.png)
제로 트러스트 정책을 빠르고 안전하게 시행하는 데 필요한 사항
이 시리즈에서는 제로 트러스트 세그멘테이션 정책을 성공적으로 발견, 작성 및 배포하기 위해 반드시 필요한 특성에 대해 살펴보았습니다. 이번 주에는 제로 트러스트 세분화 정책을 시행하는 데 필요한 사항을 자세히 살펴보는 것으로 마무리합니다. 완전한 시행에 이르지 못한 제로 트러스트 정책은 멀웨어, 랜섬웨어 또는 악의적인 공격자를 차단할 수 없습니다. 모든 제로 트러스트 정책을 전체 인프라에 애플리케이션 기능을 중단하지 않고 신속하게 적용할 수 있도록 하기 위해 고려해야 할 몇 가지 주요 사항이 있습니다.
후회하지 말고 안전하세요
기존 클라우드 및 데이터센터 환경에서 작업할 때 첫 번째 요건은 히포크라테스 선서를 하는 것입니다: 해를 끼치지 않겠습니다! 모든 마이크로 세분화 솔루션은 에이전트를 사용합니다. 안전한 인라인 에이전트가 필요하며, 안전한 인라인 에이전트는 없습니다. 인라인 방화벽, 필터링 또는 기타 보안 기능을 구현하는 모든 에이전트는 안전하다고 간주할 수 없습니다. 에이전트가 닫히지 않으면 애플리케이션이 중단되어 운영상 안전하지 않습니다. 인라인 에이전트가 열리지 않으면 보안 메커니즘이 사라지며, 이는 안전하지 않은 컴퓨팅의 정의입니다. 시행을 위한 유일한 안전한 에이전트 기술은 데이터 경로 외부의 에이전트입니다. 공급업체 에이전트가 실패하거나 제거되더라도 규칙을 유지할 수 있는 솔루션이 필요합니다. 재부팅 없이 설치 및 업그레이드할 수 있는 에이전트를 요구하세요. 에이전트는 사용자 공간에서 실행되어야 합니다. 커널을 수정하거나 사용자 지정 네트워크 어댑터를 설치하거나 인라인으로 배치하는 모든 것을 거부하세요. 말 그대로 데이터센터나 클라우드의 모든 것에 스테이트풀 방화벽이 포함되어 있다면 스테이트풀 방화벽과 같은 기본적인 것을 다시 만들 필요가 없습니다.
모든 항목에 적용
제로 트러스트 정책을 적용하려면 모든 곳에 적용하는 것이 가장 좋습니다! 지난 십여 년간 모든 운영 체제에는 완벽하게 작동하는 상태 저장 방화벽인 iptables/Netfilter와 Windows 필터링 플랫폼이 있습니다. AIX, Solaris, 심지어 메인프레임에도 유사한 기술이 존재합니다. 네트워크 스위치, 로드 밸런서, 하드웨어 방화벽은 모두 방화벽 규칙을 사용합니다. 모두 사용하지 않으시겠습니까? 모든 곳에 제로 트러스트를 적용하고 이미 소유하고 있는 모든 것에 대한 정책 시행을 자동화하세요. 적용 대상에는 Kubernetes 컨테이너 환경, Amazon, Azure 및 Google Cloud 인스턴스, SaaS 서비스, 심지어 OT 기기를 IT 환경에서 제외하는 것까지 포함해야 합니다. 모든 디바이스가 이미 필요한 모든 것을 지원하는 상황에서 제로 트러스트 정책을 시행하기 위해 독점 공급업체 에이전트를 고려할 필요도 없습니다.
자신감의 속도 향상
제로 트러스트 배포는 정책의 안전성에 대한 신뢰도에 따라 진행됩니다. 결국 제로 트러스트 정책은 원하는 모든 것을 지정해야 하며, 그 외의 모든 것은 거부됩니다. 이는 제로 트러스트 정책이 완벽해야 한다는 것을 의미합니다. 데이터 센터에는 몇 개의 플로우가 있나요? 이 모든 흐름에서 완벽함을 자신하기는 어려울 것 같습니다. 진정하세요. 제로 트러스트 세분화는 어렵지 않습니다. 작은 규모의 서비스 하나라도 시행할 수 있는지 확인하세요. 결국, 가장 취약한 흐름 중 일부는 환경의 모든 머신에 영향을 미치는 핵심 서비스 및 관리 시스템입니다. 대부분 단일 포트 또는 작은 범위를 사용합니다. 좋은 솔루션이라면 이 몇 개의 포트만 선택적으로 적용할 수 있어야 합니다. 정의하기 쉽고, 합의하기 쉬우며, 보안이 중요합니다. 다른 쪽 끝에는 "다음 공유 서비스 목록을 제외하고 모든 개발 시스템이 PROD와 통신하지 못하도록 하되 가능한 한 제한"과 같은 정책을 시행하는 것이 있습니다. 너무 역동적이고 복잡하기 때문에 모든 개발 시스템과 모든 제품 시스템을 완벽하게 파악할 수 있는 사람은 아무도 없습니다. 그러나 최고의 제로 트러스트 세분화 솔루션은 이러한 정확한 기능을 제공하는 시행 경계를 쉽게 정의할 수 있으며, 동시에 규칙 주문에 대한 우려나 정책 상속을 깨뜨리지 않습니다. 팀원 모두가 정책이 올바르고 안전하다는 것을 얼마나 빨리 확신할 수 있을까요? 단일 정책 선언문 수준에서 시행하는 동시에 광범위한 분리 목표에 따라 시행할 수 있는 솔루션을 찾아보세요. 둘 다 똑같이 간단하면 변경 제어를 통해 제로 트러스트 정책을 쉽게 시행할 수 있습니다.
요약
클라우드, 엔드포인트, 데이터센터 시스템을 강제 규칙으로 격리하는 것이 제로 트러스트의 핵심입니다. 가시성만 제공하거나 모니터링 솔루션은 제로 트러스트 세분화로 간주할 수 없습니다. 좋은 세분화 솔루션은 우선 안전해야 하며, 개방 또는 폐쇄에 실패하여 전체 환경을 위험에 빠뜨리는 인라인 기술에 의존해서는 안 됩니다. 적용은 광범위하게 이루어져야 하며, OS 기반 방화벽부터 랙에 있는 하드웨어 및 네트워크 장비에 이르기까지 이미 비용을 지불하고 소유하고 있는 모든 방화벽을 활용해야 합니다. 컨테이너, 클라우드, 전체 컴퓨팅 환경에 제로 트러스트 세분화 정책을 구현하려면 다양한 솔루션이 필요하므로 각 솔루션에 이미 있는 것을 사용하는 것은 어떨까요? 마지막으로, 단일 정책 선언문에서 전체 환경을 쉽게 세분화할 수 있는 방법까지 시행을 구축할 수 있어야 합니다. 세분화된 마이크로 세분화는 시스템이 중단되지 않을 것이라는 확신이 공유되는 속도에 따라 진행됩니다. 따라서 매우 유연하고 미묘한 적용이 가능한 솔루션이 항상 가장 빠른 제로 트러스트 결과를 제공합니다.
ICYMI, 이 시리즈의 나머지 부분을 읽어보세요:
