마이크로세분화를 시작할 때 예상되는 사항

Gartner에 따르면 "2026년까지 제로 트러스트 아키텍처를 지향하는 기업 중 60곳(% )이 두 가지 이상의 마이크로세그멘테이션 배포 형태를 사용할 것이며, 이는 2023년의 5곳(% ) 미만에서 증가한 수치입니다."라고 합니다.  

마이크로세그멘테이션은 제로 트러스트의 기본입니다. 제로 트러스트 없이는 제로 트러스트를 달성할 수 없습니다.  

실제로 제로 트러스트의 창시자인 존 킨더백은 제로 트러스트와 세분화 사이의 연관성을 다룬 두 번째 보고서인 ' 네트워크의 DNA에 보안을 구축하라'에서 제로 트러스트와 세분화의 연관성에 대해 설명한 바있습니다: 제로 트러스트 네트워크 아키텍처. 보고서에서 그는 "미래의 모든 네트워크는 기본적으로 세분화되어야 하기 때문에 네트워크를 세분화하는 새로운 방법을 만들어야 합니다."라고 말했습니다.  

제로 트러스트 아키텍처를 구축하는 경우 마이크로세그멘테이션은 계획의 중요한 부분이 되어야 합니다. 다음은 마이크로세분화를 시작할 때 예상할 수 있는 10가지 사항입니다.↪cf_200D↩

1. 모든 환경의 모든 워크로드 트래픽에 대한 가시성 확보

마이크로세그멘테이션을 구축하는 첫 번째 단계이자 가장 중요한 단계는 네트워크의 모든 세그먼트에서 어떤 일이 일어나고 있는지 파악하는 것입니다. 클라우드, 엔드포인트, 데이터센터 환경 전반에서 모든 워크로드 간의 모든 트래픽을 어떻게 확인하시나요? 지나치게 복잡한 워크플로 없이 규모에 상관없이 이러한 수준의 가시성을 확보할 수 있어야 합니다.  

네트워크의 여러 세그먼트에 대해 서로 다른 가시성 도구를 사용해 볼 수 있습니다. 하지만 여러 도구를 사용하면 파편화된 보기가 생성됩니다. 따라서 모든 세그먼트에서 모든 세그먼트의 행동을 파악하는 것이 어려울 수 있습니다.  

대신 모든 세그먼트에서 트래픽을 검색하여 하나의 보기에 표시할 수 있는 솔루션을 찾아보세요. 예를 들어, Illumio는 누가 어떤 포트를 통해 누구와 대화하고 있는지 확인하여 모든 종속성을 발견할 수 있도록 도와줍니다.

                     

이 정보를 통해 네트워크에서 '열려 있는 문'을 찾아 필요한 트래픽을 결정한 다음 기본적으로 다른 모든 트래픽을 거부할 수 있습니다.  

‍2. 앱이 통신하는 방식 이해하기

대부분의 사람들은 제로 트러스트가 좋은 아이디어라는 데 동의하지만, 무엇을 보호할지 결정하기 전에 어떤 트래픽이 필요한지 어떻게 파악할 수 있을까요? 네트워크에서 어떤 앱이 실행 중이고 어떤 포트를 사용해야 하는지 확인하는 것이 항상 쉬운 일은 아닙니다.  

Illumio와 같은 솔루션을 사용하면 모든 워크로드에서 어떤 애플리케이션이 실행 중이고 어떤 포트를 사용하고 있는지 파악할 수 있습니다. 이를 통해 네트워크의 모든 애플리케이션과 해당 종속성에 대한 포괄적인 인벤토리를 제공하므로 세분화 정책을 적용할 방법을 결정할 수 있습니다.  

‍3. 가장 중요하고 위험도가 높은 리소스 잠그기

네트워크의 모든 진입 지점을 직접 제어할 수 있는 것은 아닙니다. 캠퍼스 네트워크용 데이터 센터는 강력한 제어 기능을 갖추고 있지만, 클라우드의 리소스나 파트너의 타사 액세스는 보안이 취약한 경우가 많습니다.  

많은 위협이 이러한 보안이 취약한 환경에서 시작되는데, 이는 사람의 실수로 인해 취약한 환경이 방치되는 경우가 많기 때문입니다. 이러한 모든 액세스 포인트는 공격자의 첫 번째 단계가 될 수 있으며, 위협이 네트워크를 통해 기업의 고가치 자산으로 이동할 수 있게 합니다.  

바로 이러한 네트워크의 취약한 부분을 보호하는 데 Illumio와 같은 마이크로세그멘테이션 솔루션이 도움이 될 수 있습니다. 침해가 발생하는 위치에 상관없이 마이크로세그멘테이션은 세분화된 중요 리소스에 침해가 도달하는 것을 차단합니다. 침해는 해당 세그먼트의 반대편으로 격리되어 더 이상의 피해를 유발하지 않습니다. ‍

4. 네트워크 주소가 아닌 비즈니스 기능별로 워크로드에 라벨링하기

오늘날의 최신 네트워크에서는 워크로드가 하이브리드 멀티 클라우드 아키텍처에 배포됩니다. 따라서 네트워크 주소는 임시 주소가 됩니다. 워크로드의 네트워크 주소는 기본 호스팅 환경에 따라 동적으로 변경될 수 있습니다.  

그렇기 때문에 기존 IP 주소 대신 사람이 읽을 수 있는 레이블을 사용하여 워크로드에 레이블을 지정해야 합니다. 일루미오 제로 트러스트 세분화와 같은 마이크로세그멘테이션 솔루션을 사용하면 역할, 애플리케이션, 환경, 위치, 운영 체제, 사업부 등 비즈니스 기능이나 소유권별로 워크로드를 식별할 수 있으며, 이는 IP 주소를 사용하는 것보다 훨씬 더 많은 정보를 제공합니다.

일루미오의 라벨링 도구로 가능합니다:

• 워크로드 레이블을 동적으로 변경

• CMDB(구성 관리 데이터베이스)와 같은 기존 라벨링 구조에서 라벨 가져오기

• 관리되는 환경에서 검색된 애플리케이션 및 트래픽을 기반으로 레이블 추천

사람이 읽을 수 있는 레이블을 사용하면 네트워크 주소와 완전히 분리된 워크로드 간 세그먼트가 어떻게 적용되는지 확인할 수 있는 메타데이터 기반 솔루션을 얻을 수 있습니다. ‍

5. 에이전트 및 에이전트 없는 접근 방식 결정

마이크로세분화를 구축할 때는 에이전트 또는 에이전트 없는 접근 방식이 가장 효과적인 시기를 파악하는 것이 중요합니다. Illumio와 같은 일부 솔루션은 모든 환경의 모든 워크로드에 대한 가시성과 세분화를 확보할 수 있도록 에이전트 사용 여부를 선택할 수 있도록 지원합니다.  

에이전트 접근 방식

Illumio 가상 시행 노드(VEN) 에이전트는 워크로드에서 애플리케이션 사용에 대한 원격 분석을 수집합니다. 이를 통해 워크로드에서 직접 세그먼트에 대한 액세스를 제어할 수 있습니다.

에이전트 없는 접근 방식

일루미오는 에이전트 없이도 세그먼트의 사용을 발견하고 강제할 수 있습니다.  

이는 제조 또는 의료 산업의 IoT 디바이스와 같이 에이전트를 지원할 수 없는 환경에서 매우 중요합니다. 또한 규정 준수 요건 때문에 상담원을 사용할 수 없는 환경에서도 중요합니다.  

• 데이터 센터에서: Illumio는 에이전트를 지원할 수 없는 디바이스 앞에 배포된 네트워크 스위치를 보호할 수 있습니다. Illumio는 스위치에서 네트워크 원격 분석을 수집하고 라벨 기반 정책을 스위치에서 사용할 액세스 목록으로 변환합니다.

• 클라우드에서: Illumio는 에이전트 없이도 애플리케이션 및 네트워크 동작을 수집할 수 있습니다. 레이블 기반 정책을 변환하여 이미 클라우드에 있는 기존 네트워크 시행 지점에 적용합니다.

‍6. 거부 목록 모델로 시작한 다음 허용 목록 모델로 이동합니다.

마이크로세그멘테이션을 구축할 때 팀이 직면하는 일반적인 문제는 거부할 포트는 알고 있지만 애플리케이션에 허용해야 하는 모든 포트를 완전히 이해하지 못한다는 점입니다.

랜섬웨어는 일반적으로 RDP(원격 데스크톱 프로토콜) 및 SMB(서버 메시지 블록)와 같은 포트를 사용하여 워크로드 간 세그먼트를 이동합니다. 하지만 이러한 포트가 워크로드 사이에 열려 있을 필요는 거의 없다는 것을 알고 있습니다.  

그렇기 때문에 거부자 모델로 시작하는 것이 가장 좋습니다. 열어두면 안 되는 포트만 차단하고 다른 포트는 모두 허용하세요. 그런 다음 애플리케이션에 필요한 포트가 무엇인지 완전히 이해하면 허용 목록 모델로 전환할 수 있습니다. 필요한 포트만 열어두고 다른 포트는 모두 차단하세요.  
이 접근 방식을 사용하면 지금 바로 랜섬웨어별 마이크로세그멘테이션을 구축하고 준비가 되면 정책을 강화할 수 있습니다.   ‍

7. 배포 전 모델 정책

사이버 보안은 오랫동안 배포 후 기도하는 접근 방식에 의존해 왔습니다. 보안팀은 정책 모델을 만들고 올바르게 보일 때까지 수정합니다. 그런 다음 배포할 때 깨진 애플리케이션 종속성으로 인해 전화벨이 울리지 않기를 기도합니다.

그렇기 때문에 정책을 완전히 배포하기 전에 테스트하는 것이 가장 좋습니다. Illumio를 사용하면 정책을 생성한 다음 모니터링 모드로 전환할 수 있습니다. 이렇게 하면 정책이 배포된 후 발생할 수 있는 모든 문제를 강조 표시하여 운영이 중단되기 전에 문제를 해결할 수 있습니다.  

모델링을 통해 실수로 애플리케이션 종속성을 깨뜨릴 위험 없이 정책을 안전하게 배포할 수 있습니다.  

8. 하이브리드 멀티 클라우드 전반에서 일관된 세분화 확장

데이터 센터에서만 세분화를 구축할 수 있는 솔루션을 사용하는 경우 클라우드와 같은 다른 환경에서는 일관된 보안을 확보하기 어려울 수 있습니다. 세분화는 단일 환경에 의존해서는 안 됩니다. 이렇게 하면 세분화에 대한 사일로화된 접근 방식으로 인해 취약점만 남게 되고 침해를 막고 억제하기가 더 어려워집니다.

대신, 마이크로세그멘테이션은 환경 간에 마이그레이션되는 워크로드를 따라가야 합니다. 이렇게 하면 워크로드가 서로 다른 환경에서 호스팅될 때 세분화가 중단되지 않습니다.

Illumio를 사용하면 클라우드, 엔드포인트, 데이터센터 환경 전반에서 일관된 세분화 정책을 구축할 수 있습니다. 이를 통해 전체 아키텍처에서 동일하게 작동하는 하나의 일관된 마이크로세분화 모델을 사용하여 워크로드를 환경 간에 마이그레이션할 수 있습니다.  

‍9. 사람의 결정에 의존하지 않고 보안 변경 자동화

멀웨어는 사람이 키보드로 타이핑하는 것보다 더 빠르게 확산됩니다. 침해가 확산되는 속도만큼 빠르게 정책 변경을 자동화할 수 있는 마이크로세그멘테이션 솔루션을 갖추는 것이 중요합니다.

일루미오의 풍부한 API 라이브러리를 사용하여 일루미오를 SOAR 솔루션과 통합할 수 있습니다. SOAR 도구는 멀웨어가 네트워크를 통해 확산하는 데 사용하는 열린 포트를 발견합니다. 그런 다음 도구는 위험에 처한 포트를 즉시 종료하도록 Illumio에 API 호출을 보냅니다.  

이 모든 것이 사람의 개입 없이 이루어집니다.  ‍

10. 보안 규정 준수 증명

애플리케이션과 세그먼트의 보안에는 많은 부분이 움직일 수 있기 때문에 위험을 정량화하는 것은 어려울 수 있습니다. 감사 중에 기존 위험과 보안 정책 적용 후 위험도가 어떻게 낮아졌는지 명확하게 파악하는 것이 항상 쉬운 일은 아닙니다. 이를 비교하기 전과 후를 보여주는 도구를 사용하는 것이 중요합니다.

일루미오의 취약성 맵을 사용하면 일루미오와 외부 스캐너가 발견한 위험을 결합한 점수로 위험을 정량화할 수 있습니다. 그러면 도구에서 위험을 줄일 수 있는 수정된 정책을 추천합니다.  

이를 통해 감사자는 환경의 노출 위험에 대한 전후 점수를 명확하게 파악할 수 있으므로 팀의 규정 준수 추측이 필요 없습니다.  

일루미오 ZTS에 대해 자세히 알아볼 준비가 되셨나요? 지금 바로 문의하세요 를 통해 무료 상담 및 데모를 신청하세요.