연방 OMB 제로 트러스트 메모는 기관에 마감일을 통보합니다

2021년 5월, 바이든 행정부가 출범했습니다. 행정 명령 14028, 국가의 사이버 보안 개선 솔라윈즈와 콜로니얼 파이프라인 공격의 여파로이 명령은 사이버 복원력을 높이고 정부 기관의 위험을 줄이는 것을 목표로 했습니다.이를 통해 기업은 단 60일 만에 제로 트러스트 아키텍처를 구현하기 위한 계획을 개발하도록 지시했습니다.글로 작성 주문에 대한 응답Illumio 연방 국장 마크 신세비치 (Mark Sincevich) 는 기관들이 아키텍처를 구축하고 연방 시스템에 구현하기 위해서는 운영 로드맵이 필요하다고 언급했습니다.

그 로드맵은 무엇입니까? 각서 M-22-09, 1월 26일 출시^th 관리 예산 사무소 (OMB) 에서 발간한, 기한이 정해진 연방 제로 트러스트 아키텍처 전략 지침이 제시되었습니다.

이 지침은 각서 발행 후 60일 이내에 OMB와 CISA에 FY22-FY24 이행 계획을 제출하도록 기관에 지시합니다.메모에는 기관이 기술 수준에서 달성할 것으로 예상되는 목표, 완료해야 할 작업, 필요한 예산 계획이 명확하게 설명되어 있습니다.일부 마일스톤은 12개월이고 다른 마일스톤은 24개월입니다.이 메모는 2024 회계연도 말까지 기관들이 제로 트러스트 계약을 체결할 것으로 예상되는 분야에 대한 필수 지침을 제공합니다.

이 메모는 OMB가 기관이 구현하기를 기대하는 것과 플랫폼 또는 솔루션이 제공할 수 있는 것을 직접적으로 보여줍니다.잘못 정의된 요구 사항과 공급업체가 제공할 수 있는 것 사이에서 굳이 고민할 필요는 없습니다.

메모의 요구는 야심적입니다.하지만 기관들이 제로 트러스트 태세를 발전시키려면 거의 3년이 남았으며, 2024년 12월이면 대다수가 요구 사항의 상당 부분을 달성했거나 이를 위한 확실한 계획을 세울 것으로 예상합니다.하지만 메모에는 진행 상황을 측정하고 성공을 측정하는 방법이 명시되어 있지 않으므로 이러한 지표의 정의와 추적은 채택을 촉진하는 데 필수적입니다.

CISA의 다섯 가지 제로 트러스트 기둥

각서에 명시된 전략적 목표는 다섯 가지 기둥으로 구성된 사이버 보안 및 인프라 보안국 (CISA) 의 제로 트러스트 성숙도 모델과 일치합니다.

1. 정체성
2. 디바이스
3. 네트웍
4. 애플리케이션 및 워크로드
5. 데이터

Mark가 블로그에서 언급한 것처럼 제로 트러스트를 달성하기 위해 에이전시가 구현할 수 있는 기술은 하나도 없습니다.하지만 Illumio는 각서에 언급된 많은 목표에 기여하고 이를 직접 지원할 수 있습니다.예를 들어, 연방 정부는 정체성의 원칙에 따라 “정부에서 승인된 용도로 작동하고 이러한 장치에서 발생하는 사고를 예방, 탐지 및 대응할 수 있는 모든 장치의 전체 인벤토리”를 보유해야 합니다.

Illumio는 컨텍스트와 함께 완전한 가시성을 제공하여 위험과 장치 간의 관계를 이해함으로써 기관의 엔드포인트 탐지 및 대응 (EDR) 기능을 강화할 수 있습니다.EDR 도구를 사용하면 개별 장치에서 어떤 일이 벌어지고 있는지 알 수 있습니다.Illumio의 매핑 기능을 사용하면 장치 간의 상호 작용과 관계를 확인하고 허용해야 하는 항목과 허용되지 않는 항목을 더 명확하게 파악할 수 있습니다.

물론 메인프레임과 같은 특정 시스템은 EDR 도구가 운영 체제에 설치되도록 설계되었기 때문에 EDR 도구와 호환되지 않습니다.하지만 Illumio는 이러한 시스템에서 흐름 데이터를 수집하여 동일한 종속성 맵에 해당 시스템과 상호 작용을 표시할 수 있습니다.그리고 이 상세한 실시간 종속성 맵은 제로 트러스트 세그멘테이션을 향한 필수적인 첫 단계입니다.

네트워크 및 애플리케이션 워크로드 보호

네트워크에 관한 각서의 핵심 문구는 “기관은 다양한 애플리케이션 및 기업 기능에 대한 가시성 또는 액세스를 향상시킬 수 있는 광범위한 전사적 네트워크를 유지하는 관행에서 벗어나야 한다”고 주장합니다.네트워크 섹션의 전반적인 목표는 네트워크 경계를 격리된 환경으로 나누는 것입니다.다시 말해, 세그멘테이션을 구현하는 것입니다.

워크로드 측면에서 각서는 기관에 “가상 사설망 (VPN) 또는 기타 네트워크 터널에 의존하지 않고 안전한 방식으로 애플리케이션을 인터넷에 액세스 할 수 있도록”하도록 지시합니다.정부 기관은 내부용 연방 정보 보안 관리법 (FISMA) 의 중재 애플리케이션을 하나 이상 식별하여 공용 인터넷을 통해 완벽하게 작동하고 액세스할 수 있도록 해야 합니다.

종합해 보면 다음과 같은 메시지가 있습니다. 네트워크에서 어떤 것도 신뢰할 수 없다고 가정할 수 없으며 모든 애플리케이션을 주변의 다른 모든 것이 신뢰할 수 없는 것처럼 보호해야 합니다.대신 네트워크의 모든 리소스가 악의적인 공격자에 의해 손상될 수 있다는 보안 침해 사고방식을 가정해 보십시오.이들이 목표를 달성하기가 정말 어려워지도록 하려면 어떻게 해야 할까요?

이것이 바로 Illumio와 제로 트러스트 세그멘테이션이 필요한 이유입니다.호스트 기반 마이크로 세그멘테이션을 포함하는 제로 트러스트 세그멘테이션은 기본 제로 트러스트 아키텍처 정밀한 제어를 목적으로 측면 이동 네트워크 전반에 걸쳐.

보안 구축에 호스트 기반 접근 방식을 취하면 현장에서 세부적인 제어가 가능합니다. 애플리케이션 및 워크로드 네트워크 기반 세그멘테이션 접근 방식으로는 간단하게 제공할 수 없는 메모가 요구하는 수준.Illumio의 제로 트러스트 세그멘테이션 기술은 기관이 메모에 명시된 애플리케이션 및 워크로드 보호 요구 사항을 충족하도록 직접 지원합니다.

인터넷에서 내부 애플리케이션에 안전하게 액세스할 수 있도록 하기

일반적으로 내부에 있는 애플리케이션을 인터넷에서 안전하게 액세스할 수 있게 만들면 인증에 성공한 사람은 누구나 내부 네트워크에서 해당 애플리케이션에 직접 액세스할 수 있습니다.하지만 해당 애플리케이션이 손상된다고 해서 전체 조직이 침해되는 것은 아닙니다.침해로 인한 영향을 제한할 수 있도록 해당 애플리케이션에 마이크로 세그멘테이션을 도입해야 합니다.기본적으로 각 애플리케이션에는 제로 트러스트 “엔클레이브”인 “마이크로 페리미터”가 필요합니다.Illumio는 이를 가능하게 하는 데 핵심적인 역할을 할 수 있습니다.

위험 기반 가시성 및 모니터링

물론 가시성과 모니터링은 모든 제로 트러스트 보안 전략의 필수 구성 요소입니다.일루미오의 애플리케이션 종속성 맵데이터 센터와 클라우드 플랫폼 전반의 애플리케이션과 워크로드 간 트래픽 흐름을 실시간으로 관찰할 수 있으므로 종속성과 연결성을 이해하여 적절하게 세분화할 수 있습니다.

Illumio는 네트워크 검사의 오버헤드 (종종 과소평가된 위험) 없이 모니터링 플랫폼에서 활용할 수 있는 유용한 정보를 많이 수집합니다.예를 들어 Illumio를 예로 들 수 있습니다. 타사 취약성 데이터를 애플리케이션 종속성 맵에 오버레이합니다. 보안 및 패치 결정의 우선 순위를 정하는 위험 기반 접근 방식을 위한 것입니다. CISA의 제로 트러스트 성숙도 모델을 보면 주로 무엇을 먼저 하느냐가 관건입니다.

취약성 및 위협 피드 데이터를 통합하면 위험 기반 가시성이 가능합니다.Illumio는 자주 사용하는 스캐너의 취약성 스캔 데이터를 정책 컴퓨팅 엔진 (PCE) 으로 수집합니다.이를 통해 각 워크로드에 대한 취약성 메타데이터가 제공되므로 워크로드 연결 뷰와 함께 오버레이할 수 있습니다.이를 통해 정량적 노출 또는 위험 점수를 얻을 수 있으므로 취약점으로 인해 발생하는 위험의 정도와 취약한 포트에 연결되는 애플리케이션을 쉽게 파악할 수 있습니다.

일반적으로 취약성 스캐너는 워크로드가 얼마나 노출되었는지 전혀 모릅니다.하지만 Illumio가 가지고 있는 것이 바로 이것입니다.이 둘은 강력한 조합을 이룹니다.예를 들어보죠.

더 로그4j 취약점 해커가 수백만 대의 서버를 제어하여 널리 사용되는 잘못된 코드로 인해 서버를 종료하거나 멀웨어를 퍼뜨릴 수 있도록 했습니다.Log4j의 CVSS (일반 취약점 점수 시스템) 점수는 10점이었습니다.

하지만 Log4j를 실행하는 워크로드가 하나뿐이고 다른 워크로드에 거의 연결되지 않은 채 데이터 센터 깊숙이 묻혀 있다고 가정해 보겠습니다.한편, 5점 만점의 또 다른 취약점은 연결성이 높은 서버 10대에 있습니다.

이제 취약점 스캐너 데이터를 살펴보면 Log4j 서버를 즉시 패치하는 것이 좋다는 결론을 내릴 수 있습니다.하지만 실제 노출을 살펴보면 취약점 5가 있는 서버 10대가 밀접하게 연결되어 있으며 가장 많이 노출되어 있으므로 먼저 패치를 적용해야 한다는 것을 알 수 있습니다.

이것이 바로 Illumio의 위험 기반 가시성을 통해 확인할 수 있는 것입니다.취약성 관리에는 우선 순위가 없는 경우가 많으며, Illumio는 가장 많이 노출되고 가장 먼저 악용될 가능성이 높은 취약점의 우선 순위를 지정하는 데 도움이 됩니다.

Illumio를 통한 제로 트러스트 세그멘테이션 계획 수립

OMB 메모에 필요한 사항의 관점에서 생각해 보십시오.60일 후 (3월 말), 기관은 메모의 목표를 어떻게 달성할 것인지를 자세히 설명하는 제로 트러스트 아키텍처 구현 계획을 세워야 합니다.여기에는 2024회계연도 말까지 완료해야 하는 계획 목표와 2022회계연도 및 2023회계연도에 완료해야 하는 계획 목표에 대한 예산을 어떻게 책정할 것인지가 포함됩니다. 이러한 작업은 시간적 제약으로 인해 더욱 어려워졌습니다.가장 좋은 방법은 소규모로 시작하여 3년에 걸쳐 확장하는 것입니다.

60일 계획의 대부분은 대행자가 적의 측면 움직임을 어떻게 저지할 수 있는지를 보여주어야 합니다.이 부분이 우선 순위 목록의 맨 위에 있어야 합니다.제로 트러스트 세그멘테이션을 출시하기 전에 실시간 애플리케이션 및 워크로드 종속성 맵이 필요합니다.

세분화하려는 대상을 확인해야 합니다.따라서 가시성이 매우 중요하며 불필요하게 열린 포트 잠금.후자의 경우 Illumio에서 '컨테인먼트 스위치'라고 부르는 것으로 해결할 수 있습니다. 컨테인먼트 스위치는 실제로 특정 포트를 중심으로 하는 마이크로 세그먼트입니다.Illumio는 취약성 데이터를 수집하여 가장 위험한 포트의 우선 순위를 지정하여 공격 벡터를 줄일 수 있습니다.또한 기관은 중요 애플리케이션 또는 워크로드와 같은 고부가가치 자산 (HVA) 을 마이크로 세그먼트화할 계획을 제시할 수 있습니다.

3년간의 롤아웃은 다음과 같습니다.

• 22 회계연도:네트워크 가시성 확보, 취약성 맵이 포함된 격리 스위치 출시, HVA 마이크로 세그먼트, SIEM과의 통합
• 23 회계연도:기관의 더 넓은 영역을 포함하도록 세분화 노력을 확대하고 (예: 생산과 개발 분리), SIEM과의 추가 통합, 추가 집행 경계분류된 네트워크로 확장
• 회계연도 24:분류되지 않았거나 분류되지 않은 네트워크에 대한 마이크로 세분화 롤아웃을 완료하고, 애플리케이션별 적용을 계속하고, 새 서버 빌드에 통합

Illumio 제로 트러스트 세그멘테이션은 이러한 모든 결과를 가능하게 합니다.그리고 3년 동안 대행사의 일부가 동시에 다양한 위치에 배치될 수 있습니다.Illumio는 유연성이 뛰어나며, 네트워크 아키텍처와 분리되어 있기 때문에 관리 대상 워크로드 수에 제한 없이 확장할 수 있습니다.

Illumio는 멀웨어와 사이버 공격의 측면 이동을 차단하여 기관이 임무를 보다 효과적으로 수행할 수 있도록 합니다.자세한 내용은:

• 다음 연락처로 문의하기 연방 제로 트러스트 전문가와 상담하세요.
• 우리를 방문하십시오 연방 솔루션 페이지 Illumio가 기관 및 사령부가 위험 기반 가시성과 제로 트러스트 세그멘테이션을 갖춘 제로 트러스트 아키텍처를 구축하는 데 어떻게 도움이 되는지 자세히 알아보십시오.