Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
제로 트러스트 세분화

성공적인 마이크로세분화 프로젝트를 보장하는 방법: 3가지 전략적 원칙

Trevor Dearing
산업 솔루션 마케팅 이사
Illumio Editorial
6월 13, 2022
23 분 읽기

마이크로세분화가 중요합니다. 이를 제대로 활용하면 랜섬웨어와 같은 공격에 대한 취약성을 획기적으로 줄이는 동시에 규정 준수를 달성하고 유지할 수 있습니다.

이 시리즈에서는 성공적인 프로젝트를 빠르고 효율적으로 안정적으로 제공하는 마이크로세분화에 대한 실용적이고 상세한 접근 방식을 소개합니다.

1부에서는 조직에 마이크로세분화가 필요한 이유와 마이크로세분화 프로젝트가 실패할 수 있는 세 가지 주요 이유를 살펴보았습니다.

이 두 번째 글에서는 성공적인 마이크로세분화 프로젝트를 이끄는 세 가지 전략적 원칙에 대해 설명합니다.

이 세 가지 전략 원칙은 다음과 같습니다:

  1. 처음부터 완벽할 필요는 없습니다.
  2. 보이지 않는 것은 세분화할 수 없습니다.
  3. 정책 관리 간소화에 집중

이러한 원칙을 따르고 프로젝트에 적용하면 성공 확률을 크게 높일 수 있습니다.

이제 각각에 대해 자세히 살펴보겠습니다. 각 원칙에 대해 일부 조직이 마이크로세분화 프로젝트를 구현할 때 따르는 '잘못된' 원칙에 대해 논의한 다음 고려해야 할 더 효과적인 원칙에 대해 간략하게 설명합니다.

원칙 1: 하룻밤 사이에 완벽해질 필요는 없습니다.

흔히 마이크로세분화 프로젝트는 '완벽한' 관점에서 생각됩니다. 조직의 내부 네트워크를 완전히 잠그고 모든 시스템 간의 불필요한 연결과 통신 흐름을 모두 차단하며 공격자가 한 치도 침투할 수 없는 깨끗한 환경을 조성해야 하는 큰 노력으로 접근합니다.

이 정도의 완벽함은 불가능합니다. 이를 추구하면 조직은 다년간의 프로젝트 계획을 수립하게 됩니다:

  • 종종 계획 단계를 넘어서지 못하는 경우가 많습니다.
  • 복잡하고 많은 노력이 필요하다는 것이 분명해지면 금방 포기하게 됩니다.
  • 시작은 하지만 의미 있는 진전 없이 몇 달, 몇 년이 지체될 수 있습니다.

반면, 대부분의 성공적인 마이크로세분화 프로젝트는 완벽을 추구하지 않습니다. 대신, 작고 단순하며 명확하게 정의된 일련의 목표를 달성함으로써 조직의 보안을 의미 있게 개선할 수 있는 몇 가지 작은 목표를 달성하는 데 집중합니다.

예를 들어 랜섬웨어 방어를 구축하는 것은 마이크로세분화 프로젝트의 좋은 목표입니다. 이 목표를 달성하기 위해 프로젝트는 세 가지 작업만 수행하면 됩니다.

  • 애플리케이션 커뮤니케이션에 대한 실시간 가시성을 확보하세요.
  • 랜섬웨어가 일반적으로 사용하는 고위험 포트를 닫아 랜섬웨어를 차단하세요.
  • 조직에서 진행 중인 인시던트가 확산되는 것을 막기 위해 전환할 수 있는 '봉쇄 스위치' 를 구축하세요.

올바른 도구를 사용하면 조직은 이와 같은 마이크로세그멘테이션 프로젝트를 약 1주일 만에 완료하고 랜섬웨어 방어를 획기적으로 개선할 수 있습니다. 여기에서 조직은 우선순위가 높고 빠르게 달성할 수 있는 소규모의 다음 마이크로세분화 목표(예: 하나의 중요 자산에 대한 규정 준수 달성)를 선택할 수 있습니다.

마이크로세분화에 대한 민첩하고 점진적인 접근 방식을 따르면 조직의 보안을 즉시 개선하고, 조직 전체에 마이크로세분화를 달성할 수 있다는 확신을 심어주며, 더 광범위한 마이크로세분화 노력의 토대를 마련할 수 있습니다.

원칙 2: 보이지 않는 것은 세분화할 수 없습니다.

종종 조직은 환경을 정확하고 실시간으로 종합적으로 파악하지 않은 채 환경을 세분화하려고 합니다. 애플리케이션이 서로 통신하는 방식, 애플리케이션 간에 어떤 연결이 열려 있는지, IT 인프라 전반의 트래픽 흐름에 대한 기타 기본 정보를 확인할 수 없습니다.

동시에, 조직에는 메타데이터의 깨끗한 최신 리포지토리(예: 구성 관리 데이터베이스 또는 CMDB)가 부족한 경우가 많습니다. 이러한 메타데이터가 없으면 어떤 애플리케이션이 어떤 서버에서 실행되고 있는지, 애플리케이션이 어떤 역할이나 기능을 수행하는지, 애플리케이션이 어디에 있는지, 애플리케이션이 개발 환경과 운영 환경 중 어느 곳에서 사용되는지 알 수 없는 경우가 많습니다.

그 결과, 조직은 애플리케이션 가용성이나 성능에 영향을 주지 않으면서도 승인된 트래픽만 차단하는 효과적인 정책을 작성할 수 있는 가시성 없이 마이크로세분화를 구축하려고 시도하는 경우가 많습니다.

반면, 대부분의 성공적인 마이크로세분화 프로젝트는 환경 내 애플리케이션 전반에 걸쳐 실시간 위험 기반 가시성과 깨끗한 메타데이터를 구축하는 것에서 시작됩니다.

실제로 대부분의 성공적인 마이크로세분화 프로젝트는 다음 사항에 의존합니다:

  • 애플리케이션 종속성 맵은 사용자 환경의 애플리케이션, 애플리케이션이 서로 상호 작용하는 방식, 애플리케이션의 내부 및 외부 종속성을 실시간으로 파악할 수 있도록 해줍니다. 이 맵은 기업 전체에 걸쳐 있어야 하며 마이크로세그멘테이션 프로젝트에 관련된 IT 운영, 네트워크, 보안 및 위험 팀이 공유하는 단일 데이터 소스를 제공해야 합니다.
     
  • 어떤 서버가 어떤 애플리케이션에 속해 있는지 알려주는 모든 메타데이터를 저장하는 고품질 단일 리포지토리입니다. 또한 이 메타데이터는 정상적인 운영 중에 정기적으로 변경되므로 애플리케이션 소유자나 중앙 관리자 또는 팀이 이 메타데이터를 최신 상태로 유지하기 위해 지속적인 프로세스를 수행해야 합니다.

성공적인 마이크로세분화 프로젝트를 위한 가시성 확보의 핵심은 다음과 같습니다.

illumio-applicatoin-dependency-map
Illumio의 실시간 애플리케이션 종속성 맵은 환경 내 및 환경 간의 통신 흐름을 보여줍니다.

원칙 3: 정책 관리 간소화에 집중하기

보안 정책은 마이크로세그멘테이션의 기본 구성 요소입니다. 정책은 시스템이 서로 통신하는 방법을 정의하며, 더 많은 정책을 작성하고 시행할수록, 그리고 더 세분화할수록 보안이 더 강화됩니다.

안타깝게도 대부분의 조직은 효과적인 마이크로세분화 정책을 작성, 시행 및 유지하는 데 어려움을 겪고 있습니다. 마이크로세분화 프로젝트를 추진하기 위한 정책을 정의하는 명확한 프로세스가 부족하고, 네트워크 방화벽과 같은 기존 도구를 사용하여 정책을 시행하고 유지 관리하는 데 많은 노력과 시간이 소요되는 수동 프로세스를 따르고 있습니다.

이러한 수동 임시 프로세스는 대규모의 평면적인 환경을 서로 광범위하게 분리하여 적용하고 유지하는 데에만 유용하며, 일반적으로 최신 네트워크를 마이크로세분화하는 데 필요한 수많은 정책을 관리하지 못합니다.

반면, 대부분의 성공적인 마이크로세분화 프로젝트는 가능한 한 많은 정책 관리 프로세스를 간소화, 단순화 및 자동화하려고 노력합니다. 일반적으로 정책 관리 프로세스를 다음 단계로 세분화하고 각 단계를 최대한 관리하기 쉽게 만듭니다:

  • 정책 검색: 각 관련 애플리케이션을 이해하기 위한 데이터 수집
  • 정책 작성: 애플리케이션에 적용할 실제 정책 작성하기
  • 정책 배포 및 시행: 애플리케이션에 정책을 적용하고 환경 변화에 따라 유지 관리합니다.

특히 성공적인 마이크로세분화 프로젝트는 정책 작성 프로세스에 세심한 주의를 기울입니다. 애플리케이션 종속성을 검토하고 애플리케이션, 시스템 및 사용자가 상호 작용할 수 있는 방식을 신중하게 정의합니다. 일반적으로 몇 가지 주요 단계를 따릅니다:

  • 이들은 정책 관리에 전략적 또는 전술적 접근 방식을 취할지 여부를 결정합니다. 전략적 접근 방식은 보다 장기적인 안목을 가지고 잘 계획된 배포 경로를 따릅니다. 전술적 접근 방식은 알려진 취약점 폐쇄 또는 규제 감사에 대비하기 위한 규정 미준수 수정과 같은 긴급한 요구 사항을 해결하기 위해 고안되었습니다. 둘 다 서로 다른 맥락에서 작동합니다.
     
  • 시스템 간의 기존 통신 흐름을 검토하여 이러한 시스템이 일반적으로 서로 어떻게 연결되는지, 그리고 각 시스템이 계속 작동하기 위해 어떤 연결이 필요한지 확인합니다. 그런 다음 각 시스템의 소유자가 어떤 플로우를 닫을 수 있고 어떤 플로우는 계속 열려 있어야 하는지 검토하고 확인하도록 합니다.
     
  • "애플리케이션 A는 애플리케이션 B의 서비스를 소비합니다." "와 같이 누구나 이해할 수 있는 자연어로 정책을 결정하고 작성합니다. 또한 새 정책이 실시간 커뮤니케이션 흐름에 미치는 영향을 테스트하여 시행해도 안전한지 확인하고 시스템 소유자의 승인을 받은 후 최종적으로 정책을 확정하고 시행합니다.
illumio-structured-policy-control
Illumio는 온프레미스 및 클라우드 환경 전반에서 정책 생성을 간소화하는 구조화된 정책 제어 기능을 제공합니다.

정책을 정의하고 정책 관리를 간소화, 능률화, 자동화하는 명확한 프로세스를 따르면 원하는 보안 혜택을 제공하고 대규모로 시행할 수 있는 효과적인 정책을 작성할 수 있습니다.

성공적인 마이크로세분화 프로젝트의 첫걸음 내딛기

이 세 가지 전략 원칙은 우리가 보고 참여한 대부분의 성공적인 마이크로세분화 프로젝트를 안내합니다. 마이크로세분화 프로젝트에 대해 전반적으로 올바른 접근 방식을 취하고 올바른 기능을 개발할 수 있도록 도와줍니다.

그러나 이러한 원칙이 성공적인 마이크로세분화 프로젝트를 수행할 가능성을 높여주기는 하지만, 그 자체만으로는 충분하지 않습니다.

이 시리즈의 다음 글에서는 마이크로세분화 프로젝트가 안고 있는 가장 일반적인 프로젝트 위험과 이러한 위험을 해소하여 성공을 보장하는 방법에 대해 안내해 드리겠습니다.

마이크로세그멘테이션과 일루미오로 올바른 조치를 취하세요:

관련 주제

No items found.

관련 문서

제로 트러스트 세분화가 단독 탐지 및 대응보다 4배 빠르게 랜섬웨어를 차단하는 방법
제로 트러스트 세분화

제로 트러스트 세분화가 단독 탐지 및 대응보다 4배 빠르게 랜섬웨어를 차단하는 방법

최근 비숍 폭스가 실시한 랜섬웨어 공격 에뮬레이션에 따르면 제로 트러스트 세분화는 10분 이내에 랜섬웨어 확산을 차단하는 것으로 나타났습니다.

Read more
마이크로세분화를 위한 정책 모델에서 중요한 것은 무엇인가요?
제로 트러스트 세분화

마이크로세분화를 위한 정책 모델에서 중요한 것은 무엇인가요?

마이크로 세분화 솔루션에서 논의해야 할 모든 기능 중에서 대부분의 공급업체는 정책 모델부터 시작하지 않습니다.

Read more
컨테이너 시대의 네트워크 보안
제로 트러스트 세분화

컨테이너 시대의 네트워크 보안

컨테이너, 오케스트레이션 플랫폼, 서비스 메시가 주목을 받으면서 이 블로그를 읽고 이러한 개념 등에 대해 더 잘 이해하세요.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more