네트워크 대 보안 세분화

보안 전략으로서 세분화의 필요성은 상당히 진화했습니다. 네트워크 초창기부터 오늘날의 복잡한 데이터 센터 및 클라우드 환경에 이르기까지, 세분화에 대한 조직의 접근 방식은 그 속도를 따라가지 못했습니다. 새로운 보안 문제를 해결하기 위해 기존의 세분화 방식을 사용하려는 사람이라면 누구나 기대치와 보안 요구 사항을 모두 충족하지 못한다는 사실을 금방 알게 될 것입니다.

하지만 그렇다고 해서 공급업체와 일부 조직이 네모난 네트워킹 못을 둥근 보안 구멍에 끼워 넣으려는 시도를 막지는 못했습니다. 스포일러 경고: 맞지 않습니다.

정말 필요한 것은 보안 세분화입니다.

이 글에서는 데이터 센터를 중심으로 네트워크 세분화와 보안 세분화의 차이점과 보안 요구 사항을 해결하기 위해 네트워크 세분화가 어떻게 잘못 사용되어 왔는지 살펴봅니다.

주요 애플리케이션을 위한 지상 제어

제가 처음 네트워킹에 '입문'했을 때, 세그먼트는 RG-58 COAX 한 가닥이었습니다. 나 자신과 데이트하고 있나요? 예.

"경력이 쌓이면서 저는 새롭게 떠오르는" VLAN 기술의 선구자인 Xylan에서 근무했습니다. 당시에는 주로 보안을 위해서가 아니라 브로드캐스트 도메인을 줄이기 위해 모든 미디어(토큰 링, FDDI, ATM, 이더넷)를 모든 미디어와 연동하고 VLAN을 확장하여 네트워크 성능을 유지하고 네트워크 확장이 가능하도록 하는 것이 과제였습니다. 레이어 3 스위치는 없었고 네트워크에서 가장 비싼 요소는 소프트웨어 기반 라우터였습니다.†기본적으로 세그먼트는 논리적(물리적) 브로드캐스트 도메인으로 진화했고, VLAN이 보안과 혼합되기 전까지는 거의 그대로 유지되었습니다.

오늘날 조직이 '" 탐지'" 기술에 많은 비용을 지출하고 있음에도 불구하고 대부분의 조직은 어떤 형태로든 침해가 불가피하다고 생각합니다.

침해가 불가피한 상황에서 유일한 현실적인 보호 방법은 중요한 애플리케이션 주변에 더 많은 장벽을 구축하거나 "지형을 제어하여" 악의적인 공격자가 데이터센터와 클라우드 내부를 자유롭게 돌아다닐 수 없도록 하는 것입니다.

지형을 제어하려면 새로운 형태의 세분화가 필요합니다.

이를 보안 세분화라고 부르는데, 조직은 악의적인 공격자가 데이터 센터 내에서 횡방향(동쪽/서쪽)으로 이동할 수 없도록 트래픽을 필터링해야 합니다. 이는 네트워크를 통한 "레트로 세분화(" )보다 훨씬 나은 방법으로, 새 IP, 새 VLAN, 새 장비가 필요합니다.

할 수 있나요, 해야 하나요? 중요한 문제입니다.

보안 세분화는 레이어 2 및 레이어 3 네트워킹과 관련된 패킷 포워딩에 관한 것이 아닙니다. 보안 세분화는 패킷 필터링을 통해 네트워크의 두 지점 간에 허용해야 할 것과 허용하지 말아야 할 것을 적용하는 것입니다.

저는 항상 이것이 할 수 있는 것(패킷 전달)과 해야 하는 것(패킷 필터링)의 차이점이라고 말합니다. 레이어 2 및 레이어 3 네트워킹에서 수행된 모든 프로토콜과 작업은 안정적인 패킷 전송에 관한 것이었습니다.

• 레이어 2/3 네트워킹은 두 위치 간에 패킷을 전달할 경로가 있는 경우 해당 경로를 찾을 수 있습니다 .
• 레이어 2/3 네트워킹은 패킷을 전달해야 하는지 여부를 알지 못합니다. 그런 식으로 작동하도록 설계되지 않았습니다.

사실 레이어 2/3 디바이스에 무슨 일이 일어나야 하는지 알아내라고 하는 것은 론 버건디에게 텔레프롬프터의 모든 단어를 읽지 말라고 하는 것과 마찬가지입니다.

반면 보안 세분화는 어떤 일이 발생해야 하는지 파악하고 패킷 필터를 적용하여 침해 확산과 같이 발생해서는 안 되는 일이 발생하지 않도록 합니다.

사실 30년 동안 노력해 온 안정적인 패킷 전송과 보안 세분화는 서로 관련이 있지만 결혼해서는 안 되는 사촌지간과도 같은 관계입니다.

KISS: 단순하고 멍청하게(그리고 매일 필터링하고 싶어요)

보안 세분화의 필요성이 대두된 계기 중 하나는 제가 '스틱형 방화벽( ")'이라고 부르는" 문제의 등장입니다. 10년 전만 해도 데이터 센터에서 방화벽(또는 방화벽)으로 트래픽을 전송하면 트래픽 오버헤드, 구성 복잡성, 규모 문제가 발생했기 때문에 많은 트래픽이 방화벽으로 전송되는 것을 보지 못했습니다. 하지만 시간이 지남에 따라 스틱형 방화벽( "방화벽 온 더 스틱" ) 디자인이 증가하고 있습니다.

팁: 스틱에 있는 기술을 볼 때마다 지치지 마세요. 방해가 될 것입니다.

기업에서 소프트웨어 정의 네트워킹(SDN) 공급업체는 분산된 방화벽 세트를 통해 패킷을 전송하는 네트워크 오버레이를 생성하여 방화벽의 복잡성을 해결하려고 시도하고 있습니다. SDN은 언더레이, 오버레이, 터널링에 의존하여 작동합니다. 이로 인해 완전히 새로운 수준의 복잡성이 발생했는데, 이는 다른 포스팅을 위해 남겨둘 수 있습니다. 하지만 더 복잡한 것으로 복잡성을 공격하는 것은 이길 수 있는 방법이 아닙니다.

복잡성은 많은 것의 적이며, 보안도 그 중 하나입니다.

보안 세분화(일명 패킷 필터링)는 SDN과 달리 네트워킹의 KISS 원칙에 의존합니다: 단순명료하게 유지하세요. 너무 복잡하게 만들면 사람들이 보안 전략의 일부로 가장 원치 않는 편법을 찾을 가능성이 높아지면서 오류 발생 확률도 높아집니다. 반면에 단순성은 신뢰성을 얻을 가능성이 더 높으며, 보안에서 신뢰성은 매우 중요합니다.