클라우드 보안에 집중: 제로 트러스트 세그멘테이션이 클라우드를 보호하는 방법
우리는 퍼블릭 클라우드로 관심을 돌려 사이버 보안 인식의 달 시리즈를 계속합니다.
언뜻 보면 클라우드 자산 보안 개념적으로는 데이터 센터에서 보안을 유지하는 것과 다르지 않습니다.ID, 액세스 제어, 보안 연결 등 모든 것이 동일합니다.
하지만 인프라 계층을 소유하지 않고 대부분의 서비스가 DNS 주소에 대한 API 호출에 불과하면 결국 완전히 동일하지 않게 됩니다.
어떤 IP 주소에 어떤 연결이 필요한지 정확히 알기는 어렵습니다.클라우드 네이티브 방화벽에는 IP 주소와 수동 프로세스에 전적으로 의존하는 기본적인 텍스트 기반 인터페이스가 있습니다.
물론 자동화될 수는 있지만 누가 그 코드를 작성할까요?이미 바쁜 데브옵스 팀?또 다른 수동 작업 아닌가요?그리고 이러한 노력은 결국 데이터 센터의 액세스 정책과 분리되어 또 다른 번역 계층과 수동 작업이 필요합니다.
다행스럽게도 클라우드를 보호하는 더 좋은 방법이 있습니다. 제로 트러스트 세그멘테이션.
제로 트러스트 세그멘테이션을 통해 사이버 공격의 확산으로부터 클라우드를 보호하는 4가지 주요 방법이 있습니다.
일루미오의 수석 에반젤리스트인 나다나엘 아이버슨의 동영상 하이라이트를 들어보세요.
그리고 자세히 알아보려면 계속 읽어보세요.
1.네트워크 통신 흐름에 대한 완벽한 가시성
클라우드에서 사용되는 서비스, 애플리케이션, 데이터 스토어 중 상당수가 API 호출을 통해 이루어지면 기존의 네트워크 흐름 분석으로는 클라우드 연결성에 대한 유용한 정보를 얻을 수 없는 경우가 많습니다.
제로 트러스트 세그멘테이션은 클라우드 시스템 인벤토리 및 연결 테이블에 직접 연결하는 것으로 시작됩니다.즉, 엘라스틱 네트워크 인터페이스 (ENI) 가 있는 모든 것이 자동으로 검색되고, 메타데이터가 수집되어 이름 지정에 사용되며, 애플리케이션 종속성 맵에 배치됩니다.
그 결과, 애플리케이션 종속성 맵 끊임없이 변화하는 IP 주소를 기반으로 하는 것이 아니라 조직에서 이미 시간과 노력을 들여 만든 이름 지정 및 개체 규칙을 기반으로 합니다.
이 맵은 EC2 인스턴스부터 Kubernetes 및 컨테이너화된 오브젝트, SaaS 서비스, 클라우드 애플리케이션 및 서비스 브로커 등 거의 모든 통신 흐름을 포괄적으로 다룹니다.
정보는 애플리케이션 및 서비스별로 깔끔하게 정리되고 클라우드, 인프라 및 보안 팀의 모든 사람이 맵을 읽을 수 있도록 이름이 지정됩니다.이 뷰는 VPC, 서브넷 및 영역과 관계없이 실제 연결 토폴로지를 보여줍니다.
2.자동화되고 최적화된 세그멘테이션 정책
애플리케이션 종속성 맵과 사물이 어떻게 연결되어 있는지 명확하게 이해하면 연결이 얼마나 잘 보호되고 있는지 묻는 것은 당연합니다.이러한 서비스가 부적절하게 액세스되거나 중단될 수 있는 위험은 무엇입니까?
제로 트러스트 세그멘테이션에는 정책 자동화 및 최적화가 포함되므로 진정한 제로 트러스트, 최소 권한 결과 달성 및 유지 관리가 쉽습니다.
보안 팀에 통신 흐름을 알려주는 동일한 애플리케이션 종속성 맵은 정책 자동화 코드에도 다음과 같은 정보를 제공할 수 있습니다.
- 필요한 연결을 분석합니다.
- 이러한 연결을 현재 VPC 정책과 비교합니다.
- 그런 다음 필요한 연결이 허용되고 다른 모든 연결이 거부되도록 보안 정책을 최적화하고 강화하는 방법에 대한 권장 사항을 제시합니다.
그러면 에이전트 없이 결과 정책 권장 사항을 클라우드 네이티브 방화벽에 직접 구현할 수 있습니다.
제로 트러스트 세그멘테이션은 네이티브 방화벽에 쓰기 때문에 대상에 관계없이 트래픽을 제어할 수 있습니다.EC2에서 EC2로?네.EC2를 쿠버네티스 클러스터로?물론이죠.람바 함수에 SaaS 서비스를 제공할까요?물론이죠.
제로 트러스트 세그멘테이션은 완전한 API 기반 및 API 액세스가 가능한 자동화된 에이전트 없는 세그멘테이션을 제공합니다.클라우드의 메타데이터를 사용하므로 이제 서비스로서의 세그멘테이션을 사용할 수 있습니다.
CloudOps 및 자동화 팀은 IP 주소 및 방화벽 정책으로의 모든 변환을 처리하고 애플리케이션 토폴로지 변경을 자동으로 처리하는 신뢰할 수 있는 메타데이터 기반 추상화 계층에 액세스할 수 있습니다.
3.클라우드, 데이터 센터 및 엔드포인트 환경을 위한 올인원 가시성 및 제어
Zero Trust Segmentation이 제공하는 클라우드 네이티브 기능 중 일부를 방금 살펴보았지만, 가장 좋은 소식은 이러한 기능에는 여전히 데이터 센터 및 엔드포인트 환경에 대한 완전한 가시성과 제어 기능도 포함되어 있다는 것입니다.
어떤 구름도 섬이 아닙니다.
사용자와 관리자는 클라우드에 액세스하고 클라우드는 데이터 센터 및 코로케이션 시설의 시스템과 통신합니다.클라우드 제공업체 간의 커뮤니케이션은 끊임 없이 진행되는 경우가 많습니다.
제로 트러스트 세그멘테이션은 단일 정책 모델, 시각화 및 정책 배포 계층을 제공하여 서로 다른 모든 환경을 협업적이고 원활한 워크플로우로 연결합니다.클라우드 API에서 시각화된 시스템은 데이터 센터, VDI 인스턴스 또는 사용자 엔드포인트에서 검색된 시스템과 동일한 화면에 나타납니다.
엔드포인트와 함께 배포할 경우 제로 트러스트 세그멘테이션은 클라우드 워크로드에 대한 ID 기반 세그멘테이션 및 액세스 제어를 제공합니다.
4.운영 레질리언스 개선
세그멘테이션 정책을 위한 범용 허브가 있다는 것은 모든 시스템을 공통 정책에 쉽게 포함시킬 수 있다는 것을 의미합니다.
많은 조직은 사전 예방적이고 사후 대응적인 세그멘테이션 정책을 사전 프로비저닝하여 사고 대응을 강화하고자 합니다.아이디어는 간단하며 모든 사람이 보안 침해를 발견하는 즉시 취해야 한다는 사실을 알고 있는 조치를 기반으로 합니다. 바로 강화입니다. 세그멘테이션 제어.
사이버 공격이 발생할 경우 가장 중요한 시스템을 보호하기 위해 즉시 구현하려는 비상 정책은 무엇입니까?
제로 트러스트 세그멘테이션을 사용하면 이러한 정책을 미리 만들고 구현할 수 있으므로 즉시 활성화할 수 있습니다.무엇보다도 이러한 정책은 클라우드, 데이터 센터 및 엔드포인트 환경으로 확장될 것입니다.
제로 트러스트 세그멘테이션을 사용하면 클라우드 기반 컨테이너 배포부터 데이터 센터의 가상 머신에 이르기까지 모든 시스템이 준수해야 하는 기본 정책을 쉽게 마련하고 해당 정책을 모든 곳에 적용할 수 있습니다.
제로 트러스트 세그멘테이션으로 클라우드 보안 태세 강화
조직은 가용성, 민첩성을 확보하고 글로벌 배포를 자동화하는 등의 목적으로 클라우드로 전환합니다.
제로 트러스트 세그멘테이션은 서비스형 세그멘테이션을 제공하는 데 필요한 가시성, 자동화 및 적용 범위를 제공합니다.클라우드 제공업체 API에서 직접 스트리밍되는 정보를 사용한 자동화된 가시성 및 연결 매핑으로 시작됩니다.그러면 이 데이터를 바탕으로 세그멘테이션 정책을 최적화하고 강화하는 방법을 제안하는 강력한 자동화 및 최적화 코드가 제공됩니다.
이러한 정책을 배포하면 필요에 따라 클라우드, 데이터 센터 및 엔드포인트 시스템으로 푸시할 수 있습니다.클라우드는 데이터 센터와 차이가 있지만 클라우드 메타데이터, 연결 정보 및 API를 활용하면 조직이 클라우드 배포 시 자동화된 세그멘테이션 정책을 추진할 수 있다는 것이 밝혀졌습니다.
마지막으로, 다음을 최적화하는 완전 자동화된 클라우드 세분화가 있습니다. 제로 트러스트 원칙.
사이버 보안 인식의 달은 한발 물러서서 클라우드에서의 보안 태세에 가장 큰 영향을 미칠 제로 트러스트 세그멘테이션과 같은 기능을 고려해 볼 수 있는 좋은 기회입니다.
다음 주에는 사이버 보안 인식의 달에 다시 초점을 맞출 주제에 대한 시리즈를 계속할 예정입니다.
클라우드 보안에 대해 자세히 알아보고 싶으신가요?e북을 읽어보세요. 클라우드 보안에 대해 몰랐을 수도 있는 5가지