략을 처음부터 끝까지 구현하기 위해 알아야 할 모든 것에 대해 자세히 알아보려면 eBook ' 보안 침해이상의 보안'을 확인하세요: 마이크로세그멘테이션을 통해 심층적인 사이버 보안 전략을 구축하기 위한 실용적인 가이드입니다.