제로 트러스트에 정책이 중요한 이유

최소 권한이라는 개념은 새로운 것이 아니며, 최소 권한을 위해 네트워크에서 디바이스를 분리하여 서비스한다는 개념도 새로운 것이 아닙니다. 결국, 모든 방화벽은 기본 규칙인 "모두 거부"로 출하되어 최소 권한 정책을 만들도록 유도합니다. 그래서 지난 15년 또는 20년 동안 점점 더 많은 허용 및 거부 문구를 경계 방화벽에 성실하게 입력해 왔습니다. 현재 대부분의 조직에는 이러한 명세서가 너무 많아 이를 관리하기 위해 고도로 숙련된 관리자로 구성된 팀이 필요하며, 최근 몇 년 동안 그 복잡성이 폭발적으로 증가했습니다.

문제(3번)

이제 제로 트러스트는 최소 권한으로 돌아가도록 규정합니다. 이번에는 엣지가 아닌 모든 워크로드, 모든 사용자, 모든 엔드포인트에 적용됩니다. 이것이 얼마나 실현 가능한가요? 매년 Cisco는 엔터프라이즈 네트워크에 대한 자세한 설문조사를 발표하며, 이를 통해 고려할 수 있는 간단한 근사치를 제공합니다. 2020년에는 73개의% 트래픽이 데이터 센터 내 시스템 간에 '동서 방향'으로 발생했으며, 약 27개의% 트래픽이 경계를 통과했습니다. 따라서 기존 경계 방화벽 규칙은 트래픽의 27%(% )를 커버합니다.

분명한 것은 다른 73개의 트래픽(% )에 대해 유사한 정책을 만들면 작업량은 3배, 규칙 복잡성은 3배, 인원 수는 3배 정도 늘어난다는 것입니다. 이것이 바로 문제입니다. 3배의 비용, 3배의 고용, 3배의 복잡한 구성은 누구도 할 수 없습니다. SDN 솔루션으로 이 작업을 수행하려고 시도했거나 가상 방화벽을 배포해 본 사람들은 이 솔루션이 작동하지 않는다는 것을 알고 있습니다.

제로 트러스트를 제안하는 모든 벤더는 이 난제를 해결해야 합니다. 당면한 방대한 작업의 운영 현실을 고려하지 않고 제로 트러스트 결과를 달성할 수 있다고 주장하는 것은 신뢰할 수 없습니다. 제로 트러스트 결과를 원하는 사람은 누구나 성공적인 구현을 위해 비용, 운영 복잡성 및 인적 자원 구성 요소를 충족할 수 있는 능력에 대한 신뢰할 수 있는 증거가 필요합니다.

정책을 시행하기 위해 더 많은 장소가 필요하지 않습니다.

방화벽이 처음 네트워크에 등장했을 때 방화벽은 대규모 트래픽을 차단하고 제한할 수 있는 유일한 장치였습니다. 하지만 오늘날 제로 트러스트 마이크로 세분화를 달성하는 것은 시행 지점의 문제가 아닙니다. Windows부터 Linux까지 데이터 센터의 모든 최신 운영 체제(AIX, Solaris, System Z(메인프레임 포함)에는 커널 포워딩 경로에 상태 저장 방화벽이 잘 구현되어 있습니다. 라우터와 스위치부터 방화벽과 로드 밸런서에 이르기까지 모든 네트워크 장치에 방화벽 규칙을 적용할 수 있습니다.

실제로 데이터센터의 거의 모든 네트워크 연결 디바이스에는 액세스 제어 기능이 있습니다. 이는 제로 트러스트를 구현하기 위해 방화벽 팔레트를 구매할 필요가 없다는 것을 의미합니다. 시행 포인트는 이미 사용 가능합니다. 이는 제로 트러스트를 구현하는 데 드는 비용이 거의 전적으로 구성 복잡성 영역에서 발생한다는 것을 의미합니다. 결국 필요한 인원은 해야 할 일의 양에 따라 결정됩니다.

정책 관리가 제로 트러스트 결과를 결정합니다.

따라서 제로 트러스트 배포에서 가장 중요한 요소는 정책이라는 결론을 내릴 수 있습니다. 제로 트러스트 목표의 달성 가능성은 정책을 발견, 작성, 배포 및 시행하는 것이 얼마나 쉬운지 또는 얼마나 어려운지에 따라 달라집니다.

공급업체들은 자신들의 기능에 대해 이야기하고 멋진 사용자 인터페이스를 보여주기를 좋아하지만 결국 중요한 것은 제로 트러스트 마이크로 세분화 이니셔티브에 내재된 정책 관리 작업을 얼마나 단순화, 축소, 자동화하는가 하는 것입니다.

제로 트러스트 정책을 작성하려면 먼저 모든 관련 통신 흐름과 해당 애플리케이션의 작동 방식, 즉 핵심 서비스, 애플리케이션이 연결되는 사용자 및 기타 디바이스에 따라 어떻게 달라지는지 알아야 합니다. 이것은 정책 발견이며, 거품 속의 예쁜 앱 그림 그 이상입니다. 궁극적으로 제로 트러스트 정책을 성공적으로 작성하려면 필요한 모든 정보가 필요합니다.

정책을 작성할 때는 인간의 욕구를 IP 주소로 변환해야 하는 부담을 없애야 합니다. 메타데이터를 사용하여 정책을 단순화, 확장 및 상속하여 저작 부담을 줄여야 합니다. 정책을 작성했다면 이미 존재하는 시행 지점에 정책을 배포할 방법이 필요합니다. 애플리케이션 자동화를 통해 모든 정책을 최신 상태로 유지하고 자동으로 추적하려면 어떻게 해야 하나요? 이동, 추가, 변경을 모두 처리할 수 있다면 관리팀의 업무량이 줄어듭니다.

마지막으로, 정책 집행은 궁극적으로 제안된 정책을 검증하고 신뢰를 구축하는 능력에 달려 있습니다. 방화벽에는 모델링 기능이 없습니다. 하지만 "허용하고 기도"하는 것만으로는 충분하지 않습니다. 정책이 정확하고 완전하며 애플리케이션을 손상시키지 않는다는 것을 알고 모든 이해관계자에게 이를 전달할 수 있는 능력이 필요합니다.

Conclusion

제로 트러스트 정책 관리에 무엇이 중요한지 아는 것은 제로 트러스트 또는 마이크로 세분화 프로젝트를 제공하는 데 무엇이 필요한지 아는 것과 마찬가지입니다. 세분화된 세분화의 운영은 정책을 발견, 작성, 배포 및 집행하는 사람의 능력에 따라 결정되는 속도로 진행될 것입니다. 효과적이고 효율적인 정책 관리가 이루어지면 그에 비례하여 인력 요구 사항도 감소합니다. 따라서 제로 트러스트를 운영하는 데 있어 가장 중요한 요소는 세분화 제어를 강화하는 데 필요한 정책 복잡성을 효과적으로 처리하는 것입니다. 정책 관리가 매우 중요하기 때문에 다음 블로그 게시물에서 정책 관리에 대해 자세히 살펴보겠습니다.