마이크로세그멘테이션 배포를 위한 아키텍트 가이드: 보안 모델 변경의 영향

마이크로세그멘테이션 배포의 설계자 또는 프로젝트 관리자는 원하는 결과와 배포가 조직에 실제로 미치는 영향을 명확하게 파악함으로써 이점을 얻을 수 있습니다.이와 동시에 이러한 통찰력을 제공하려면 다른 팀 구성원의 지원이 필요한 경우가 많으며, 이들 중 일부는 IT 부서에 속하지 않을 수도 있습니다. 아키텍트나 프로젝트 관리자가 새 프로젝트를 시작하고 계획대로 진행하며 최적의 결과를 달성하기 위해 마이크로세그멘테이션 배포에 대해 알아야 할 사항은 무엇입니까?

이 시리즈에서는 바로 이러한 질문을 탐구하고 수백 건의 마이크로세그멘테이션 배포를 수행한 경험을 바탕으로 팀이 비즈니스에 기대하거나 제공해야 하는 결과를 제공할 수 있도록 최적의 조정을 할 수 있는 핵심 통찰력을 살펴봅니다.

에서 파트 1, 보안 모델 변경이 미치는 영향에 대해 설명하겠습니다.마이크로세그멘테이션 솔루션으로 전환하면 아래에 설명된 몇 가지 중요한 방식으로 기존 네트워크/경계 모델이 변경됩니다.이러한 각 수정을 통해 애초에 마이크로 세분화를 매력적으로 만들었던 몇 가지 이점을 얻을 수 있으며, 이러한 각 수정은 기업에 영향을 미칩니다.

적용 지점이 네트워크에서 호스트로 이동합니다.

일반적으로 보안은 VLAN 엣지, PROD 환경 또는 인터넷 등 경계의 초크포인트에 배치됩니다.이 모델에서는 애플리케이션, 서버 운영 또는 자동화 팀과의 직접적인 상호 작용이 거의 없습니다.호스트 기반 적용으로의 변경은 다음을 의미합니다.

• 운영 체제 구성 및 에이전트 지원 문제
• 자동화 및 관리 도구의 가용성과 일관성은 에이전트 배포 방식과 속도에 영향을 미칩니다.
• 애플리케이션 소유자, 시스템 관리자 및 자동화 개발자는 자신과 보안 팀이 처음 접하는 방식으로 상호 작용합니다.
• “운영 체제 내부” 보안을 갖추는 것은 애플리케이션/관리자 팀에게 생소하므로 이러한 기능이 자신에게 어떤 의미가 있는지 이해해야 합니다.

보안 정책이 혼합 블랙리스트/화이트리스트 모델에서 순수 화이트리스트 모델로 이동

하드웨어 방화벽은 허용 및 거부 명령문을 혼합하여 사용합니다.즉, 각 장치의 규칙 순서가 매우 중요합니다.최상의 마이크로세그멘테이션 정책에는 허용 설명만 있습니다.당연하게도, 이것이 실제 구현입니다. 제로 트러스트 세분화를 위한 원칙.또한 규칙 순서 지정 문제를 없애고 유연한 다차원 정책을 사용할 수 있습니다.이는 정책을 작업하고 지정하는 다른 방식이지만 정책 작성자가 자신의 욕구를 표현하는 새로운 방법을 알게 되면 전환 시간이 짧아집니다.정책을 훨씬 단순하고 “읽기” 쉬우므로 감사 및 규정 준수 검증이 훨씬 쉬워집니다.이러한 팀들과 함께 새로운 정책 모델에 대해 교육하는 데 시간을 할애할 것으로 예상됩니다.

보안 정책 설명은 네트워크/IP 종속 명령문에서 메타데이터 기반 명령문으로 이동합니다.

하드웨어 방화벽은 규칙 작성을 위한 IP 주소, 포트 및 프로토콜에 따라 달라집니다.모든 마이크로세그멘테이션 공급업체는 네트워크 구조를 참조하지 않고도 정책 설명을 표현할 수 있는 특정 유형의 레이블 또는 메타데이터를 제공합니다.즉, 네트워크 또는 네트워크 보안 팀뿐만 아니라 다른 팀에서도 보안 정책을 이해할 수 있습니다.규칙 작성을 위한 그래픽 방식의 “포인트 앤 클릭” 메커니즘도 거의 기술적이지 않은 방법으로 보안 정책을 작성할 수 있습니다.강력한 역할 기반 액세스 제어와 함께 사용할 경우 (RBAC) 를 통해 조직 내에서 규칙 작성을 보다 광범위하게 배포하는 것을 고려할 수 있게 됩니다.이것이 바람직한지 아닌지는 조직별로 다를 것입니다.

지금까지 보안 팀에 메타데이터가 중요한 것은 아니었지만, 자동화와 관련된 광범위한 조직 부서에서는 메타데이터를 많이 사용합니다.메타데이터를 생성하고 사용하는 보안 팀과 자동화 팀이 합쳐짐에 따라 메타데이터 디자인, 저장, 수정 등에 특별한 주의를 기울이는 것이 전체 조직의 민첩성에 긍정적인 영향을 미칠 수 있는 필요하고 가치 있는 노력이 필요하다는 것을 의미합니다.이러한 광범위한 대화는 경영진이 사일로와 워크그룹을 넘나들며 영향을 받는 모든 구성원을 모아 공통의 솔루션을 추진할 때 가장 잘 이루어집니다.

API 기반 보안 자동화를 사용할 수 있습니다.

자동화와 오케스트레이션은 IT의 애플리케이션 및 시스템 측면에서 흔히 사용되는 단어이지만 네트워크 및 보안 팀에서는 그다지 흔하지 않았습니다.하지만 좋은 마이크로세그멘테이션 솔루션은 완전한 API 기반 워크플로우를 제공합니다.플랫폼의 모든 기능은 API를 통해 액세스할 수 있어야 합니다.즉, 보안을 자동화하는 기능은 상상력, 시간, 주의력에 의해서만 제한됩니다.조직이 가능성을 이해하고, 자동화 요구 사항의 우선 순위를 지정하고, 적절한 단계에 따라 결과 계획을 구현하려면 부서 간 팀워크가 다시 필요합니다.마이크로세그멘테이션 정책을 자동화하면 메타데이터를 깔끔하게 정리하고 정리하는 데 많은 시간을 할애할 수 있습니다.

이러한 각각의 관찰에서 공통점은 다음과 같습니다. 배포는 내부 조직 경계를 넘을 것입니다..이전에는 없었던 기능을 제공하고 팀에 새로운 데이터를 생성하여 사용할 것입니다.간단히 말해서, 이것은 “변화”이지 “같은 것”이 아닙니다.각 조직은 변화에 대한 고유한 태도를 가지고 있으며, 가장 큰 단일 관리 과제는 이러한 변화를 흡수할 수 있는 조직의 능력에 맞추는 것입니다.

오늘 우리는 마이크로세그멘테이션이 조직에서 “편한” 기존 네트워크/경계 모델을 근본적으로 어떻게 변화시키는지 살펴보았습니다.2부에서는 팀에서 마이크로세그멘테이션을 가장 성공적으로 배포할 수 있는 다음 주요 인사이트에 대해 살펴보겠습니다. 배포 팀 구성 방법.

마이크로세그멘테이션을 성공적으로 배포하기 위해 알아야 할 모든 것에 대해 자세히 알아보고 자세히 알아보려면 eBook을 참조하십시오. 보안 침해를 넘어선 보안: 마이크로세그멘테이션을 통한 심층 방어 사이버 보안 전략 구축을 위한 실무 가이드.