퍼블릭 클라우드 환경에 마이크로세그멘테이션을 배포하는 5가지 사용 사례
퍼블릭 클라우드는 변화하는 비즈니스 요구 사항에 맞게 쉽게 확장할 수 있는 탄력적인 온디맨드 환경을 구축했습니다.애플리케이션이 정적 모놀리식 코드 블록에서 마이크로서비스로 전환되었습니다. 마이크로서비스는 대규모 자동화에 의존하는 다양한 지역, 다양한 운영 체제를 갖춘 다양한 퍼블릭 클라우드 제공업체에 배포할 수 있습니다. 이로 인해 기존 보안 관행에 도전하여 위험 노출을 줄이고 악의적인 공격자의 횡단 이동을 방지할 수 있습니다.
의 규모와 범위로 사이버 공격 끊임없이 진화하고 있으며, 점점 더 많은 조직이 심층 방어 전략의 필수 부분으로 마이크로세그멘테이션을 구현하고 있습니다.300명 이상의 IT 전문가를 대상으로 한 최근 설문 조사에 따르면, 45% 가 현재 세그멘테이션 프로젝트를 가지고 있거나 계획 중인 것으로 나타났습니다.
모든 주요 퍼블릭 클라우드 제공업체는 자체 클라우드 보안 솔루션을 보유하고 있어 기본 수준의 정책 시행도 가능합니다.클라우드 컴퓨팅이 확장됨에 따라 퍼블릭 클라우드 공급자에게 보안 그룹을 늘려달라고 요청할 수 있는데, 이로 인해 운영이 복잡해지고 규칙 확장으로 인한 위험이 커질 수 있습니다.또한 이러한 클라우드 보안 도구는 전체 아키텍처에 격리되어 있습니다.각 보안 솔루션은 샌드박스에서 다른 솔루션과 잘 어울리지 않으며, 모든 보안 솔루션 간의 보안 침해 상관 관계를 파악하는 것은 해결에 큰 지연을 초래하는 번거로운 작업입니다.이 과제에 대한 자세한 내용은 이 게시물을 확인해 보세요 제 동료 크리스터한테서요.
보안 제어에는 진화 이제 애플리케이션 및 비즈니스 프로세스의 컨텍스트에서 클라우드 컴퓨팅 인스턴스를 볼 수 있는 기능을 제공하므로 사용자는 기본 제공 기능을 활용하여 위험을 더 잘 이해하고 정책을 구축할 수 있습니다. 스테이트풀 방화벽 각 컴퓨팅 인스턴스에서 사용할 수 있습니다.
패킷 생성 시 첫 번째 단계는 다음과 같습니다. 첨부 정책.패킷이 네트워크 포워딩 플레인에 도달할 즈음에는 이미 보안이 적용된 것입니다.이 접근 방식을 사용하면 작업이 진행되는 위치와 매우 가까운 위치에 클라우드 보안이 적용되고 제어 기능은 다음과 같습니다. 네트워크와 무관함.네트워크 및 보안은 분리되었습니다 두 세계의 장점을 모두 누리기 위해서죠.
이 글에서는 다섯 명의 공개에 대한 답변을 드리겠습니다. 클라우드 보안 조직에서 마이크로세그멘테이션을 고려할 때 흔히 제기되는 질문입니다.
1.워크로드의 전체 수명 주기 동안 클라우드 보안을 적용할 수 있습니까?
물론이죠.클라우드 보안 제어는 생성부터 종료까지 전체 라이프사이클 동안 워크로드에 자동으로 적용됩니다.
오케스트레이션 도구 (예: Ansible, Chef, Puppet) 를 Illumio의 애플리케이션 프로그램 인터페이스 (API) 와 통합하면 워크로드가 다음과 같이 연결됩니다. 일루미오의 정책 컴퓨팅 엔진 (PCE). 페어링 중에 워크로드와 관련된 태그가 PCE의 레이블에 매핑되고 워크로드는 PCE의 레이블을 사용하여 생성된 올바른 보안 정책 세트를 상속합니다.워크로드의 레이블이 잘못된 경우 레이블을 변경하면 적절한 정책 변경이 자동으로 트리거됩니다.워크로드 IP 주소가 변경되면 PCE는 새 IP 주소를 자동으로 선택합니다.보안 정책은 네트워크에서 분리되므로 더 이상 변경할 필요가 없습니다.워크로드가 종료되면 PCE는 적절한 정책 변경을 자동으로 트리거합니다.
네트워크와 세그멘테이션을 분리하면 정책 변경이 자동으로 트리거되어 전체 라이프사이클 동안 워크로드에 적절한 보안 제어 기능이 적용됩니다.보안은 항상 중요했지만 조직이 비즈니스 운영을 위해 소프트웨어에 대한 의존도가 높아짐에 따라 비즈니스 위험을 최소화하기 위해 보안을 제대로 갖추는 것이 점점 더 중요해지고 있습니다.
2.퍼블릭 클라우드에서 실시간 애플리케이션 가시성이 가능한가요?
장담하죠.애플리케이션은 한 곳에 있지 않습니다.그들은 서로 대화하며, 이것이 바로 비즈니스 프로세스가 작동하는 방식입니다.
애플리케이션 종속성에 대한 실시간 가시성은 정확한 세그멘테이션 정책을 추진하는 애플리케이션 동작을 이해하는 데 도움이 됩니다.마이크로서비스는 다양한 퍼블릭 클라우드 제공업체와 여러 지역에 배포되므로 애플리케이션 중심의 가시성은 우수한 보안을 위한 필수 기반입니다.
일루미오 코어 (구 일루미오 ASP) 는 실시간 기능을 제공합니다. 애플리케이션 종속성 맵 워크로드와 애플리케이션 간의 통신을 시각화하는 일루미네이션이라고 합니다.맵의 선은 클라우드에서든 온프레미스에서든 워크로드 간에 감지된 트래픽 흐름을 나타냅니다.Illumio는 선을 빨간색과 녹색으로 표시하여 해당 연결이 허용되었는지 차단되었는지를 나타냅니다. 마이크로세그멘테이션 정책.
아래 스크린샷은 애플리케이션 종속성 맵을 보여줍니다. 자산 관리 애플리케이션 내 프로덕션 환경.여기서 맵의 선은 감지된 워크로드 간 트래픽 흐름을 나타냅니다.Illumio는 선을 빨간색과 녹색으로 표시하여 마이크로세그멘테이션 정책에 의해 연결이 허용되는지 차단되었는지를 나타냅니다.녹색 선은 연결을 허용하도록 정책이 작성되었음을 의미합니다.빨간색 선은 정책이 존재하지 않음을 의미하며, 적용 모드로 전환하면 연결이 차단됩니다.빨간색과 초록색 선을 통해 세그멘테이션 정책 및 정책 위반을 매우 쉽게 시각화할 수 있습니다.색맹으로 고통받고 계신가요?일루미오 ASP는 사용자에게 다음과 같은 기능을 제공합니다. 색각 장애 옵션.

일루미오의 에이전트가 있을 때 가상 단속 노드 (VEN) 은 워크로드에 설치되고 PCE와 연결되므로 가시성과 적용이 가능합니다.VEN과 PCE의 페어링은 Ansible 및 Terraform과 같은 도구를 사용하여 자동화됩니다.
VEN이 워크로드에 설치되지 않은 경우 공유 솔루션을 사용하여 일루미오 랩스, 고객은 마이크로소프트 애저 및 아마존 AWS에서 실행되는 워크로드의 애플리케이션 종속성을 PCE에서 시각화할 수 있습니다.
3.멀티 클라우드 전반에서 클라우드 보안 제어를 검증할 수 있나요?
응용 프로그램을 중단하지 않고도 확실히 할 수 있습니다.멀티 클라우드 배포에서 가장 큰 문제 중 하나는 각 공급자가 개념적으로는 비슷할 수 있지만 구현 방식이 크게 다를 수 있는 제어 기능을 제공하기 때문에 일관된 보안이 부족하다는 것입니다.Illumio는 보안 정책을 개발할 때 인프라에 대한 지식이나 제어에 의존하지 않고 애플리케이션에서 기본 클라우드를 추출합니다.
Illumio는 보안 제어를 검증하기 위한 두 가지 솔루션을 제공합니다.
- 조명을 초안 보기로 전환하여 초안 정책을 시각화하여 변경 사항을 프로비저닝할 때 어떤 일이 발생하는지 확인할 수 있습니다.
- 워크로드 정책 상태를 로 전환 테스트 규칙 세트의 모든 규칙을 적용하고 워크로드를 강제 정책 상태로 전환할 때 차단될 모든 트래픽을 시각화합니다.차단된 트래픽은 없습니다. 테스트 상태.
4.PaaS (서비스형 플랫폼) 에서 마이크로세그멘테이션이 가능한가요?
네.Illumio Labs는 Microsoft Azure SQL 데이터베이스와 Amazon AWS RDS에 대한 가시성과 적용 기능을 제공하는 솔루션을 공유했습니다.
Illumio Labs는 가시성과 집행을 위한 세 단계를 설명합니다. 여기, Azure SQL 데이터베이스 서버를 보호하는 서버 수준 방화벽은 PCE에 정의된 보안 정책을 사용하여 프로그래밍됩니다.
일루미오 랩스 또한 개략적으로 설명합니다 가시성 및 집행을 위한 6단계S3 버킷은 PCE에 정의된 보안 정책을 기반으로 VPC 보안 그룹을 재프로그래밍하는 Lambda 함수를 트리거하는 흐름 로그를 저장하는 데 사용됩니다.
5.Illumio가 주요 클라우드 보안 침해에 도움을 줄 수 있을까요?
의심의 여지가 없습니다.보안이 잘못되면 데이터가 손실될 수 있습니다. 데이터 침해, 민감한 데이터 노출, 수익에 미치는 영향, 브랜드에 미치는 지속적인 영향, 심지어 규정 준수와 관련된 처벌까지.보안은 인프라 및 애플리케이션 전반의 진화를 따라가지 못했습니다.새로운 방식으로 보안에 접근하고 애플리케이션 환경과 보호 방법에 대해 다르게 생각해야 합니다.
보안 침해로 인한 가장 큰 문제 중 하나는 측면 이동입니다.Illumio는 측면 이동을 멈추고 폭발 반경을 줄이도록 설계되었습니다.Illumio는 기본적으로 다음과 같은 것을 따르도록 설계되었습니다.허용 목록” 모델을 사용하면 워크로드가 손상되면 다른 모든 워크로드의 보안 정책이 자동으로 업데이트되어 손상된 워크로드의 트래픽을 차단합니다.
인터넷 보안 센터 (CIS) 보안 제어 이니셔티브는 널리 채택되어 왔으며 10년이 넘었습니다.통제는 가장 일반적인 것에서 파생되었습니다. 공격 패턴 주요 위협 보고서에서 강조되었으며 매우 광범위한 정부 및 업계 종사자 커뮤니티에서 심사를 거쳤습니다.여기에는 상업 및 정부 포렌식 및 사고 대응 전문가의 종합적인 지식이 반영되어 있습니다.Illumio의 기능은 사용자에게 직접적인 도움을 줍니다. CIS 기본 사항 충족 또는 지원, 기본 및 조직적 통제.
간략한 요약
마이크로세그멘테이션은 예방을 위한 매우 효과적인 접근 방식입니다. 무단 측면 이동 조직 내에서 이것이 핵심 원칙이 된 것은 우연이 아닙니다. 제로 트러스트 프레임워크.
조직이 비즈니스 요구 사항에 맞게 확장됨에 따라 퍼블릭 클라우드 제공업체 전반에서 작동하는 일관된 보안 제어를 구축하는 것이 위험 노출을 줄이고 복잡성을 줄이는 데 매우 중요합니다.마이크로세그멘테이션 여정의 첫 단계를 밟을 준비가 되셨나요? 30일 무료 평가판 등록.