마지막으로, Windows 서버를 보호하는 새로운 방법

Windows 운영 체제는 전 세계에서 가장 많이 설치되어 있으므로 해커에게 매력적인 표적이 되는 것은 당연합니다. 기존의 안티바이러스 및 멀웨어 보호 외에 이러한 컴퓨터와 컴퓨터가 있는 네트워크를 보호하기 위해 무엇을 할 수 있을까요?

네트워크에 보안 하드웨어를 추가하면 공격을 억제하거나 경고하거나 완전히 차단하는 데 도움이 될 수 있습니다. VLAN과 방화벽 기반 네트워크 세분화는 현재까지 가장 효과적인 네트워크 보안 전략 중 하나이지만 유지 관리와 신속한 확장 불가 등 몇 가지 주요 단점이 있습니다.

아무리 경험이 많은 보안 전문가라도 의도하지 않은 결과를 초래할 수 있다는 우려 때문에 방화벽 규칙을 제거하지 않는 경우가 많습니다.

네트워크를 적절하게 세분화하는 데 필요한 VLAN 및 방화벽 규칙의 수를 따라잡는 것은 보안 팀의 리소스를 압도할 수 있습니다. 이 접근 방식은 정책을 변화에 맞춰 유지하기 위해 사람의 개입에 의존하기 때문에 시간이 지남에 따라 무너질 수도 있습니다. 아무리 경험이 많은 보안 전문가라도 의도하지 않은 결과를 초래할 수 있다는 우려 때문에 방화벽 규칙을 제거하지 않는 경우가 많습니다.

방화벽 규칙이 늘어나면 관리하기가 훨씬 더 어려워지고 결국에는 엄청나게 높은 수치를 기록하게 됩니다. 저는 개인적으로 수백만 개의 방화벽 규칙을 보유한 대기업을 보았는데, 그 중 일부는 10년이 넘은 것도 있었습니다.

포트 기반 규칙의 문제점

Windows 운영 체제는 기존 방화벽으로 보안을 유지하려고 할 때 고유한 문제가 있습니다. 이러한 방화벽은 포트 기반 규칙을 사용하므로 특정 IP 주소의 포트가 다른 IP 주소의 다른 포트와 통신하는 것이 허용됩니다.  

이 전략은 일반적으로 단일 포트 또는 여러 포트 범위에서 단일 프로세스가 실행되는 UNIX 및 Linux에 적합합니다. 그러나 Microsoft 운영 체제에서는 단일 포트 또는 동적으로 할당될 수 있는 포트 그룹을 사용하는 프로세스 그룹을 사용하는 것이 일반적입니다. 따라서 어떤 포트를 사용할지 미리 알 수 없을 수도 있습니다. 그렇다면 포트를 사용하는 프로세스나 어떤 포트를 사용할지 모르는 경우 포트를 허용해야 하는지 어떻게 알 수 있을까요?

기업들은 문제의 증상을 치료하고 있지만 핵심 문제는 해결하지 못하고 있습니다. 오늘날의 보안은 정적이어서 변화의 속도를 따라잡지 못합니다.

동적 포트는 일반적으로 합의된 "상위 포트" 풀에서 무작위로 할당됩니다. 상상할 수 있듯이, 어떤 포트가 사용될지 모르면 세그먼테이션 방화벽에서 광범위한 포트 범위가 열리게 되어 Windows 컴퓨터가 서로 통신할 수 있습니다. 반대로 이러한 포트 범위를 제한할 수 있지만 레지스트리 키를 변경하고 모든 Windows 호스트를 재부팅해야 합니다.

이로 인해 관리할 수 없는 양의 방화벽 규칙을 관리하거나 호스트의 기본 포트 범위를 제한해야 하는 이상적이지 않은 상황에 처하게 됩니다.

변화의 속도를 따라잡기

기업들은 방화벽 규칙을 관리하는 소프트웨어를 만들고, 방화벽에 애플리케이션 인식 기능을 추가하고, 일반적으로 답답한 상황에 대한 여러 가지 측면을 지원함으로써 도움을 주기 위해 노력하고 있습니다. 그러나 이러한 솔루션은 모두 문제의 증상을 치료할 뿐 핵심적인 문제는 다루지 못합니다. 오늘날의 보안은 정적이며 변화의 속도를 따라잡지 못합니다.

이제 클라우드 마이그레이션에서도 세분화된 애플리케이션 세분화를 달성할 수 있습니다.

동적 적응형 보안 모델을 통해 Windows(및 Linux) 워크로드를 보호하는 완전히 새로운 접근 방식인 Illumio 적응형 보안 플랫폼(ASP)을 사용해보세요. Illumio ASP는 운영 체제에서 제공하는 기본 보안 시행 서비스, Windows 필터링 플랫폼 및 iptables를 사용합니다. 그런 다음 규칙을 작성하기 위해 IP 주소와 포트가 필요 없는 직관적인 라벨링 시스템을 추가합니다.

따라서 신규 또는 수정된 호스트가 체크인할 때 Illumio ASP는 할당된 레이블을 읽고 보안 프로필을 자동으로 구성합니다. 호스트가 IP 주소를 이동하는 경우에도 마찬가지입니다: 변경 사항이 표시되고 몇 초 내에 모든 적절한 정책이 다시 계산됩니다.

레이블을 통해 환경을 정의하면 애플리케이션 보안을 그룹화할 수 있습니다. 애플리케이션의 구성 요소를 스핀업 또는 스핀다운할 때 방화벽 규칙을 수정하거나 VLAN을 관리할 필요 없이 보안이 자동으로 따라옵니다.

이것은 무엇을 의미하나요? 이제 클라우드 마이그레이션에서도 세분화된 애플리케이션 세분화를 달성할 수 있습니다.

정책 컴퓨팅 엔진(PCE)은 작업의 '두뇌'에 해당합니다.

Windows 환경에서 프로세스 기반 적용이 추가됨에 따라 Illumio는 마침내 동적 하이 포트를 처리하는 방법에 대한 의문을 해소할 수 있게 되었습니다. 승인된 프로세스를 정의하면 Illumio는 원하는 포트에서 안전하게 통신할 수 있도록 지원합니다.

왜 이런 일이 발생하나요? 정책 컴퓨팅 엔진(PCE)은 작업의 '두뇌'에 해당합니다. PCE는 가상 시행 노드 (VEN)라는 경량 에이전트를 사용하여 변경이 발생하면 즉시 인식하고 몇 초 내에 영향을 받는 시스템을 수정합니다. 이 동적 정책 엔진은 자연어 보안 정책을 신속하게 작성할 수 있을 뿐만 아니라, 애플리케이션 구조의 대화형 라이브 맵인 Illumination을 표시합니다. 복잡한 보안 태세를 누구에게나 전달할 수 있는 매우 효과적인 도구입니다.

Windows 서버 보안이 정말 흥미로워졌습니다.