클라우드 사업자 전체에 일관되게 적용되는 마이크로세그멘테이션 접근 방식을 선택하는 것은 중요합니다. 클라우드 인프라 공급업체와 보안을 분리함으로써 기업은 벤더사 종속을 방지해 비용을 높이지 않고, 인수합병으로 인해 혼합 클라우드 환경이 조성되는 경우에 불필요한 복잡성을 피할 수 있습니다.
마이크로세그멘테이션 설명
마이크로세그멘테이션은 네트워크 세그멘테이션 및 애플리케이션 세그멘테이션과 같은 기존의 접근 방식에 비해 여러 가지 장점을 제공하는 새로운 보안 모범 사례입니다. 기존 방식은 네트워크 기반 제어에 크게 의존하며, 관리하기가 까다롭고 번거로운 경우가 많습니다. 그러나 마이크로세그멘테이션의 소프트웨어 기반 세그멘테이션 요소는 기본 인프라에서 보안 제어를 분리하며, 기업은 어느 곳에서나 보안 및 가시성을 확장할 수 있는 유연성을 확보할 수 있습니다.
마이크로세그멘테이션이 제공하는 세분화는 많은 기업이 클라우드 서비스 및 컨테이너와 같이 기존 경계 보안의 관련성을 완화하는 새로운 배포 옵션을 도입하고 있는 상황에서 필수적입니다.
인프라 시각화는 건전한 마이크로세그멘테이션전략을 개발하는 데 필수적인 역할을 합니다. 마이크로세그멘테이션이 제대로 구축되면 IT 팀은 시각화를 통해 환경 내에서 승인된 활동과 승인되지 않은 활동을 모두 쉽게 식별하고 이해할 수 있습니다.
IT 팀은 이처럼 향상된 가시성을 통해 승인되지 않은 활동에 대해 알리거나 이를 차단할 수 있는 마이크로세그멘테이션 정책을 정의하고 세부 조정할 수 있습니다. 마이크로세그멘테이션 정책은 환경 종류, 규제 범위, 애플리케이션, 인프라 계층에 기반한 제어를 포함해 다양한 형태로 나타날 수 있습니다. 또한 마이크로세그멘테이션은 데이터 센터 및 클라우드 환경에서 최소 권한의 원칙을 보다 광범위하게 적용할 수 있어 기존의 네트워크 레이어 제어 방식보다 효과적인 방어 포스처를 제공합니다.
클라우드 사업자 전체에 마이크로세그멘테이션을 구축할 수 있을까요?
마이크로세그멘테이션으로 비용을 절감할 수 있나요?
많은 기업이 세그멘테이션 프로젝트의 방화벽 비용을 계산해 보면 높은 라이선스 비용과 긴 일정 및 필수적인 다운타임으로 인해 막대한 비용이 발생한다는 사실을 깨닫게 됩니다. 그러나 소프트웨어 기반의 마이크로세그멘테이션 솔루션은 방화벽 어플라이언스와 추가 하드웨어를 구매할 때 필요한 자본적 지출(CapEx)보다 훨씬 적은 비용으로 신속하게 구축할 수 있습니다. 또한 필요한 유지 관리 및 관리 작업이 감소해 시간이 지남에 따라 인력 및 리소스 절감의 형태로 운영 비용(OpEx)이 크게 절감됩니다.
마이크로세그멘테이션은 많은 사람들에게 생소한 개념이지만, 현재 역동적인 데이터 센터, 클라우드, 하이브리드 클라우드 환경의 빠른 변화 속도에 맞춰 보안 정책과 컴플라이언스를 유지해야 하는 과제에 직면한 IT 팀을 위한 툴로 그 중요성이 점점 커지고 있습니다.
애플리케이션 세그멘테이션이란?
클라우드 사용량이 증가하고 애플리케이션 배포 및 업데이트 속도가 빨라짐에 따라 많은 보안팀이 애플리케이션 세그멘테이션에 더욱 집중하고 있습니다. 애플리케이션 세그멘테이션에는 여러 가지 접근 방식이 있으므로 보안팀이 기존의 애플리케이션 세그멘테이션 기술, 그리고 마이크로세그멘테이션과 같은 새로운 접근 방식을 비교하면서 혼동이 발생할 수 있습니다.
애플리케이션 세그멘테이션에는 애플리케이션 내 세그멘테이션과 나머지 IT 인프라로부터 애플리케이션 클러스터를 격리하는 작업이 혼재하는 경우가 많습니다. 두 기법이 보안 가치를 제공하는 방식은 서로 다릅니다. 그러나 기존의 애플리케이션 세그멘테이션 접근 방식은 주로 Layer 4 제어 방식에 의존하기 때문에 환경과 애플리케이션 배포 프로세스의 역동성이 더 높아져 효율성이 떨어지고 관리하기가 더욱 어려워지고 있습니다.
마이크로세그멘테이션 기술은 환경에 대한 상세한 시각적 표현과 보다 세분화된 정책 제어 기능을 제공해 보안팀에 보다 효과적인 애플리케이션 세그멘테이션 접근 방식을 지원합니다. 가장 효과적인 마이크로세그멘테이션 기술은 Layer 7까지 확장되는 애플리케이션 중심적 접근 방식을 사용합니다. 개별 프로세스 차원의 가시성과 제어 기능을 통해 애플리케이션 세그멘테이션을 더욱 효과적이고 쉽게 관리할 수 있습니다. IP 주소 스푸핑 또는 허용 포트를 통한 공격 실행 시도의 영향을 받지 않는 매우 구체적인 정책으로 승인된 활동을 관리할 수 있습니다.
하이브리드 클라우드 환경과 빠르게 움직이는 DevOps 프로세스가 표준이 됨에 따라 애플리케이션 세그멘테이션은 그 어느 때보다 중요해지고 까다로워지고 있습니다. 애플리케이션 중심의 마이크로세그멘테이션을 사용해 애플리케이션 세그멘테이션을 수행하면 보안 가시성과 정책 관리 기능을 통해 환경과 그 환경에서 실행되는 애플리케이션의 급속한 변화에 대응할 수 있습니다.
마이크로세그멘테이션에서 네트워크 정책은 어떻게 적용되나요?
네트워크 정책 적용이란 접속과 통신을 제어하기 위해 IT 환경에 일련의 룰을 적용하는 것입니다. 이는 인적 오류를 방지하기 위해 프로덕션 및 개발 환경을 서로 분리하는 것만큼 간단한 일일 수 있습니다. 보다 구체적인 정책 적용 룰은 CDE를 격리해 네트워크의 나머지 부분이 PCI DSS 컴플라이언스 범위를 벗어나도록 하는 것과 같은 컴플라이언스 요구사항에 도움이 될 수 있습니다.
기존의 데이터 센터 정책 엔진은 예외를 구성할 수 없는, 단호하고, 엄격하며, 경직된 접근 방식이나 글로벌 거부 목록에 의존했습니다. 워크로드의 역동성이 점점 더 증가하고 하이브리드 클라우드를 도입하는 기업이 늘어남에 따라 유연한 정책 엔진이 반드시 필요합니다. 이러한 엔진을 사용하면 자동 확장, 워크로드를 따르는 정책, 플랫폼에 종속되지 않는 정책 생성이 가능합니다.
정책 생성 프로세스는 비즈니스 목표와 보안 목표를 명확히 인식하는 것에서 시작됩니다. 마이크로세그멘테이션 정책은 균형이 필요합니다. 너무 엄격하면 직원들이 자율적으로 자유롭게 일하는 유연성이 부족한 환경이 조성될 수 있습니다. 너무 약하면 위험할 정도로 큰 공격표면이 노출될 수 있습니다.
IT 환경의 완전한 실시간 맵에 접속해 세그멘테이션 정책을 적용할 방법과 위치를 파악할 수 있습니다. 기존의 Layer 4가 아닌 Layer 7까지 정책을 적용할 수 있는 솔루션을 선택하면 보안 면에서 훨씬 더 많은 장점을 얻을 수 있습니다. 보안 경계가 침해되더라도 적절한 정책을 적용하면 공격자를 막거나 우회할 수 있으며, 공격자는 네트워크를 통해 측면 이동을 수행할 수 없습니다.
마이크로세그멘테이션 및 애플리케이션 검색 - 정확한 조치를 위한 컨텍스트 확보
애플리케이션을 제공하는 데 사용되는 인프라와 기술은 상당한 변화를 겪고 있으며, 이로 인해 IT 및 사이버 보안팀이 모든 애플리케이션 활동의 특정 시점과 이력을 파악하는 작업을 유지하기가 그 어느 때보다 어려워지고 있습니다. 기업의 모든 환경과 애플리케이션 제공 기술을 포괄하는 애플리케이션 검색 프로세스를 통해서만 가능한 최상의 보안 보호, 컴플라이언스 포스처, 애플리케이션 성능 수준을 달성할 수 있습니다.
효과적인 애플리케이션 검색 프로세스에는 네 가지 필수 요소가 포함됩니다.
첫 번째 요소는 데이터 수집입니다. 다양한 에이전트 및 네트워크 기반 기술을 사용해 온프레미스 및 클라우드 환경 모두에서 애플리케이션 활동에 대한 자세한 정보를 수집할 수 있습니다. 두 가지 모두 상당한 가치를 제공하지만, 에이전트 기반 수집은 Layer 7의 세부 사항을 더욱 풍부하게 수집할 수 있기 때문에 특히 중요합니다.
원시 데이터 그 자체로는 컨텍스트가 없어 가치가 적으므로 애플리케이션 검색의 두 번째 핵심 요소는 구성과 라벨링입니다. Akamai Guardicore Segmentation 같은 솔루션은 기존 데이터 소스와 연동하고 다른 자동화 방법을 도입해 이 프로세스를 간소화합니다.
효과적인 애플리케이션 검색을 위한 세 번째 단계는 시각화입니다. 시각화는 컨텍스트가 있는 데이터를 보안팀 및 기타 애플리케이션 관계자와 관련이 있는 시각적 적응형 인터페이스로 제공합니다. 애플리케이션 활동의 실시간 보기와 이력 보기는 각각 저마다의 목적이 있으므로 두 가지 종류의 데이터를 모두 지원할 수 있는 시각화 접근 방식을 구현하는 것이 중요합니다.
애플리케이션 검색 접근 방식의 네 번째이자 마지막으로 중요한 요소는 애플리케이션 가시성을 향상해 얻은 인사이트를 바탕으로 조치를 취할 수 있는 명확하고 직관적인 방법입니다. 이는 애플리케이션 검색과 마이크로세그멘테이션의 전략적 교차점입니다.
마이크로세그멘테이션의 장점은 무엇일까요?
IT 인프라가 점점 더 역동적으로 변화하고 클라우드 인프라 와 컨테이너 같은 새로운 배포 접근 방식이 더욱 중요한 역할을 담당함에 따라 기존의 경계 중심 보안의 가치가 크게 줄어들었습니다. 그 대신, IT 팀이 서로 다른 복잡한 데이터 센터와 클라우드 자산에서 이루어지는 측면 이동을 탐지하고 방지하는 능력을 강화해야 할 필요성이 늘어나고 있습니다. Layer 7 세분화를 사용하는 마이크로세그멘테이션은 이러한 과제에 직면한 기업에 여러 가지 중요한 장점을 제공합니다.
마이크로세그멘테이션을 구축하면 다양한 배포 모델과 변화가 빠른 환경의 공격표면을 크게 줄일 수 있습니다. DevOps 스타일의 애플리케이션 개발 및 배포 프로세스로 인해 변경이 잦더라도 마이크로세그멘테이션 플랫폼은 지속적인 가시성을 제공하며, 보안 정책이 애플리케이션 추가 및 업데이트 속도를 따라갈 수 있습니다.
공격표면을 줄이기 위한 선제적 조치를 취하더라도 가끔 발생하는 보안 유출은 막을 수 없습니다. 다행히도 마이크로세그멘테이션은 보안 유출을 신속하게 탐지하고 이를 억제할 수 있는 기업의 능력을 크게 향상시킵니다. 여기에는 정책 위반이 탐지될 때 실시간 알림을 생성하고, 감염된 자산을 측면 이동의 시작 지점으로 사용하려는 시도를 능동적으로 차단하는 기능이 포함됩니다.
마이크로세그멘테이션의 또 다른 주요 장점은 기업이 클라우드 서비스를 보다 광범위하게 사용하기 시작하더라도 컴플라이언스 포스처를 강화할 수 있다는 점입니다. 규제 대상 데이터가 포함된 인프라 세그먼트를 격리하고, 규정을 준수하는 사용 사례를 엄격하게 적용할 수 있으며, 감사가 크게 간소화됩니다.
마이크로세그멘테이션의 장점은 오케스트레이션 툴과 같이 기업의 광범위한 인프라와 통합될 때 극대화됩니다. 또한 물리적 서버, 가상 머신, 여러 클라우드 공급업체 간에 효과적으로 작동하고 최대한의 효율성과 유연성을 발휘할 수 있는 마이크로세그멘테이션 접근 방식을 선택하는 것이 중요합니다.
블로그 게시물 확인하기: 네트워크 세그멘테이션의 5대 장점
측면 이동 보안
IT 보안팀은 경계 보안에 상당한 주의를 기울이는 경우가 많지만, 트래픽 규모와 전략적 중요성 면에서 모두 동서 트래픽이 남북 트래픽을 능가합니다. 데이터 센터 확장 접근 방식의 변화, 새로운 빅 데이터 분석 요구사항, 경계가 불명확한 클라우드 서비스의 사용 증가 등과 같은 요인 때문입니다. IT 보안팀에게는 이러한 종류의 환경에서 측면 이동을 방지하는 기능을 개발하는 것이 그 어느 때보다 중요합니다.
측면 이동은 신뢰할 수 있는 환경에 자리 잡은 공격자가 접근 수준을 확장하고, 신뢰할 수 있는 추가 자산으로 넘어가 최종 표적을 향해 나아가기 위해 취하는 일련의 단계입니다. 이러한 공격은 환경 내에서 정상적으로 보이는 대량의 동서 트래픽에 혼재되어 있는 경우가 많으므로 탐지하기 어렵습니다.
또한 측면 이동 보안을 개선하기 위해 기업이 구현할 수 있는 보다 정교한 기술도 있습니다. 예를 들어, Akamai 솔루션은 모든 동서 트래픽의 현재와 과거에 대한 가시성을 제공하고 IT 팀이 이러한 인사이트를 바탕으로 측면 이동을 방지하는 선제적 정책을 수립할 수 있도록 지원합니다.
공격표면 축소
기존의 온프레미스 데이터센터에서 클라우드로 전환되면서 멀티 클라우드 및 하이브리드 클라우드 모델이 새로운 비즈니스 장점을 많이 제공하고 있지만, 보안팀이 방어해야 하는 공격표면의 면적도 크게 증가했습니다. 인프라 변경 속도가 빨라지고 많은 기업에서 보다 역동적인 애플리케이션 배포 모델을 도입하면서 이러한 과제는 더욱 가중되고 있습니다.
클라우드 플랫폼 사용량이 증가해도 시스템 강화, 취약점 관리, 접속 제어, 네트워크 세그멘테이션 등 기존의 공격표면 축소 기법은 관련성이 유지되며, 공격표면을 줄이려는 보안팀은 뛰어난 가시성과 데이터 센터부터 클라우드까지 일관되게 적용할 수 있는 보다 세분화된 정책 제어 기능을 활용할 수 있습니다.
공격표면을 구체적으로 시각화하면 공격표면을 줄이기 위한 전략을 훨씬 더 실용적으로 개발할 수 있습니다. 모든 애플리케이션과 그 의존성을 지원하는 기본 인프라를 시각적으로 상세하게 표현함으로써 보안팀은 보다 쉽게 노출 수준을 평가하고 감염 징후를 파악할 수 있습니다.
그런 다음에는 이러한 인사이트를 사용해 프로세스 수준의 세분화로 애플리케이션 활동을 제어하는 마이크로세그멘테이션 정책을 개발할 수 있습니다. 이러한 수준의 제어를 통해 보안 정책과 애플리케이션 로직을 조율하고, 승인된 애플리케이션 활동만 성공적으로 실행할 수 있는 제로 트러스트 보안 환경을 구축할 수 있습니다.
하이브리드 클라우드 모델로의 전환이 진행됨에 따라 기업은 이러한 변화가 공격표면의 규모를 얼마나 크게 확대하는지 간과하기 쉽습니다. 새로운 물리적 환경, 플랫폼 및 애플리케이션 배포 방법으로 인해 잠재적으로 노출 가능한 새로운 영역이 다수 만들어집니다. 하이브리드 클라우드 환경에서 공격표면을 효과적으로 줄이려면 분산된 데이터 센터 및 클라우드 환경, 그리고 혼합된 운영 체제 및 배포 모델에 정책을 일관되게 적용해야 합니다.
중요 애플리케이션 보안
오늘날 정보 보안팀은 중요한 애플리케이션 보안을 강화하는 작업을 그 어느 때보다도 어렵게 만드는 두 가지 주요 트렌드에 직면하고 있습니다. 첫 번째로, IT 인프라가 지속적으로 빠르게 변화하고 있습니다. 두 번째로는 공격자가 점점 더 표적화되고 정교해지고 있다는 점을 들 수 있습니다.
건전한 마이크로세그멘테이션 접근 방식의 구축은 인프라 가시성을 높이고 중요한 애플리케이션을 보호하기 위해 보안팀이 취할 수 있는 최상의 단계 중 하나이며, 다음과 같이 구현합니다.
애플리케이션 로직과 보안 정책을 조율하는 프로세스 수준의 세분화 제공
데이터 센터에서 클라우드까지 일관된 보안 정책 구현
다양한 기본 플랫폼에 걸쳐 일관된 보안 제공
이러한 기능과 유연성은 도메인 컨트롤러, 특별 권한 접속 관리 시스템, 점프 서버와 같은 고가치 표적을 가장 잘 보호할 방법을 고려하는 모든 기업에 도움이 됩니다. 또한 클라우드 보안 서비스, 그리고 컨테이너와 같은 새로운 애플리케이션 배포 접근 방식을 도입하는 기업에도 매우 유용합니다.
아울러 마이크로세그멘테이션은 보호되는 건강 정보가 포함된 의료 애플리케이션, PCI DSS 및 기타 규제의 적용을 받는 금융 서비스 애플리케이션, 클라이언트의 기밀을 지켜야 하는 법률 애플리케이션 등 주요 업계별 애플리케이션의 보안에 중요한 역할을 수행할 수 있습니다. 마이크로세그멘테이션이 제공하는 추가적인 정책 세분화를 통해 중요하거나 규제를 받는 데이터가 여러 환경 및 플랫폼에 걸쳐 있는 경우에도 이를 위한 보안 경계를 쉽게 생성할 수 있습니다. 마이크로세그멘테이션이 제공하는 추가적인 가시성은 규제 감사 프로세스 도중에 그 진가를 발휘합니다.
IT 인프라의 변화는 보안팀의 새로운 과제를 야기하지만, 기본 인프라에서 보안 가시성과 정책 제어 기능을 분리하면 변화가 빠른 서로 다른 복잡한 환경에서도 중요한 애플리케이션을 효과적으로 보호할 수 있습니다.
최고의 마이크로세그멘테이션 방식은 무엇일까요?
마이크로세그멘테이션은 빠르게 변화하는 데이터 센터, 클라우드, 하이브리드 클라우드 IT 인프라의 보안을 담당하는 기업에 필수적인 기능입니다. 그러나 마이크로세그멘테이션이 제공하는 기능과 유연성으로 인해 시작에 필요한 최적의 기법 조합을 알아내기가 어려울 수 있습니다. 자주 사용되는 마이크로세그멘테이션 방식을 미리 알아두면 기업이 고유한 보안 및 컴플라이언스 요구사항에 맞는 단계별 접근 방식을 설계하는 데 도움이 될 수 있습니다.
대부분의 기업은 VLAN 및 기타 네트워크 세그멘테이션 방식에 익숙합니다. 네트워크 세그멘테이션은 보안 가치를 제공하는 반면, 마이크로세그멘테이션은 훨씬 더 세분화된 제어 기능을 제공하며 대규모 배포 및 관리 면에서 훨씬 더 효율적입니다. 마이크로세그멘테이션은 데이터 센터를 넘어 클라우드 인프라까지 확장하는 데 VLAN보다 훨씬 더 실용적입니다.
마이크로세그멘테이션 정책 개발의 첫 번째 단계는 환경에서 많은 리소스에 광범위하게 접속해야 하는 애플리케이션과 서비스를 식별하는 것입니다. 몇 가지 예로, 로그 관리 시스템, 모니터링 툴, 도메인 컨트롤러가 있습니다. 이러한 종류의 시스템은 광범위한 접속 권한을 부여받을 수 있지만, 마이크로세그멘테이션 정책은 승인된 용도로만 이를 사용하도록 적용할 수 있습니다.
기업이 마이크로세그멘테이션 접근 방식을 설계할 때 활용할 수 있는 다른 방법은 다음과 같습니다.
환경별 마이크로세그멘테이션
규제 경계 생성
애플리케이션 종류별 마이크로세그멘테이션
계층별 마이크로세그멘테이션
기업이 마이크로세그멘테이션을 시작하는 가장 좋은 방법은 보안 및 정책 목표에 가장 적합한 방식을 파악하고, 중점을 두고 있는 정책부터 시작해 단계별 반복을 통해 추가적인 마이크로세그멘테이션 기법을 점차 계층화하는 것입니다.
블로그 게시물 확인하기: 마이크로세그멘테이션을 올바르게 수행하는 방법
마이크로세그멘테이션을 시작하는 방법
마이크로세그멘테이션이 네트워크를 보호하기 위해 추구해야 할 방향임은 명백합니다. 이는 경계가 무너지고 있는 상황에서의 해답일 뿐만 아니라 비용과 인력 면에서도 효과적입니다. 그러나 성공적인 마이크로세그멘테이션 구축은 단숨에 이루어지지 않습니다. 처음부터 모든 일을 제대로 하려면 신중하고 상세하게 심사숙고해야 합니다.
성공적인 마이크로세그멘테이션 구축을 위한 토대를 마련하기 위해 철저히 고려해야 할 몇 가지 사항이 있습니다.
먼저, 어떤 부분을 세분화해야 하는지 이해해야 합니다. 마이크로세그멘테이션 구축 방식은 요구사항을 반영하므로 일반적인 리스크 감소나 컴플라이언스를 고려해 세분화하고 있는지 확인하세요. 다음으로, 자산을 보호하는 마이크로세그멘테이션 기준을 세우고 나면 단기 목표를 세우고 장기적인 목표를 세우세요.
이 작업을 마친 후에 환경에 대한 전체적인 그림을 그려보되, 초기의 그림은 불완전하다는 사실을 알고 있어야 합니다. 연결에 대해 자세히 알아보면서 더 추가할 수 있으며, 그래야만 합니다. 자산에 적절히 라벨링해야 합니다. 또한 라벨링 프로세스의 유연성은 매우 중요합니다. 라벨은 환경을 최대한 반영해야 하기 때문입니다. 마지막으로, 정보 소스를 식별하고 해당 소스에서 정보를 추출하는 방법을 계획하세요.
이러한 단계를 통해 견고하고 효과적이며 성공적인 마이크로세그멘테이션 구축을 수행할 수 있습니다.
마이크로세그멘테이션 보안 관련 모범 사례에는 어떤 것이 있나요?
하이브리드 클라우드 데이터 센터, SaaS, IaaS, 가상화의 등장으로 인해 IT 인프라는 보호하기 어렵고 복잡해졌습니다. 이에 따라 마이크로세그멘테이션은 이러한 종류의 역동적인 환경에 속해 있는 기업의 보안 모범 사례가 되고 있습니다. 이 기술이 제공하는 가치는 영역 세그멘테이션에서 애플리케이션 격리 또는 서비스 제한에 이르기까지 다양합니다.
고려해야 할 중요한 사항 중 하나는 네트워크 중심 또는 애플리케이션 중심의 접근 방식을 선택해야 한다는 점입니다. 네트워크 중심적 접근 방식은 네트워크 병목 지점, 써드파티의 제어 기능 또는 네트워크 적용을 통해 트래픽을 관리하는 반면, 애플리케이션 중심적 접근 방식은 워크로드 자체에 에이전트를 배포합니다. 후자의 접근 방식은 가시성 향상, 확장 기회 증가 등의 장점을 제공하며, 인프라에 전혀 구애받지 않는 기술입니다. 미래에 대비하기 위해 올바른 선택을 해야만 레거시 시스템, 베어 메탈 서버, 가상화 환경에서 컨테이너, 퍼블릭 클라우드에 이르기까지 모든 환경을 지원할 수 있습니다.
애플리케이션 중심의 모델을 통해 얻을 수 있는 탁월한 가시성을 활용하면 마이크로세그멘테이션과 관련된 가장 일반적인 함정, 즉 애플리케이션 오버세그멘테이션을 초래하지 않도록 보장할 수 있습니다. 모범 사례가 되느냐는 소위 '빠른 성공'을 거둘 수 있는지에 달려 있습니다. 빠른 성공의 핵심에는 분명한 비즈니스 요구사항이 있으며 구현을 통해 즉각적인 가치를 창출할 수 있는 간단한 세그멘테이션 정책이 있습니다. 프로덕션 및 개발과 같은 환경을 분리하거나 중요한 데이터 또는 애플리케이션을 보호해 컴플라이언스 규제를 충족시킨다는 간단한 예를 들 수 있습니다.
마지막으로, 모범 사례에는 마이크로세그멘테이션 외에도 보완적 제어 기능이 전체적으로 보안 포스처를 강화할 수 있는 지점을 확인하는 것이 포함됩니다. 유출 탐지와 인시던트 대응은 마이크로세그멘테이션과 원활하게 연계될 수 있고 하나로 묶어서 활용할 수 있는 강력한 두 가지 예입니다. 이러한 연계가 없으면, 써드파티 솔루션이 격차나 리스크 증가 없이 조화롭게 작동하도록 억지로 시도할 수밖에 없습니다. 즉, 무리한 요구를 해야 하며, 관리상의 번거로움도 감수해야 합니다.
프로젝트를 시작할 때 이러한 마이크로세그멘테이션 모범 사례를 고려하면 이렇게 획기적인 기술을 구현하는 데 따르는 부담을 줄일 수 있으며, 그 과정에서 발생하는 공통적인 장애물을 조기에 해결할 수 있습니다.
마이크로세그멘테이션을 방화벽의 대안으로 사용할 수 있을까요?
남북 트래픽을 고려해 설계된 기존의 경계 방화벽은 오늘날의 애플리케이션과 역동적인 워크로드를 보호하는 데 필요한 제어 기능과 성능을 제공할 수 없습니다. 기업에서는 경계 내부에 방화벽을 기술적으로 사용해 계층형 보안 모델을 구축할 수 있지만 대부분의 기업에서는 필요한 정책을 설정하고 관리하는 데 필요한 비용과 시간으로 인해 이 모델을 활용할 수 없습니다. 따라서 오늘날의 기업은 대규모의 동서 네트워크 트래픽을 사이버 공격으로부터 방어하기 위한 더 좋은 방법을 필요로 합니다.
비교적 평면적인 네트워크에서는 포트나 서버가 다른 포트나 서버와 통신할 수 있습니다. 즉, 서버 방화벽에 침해가 발생하면 공격자가 네트워크의 다른 여러 곳으로 쉽게 이동할 수 있습니다.
데이터 센터 내 측면 이동을 차단하는 것은 경계 보안 조치를 극복한 공격자에 대한 강력한 방어 수단이 됩니다. 마이크로세그멘테이션을 방화벽의 대안으로 활용하면 기업이 보다 세분화된 정책 제어 방침을 적용해 동서 활동을 제어하고 유출로 인한 영향을 제한할 수 있습니다.
애플리케이션 레이어(Layer 7)에 세그멘테이션 정책을 적용하면 Layer 7은 네트워크 서비스와 운영 체제가 통합되는 레이어이므로 측면 이동을 효과적으로 방지할 수 있습니다. 이러한 수준의 최신 마이크로세그멘테이션 기술을 통해 IT 보안 부서에서는 Layer 7에서 이루어지는 활동을 시각화하고 제어할 수 있을 뿐 아니라 기존의 Layer 4 접근 방식도 사용할 수 있습니다. 즉, 기업은 IP 주소와 포트에 의존하는 대신 특정 프로세스를 사용해 데이터 센터 내부의 세그멘테이션 정책을 정의할 수 있습니다. 또한 관리자는 프로세스, 사용자 ID 또는 정규화된 도메인 이름과 같은 특성을 기반으로 정책을 정의해 특정 보안 및 컴플라이언스 요구사항을 충족할 수 있습니다.
또한 마이크로세그멘테이션은 기존 방식에 비해 여러 가지 장점을 제공하므로 데이터 센터를 위한 내부 세그멘테이션 방화벽으로 이상적입니다. 이는 인프라에 병목을 일으키지 않고 소프트웨어 정의 세그멘테이션 정책을 만들고 적용하기 위해 서로 연동할 수 있는 각 시스템에서 에이전트를 실행합니다. 이러한 이유로 마이크로세그멘테이션은 현재 기반 인프라의 상태, 그리고 변화하는 IT 전략에 필요한 위치와 관계없이 환경 내에서의 활동을 검색하고 맥락을 구성할 수 있는 더 많은 가시 지점을 제공합니다. 또한 인프라 변경이나 다운타임 없이 정책을 만들고 관리할 수 있습니다. 이 방식은 훨씬 빠르고 간편할 뿐 아니라 IT 보안팀이 어느 곳이든 확장할 수 있는 일련의 제어 기능을 제공합니다. 마이크로세그멘테이션 (https://www.akamai.com/ko/our-thinking/microsegmentation으로 연결)을 방화벽의 대안으로 활용하면 워크로드를 데이터 센터에서 클라우드로 전환하는 경우 정책이 자동으로 이동합니다.
마이크로세그멘테이션이 제로 트러스트 전략에 적합한 이유는 무엇일까요?
Forrester에서 처음 소개한 제로 트러스트는 기존의 '성과 해자(castle and moat)' 보안 전략의 대안입니다. 과거에 널리 사용되었던 경계 중심의 방어 체계는 오늘날에 더이상 유효하지 않습니다. 동서 트래픽에서의 위협이 점점 더 심해짐에 따라 기업이 강력한 보안 포스처를 확보하려면 새로운 계층형 보안 접근 방식이 필요합니다.
이러한 제로 트러스트 프레임워크에서는 기본적으로 네트워크 안팎의 모든 사용자, 디바이스, 시스템 또는 연결이 이미 감염되었다고 가정합니다. 해당 원칙을 지원하는 아키텍처를 구축하는 동시에 정상적인 비즈니스 활동을 중단이나 지연 없이 계속할 수 있어야 합니다. 이 새로운 프레임워크는 도입 시점부터 네트워크 보안 전문가들에게 큰 반향을 불러일으켰습니다. 그러나 벤더사와 기업 모두 인프라 복잡성에 빠지지 않고 환경에서 이를 실현하는 방법을 찾기까지 수년이 걸렸습니다.
이제 Forrester 제로 트러스트 프레임워크 및 마이크로세그멘테이션과 같이 제로 트러스트를 지원하는 기술은 모든 규모의 기업에서 구현할 수 있을 만큼 성숙해졌습니다. Forrester의 제로 트러스트 프레임워크의 모든 측면을 다루는 보안 벤더사는 없지만, 마이크로세그멘테이션은 네트워크 보안팀이 제로 트러스트 이니셔티브의 성숙도를 획기적으로 높이는 데 도움이 될 수 있습니다.
제로 트러스트를 실현하기 위한 첫 번째 단계는 환경과 보호할 중요 자산을 완벽하게 이해하는 것입니다. 우수한 마이크로세그멘테이션 솔루션은 워크로드, 엔드포인트, 네트워크에서 자세한 정보를 수집하는 데 도움이 될 수 있습니다. 이러한 정보는 일반적인 통신 패턴과 함께 워크로드와 엔드포인트 간의 관계 및 의존성을 이해하는 데 도움이 됩니다.
그런 다음 이 데이터를 사용해 우선순위가 가장 높은 자산부터 시작해 제로 트러스트 프로그램의 기반을 구축할 수 있습니다. 세분화된 세그멘테이션 제어 방침을 사용하면 특정 애플리케이션 및 환경에 대해 팀이 명시적으로 승인한 활동만 허용하는 마이크로 경계를 만들 수 있습니다. 제로 트러스트는 기본적으로 명시적으로 허용 및 확인되지 않은 모든 작업을 거부하는 정책을 구현하는 것입니다. 그러나 소프트웨어 정의 마이크로세그멘테이션은 IT 보안팀이 새로운 보안 사용 사례나 변화하는 비즈니스 요구사항에 맞게 정책을 신속하게 수정할 수 있는 민첩성을 제공합니다.
제로 트러스트를 위한 가시성과 정책 기반을 제공하는 것 외에도 마이크로세그멘테이션 솔루션은 제로 트러스트 정책의 잠재적 위협과 위반 가능성을 지속적으로 감시해야 합니다. 그러면 애플리케이션, 시스템, 환경이 시간이 지남에 따라 변하더라도 제로 트러스트 포스처를 유지할 수 있습니다.
마이크로세그멘테이션이 컴플라이언스에 도움이 될 수 있나요?
오늘날 컴플라이언스 요건 충족과 관련해 기업들은 점점 더 역동적인 환경에서 어려움을 겪고 있습니다. 규정 자체가 엄격해짐에 따라 보안 감사가 점점 더 일반화되고 있으며 규정 미준수에 따른 책임이 더욱 커지고 있습니다. 여기에는 벌금, 비즈니스 평판 훼손, 컴플라이언스가 달성될 때까지 발생하는 매출 손실이 포함됩니다.
더이상 IT 인프라를 물리적으로 분리하는 것만으로는 충분하지 않습니다. 워크로드가 동적으로 변화했으며 CDE는 자동 확장 또는 예측할 수 없는 변경을 허용하는 계층을 포함해 정적이지 않습니다. PCI DSS 규정의 범위에 속하는 네트워크 및 애플리케이션은 복잡합니다. 컨테이너 및 VM과 같은 하이브리드 환경을 포함해 여러 시스템을 포괄할 수 있으며, 물리적 위치 또는 시간대에 걸쳐 작동하기도 합니다.
마이크로세그멘테이션은 PCI DSS와 같은 컴플라이언스 규정을 충족하는 데 널리 사용되고 있습니다. 제대로 된 솔루션은 하이브리드 환경을 포함한 전체 인프라에 걸친 트래픽과 데이터 흐름에 대한 탁월한 가시성을 제공할 수 있습니다. 그러면 네트워크를 세그멘테이션해 범위를 줄이고 프로세스 수준에서 통신을 제한하는 데 도움이 됩니다. 이를 통해 보안 침해가 발생한 경우 측면 이동 또는 선회로부터 CDE를 보호할 수 있습니다. 룰 생성 시 유연한 정책 엔진을 사용하면 마이크로세그멘테이션 접근 방식을 완벽하게 제어할 수 있으므로 안전하지 않은 프로토콜에 대한 권한 및 동작과 같은 보다 심층적인 요구사항을 충족할 수 있습니다.
PCI 컴플라이언스 등을 위해 마이크로세그멘테이션을 사용하면 프로세스 수준에서 모든 애플리케이션 및 워크로드에 대한 강력한 가시성을 확보하고, 컴플라이언스 규정을 충족하기 위해 드릴다운하는 유연한 정책을 구축하고, 이를 적용해 모든 감사에 대비할 수 있는 전반적인 보안 포스처를 제어할 수 있습니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 대표적인 기업들은 매일 수십억 명의 사람들의 생활, 업무, 여가를 지원할 디지털 경험을 구축하고, 전송하고, 보호하기 위해 Akamai를 선택합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로,앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.