제로 트러스트 정책 배포에 필요한 사항

이 시리즈에서는 지금까지 정책 검색 및 정책 작성에 대해 설명했습니다. 구현할 정책이 정해지면 이를 계산하여 규칙으로 만들고 시행 지점에 배포해야 합니다. 결국 제로 트러스트 정책은 도달하는 곳에서만 작동할 수 있습니다! 이러한 정책을 최대한 많은 곳에서 최대한 효과적으로 적용할 수 있도록 노력합시다.

정책을 규칙으로 자동화

사람이 읽을 수 있는 정책(레이블 또는 메타데이터 기반)을 시행되는 제로 트러스트 세분화 정책으로 전환하는 첫 번째 단계는 인프라가 이해할 수 있는 규칙으로 변환하는 것입니다. IP 주소를 사용하지 않고 정책을 지정하는 것이 얼마나 중요한지 논의했지만 모든 시행 지점에는 IP 주소가 필요합니다! 정책 계산 기능은 매우 중요한 역할을 합니다.

제로 트러스트 세분화 정책을 레이블에 기반한다는 것은 애플리케이션 인스턴스를 구동하는 동일한 자동화가 세분화 정책을 구동할 수 있음을 의미합니다. 애플리케이션 자동화는 IP 주소나 유사한 애플리케이션 서비스의 수를 알 필요 없이 "이름만 명시"하면 올바른 정책을 얻을 수 있습니다. 사람이 읽을 수 있는 정책을 자동으로 시행 가능한 규칙으로 전환할 수 있으면 세분화는 애플리케이션 구성 요소 자체와 마찬가지로 서비스가 됩니다.

역동적이고 연속적인 콘텐츠 만들기

정책 계산은 동적이고 연속적이어야 합니다. 최신 데이터 센터 또는 클라우드 배포에서는 자동화를 통해 애플리케이션을 지속적으로 조정합니다. 즉, IP 주소가 변경되고, 인스턴스가 생성되고, 작업을 수행하고, 제거됩니다. SaaS 서비스 컨트롤러는 알 수 없는 크기의 클러스터에 있는 새 IP 주소로 부하를 원활하게 이동합니다. 즉, 인프라가 발전함에 따라 모든 규칙 집합에 사용되는 IP 주소를 업데이트해야 합니다. 모든 시행 지점에서 정의된 정책을 정확하게 유지하려면 정책 계산 및 배포가 연속적이고 거의 즉각적으로 이루어져야 합니다.

기존 시행 포인트 사용

제로 트러스트 세분화 정책은 운영되는 장소의 수만큼만 효과가 있습니다. 다행히도 여러분은 이미 필요한 모든 집행 포인트를 보유하고 있습니다! 모든 최신 운영 체제에는 매우 유용한 상태 저장 방화벽이 내장되어 있습니다. Linux 기반 시스템인 경우 IP-Tables 또는 NetFilter, Windows 기반 인스턴스인 경우 Windows 필터링 플랫폼입니다. 유사한 운영체제 기반 방화벽이 AIX, Solaris, 심지어 IBM System Z 메인프레임에도 존재합니다! Cisco 및 Arista의 네트워크 스위치는 F5 Networks의 로드 밸런서와 마찬가지로 ACL을 사용합니다. 거의 모든 네트워크 연결 장치가 세분화 지시를 내릴 수 있는 기능을 가지고 있다고 해도 과언이 아닙니다.

따라서 좋은 마이크로 세분화 솔루션은 이러한 시행 지점을 최대한 많이 사용해야 합니다. 결국, 커널 방화벽이 가장 안정적이고 성능이 뛰어난 코드인데 왜 공급업체 에이전트에 의존하여 적용을 수행해야 할까요? 기존 네트워크 및 클라우드 네트워크와 방화벽 인스턴스를 프로그래밍할 수 있는 솔루션을 찾아보세요. 임베디드 시스템과 OT 디바이스에는 방화벽이 내장되어 있지 않으며 공급업체 에이전트를 사용하지 않으므로 사용 가능한 모든 적용 지점을 사용하는 솔루션이 필요합니다.

성능 및 규모 고려 사항

제로 트러스트 세분화 솔루션을 평가할 때는 성능과 규모를 고려해야 합니다. 스위치나 라우터와 같은 하드웨어 포워딩 장치와 마찬가지로 아키텍처 선택도 중요합니다. 개념 증명 중에 단일 정책을 계산하는 것은 그리 어렵지 않습니다.

하지만 전 세계 데이터센터 단지를 휩쓸고 지나가는 물결 속에서 15분 간격으로 40,000개의 컴퓨팅 인스턴스가 제거되고 교체되는 완전 자동화된 데이터센터가 있다면 어떤 일이 벌어질까요? 갑자기 계산 시간이 중요해졌습니다.

자동화된 애플리케이션 환경에서 올바른 정책을 유지하는 유일한 방법은 자동화를 따라가는 것입니다. 그러나 계산이 완료된 후에도 정책을 배포한 다음 시행해야 합니다. 이 수렴 이벤트는 하드웨어 라우터가 라우팅 테이블을 수렴하는 것과 다르지 않습니다.

고려 중인 솔루션의 정책 배포 아키텍처는 얼마나 효과적인가요? 데이터 센터의 절반에 장애가 발생하여 대규모 재해 복구 트래픽이 다시 라우팅되는 경우, 애플리케이션 가용성을 유지하기 위해 정책 업데이트를 적시에 배포하는 것이 갑자기 매우 중요해집니다.

선도적인 공급업체는 최대 50만 개의 오브젝트에 걸쳐 완전한 제로 트러스트 정책을 통합한 경험이 있습니다. 고려 중인 공급업체가 다중 위치 장애 조치 및 동시 정책 통합에 대한 주장을 입증할 수 있는지 확인하세요.

정의된 정책을 계산한 후 배포하는 것은 마이크로 세분화 솔루션에 가장 큰 성능 부담을 줍니다. 간단한 평가 환경에서는 모든 솔루션이 작동할 수 있습니다. 그러나 까다로운 애플리케이션 자동화 재구성은 말할 것도 없고 네트워크 파티션 이벤트, 장애 조치 및 재해 복구 시나리오를 견딜 수 있는 엔터프라이즈급 솔루션은 엔터프라이즈급 솔루션뿐입니다.

효과적인 정책 배포 기능을 갖추려면 공급업체 솔루션이 사람이 읽을 수 있는 정책을 규칙으로 자동화하는 방법을 완전히 이해해야 합니다. 정책은 가능한 한 많은 기존 시행 지점에 배포되어야 하며, 독점 공급업체 솔루션보다 성숙하고 안정적인 커널 방화벽을 선호해야 합니다. 지속적이고 동적인 정책 계산 및 배포가 배포되면 제로 트러스트 세분화는 사용 가능한 애플리케이션 서비스가 되며 기존 애플리케이션 자동화를 통해 완전히 자동화할 수 있습니다.

다음 주 마지막 편에서는 제로 트러스트 세분화 정책을 시행하는 데 필요한 사항을 살펴봅니다.