제로 트러스트 세분화 정책을 작성하는 데 필요한 사항

지난주에는 제로 트러스트 세분화 정책을 작성하는 데 필요한 애플리케이션과 더 넓은 환경적 맥락을 파악하는 데 필요한 기능에 대해 설명했습니다. 의무사항이 무엇인지 파악한 후에는 이를 정책으로 표현해야 합니다. 좋은 마이크로 세분화 솔루션은 검색에서 작성까지 원활하게 이동하며 세분화된 세분화 정책을 효율적으로 작성하는 데 필요한 모든 워크플로우를 완벽하게 지원합니다. 제로 트러스트 세분화 정책을 가속화하고 지원하는 요소에 대해 논의해 보겠습니다.

어떻게 하는 것이 아니라 무엇을 원하는지 말하세요.

지금까지는 액세스 제어 목록(ACL)을 작성하려면 원하는 대상과 방법을 알아야 했습니다. 크고 복잡한 규칙 표가 생성됩니다. 반면 제로 트러스트 세그멘테이션은 선언적 정책 모델에서 작동하며 "정책"과 "규칙"을 분리합니다. 정책은 개발 환경과 제품 환경을 분리하는 것과 같이 우리가 원하는 결과입니다. 해당 정책을 실현하는 데 필요한 규칙 또는 ACL은 사람의 노력이 아닌 정책 엔진의 결과물입니다. 이렇게 하면 정책 작성이 획기적으로 간소화됩니다.

하나의 디바이스가 다른 세 대의 디바이스와 대화할 수 있도록 허용하는 규칙을 작성하면 4개의 규칙을 작성할 필요가 없습니다. 한 서버가 다른 세 서버와 통신할 수 있다는 하나의 정책을 작성하기만 하면 됩니다. 정책 엔진은 해당 정책을 실현하기 위한 모든 규칙을 생성합니다. 전체 데이터 센터 또는 클라우드 배포 규모에 따라 이러한 단순화를 통해 제로 트러스트 세분화 정책의 개발을 가속화할 수 있습니다.

익숙한 이름 대 IP 주소

기존 방화벽 규칙을 작성하는 것은 인프라가 이해하는 IP 주소와 대화에서 서버에 지정하는 이름 간에 계속 변환해야 하기 때문에 항상 느립니다. 이 번역을 제거하면 제로 트러스트 세분화 정책을 작성하는 데 걸리는 시간이 대폭 줄어듭니다.

가장 좋은 상황은 조직이 CMDB, SIEM, IP 주소 관리 시스템, 호스트 이름 규칙, 서버 이름 등에 이미 존재하는 이름을 재사용할 수 있는 경우입니다. 익숙한 이름이 시각화의 모든 시스템에 레이블을 지정하고 정책 작성을 위한 추상화를 제공하면 누구나 제로 트러스트 정책을 이해하고 작성할 수 있습니다. 번역이 필요하지 않으며, 팀 전체가 시각화를 통해 발견한 요구 사항과 서면 정책이 일치한다는 것에 빠르게 합의할 수 있습니다.

상속을 사용하여 정책 부담 줄이기

제로 트러스트 세분화 정책을 이름(또는 레이블)으로 추상화하면 제로 트러스트 허용 목록의 가장 좋은 부분 중 하나인 정책 상속을 활용할 수 있습니다. 순수 허용 목록은 기존 방화벽과 달리 규칙 순서에 신경 쓸 필요가 없습니다.

방화벽에서 허용 목록과 거부 목록 규칙이 혼합되어 있다는 것은 규칙이 설계된 대로 작동하려면 엄격한 순서가 있어야 한다는 의미입니다. 허용 목록에서는 허용된 항목만 허용되기 때문에 허용되는 순서나 두 번 이상 허용되는지 여부는 중요하지 않습니다.

즉, 제로 트러스트 세분화 정책은 자유롭게 상속할 수 있습니다. 정책을 한 번 작성하면 필요한 만큼 재사용할 수 있습니다. 워크로드는 PROD 환경 정책, 데이터 센터 수준 정책 및 모든 데이터베이스에 대해 작성한 정책에서 정책의 일부를 파생할 수 있습니다. 핵심 서비스에 대한 정책을 한 번 정의한 다음 환경의 모든 워크로드가 해당 정책을 적용하도록 할 수 있습니다. 상속을 사용하면 기존 방법보다 훨씬 쉽게 제로 트러스트 정책을 작성할 수 있습니다.

규칙 작성 배포를 통한 확장성 확보

방화벽 규칙 작성은 디바이스가 사실상 네트워크 아키텍처의 일부이기 때문에 오랫동안 네트워크 보안 팀에서 중앙 집중식으로 관리해 왔습니다. 이로 인해 방화벽 팀이 애플리케이션 팀에게 시스템 작동 방식을 IP 주소로 설명해야 하는 어색한 대화가 발생했습니다. 그래야만 방화벽 팀이 이를 규칙으로 변환할 수 있습니다. 하지만 그 모든 커뮤니케이션과 번역에 왜 신경을 써야 할까요?

제로 트러스트 세분화와 강력한 역할 기반 액세스 제어(RBAC) 기능을 통해 규칙을 분산하여 작성할 수 있습니다. 제로 트러스트 세분화 솔루션이 애플리케이션별 보기와 기능을 제공하도록 설계된 경우 애플리케이션 소유자가 애플리케이션의 내부 운영에 대한 정책을 작성하거나 검증한 다음 중앙 집중식 팀이 작업을 승인하고 핵심 서비스, 데이터 센터 및 인터넷 액세스에 대한 정책을 추가할 수 있습니다.

강력한 제로 트러스트 세분화 솔루션은 정책 작성 프로세스 전반에 걸쳐 애플리케이션 및 DevOps 팀에 권한을 부여합니다. 조직에서 자동화하고자 하는 것이 많을수록 이 위임의 중요성은 더욱 커집니다. 팀 전체가 공유 목표를 향해 노력할 수 있으면 신뢰와 조직의 결속력이 강화되고 제로 트러스트 세분화 정책의 전달 속도가 빨라집니다.

요약

데이터 센터와 클라우드 환경은 복잡하기 때문에 세분화 정책을 작성하는 것도 같은 복잡성을 공유한다고 가정하는 것이 당연합니다. 하지만 최고의 제로 트러스트 세분화 솔루션은 기존의 방화벽 규칙 개발 프로세스를 간단하고 확장 가능하며 효과적인 워크플로우로 대체합니다. 선언적 정책 모델은 원하는 것을 말할 수 있지만 어떻게 해야 하는지는 말할 수 없다는 뜻입니다.

인간은 자신이 원하는 것을 말하는 데 능숙하며, 스마트 정책 엔진은 이를 인프라에 대한 규칙으로 바꿀 수 있습니다. 익숙한 이름을 기반으로 하고 여러 번 재사용할 수 있는 정책을 사용하면 팀 전체의 업무가 줄어듭니다.

무엇보다도 팀 전체가 협업할 수 있게 되면 팀 간의 비효율적인 벽이 허물어지고 조직 전체가 협력하여 중요한 자산을 보호할 수 있습니다. 제로 트러스트 세분화는 세분화 정책의 모든 측면을 개선하여 세분화를 강화하는 동시에 조직의 부담을 줄여줍니다.