마이크로세그멘테이션 배포를 위한 아키텍트 가이드: “활용”할 수 있는 다섯 가지 요소
Illumio에서 우리는 가장 성공적인 제품을 보았습니다. 마이크로세그멘테이션 배포는 필요한 설계 고려 사항, 프로세스 및 팀을 사전에 명확하게 파악해야 합니다.정보가 많을수록 배포가 원활해집니다. 그래서 마이크로세그멘테이션 여정에 도움이 될 수 있도록 수백 개의 고객 배포 작업을 통해 얻은 교훈과 입증된 모범 사례를 문서화했습니다.
잠시 되돌아보면 다음과 같은 내용을 확인할 수 있습니다.
- 파트 1에서는 보안 모델 변경 (예: 기존의 동서 방화벽을 계속 사용하는 것과는 대조적으로 마이크로세그멘테이션을 배포하는 것) 에 미치는 영향을 설명합니다.
- 파트 2에서는 최적의 마이크로세그멘테이션 배포를 위한 권장 팀 구조를 살펴봅니다.
- 파트 3에서는 배포 프로세스 중에 발생할 수 있는 장애물을 방지하기 위해 주의해야 할 특정 체크포인트를 검토합니다.
우리는 먼 길을 걸어왔고, 여기서는 이 논의를 한 단계 더 발전시킬 것입니다.
모든 조직은 새로운 기술을 배포하거나 조직 보안을 위한 새로운 접근 방식을 채택할 때 비공식 가드레일과 공식 가드레일을 모두 가지고 있습니다.담당 팀의 각 구성원은 자신이 할 수 있는 일과 조치를 취하기 위한 승인, '에어커버' 또는 승인이 필요한 경우를 내면화했습니다.팀에 이러한 권한이 없으면 진행이 지연되고, 출장 일정으로 인해 문제 해결에 필요한 내부 회의가 지연되면 일주일 이상을 놓치기 쉽습니다.
필자의 경험에 비추어 볼 때, 이 시리즈의 2부에서 설명한 바와 같이 총괄 후원자 또는 신뢰할 수 있는 대리인이 결정을 내려 프로젝트를 “기댈” 수 있는 다섯 가지 분야가 있습니다. 이에 대해서는 아래에서 설명하겠습니다.
이들 각각은 실제 결과로 인해 문제가 발생할 수 있는 지점이기도 합니다.이런 순간에는 팀원들이 당연히 위험을 회피하게 되며, 준비 사항과 예방 조치를 제시한 후 계획을 실행하라는 지시를 받으면 감사할 것입니다.또한 배포 계획에서 관리 팀이 도움, 승인 또는 안내를 요청하기 위해 프로젝트 팀으로부터 전화, 이메일 또는 방문을 받을 가능성이 높은 부분이기도 하므로 나중에 명백하게 지연되지 않도록 미리 이해하는 것이 중요합니다.
“기댈” 수 있는 다섯 곳
1.마이크로세그멘테이션 에이전트를 대량으로 설치할 수 있는 권한
서버/운영 팀은 전체 테스트와 검증을 거친 후에도 이 시점에서 민감하게 반응할 것입니다.이런 일이 발생하고 올바른 알림과 프로세스를 모두 준수했는지 확인하기 위해 “푸시” 또는 경영진 문의를 하는 것이 도움이 되는 경우가 많습니다.
2.모니터 전용 모드 해제 및 파손 처리 승인 (및 요구)
에이전트가 정책 구축 모드로 전환되면 운영 체제 방화벽을 완전히 제어하거나 자체 방화벽을 설치합니다.앞으로 실시될 테스트와 검증을 고려할 때 가능성은 극히 낮지만, 워크로드에 영향을 미칠 가능성은 여전히 희박합니다.언제부터인가 팀은 무한정 분석하는 대신 앞으로 나아가서 잘못된 것은 무엇이든 고쳐야 한다는 결정을 내릴 리더십이 필요할 것입니다.벤더가 이 문제를 최대한 쉽게 해결할 수 있는 방법에 대한 지침을 제공할 것으로 기대하세요.
3.초기 정책 지침 및 결과 규칙 승인
위에서 설명한 것처럼 초기 정책 정의는 팀의 중요한 목표입니다.모두가 이를 향해 달려갈 수 있도록 그것이 정확하고 수용 가능한지 알아야 합니다.또한 기술 책임자가 프로젝트의 범위 변동을 피할 수 있는 단합이 될 수도 있습니다.심리적으로 볼 때 대부분의 보안 관리자는 기존 프로세스를 통해 철저하게 검증된 규칙 세트를 프로그래밍하는 데 익숙합니다.첫 번째 규칙 세트를 작성할 때는 해당 프로세스를 사용하지 않을 가능성이 높으며, 초기 정책이 정의되고 승인되면 모든 사람이 편안하게 작업할 수 있습니다.
4.내부 워크플로우 및 프로세스가 올바르게 생성되었는지 확인
PROD 환경에 들어가기 전에 팀이 모든 적절한 사람, 프로세스, 승인자 및 이해 관계자와 협력했는지 확인하는 것이 중요합니다.위험이 클 때는 놀라움을 금치 못합니다.프로세스를 주의 깊게 살펴보고 팀에서 알아야할 사람이나 경영진 동료를 놓치지 않았는지 확인하는 것이 좋습니다.
5.정책 시행으로의 전환 승인 (및 요구) 및 파손 처리
초기 마이크로세그멘테이션 정책을 몇 주 동안 신중하게 구현하고 테스트하면 팀은 정책 시행으로의 전환에 대해 확신을 가질 수 있을 것입니다.시행 시 마이크로세그멘테이션은 명시적으로 허용되지 않은 모든 트래픽을 차단합니다.이는 “큰 진전”입니다.이것이 바로 많은 조직에서 마이크로세그멘테이션을 구입한 이유이며, 감사 담당자가 결과를 검사하는 경우가 많습니다.대규모 프로젝트에서는 놓치거나 알 수 없거나 설명되지 않은 부분이 있을 것이 거의 확실합니다.그 후 며칠 또는 몇 주가 지나면 무언가가 차단되고 전화가 걸려올 것입니다.
이는 하드웨어 방화벽에서도 마찬가지이고 마이크로세그멘테이션에서도 마찬가지입니다.프로젝트의 어느 시점에서 총괄 스폰서는 모든 합당한 준비가 완료되었음을 알게 될 것입니다.이때 팀이 진행하려면 승인이 필요하고 승인을 받아야 할 것입니다.명확한 리더십과 의사소통이 없다면 조직은 앞으로 나아갈 때 통제된 위험 대신 옆으로 나아가는 것이 안전하다는 쪽으로 치우치는 경향이 있습니다.경영진의 올바른 결정은 앞으로 나아가는 데 동기를 부여하고 앞으로 나아가야 할 우선 순위를 명확하게 전달할 수 있습니다.
각 인스턴스에 대해 미리 계획하고 그에 따라 준비하면 이러한 위험 (및 기타) 을 피할 수 있습니다.위에서 언급한 바와 같이, 투명성은 전체 논의의 핵심입니다.
이 시리즈의 다섯 번째이자 마지막 부분에서는 공급업체 관계를 가장 잘 관리하는 방법과 운영 무결성을 유지하는 방법을 살펴보겠습니다.자세한 내용은 오늘 Medium에 관한 종합 가이드를 읽어보세요. https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30