제로 트러스트 운영 - 4단계: 필요한 데이터 규정하기

이 블로그 시리즈는 지난 3월에 올린 "제로 트러스트는 어렵지 않습니다... 실용적이라면"이라는 글에서 소개한 아이디어를 확장한 것입니다.

해당 게시물에서 제로 트러스트를 달성하기 위한 6가지 단계에 대해 설명했는데, 여기서는 그 중 하나인 필요한 데이터를 규정하는 단계에 대해 자세히 설명하고자 합니다. 이 단계를 통해 조직의 규모에 관계없이 모든 보안 실무자가 프로젝트의 성공을 위해 사용할 수 있는 견고한 프레임워크의 구현을 지원하는 방법을 보여드리겠습니다.

시작하기 전에 6단계에 대해 다시 한 번 정리해 보겠습니다:

4단계: 필요한 데이터 규정하기

이 시리즈의 마지막 게시물에서는 "집중할 제로 트러스트 기둥 결정하기"와 "정확한 제어 지정하기"에 대해 살펴보았습니다. 이러한 단계를 평가한 결과 제로 트러스트 운영을 진행하는 데 도움이 되는 다음과 같은 입력값이 도출되었습니다:

• 집중할 제로 트러스트 기둥을 결정합니다: 제로 트러스트 성숙도 평가에서 가장 큰 격차가 있는 요소로 워크로드 보안 및 가시성을 확인했기 때문입니다.
• 정확한 제어를 지정하세요: 평가에서 과도한 네트워크 액세스가 가장 중요한 보안 취약점으로 확인되었으므로 집중해야 할 제어는 마이크로 세분화입니다.

보호 기능을 개선하고자 하는 대상과 활용하고자 하는 제어 기능을 정확히 파악한 후에는 이러한 제어 기능을 효과적으로 구현하는 데 필요한 정보를 수집하기 시작할 수 있습니다.

원하는 최종 상태부터 시작하겠습니다:

• 워크로드를 보호하기 위해 마이크로 세분화 정책을 구축하려고 합니다.
• 이 정책은 제로 트러스트 원칙을 따라야 합니다.
• 따라서 구성하는 규칙은 비즈니스 기능을 수행하는 데 필요한 워크로드에 대한 액세스만 허용해야 합니다.

그렇다면 이를 위해 무엇이 필요할까요? 필요한 흐름에 대한 기존 지식이 있는지, 아니면 이미 수년 동안 운영되어 온 재개발 환경에서 처음부터 다시 시작하는 것인지에 따라 이에 대해 약간 다른 두 가지 답이 나올 수 있습니다.

• 기존 지식이 있는 경우: 소스 IP, 대상 IP, 포트, 프로토콜을 기준으로 세분화 규칙을 지정합니다.
• 재개발 환경에 있는 경우 관련성이 있을 수 있는 흐름을 식별하는 데 도움이 되는 트래픽 로그를 가져옵니다.

특정 연결이 무엇을 하고 있는지 파악하기 위해 방화벽의 트래픽 로그를 몇 시간, 며칠 동안 살펴본 적이 있으신가요? 그리고 그 목적을 제대로 이해할 수 있도록 흐름에 중요한 맥락을 제공할 수 있는 정보나 사람을 찾아 헤매야 했던 적이 있나요? 로그의 다음 줄, 그 다음 줄, 그 다음 줄...에 대해 이 작업을 반복했나요? 이제 세분화 대상 범위의 모든 애플리케이션에 대해 이 작업을 수행해야 한다고 상상해 보세요. 마치 '건초더미에서 바늘 찾기' 게임을 반복하는 것 같습니다.

이제 이 엄청난 트래픽 데이터가 갑자기 표준 5개의 튜플 이상의 정보를 제공하는 또 다른 우주를 상상해 보세요. 대신 이러한 헌팅 작업 없이 연결의 컨텍스트를 바로 수집할 수 있다면, 그래서 트래픽 이벤트 컨텍스트를 보는 것만으로도 이해할 수 있다면 어떨까요? 오디오가 없는 흑백 영화에서 돌비 애트모스 사운드가 적용된 4K 영상으로 전환되는 것과 같습니다.

이를 이해하기 위해 예를 들어 설명해 보겠습니다.

일반 트래픽 로그:

• 출처: 10.0.0.1
• 목적지 192.168.0.1
• 포트: 53
• 프로토콜: UDP
• 액션: 동작: 허용

컨텍스트가 포함된 트래픽 로그:

• 출처: 10.0.0.1
• 소스 컨텍스트: 웹 서버, 결제 애플리케이션, 프로덕션, 영국
• 목적지 192.168.0.1
• 목적지: 컨텍스트 DNS 응답자, DNS 인프라, 프로덕션, 영국
• 대상 프로세스: 명명된
• 포트: 53
• 프로토콜: UDP
• 액션: 동작: 허용

애플리케이션 소유자 또는 보안 운영 팀원으로서 한 가지 버전의 이벤트가 분명히 더 우수합니다. 프로덕션 결제 웹 서버가 53/udp에서 연결을 수신하는 명명된 프로세스를 가진 프로덕션 DNS 응답자에 대한 종속성을 가지고 있음을 알 수 있는 컨텍스트가 포함된 버전은 흐름의 전체 그림을 제공합니다. 검토자는 관심 있는 흐름인지, 정상적인 트래픽인지, 추가 조사가 필요한지 여부를 빠르게 결정할 수 있습니다. 쉽게 분류할 수 있으며(또는 자동으로 분류하는 툴을 구축할 수도 있습니다), 추가적인 컨텍스트가 있어야만 분류할 수 있습니다.

제로 트러스트의 가장 중요한 측면 중 하나이지만 충분히 다루어지지 않는 부분은 제로 트러스트를 효과적으로 구현하려면 정책을 수립하는 데 도움이 되는 컨텍스트 정보 또는 메타데이터에 대한 액세스가 필요하다는 점입니다.따라서 워크로드 보호의 맥락에서 마이크로 세분화에 대해 이야기할 때 필요한 표준 트래픽 보고서 외부의 최소 메타데이터는 데이터 센터 애플리케이션 및 환경의 맥락에서 워크로드를 설명합니다.

Illumio Core는 조직의 CMDB 또는 기타 신뢰할 수 있는 소스에서 수집한 이 메타데이터를 사용하여 워크로드와 관련된 레이블을 채웁니다. 이러한 레이블은 역할, 애플리케이션, 환경 및 위치를 각 워크로드와 연결하고 각 애플리케이션의 업스트림 및 다운스트림 종속성을 명확하게 식별하는 풍부한 애플리케이션 종속성 맵을 구축하는 데 도움이 됩니다. 이를 통해 우리는 흐름을 검토하고 정책을 설계할 수 있는 좋은 위치에 서게 되었습니다.

다음 글에서는 제로 트러스트 정책을 설계하는 방법에 대해 설명하겠습니다.

제로 트러스트 여정의 다음 단계로 나아갈 준비가 되셨나요? 페이지 방문하기 에서 마이크로 세분화를 통해 제로 트러스트 전략을 운영하는 방법에 대해 알아보세요.