제로 트러스트 정책 검색에 필요한 사항

마이크로 세분화에 대한 근본적인 진실은 보호해야 할 트래픽에 대한 이해보다 더 세분화할 수 없다는 것입니다. 눈에 보이지 않는 것을 세분화할 수는 없습니다.

현재 대부분의 세분화 공급업체는 애플리케이션을 일종의 '버블' 안에 넣어 격리 가능성을 보여주는 일종의 애플리케이션 맵을 제공합니다. (시각화가 없는) 대안에 비해 크게 개선되었지만, 실제로는 견고한 제로 트러스트 정책을 작성하기에는 충분하지 않습니다. 필요하지만 충분하지 않습니다. 또 무엇이 필요하나요?

이 시리즈의 소개에서 설명한 것처럼 제로 트러스트 마이크로 세분화의 성공 여부는 정책 관리 프로세스의 효율성에 따라 결정됩니다. 세분화 규칙을 작성하는 것은 하나의 작업이 아니라 다양한 분석 및 의사 결정 단계로 이루어집니다. 따라서 세분화를 개선하려면 깊은 수준의 이해가 필요하고 각 단계에 적합한 가시성과 워크플로우에 반영되어야 하며, 하나의 간단한 시각화가 모든 작업과 의사 결정 포인트에 적용될 가능성은 없습니다.

정책 검색은 조직이 제로 트러스트 정책을 작성할 수 있을 만큼 애플리케이션과 그 컨텍스트를 잘 이해하기 위해 거치는 일련의 작업입니다. 여기에는 서비스, 호스트 및 애플리케이션 수준 정보뿐만 아니라 다른 많은 정보도 포함됩니다.

전체 애플리케이션 컨텍스트

애플리케이션의 전체 컨텍스트는 애플리케이션의 내부 작동을 넘어서는 것입니다. 다른 애플리케이션과 통신할 수 있고, 20~30개의 공통 핵심 서비스에 연결될 수 있으며, 기업 및 VPN 위치에서 사용자가 유입되고, SaaS 서비스 또는 기타 원격 주소 공간과 상호 작용할 수 있습니다. 이 모든 것을 정리하지 않고 맵에 버리는 것은 혼란을 야기하여 진행 속도를 늦출 수 있습니다!

외부 연결을 IP 관리 시스템에 있을 수 있는 일반적인 네임드 주소 범위로 요약하는 것이 중요합니다. 이러한 방식으로 사용자 서브넷, DMZ 트래픽 등을 쉽게 파악할 수 있습니다. 특히 마이크로 세분화 배포 초기에는 '보호되는' 시스템보다 '보호되지 않는' 시스템이 더 많습니다. 이러한 시스템은 어떻게 표시, 구성 및 분류되나요? 이러한 시스템이 정책 모델의 객체가 되어 맵에 표시되면 복잡성과 규칙 작성이 간소화됩니다. 마지막으로, 대부분의 애플리케이션은 사용자를 위해 존재합니다. 사용자 컨텍스트는 어떻게 이해되고, 표시되며, 조치를 취할 수 있을까요?

궁극적으로 정책 검색에는 완전한 애플리케이션 컨텍스트가 필요하며, 여기에는 외부 IP 주소 또는 호스트 이름에 대한 100개 이상의 줄이 있는 단순한 애플리케이션 도면 이상의 것이 포함됩니다.

마이크로 워크플로우와 매크로 워크플로우

데이터 센터나 클라우드 환경은 애플리케이션 외에도 고려해야 할 사항이 훨씬 많은 복잡한 곳입니다. 애플리케이션 종속성 맵은 애플리케이션을 이해하는 데 매우 중요하지만, 더 큰 구조를 볼 수 있다면 어떨까요? 개발팀과 프로덕션팀 간에 어떤 트래픽이 오가는지 어떻게 알 수 있나요? 전체 환경에서 포트 3306의 모든 데이터베이스 트래픽을 확인하여 누락된 것이 없는지 확인하려면 어떻게 해야 할까요? 현재 활동을 파악하기 위해 LDAP 또는 RDP와 같은 핵심 서비스의 '도달 범위'를 확인하는 것은 어떨까요?

100,000개 이상의 노드에서 여러 환경을 보호한 Illumio의 경험은 애플리케이션 컨텍스트 외에도 매크로 환경에 대한 시각화 및 탐색 도구를 제공하는 데 반영되어 있습니다. 효과적인 추상화된 라벨 기반 정책을 작성하려면 정책 모델에서 제공하는 모든 추상화 수준에서 커뮤니케이션을 시각화하고 검사할 수 있는 기능도 필요합니다. 흥미로운 점은 애플리케이션 보기에 유용한 애플리케이션 버블이 이 상황에서는 거의 쓸모가 없다는 것입니다. 최고의 정책 검색 솔루션은 수집된 플로우 데이터의 데이터베이스 덤프뿐만 아니라 모든 수준의 추상화에서 커뮤니케이션을 명확하게 보여줄 수 있는 방법을 갖추고 있습니다.

대량 또는 집계된 정책 작성을 통해 대량의 트래픽을 신속하게 처리하는 데 필수적인 거시적 수준의 보기를 제공하는 마이크로 세분화 솔루션이 필요합니다.

이해관계자마다 다른 관점

방화벽 팀만이 정책 검색 활동 중에 흐름과 정책을 검사하는 것은 아닙니다. 세분화 경계가 애플리케이션 서버 또는 컨테이너 호스트로 이동함에 따라 운영 및 애플리케이션 팀은 필요한 모든 서비스가 제대로 프로비저닝되었는지 확인하는 데 큰 관심을 기울이게 됩니다. 이러한 동료의 경우, 정책을 신속하게 검사하고 기능을 검증해야 하는 필요에 맞게 특별히 제작된 보기를 통해 질문에 가장 잘 답할 수 있습니다. 많은 정책 개발 세부 사항은 필요하지 않으며, 실제로 애플리케이션 및 운영 팀의 핵심 관심사에서 멀어지게 합니다.

애플리케이션 및 운영 팀을 위한 시각화 및 워크플로우를 세심하게 구성한 마이크로 세분화 제품을 찾아보세요. 이들은 정책을 위한 워크플로우의 일부이며 이들의 요구를 지원하는 도구가 있어야 합니다. 물론 RBAC 필터링된 보기는 필수적이지만, 그 이상을 기대하세요. 애플리케이션 소유자별 시각화를 통해 정책 검색 프로세스의 속도를 높일 수 있습니다.

요약

필요한 사항을 이해하는 것보다 더 빠르게 정책을 작성할 수 있는 사람은 없습니다! 정책 검색은 모든 정책 관리 워크플로우의 첫 번째 부분입니다. 최신 애플리케이션 또는 컨테이너화된 마이크로서비스 컬렉션의 정책 요구사항은 단순한 애플리케이션 버블을 넘어 전체 애플리케이션 컨텍스트를 필요로 합니다. IP 범위, 관리되지 않는 시스템, 핵심 서비스 등을 표현하는 것은 애플리케이션 서비스를 맥락에서 이해하는 데 필수적입니다.

좋은 정책 모델이라면 커뮤니케이션을 여러 수준 또는 '레이블'로 추상화할 수 있으므로 이러한 상위 정책 목표를 지원하는 시각화를 갖추는 것도 중요합니다. 결국, 대량 정책은 빠른 정책이므로 올바른 역량을 갖추면 정책 개발 속도를 획기적으로 높일 수 있습니다.

마지막으로 마이크로 세분화에는 여러 조직이 참여합니다. 정책 검색은 팀 스포츠이므로 각 팀이 최대한 효율적으로 작업할 수 있도록 모든 사람이 맞춤형 검색 보기를 갖도록 하세요.

빠르고 효율적인 정책 검색은 빠르고 효율적인 정책 작성으로 이어집니다. 다음 주에 정책 작성 속도를 높이기 위해 필요한 것이 무엇인지 논의해 보세요.