한 차원 높은 시각화 및 정책 생성 —일루미네이션 2.0

2014년 Illumio는 마이크로세그멘테이션을 위한 실시간 애플리케이션 종속성 매핑 및 가시성을 개척했습니다. 일루미네이션.Illumio Adaptive Security Platform (ASP) 을 출시했을 때 조직은 애플리케이션 종속성 맵이 없으면 브라운필드 애플리케이션을 위한 세그멘테이션 정책을 구축할 수 없다고 믿었습니다 (Illumio CTO PJ Kirner가 보안을 위한 맵이 필요한 이유에 대해 설명합니다) 최근 블로그 게시물에서).

Illumination은 첫 번째 버전부터 현재까지 조직에서 트래픽 흐름 가시성을 사용하여 마이크로 세분화 정책을 구축하고 테스트한 다음 애플리케이션별로 시행을 시작할 수 있는 방법을 제공했습니다.

가시성의 진화

Illumination의 첫 번째 버전을 통해 중앙 보안 팀은 애플리케이션 흐름을 분석하고 화이트리스트 레이블 기반 규칙을 수동으로 추가하여 이를 허용할 수 있었습니다.유일한 목표는 고객이 마이크로세그멘테이션 정책을 구축할 수 있도록 돕는 것이었으며, Illumination의 모든 워크플로는 이 단일 목표에 초점을 맞췄습니다.처음에 Illumination을 구상했을 때는 고객이 제한된 수의 워크로드를 페어링하고 정책을 구축한 다음 해당 워크로드를 적용하도록 마이그레이션할 것이라고 생각했습니다.

많은 고객이 Illumination을 사용하여 데이터 센터와 클라우드 인프라를 세분화했기 때문에 처음 출시한 이후 알게 된 내용은 다음과 같습니다.

1. 정책 생성은 정말, 정말 어려울 수 있습니다. 보안팀은 Illumination을 사용하여 트래픽 연결을 하나씩 분석하고, 유효한 흐름을 바탕으로 Illumio의 화이트리스트 레이블 기반 정책 모델에 규칙을 추가할 수 있었습니다.애플리케이션은 매우 상호 연결되어 있으며, 수천 개의 워크로드로 구성된 수백 개의 애플리케이션만으로도 분석이 필요한 수백만 개의 고유 연결이 있을 수 있다는 사실을 알게 되었습니다.시작하는 가장 좋은 방법은 이러한 연결을 허용하는 정책을 자동으로 생성하는 것입니다.이렇게 하면 허용되어서는 안 되는 연결이 허용될 위험이 있습니다 (아래에서 볼 수 있듯이 이 문제를 해결할 수 있는 도구가 있습니다). 하지만 이 시점부터 고객은 측면 이동을 제한할 수 있습니다. 과 정책 위반을 즉시 탐지합니다.
   
2. 중앙 집중식 정책 생성은 항상 효과가 있는 것은 아닙니다. Illumination의 워크플로는 중앙 보안 팀이 전체 인프라에 대한 마이크로 세분화 정책을 구축할 수 있도록 설계되었습니다.하지만 마이크로 세분화 정책을 구축하는 것은 해당 애플리케이션을 이해하는 애플리케이션 팀에 위임하지 않고는 어렵고 시간이 많이 걸린다는 것을 알게 되었습니다.(곧 공개 예정: 당사의 전 제품 담당 부사장인 매튜 글렌 (Matthew Glenn) 이 조직에 맞게 세그멘테이션을 조정하는 방법에 대한 블로그 게시물입니다.계속 지켜봐 주세요. 잘 읽은 글입니다.)
   
3. 가시성은 규정 준수 및 보안 운영에 사용될 수 있습니다. 처음 출시했을 때 Illumination의 가시성은 마이크로세그멘테이션 정책 수립의 원동력이었습니다.하지만 트래픽에 레이블과 정책의 컨텍스트를 추가한 후 이러한 가시성은 규정 준수/감사 및 보안 운영 팀에 엄청난 도움이 되었습니다.규정 준수 팀은 가시성을 활용하여 감사자가 업무를 더 빠르고 효율적으로 완료할 수 있도록 보고서를 생성합니다.보안 운영 팀은 가시성을 활용하여 정책 위반을 신속하게 찾아내고 위협을 탐지하며 이러한 위협에 보다 효과적으로 대응합니다.
   
   실제로 Illumio의 일부 고객은 Illumio의 가시성을 통해 WannaCry의 영향을 받는 호스트를 탐지할 수 있었습니다. 정책을 위반하고 SMB 포트에서 연결을 시도한 호스트는 신속하게 추적하여 문제를 해결했습니다.다른 고객들은 데이터 센터 서버 중 일부가 Spotify의 음악을 듣고 Facebook에 업데이트를 게시하고 있다는 사실을 알게 되었습니다.이러한 인맥을 알아냈을 때 고객 얼굴에서 어떤 표정을 짓는지 보셨을 것입니다.

우리는 끊임없이 고객의 의견을 경청하고 그로부터 배우고 있습니다.작년에는 애플리케이션 팀이 Illumio를 사용하고 중요한 애플리케이션과 워크로드에만 집중할 수 있도록 App Group Maps를 추가했습니다.오늘 일루미네이션 2.0이라는 우산 아래 다음과 같은 새로운 기능을 발표하게 되어 기쁩니다.

새로운 기능, 고급 가시성

정책 생성기 소개

수년간의 고객 피드백과 교훈을 바탕으로 정책에 대한 주요 통찰력을 얻을 수 있었습니다.

• 대규모 환경에서 흐름별로 정책을 작성하는 것은 실제로 확장이 불가능합니다.(경쟁업체 중 한 곳이 어떻게 흐름에 따라 진행되는지 증명하고 싶다면 이 비디오 보기).
• 중앙 집중식 보안 팀은 애플리케이션의 작동 방식을 구체적으로 항상 아는 것은 아닙니다. 보안 정책을 작성할 때 플로우가 올바른지 그른지 검증할 수 없었습니다.이로 인해 애플리케이션 세부 정보를 보유한 애플리케이션 팀으로 정책 생성을 확장하려는 욕구가 생겼습니다.
• 애플리케이션 팀은 애플리케이션 보안 방법에 대한 의견이 있을 수 있지만 보안 정책 (예: 방화벽 규칙) 을 만든 경험이 없기 때문에 애플리케이션 팀에 세그멘테이션 정책 교육을 맡기는 것은 좋은 방법이 아닙니다.

이것이 우리가 정책 생성기를 만든 이유입니다.

단일 애플리케이션에 보안 정책이 없는 애플리케이션 종속성

마이크로세그멘테이션을 위한 보안 정책 권장 사항

단일 애플리케이션에서 보안 정책 적용.

Policy Generator는 마이크로세그멘테이션 정책을 작성하는 데 필요한 시간, 교육 및 리소스를 크게 줄여줍니다.

맞춤형 알고리즘과 네트워크 트래픽 기록을 사용하여 레이블 기반 마이크로세그멘테이션 정책을 자동으로 생성합니다.Policy Generator를 통해 고객은 애플리케이션, 애플리케이션 계층 또는 포트/프로토콜 수준까지 원하는 수준의 세분화를 조정할 수 있습니다.원하는 수준의 정책을 선택하면 Policy Generator가 규정을 준수하는 마이크로 세분화 정책을 몇 분 만에 자동으로 생성합니다. 게다가 마이크로세그멘테이션 정책은 자연어이므로 모든 애플리케이션 팀이 읽고 이해할 수 있습니다.

정책 생성기는 역할 기반 액세스 제어와 함께 사용할 수 있습니다 (RBAC) 에서 정책 생성을 각 애플리케이션 팀에 위임합니다.보안 팀은 애플리케이션 팀에서 만든 정책을 운영 환경으로 승격하기 전에 최종 점검을 수행하여 정책이 SDLC (소프트웨어 개발 수명 주기) 를 따를 수 있도록 할 수 있습니다.

Policy Generator를 사용하면 대기업이 시간과 리소스를 크게 줄이면서 완전히 마이크로세그먼트화된 데이터 센터 및 클라우드 인프라를 구축할 수 있습니다.

또한 고객은 이를 통해 세그멘테이션 정책을 반복적으로 개발할 수 있습니다.예를 들어, 조직은 초기 마이크로세그멘테이션 정책을 생성할 수 있습니다.몇 주 또는 몇 달 후에 Policy Generator를 다시 실행하여 새로운 흐름을 수용하는 정책을 생성하거나 세분성을 조정하여 정책을 포트/프로토콜 수준 (일명 나노 세분화) 으로 강화할 수 있습니다.

익스플로러를 소개합니다

Explorer를 통해 우리는 고객에게 완전히 새로운 차원의 시각화를 제공하고 있습니다.고객이 플로우가 발생하는 이유에 대해 질문한 다음 “다른 곳에서도 이런 일이 벌어지고 있나요?” 와 같은 질문을 하는 것을 보기 시작했습니다.그런 다음 해당 상황이 발생한 다른 위치를 고객에게 보여 주곤 했습니다 (발생한 경우).다음 질문은 “내가 놓치고 있는 게 또 뭐야?”

이것이 우리가 익스플로러를 만든 이유입니다.

Explorer를 사용하면 보안, 운영 및 규정 준수 팀에서 트래픽 쿼리를 생성할 수 있습니다.지금까지 살펴본 몇 가지 예는 다음과 같습니다.

• 규정 준수 팀은 Explorer 도구를 사용하여 PCI 환경으로 유입되는 연결 목록을 빠르게 다운로드할 수 있습니다.그런 다음 해당 보고서를 QSA에 전달하여 통과를 도울 수 있습니다. PCI 감사.
• 보안 운영 팀은 애플리케이션 팀이 연결을 정당화할 수 있도록 SSH 및 데이터베이스 포트에서 “Dev”와 “Prod” 환경 간의 모든 트래픽 흐름을 요청할 수 있습니다.
• 운영팀은 “서로 다른 두 데이터 센터에 있는 서버 간의 모든 흐름에 대해 알려주세요”와 같은 쿼리를 제기할 수 있습니다. 이 쿼리는 원격 애플리케이션 종속성을 식별하거나 데이터 센터 중단이 애플리케이션의 전반적인 가용성에 영향을 미칠 수 있는지 판단하는 데 사용할 수 있습니다.
  

조직에서는 Explorer를 사용하여 수백만 개의 플로우에서 숨겨진 정책 위반이나 보안 위협을 찾아내는 데 필요한 '바늘'을 찾고 있습니다.

Explorer를 사용하면 매우 다른 방식으로 트래픽에 접근할 수 있습니다.사용자는 병렬 좌표 맵을 사용하여 모든 레이블 세트와 관련된 트래픽을 볼 수 있습니다 (아래 그림 참조).그러면 사용자는 평행 좌표 맵의 포인트를 '클릭' 하여 관심 있는 교통량을 찾아낼 수 있습니다.그런 다음 흐름 목록을 CSV로 다운로드할 수 있지만 소스와 대상 모두의 연결에 레이블 컨텍스트를 포함할 수 있습니다.또한 Explorer는 각 연결에 정책 컨텍스트를 추가하여 정책에서 연결을 허용하는지 여부를 신속하게 알려줍니다.

정책 위반 및 보안 위협을 식별합니다.

PCI 환경으로의 모든 통신을 볼 수 있습니다.

PCI 애플리케이션 트래픽에 대해 질문하세요.

VM월드 2017에서 생중계로 확인하세요

우리는 3년 전에 세분화를 위한 실시간 애플리케이션 종속성 매핑 및 가시성을 제공하기 위해 이 여정을 시작했습니다.그 이후로 마이크로세그멘테이션 시장의 다른 공급업체들도 가시성과 애플리케이션 종속성 매핑의 중요성을 깨달았습니다.작년에는 거의 모든 업체가 솔루션을 구축하거나 구입하여 제품 격차를 메우려고 노력했습니다.다른 회사들도 여정을 시작하고 있지만, Illumination에 Policy Generator와 Explorer를 추가하여 가시성을 새로운 차원으로 끌어올릴 수 있게 되어 매우 기쁩니다.

Illumination 2.0을 통해 조직은 이러한 가시성 기능을 사용하여 데이터 센터 및 클라우드 인프라를 보다 효율적으로 마이크로세그먼팅하고 보호할 수 있을 뿐만 아니라 운영, 규정 준수 등에 이러한 가시성을 사용할 수 있습니다. 보안 운영 워크플로.

VMWorld 2017에서 이러한 새로운 기능을 선보일 예정입니다.전시회를 보러 가실 예정이라면 #800 부스를 방문하여 라이브 데모를 관람해 보십시오.