.png)
적용 범위: 랜섬웨어를 넘어선 7가지 사용 사례
집행 경계는 위험 감소를 위한 스위스 육군의 칼입니다.이러한 유명한 빨간색 도구는 치즈와 사과를 자르는 것 외에도 훨씬 더 많은 일을 할 수 있으며, 단속 경계는 랜섬웨어와 싸우는 것 외에도 훨씬 더 많은 일을 할 수 있습니다.
에서 이전 블로그 게시물, 집행 경계를 통해 사전 예방적 및 사후 대응적으로 랜섬웨어를 퇴치하는 데 어떻게 도움이 되는지 설명했습니다.이제 제로 트러스트에 대한 이 혁신적인 접근 방식의 다른 사용 사례를 보여드리고자 합니다.
집행 경계 모든 운영 체제 또는 애플리케이션 인스턴스 주변에 가상 방화벽을 생성하여 작동합니다.기본적으로 워크로드를 제로 트러스트 세그먼트로 전환합니다.이를 통해 모든 포트, 워크로드, 워크로드 그룹 또는 IP 범위 주변에 보호 경계를 둘 수 있습니다.그리고 완전한 제로 트러스트 설정을 사용할 때보다 훨씬 빠르고 쉽게 이 작업을 수행할 수 있습니다.
랜섬웨어에 대항하는 것 외에도 적용 범위를 사용할 수 있는 7가지 방법은 다음과 같습니다.
1.별도의 환경
양방향 적용 경계는 두 환경 사이에 가상 벽을 만들 수 있습니다.이는 고객 데이터를 처리하는 프로덕션과 그렇지 않은 개발을 구분할 때 특히 유용합니다.
이 두 환경은 일반적으로 대화하지 않아야 합니다.예를 들어 병원 환경에서는 개발자에게 환자 정보에 대한 액세스 권한을 부여하지 않을 것입니다.기존의 접근 방식은 다양한 디바이스를 서로 다른 네트워크 세그먼트에 배치하는 것이었습니다.하지만 여기서는 디바이스와 해당 IP 주소가 일정하다고 가정하므로 오늘날에는 더 이상 안전하지 않다는 가정이 깔려 있습니다.
시행 경계가 설정되면 각 환경 내의 데이터 흐름이 정상적으로 계속되고 팀 구성원이 방해받지 않고 작업할 수 있습니다.하지만 허용 목록에 명시적으로 정의되어 있지 않는 한, 어떤 흐름도 정의된 경계를 넘을 수 없습니다.
2.새로운 환경을 분리하세요
기업이 인수되거나 합병될 때 인수 조직은 새 부서의 데이터 흐름을 제한하고자 할 수 있습니다.집행 경계를 사용하여 매우 특정한 트래픽만 새 자회사에서 넘어오도록 허용할 수 있습니다.
이는 새로 인수한 회사의 법무 팀이 인수 회사의 법무 팀과 커뮤니케이션하도록 하는 것을 의미할 수 있습니다.하지만 이는 다른 모든 회사 내부 트래픽이 차단된다는 의미일 수도 있습니다.
3.PCI-DSS 세그멘테이션
더 결제 카드 업계 데이터 보안 표준 (PCI-DSS) 에서는 결제 카드 데이터가 포함되어 있는지 확인하기 위해 카드 소지자 데이터 환경 (CDE) 주변에 제어 기능을 배치하도록 규정하고 있습니다.
조직은 신속하게 규정을 준수하기 위해 PCI-DSS 애플리케이션 컬렉션과 기타 시스템 간의 시행 경계를 정의할 수 있습니다.이렇게 하면 조직에서 CDE에 추가하는 특정 흐름을 제외하고 CDE에서 CDE 외부로 이동하는 모든 트래픽이 차단됩니다. 허용 목록.
4.점프 호스트에 대한 관리자 액세스 잠금
점프 호스트는 별도의 보안 영역에서 디바이스를 관리하는 데 사용되는 네트워크 상의 시스템입니다.관리자가 점프 호스트에 로그인하면 다른 서버에 로그인할 수 있습니다.이러한 이유로 조직에서는 알려진 시스템 관리자만 관리자 액세스 프로토콜을 사용할 수 있도록 하고자 합니다.
시행 경계는 프로덕션, 테스트, 통합 및 개발 그룹을 구분하는 데 도움이 될 수 있습니다.이는 적응형 사용자 세분화를 사용하여 Active Directory 멤버십을 기반으로 내부 앱에 대한 액세스를 제한합니다.
또한 적용 경계는 원격 데스크톱 프로토콜 (RDP) 과 보안 셸 (SSH) 모두에 대한 액세스를 제한할 수 있습니다.그러면 특정 그룹에만 액세스 권한을 부여할 수 있습니다.
5.인바운드 전용 집행
시행 경계를 사용하여 단방향 데이터 흐름을 설정할 수 있습니다.이는 조직에서 보호 대상 애플리케이션에 액세스할 수 있는 사용자와 대상을 정의할 때 세그멘테이션 프로젝트를 시작할 때 도움이 될 수 있습니다.
복잡한 요소는 이러한 응용 프로그램이 범위 내에 있지 않은 다른 응용 프로그램의 데이터를 사용할 수 있다는 것입니다.이를 위해서는 조직에서 아웃바운드 정책을 설정해야 하므로 추가 작업이 필요할 수 있습니다.
적용 경계는 보호된 애플리케이션에 대한 인바운드 흐름만 허용하여 이러한 요구 사항을 제거할 수 있습니다.
6.IT/OT 연결 제어
조직 내부에는 긴급한 보호 대상인 중요한 자산이 있습니다.다음과 같은 것들이 있을 수 있습니다. 가상 적용 노드(VEN) 이 설치되었습니다.
비관리형 워크로드와 정의된 VEN 집합 간에 적용 경계를 적용할 수 있습니다.예를 들어, 다음과 같은 기능이 있는 조직이 있습니다. 메인프레임 시스템 시행 경계를 사용하여 해당 시스템과 승인되지 않은 앱 간의 연결을 차단할 수 있습니다.
7.DMZ 내부의 동서 트래픽 격리
대부분의 비무장 지대 (DMZ) 는 방화벽에 연결되어 있지만 범죄자는 손상된 DMZ 호스트를 사용하여 동일한 구역의 다른 호스트로 피벗할 수 있습니다.
적용 경계는 DMZ 내부의 모든 워크로드를 분리하는 데 도움이 될 수 있습니다.그러면 트래픽은 두 가지 테스트, 즉 정의된 허용 목록을 준수하는 테스트만 통과할 수 있습니다.둘째, 더 적절한 기간 내에 다른 애플리케이션 정책을 검토하고 입증할 수 있습니다.
일루미오의 접근법
Illumio의 “적용 및 확장” 접근 방식 적용 범위를 사용하면 빠르고 쉽게 배포할 수 있습니다.허용 목록 정책은 시행하기 전에 완벽해야 하지만 반대로 적용 경계는 몇 분에서 몇 시간 만에 설정, 배포 및 시행할 수 있습니다.
Illumio는 “무엇”, 즉 차단하려는 대상만 정의할 수 있는 선언적 모델을 사용하므로 Illumio가 “방법”을 처리하도록 합니다.마치 Alexa 디바이스에 “음악을 재생해 줘”라고 요청하는 것과 같습니다.시스템이 어떻게 작동하는지 알 필요는 없습니다. 원하는 기능만 알면 됩니다.
배포하기 전에 시행 경계를 테스트하고 시뮬레이션할 수도 있습니다. “배포 및 기도”는 작별하고 “제대로 작동합니다”라고 인사하세요.
Illumio Core가 어떻게 가속화되는지 자세히 알아보려면 워크로드 보안:
- 체크아웃 “Illumio를 통한 간소화된 제로 트러스트 세그멘테이션.”
- 웨비나를 시청하십시오. 자동화된 단속 기술 발전: 랜섬웨어 및 사이버 공격으로부터 보호.
.webp)
