.png)
제로 트러스트 운영 - 6단계: 검증, 구현 및 모니터링
이 블로그 시리즈는 3월에 올린 "제로 트러스트는 어렵지 않습니다... 실용적이라면"이라는 글에서 소개한 아이디어를 확장한 것입니다.
해당 게시물에서 제로 트러스트를 달성하기 위한 6단계에 대해 설명했으며, 여기서는 마지막 단계인 유효성 검사, 구현 및 모니터링에 대해 자세히 설명하고자 합니다. 이 단계를 통해 조직의 규모에 관계없이 모든 마이크로세분화 실무자가 프로젝트를 더욱 성공적으로 수행하는 데 사용할 수 있는 견고한 프레임워크의 구현을 지원하는 방법을 보여드리겠습니다.
시작하기 전에 6단계에 대해 다시 한 번 정리해 보겠습니다:
요약 - 5단계: 정책 설계
이 시리즈의 마지막 글 에서는 "정책 설계"에 대해 살펴보았습니다. 여기서는 애플리케이션 종속성 매핑이 관련 흐름을 식별하는 방법을 보여드렸습니다:
그리고 여기에서 다음과 같은 허용 규칙 세트를 도출했습니다:
- 규칙 1:
- 출처: 웹 서버, 결제, 프로덕션, 영국
- 대상: 대상: DNS 응답자, DNS 인프라, 프로덕션, 영국
- 대상 서비스: 53/udp
- 대상 프로세스: 명명된
- 규칙 2:
- 출처: 앱 서버, 결제, 프로덕션, 영국
- 대상: 대상: DNS 응답자, DNS 인프라, 프로덕션, 영국
- 대상 서비스: 53/udp
- 대상 프로세스: 명명된
- 규칙 3:
- 출처: 웹 서버, 결제, 프로덕션, 영국
- 목적지 대상: 앱 서버, 결제, 프로덕션, 영국
- 대상 서비스: 8080/tcp
- 대상 프로세스: tomcat
제로 트러스트의 원칙을 염두에 두고 위에 나열된 허용 규칙은 허용되는 항목을 정확히 정의하며, 명시적으로 허용되지 않은 항목은 암시적으로 삭제되어 최소 권한의 속성을 유지합니다.
6단계: 검증, 구현 및 모니터링
이제 마이크로 세분화 규칙을 정의했으므로 이를 적용하고 워크로드를 보호할 준비가 되었지만 한 가지 중요한 과제가 남아 있습니다. 결제 애플리케이션이 프로덕션에 있으며 링펜스를 설정하는 동안 애플리케이션의 기능을 중단하고 싶지 않습니다. 이러한 위험을 어떻게 완화할 수 있을까요?
모든 세분화 노력에서 가장 큰 위험을 수반하는 단계는 다른 트래픽이 워크로드에 들어오고 나가는 것을 허용하지 않도록 작성된 정책을 적용하는 것입니다. 정책이 잘못되면 생산 중단이 발생할 가능성이 있습니다. 따라서 시행을 위한 이동은 통제되어야 하며, 문제를 신속하게 감지하고 수정할 수 있도록 충분한 모니터링 기회를 제공해야 합니다.
이것이 바로 정책 테스트가 필요한 이유입니다. 일루미오 코어는 이를 강력하면서도 간단하게 수행할 수 있는 방법을 제공합니다. 일루미오 코어 플랫폼의 가장 유용한 기능 중 하나는 워크로드(또는 워크로드 그룹)를 테스트 모드로 전환하는 기능입니다. 테스트 모드는 빌드 모드와 마찬가지로 정책 위반을 보고한다는 추가적인 이점이 있는 비차단 모드입니다. 테스트 모드의 워크로드의 경우, PCE는 워크로드의 흐름 데이터를 사용하여 구축된 연결 그래프를 정책 그래프와 오버레이합니다.
정책 그래프는 특정 포트 및 프로토콜 집합을 통해 함께 통신할 수 있는 워크로드에 거품을 넣는 것으로 생각할 수 있습니다. 연결 그래프는 워크로드 간에 시도된 통신을 보여줍니다.
- 연결 그래프가 정책 그래프의 말풍선 안에 있는 경우 녹색 선이 표시되며, 이는 저희가 작성한 정책과 일치하는 흐름입니다.
- 연결 그래프가 정책 그래프의 풍선을 가로지르는 곳에 빨간색 선이 표시되며, 이는 작성된 정책과 일치하지 않는 플로우입니다.
테스트 모드에서 이 '빨간색' 선은 플로우를 차단하지는 않지만 정책을 위반하는 연결 시도가 있는 위치를 나타냅니다. 애플리케이션 소유자는 이러한 흐름을 검토하고 선택할 수 있습니다:
- 흐름이 필요합니다 -> 줄을 녹색으로 바꾸려면 정책을 작성하세요.
- 흐름이 필요하지 않습니다 -> 아무런 조치를 취할 필요가 없습니다.
따라서 정책 유효성 검사 프로세스에서는 이러한 모든 '빨간색' 라인을 반복적으로 검토하여 녹색으로 전환해야 하는지 여부를 결정해야 합니다. 이러한 모든 '위반 사항'을 검토하고 선택을 완료했다면 이제 워크로드 보호를 시작할 준비가 된 것입니다. 이제 검증 프로세스가 완료되었으니 시행할 차례입니다.
검증, 구현 및 모니터링 단계의 목적은 실제로 위험을 최소화하는 것임을 염두에 두고 워크로드에 정책을 적용하는 데 '빅뱅' 방식을 취하지 않는 것이 이상적입니다. 이미 세부적인 유효성 검사를 수행했더라도 이 마지막 단계에서는 점진적인 단계를 수행해야 합니다. 다시 말하지만, Illumio가 워크로드에 제공하는 세분화된 제어 기능을 통해 이를 정확히 수행할 수 있습니다. 애플리케이션의 각 워크로드를 개별적으로 적용 모드로 이동할 수 있습니다. 즉, 완전히 검증된 정책이 있으면 먼저 전체 보호를 사용하도록 설정할 워크로드를 선택하고 해당 워크로드를 정책이 적용된 상태로 실행할 수 있습니다. 정책에 의해 허용된 트래픽만 워크로드를 인그레스/이그레스할 수 있음), 다른 워크로드는 일정 '흡수 시간' 후에 적용 상태로 이동합니다. 이 접근 방식의 장점은 정책에 문제가 발생하더라도 전체 애플리케이션이 아닌 일부 워크로드에만 영향을 미치며, 전체 애플리케이션을 사용 설정하기 전에 미세 조정할 수 있는 또 다른 기회를 제공한다는 점입니다.
이제 워크로드가 모두 적용되고 애플리케이션이 보호되었으므로 당면한 과제는 트래픽 이벤트를 지속적으로 모니터링하여 예상치 못한 드롭과 수락을 확인하고 정상 범위를 벗어나는 모든 것을 조사하는 것입니다.
마무리
지금까지 제로 트러스트를 향한 실용적인 접근 방식의 6가지 단계에 대해 살펴보았습니다. 포레스터가 말했듯이 제로 트러스트는 그 자체의 결과가 아니라 보안 전략이며, 각 조직은 제로 트러스트의 각 요소에 대한 자체 성숙도를 파악하고 가장 집중해야 할 요소를 파악한 후 해당 성숙도를 개선하기 위한 점진적인 조치를 취해야 합니다. Illumio는 선도적인 ZTX 에코시스템 플랫폼 제공업체로서 네트워크 및 워크로드 가시성, 보안 분야에서 이러한 단계를 수행할 수 있는 완벽한 기능을 제공합니다.
제로 트러스트 운영하기 시리즈의 1~5단계를 놓치셨나요? 지금 확인하세요:
제로 트러스트에 대한 자세한 내용은 솔루션 페이지를 방문하여 지금 바로 여정을 시작할 수 있는 방법을 알아보세요.
.webp)
