라벨링이 세분화의 걸림돌이 되지 않도록 하는 방법

제로 트러스트는 조직이 보안에 대해 생각하는 방식을 변화시켰습니다. 이전에는 모든 '나쁜' 콘텐츠를 식별하여 차단하려고 했습니다. 하지만 제로 트러스트 접근 방식은 통신의 출처를 확인하여 '좋은' 통신을 식별하고 이를 허용하는 것입니다.

제로 트러스트를 달성하려면 반드시 필요합니다:

• 신뢰할 수 있는 모든 주체의 신원을 파악하고 관리하세요.
• 제로 트러스트 세분화를 사용하여 해당 ID에 적용되는 정책을 시행합니다.

그러나 제로 트러스트 세분화를 구현하고 정책을 시행하는 데 있어 인식되는 어려움 중 하나는 네트워크의 모든 엔터티에 대한 지식이 얼마나 완전한지에 관한 것입니다.

일루미오가 의뢰한 최근 설문조사에서 응답자의 19%는 완벽한 데이터가 없어 제로 트러스트를 구현할 수 없다고 답했습니다.

일루미오의 제로 트러스트 가상 워크숍 시리즈에 참석한 참석자들은 비슷한 우려를 표명하며 제로 트러스트에 대한 정보가 부족해 어려움을 겪고 있다고 강조했습니다:

• 시스템에 대한 정확한 정보.
• 어떤 서버 또는 워크로드가 존재하는지에 대한 지식.
• 어떤 애플리케이션이 어떤 리소스에 연결되었는지 파악합니다.

많은 조직에서 CMDB(구성 관리 데이터베이스), IP 주소 관리 시스템, 클라우드 태그, 스프레드시트 또는 이와 유사한 리포지토리 시스템이 이 정보를 위한 '진실의 출처'가 되는 것이 이상적입니다. 그러나 이러한 정보 저장소 시스템은 정확하지 않거나 아예 존재하지 않을 수도 있습니다.

구조화된 라벨링 모델을 구축하기 위해서는 존재하는 정보를 사용할 수 있어야 합니다. 이 기능이 없으면 환경이 다음과 같이 보일 것입니다.

CMDB가 라벨링의 전부이자 끝이 아닙니다.

조직이 직면하는 주요 문제 중 하나는 네이밍 위생입니다. 시스템이 발전하고 인력이 바뀌면 명명 규칙도 바뀝니다.

예를 들어, 'Production'으로 시작하는 항목은 'Prod'가 되고, 'prod'가 됩니다. 즉, 제로 트러스트 정책을 시행하는 규칙이 처음 작성된 시점부터 이름이 변경되는 시점까지 쓸모없을 수 있습니다.

자유 텍스트 스타일의 라벨링은 규칙 작성 시 많은 불일치를 초래할 수 있습니다. 리소스의 라벨링이 부정확하거나 제한적이면 환경을 이해하기 어렵습니다.

정책 집행은 CMDB 또는 기타 정보 저장소의 정확성이나 완전성에 의해 제한되어서는 안 됩니다. 네이밍이 일관되지 않은 경우 이를 해결할 수 있는 방법이 있어야 합니다.

CMDB가 없는 경우에는 훨씬 더 간단한 것을 사용해도 아무런 문제가 없습니다. 예를 들어, 대부분의 시스템에서 .CSV 형식으로 데이터를 가져오고 내보낼 수 있어 데이터 관리의 이식성이 매우 뛰어납니다.

일루미오가 워크로드 라벨링을 간소화 및 자동화하는 방법

Illumio는 제로 트러스트 세분화 정책의 이름을 지정하고 적용하는 프로세스를 획기적으로 간소화하는 간단한 도구 세트를 개발했습니다. 도구를 갖추는 것은 솔루션의 한 부분이며, 도구를 올바르게 적용하는 것이 차이를 만드는 것입니다.

제로 트러스트 구현의 핵심은 일관성입니다. 구조화된 명명 체계를 사용하면 다양한 하이퍼바이저 및 클라우드와 같은 여러 환경 간에 보안 정책을 이식할 수 있습니다.

예를 들어 IP 주소 모델은 항상 동일하기 때문에 작동합니다. 네트워크에 연결된 모든 장치는 AAA.BBB.CCC.DDD/XX 형식을 기대하고 있습니다. 이것이 없었다면 우리는 어떤 형태의 커뮤니케이션도 할 수 없었을 것입니다. 라벨링 워크로드도 마찬가지입니다. 일관된 모델이 없으면 조직의 보안이 손상될 수 있습니다.

Illumio는 몇 가지 간단한 단계로 이름 지정 프로세스를 간소화합니다:

• 1단계: 모든 조직에는 CMDB, 스프레드시트 또는 태그 목록(또는 이 모든 것을 조합한 것) 등 '진실의 원천'이 있습니다. 완전히 정확하다고 생각하지 않더라도 Illumio는 각 워크로드에서 메타데이터를 수집하고 네트워크와 워크로드에서 데이터를 자동으로 업데이트할 수 있습니다.
• 2단계: 네트워크의 정보를 사용합니다. 예를 들어 프로덕션 서버가 개발 서버와 다른 서브넷에 존재할 수 있습니다. IP 주소를 사용하여 규칙을 작성하는 것은 실용적이지 않지만 네트워크 정보는 이름을 생성하는 데 좋은 출발점이 됩니다.
• 3단계: 호스트명을 사용합니다. 시간이 지남에 따라 불일치가 누적되었을 수 있지만, 문자열의 일관된 부분을 식별하고 가능한 한 많은 워크로드에서 이를 구문 분석하면 부족한 부분을 채울 수 있습니다. 이 정보는 거의 모든 출처에서 얻을 수 있습니다.

지금까지는 기존 소스를 가져와 잠재적인 환경을 발견한 다음 웹 또는 데이터베이스와 같은 서버 역할을 강조할 수 있는 호스트 이름 정보를 식별했습니다.

이 단계를 완료하면 트래픽 흐름 정보를 사용하여 다른 단계에서 누락되었을 수 있는 핵심 서비스 및 기타 기능에 대해 알아보고 식별할 수 있습니다. 이는 알려지지 않았지만 필수적인 서버를 식별하는 데 도움이 될 수 있습니다.

이 모든 지식을 바탕으로 각 워크로드에 레이블을 적용하면 워크로드 간의 통신을 시각화하고 제로 트러스트 세분화 정책을 적용하는 데 사용할 수 있는 레이블을 간단히 적용할 수 있습니다.

구조화된 레이블을 사용하면 이제 환경 맵이 다음과 같이 표시됩니다.

워크로드에 라벨을 붙이는 프로세스가 쉬울수록 맵이 더 단순해지고 세분화를 통해 실질적인 가치를 더 빨리 얻을 수 있습니다.

물론 이러한 단계는 어떤 순서로든 수행할 수 있습니다. 일부 공급업체는 트래픽 학습을 첫 번째 단계로 배치합니다. 여기서 문제는 인식된 포트에서 많은 수의 플로우를 생성한다는 이유만으로 통신이 합법적인 것으로 보일 가능성이 있다는 것입니다. 그러면 결과의 잠재적인 부정확성을 취소하는 데 오랜 시간이 걸릴 수 있습니다. 이렇게 하면 맵을 정리하는 데 시간이 걸리므로 값에 도달하는 프로세스가 느려집니다. 고정 정보를 먼저 사용하는 것이 훨씬 쉽고 안전합니다.

일루미오 코어의 간단한 도구를 사용하면 필요한 데이터를 쉽게 수집하고 라벨 제작 프로세스를 자동화할 수 있습니다. 이 접근 방식은 보안 정책을 식별하고 배포하는 데 있어 데이터 부족과 잠재적인 복잡성에 대한 우려를 없애줍니다.

자세히 알아보려면 여기를 클릭하세요:

• 마이크로 세분화를 위한 라벨링 간소화를 위한 5가지 팁을 읽어보세요.
• 일루미오 코어 개요를 다운로드하여 제로 트러스트 세분화에 대한 일루미오의 접근 방식에 대해 자세히 알아보세요.