마이크로세그멘테이션 배포를 위한 아키텍트 가이드: 공급업체 관계 및 운영 통합 관리

기존 방식에서 전환하기 네트워크 세분화 (예: 방화벽) 마이크로세그멘테이션 건축가 또는 프로젝트 관리자가 주도하는 조율된 노력이 필요합니다.진정한 이점을 미리 이해하고 최적화를 위한 가장 명확한 경로를 탐색함으로써 배포 프로세스 전반에서 성공을 거둘 수 있습니다.

이 시리즈에서는 여러 고려 사항을 정리했습니다.이 다섯 번째이자 마지막 부분에서는 공급업체 관계를 가장 잘 관리하고 운영 통합을 유지하는 방법에 대해 설명하겠습니다.

공급업체 관계 관리

선택한 공급업체는 귀사와 마찬가지로 마이크로세그멘테이션 프로젝트가 성공하기를 원합니다.공급업체 측에서는 각 배포에 대해 정기적으로 내부적으로 커뮤니케이션하여 기능, 리소스 및 코드를 모두 필요할 때 사용할 수 있도록 합니다.

벤더를 전략적 파트너처럼 대하면 최고의 성과를 얻을 수 있습니다.“필요한 것”뿐만 아니라 “왜 필요한지”, “언제까지 필요한지”를 알게 되면 확장된 팀을 훨씬 쉽게 옮길 수 있습니다.벤더에게 무리를 주지 않고 프로젝트 계획의 바로 다음 단계만 볼 수 있다면, 우리는 큰 그림을 보고 너무 늦을 때까지 우리의 전문 지식과 교훈을 내놓지 못하는 경우가 많습니다.모든 프로젝트는 지연될 수 있고, 조기에 완료해야 하거나, 기타 여러 가지 결과가 발생할 수 있습니다.중요한 변경 사항을 조기에 전달하면 벤더가 변경 사항을 가장 잘 흡수하고 계획 및 실행을 조정하는 데 도움을 줄 수 있습니다.

프로젝트 초기 몇 주 동안 형성해야 할 몇 가지 주요 파트너십이 있습니다.

1. 솔루션 아키텍트, 전문 서비스 엔지니어, 프로젝트 관리자, 기술 책임자.이것이 핵심 기술 실무 팀입니다.이들은 프로젝트 성공을 위해 대부분의 기술 작업을 함께 수행할 것입니다.자유롭고 개방적이며 존중하는 대화를 나누는 것이 중요합니다.
2. 고객 성공 설계자, 디렉터, 프로젝트 설계자 이것이 바로 전략적 실무 팀입니다.팀원들은 기술적으로 어떤 일이 벌어지고 있는지 파악하고 프로젝트 팀보다 먼저 문제를 제거하거나 최소화해야 합니다.이러한 관계는 양측이 문제와 과제에 대해 투명하게 이야기할 수 있을 만큼 편안해야 합니다.상황이 잘 풀리지 않을 경우 양측 모두에게 첫 번째 “에스컬레이션” 지점이 될 수 있습니다.
3. 어카운트 매니저, 벤더 VP, 총괄 스폰서 결과를 책임지는 비즈니스 수준의 실무 팀입니다.이 팀은 회사 간에 발생할 수 있는 모든 에스컬레이션을 처리합니다.각 팀은 이 수준에서 이해하고 표현해야 하는 실행 위험을 안고 있습니다.이 팀은 로드맵과 추가 기회, 마이크로세그멘테이션을 위한 활용 포인트를 포함하기 위해 당면한 프로젝트보다 더 많은 것을 논의해야 합니다.

각 팀이 제대로 기능할 수 있도록 하는 경영진 후원자는 이러한 단점에 놀라지 않을 것이며, 불가피한 대부분의 문제가 경영진의 주의를 끌지 않고 처리된다는 것을 알게 될 것입니다. 상태 보고를 제외하고는 말이죠.어떤 프로젝트도 “자체 관리”할 수는 없지만, 이 세 가지 수준의 관계가 잘 유지되면 프로젝트는 순조롭게 진행되는 경향이 있습니다.

운영 통합 관리

이제 기어를 바꿔봅시다.대부분의 마이크로세그멘테이션 솔루션에는 최소한 중앙 정책 엔진과 호스트 기반 에이전트라는 몇 가지 구성 요소가 있습니다.마이크로세그멘테이션 배포에 따르는 복잡성은 이 두 구성 요소가 기업 환경의 다른 많은 요소에 영향을 미친다는 사실에서 비롯됩니다.기존 시스템과의 운영 통합을 지원하는 몇 가지 “모범 사례”가 있습니다.

QA 또는 사전 프로덕션 테스트 환경 구축

내부 팀과 공급업체 팀 모두 당연히 솔루션의 PROD 인스턴스에 초점을 맞출 것이지만, 팀은 비프로덕션 환경에서 마이크로세그멘테이션 솔루션의 소규모 QA 버전을 설정해야 합니다.이 플랫폼은 여러 가지 용도로 사용될 것입니다.초기에는 내부 개발자와 자동화 도구 팀이 코드를 테스트하고 개발할 수 있는 장소가 될 것입니다.운영팀은 로깅 통합 및 이벤트 처리를 테스트할 수 있습니다.내부 교육 클래스는 시스템을 사용하여 익숙해지도록 할 수 있습니다.

배포가 완료된 후에도 이 기능을 유지해야 합니다.사전 제작 시스템이 기본 OS 이미지를 각각 하나씩 관리하는지 확인하세요.이러한 방식으로 새 릴리스를 프로덕션에 출시하기 전에 제품 이외의 환경에서 전체 PROD 운영 체제 이미지 세트를 대상으로 새 공급업체 코드를 테스트할 수 있습니다.공급업체 배포 팀이 이 시스템을 하나의 경량 VM으로 구축할 수 있는 것이 가장 좋습니다.

프로덕션 배포 전 로깅/이벤트 알림 설정 및 테스트

당연히 OPS 팀은 프로덕션 워크로드를 페어링하기 전에 완전한 운영 통합이 완료될 때 가장 높은 확신을 갖게 됩니다.로그를 스트리밍하고, 파싱하고, 알림을 생성하고, 대시보드를 구축하는 데에는 시간과 노력이 필요합니다.

그러나 이 작업을 통해 정책 엔진, 에이전트 및 기본 시스템의 상태를 완벽하게 파악할 수 있습니다.필요한 도구가 모두 갖춰져 있기 때문에 누구나 민감한 생산 환경에서 작업하기가 훨씬 쉽습니다.공급업체의 전문 서비스 엔지니어가 주요 로그 메시지에 대한 권장 사항을 제시하고 다른 고객에게 인기 있는 알림을 추천해 줄 것으로 기대하십시오.

로그 분석/이벤트 처리 메커니즘에서 세 가지 관점을 캡처해야 합니다.

1. 보안.보안팀은 방화벽 로그와 에이전트의 변조 방지 메커니즘에 가장 중점을 둘 것입니다.이들은 항상 정책 및 정책 위반에 관심이 있습니다.
2. OPS.OPS 팀은 주로 워크로드 및 정책 엔진 상태에 초점을 맞출 것이며 시스템 이벤트와 다른 데이터 센터 이벤트의 상관 관계를 파악하는 방법을 알고 싶어할 것입니다.
3. 대시보드.경영진 또는 NOC 관리자에게는 주요 내용과 드릴다운 기능이 포함된 마이크로세그멘테이션 배포에 대한 통합된 보기가 필요한 경우가 많습니다.

이러한 각 문제가 로그/이벤트/경고 처리 메커니즘에 반영되면 많은 다양한 팀이 프로젝트가 기존 관행에 따른 완전한 통합을 제공한다는 사실을 알게 되므로 조직 전체에 신뢰가 쌓입니다.

자동화된 워크플로우에 투자

마이크로 세그멘테이션 배포는 오랫동안 순전히 수동 작업이었던 보안 프로세스를 자동화할 수 있는 많은 기회를 제공합니다.또한 마이크로 세분화 레이블링은 기존 메타데이터 소스를 검토 및 조사하고 이를 새로운 방식으로 결합할 것입니다.생성된 메타데이터는 그 자체로도 가치가 있으며 다른 시스템 및 자동화 작업에 사용할 수 있도록 보존할 수 있습니다.기업에서는 적은 노력만 기울이면 마이크로세그멘테이션을 성공적으로 배포한 후 더 나은 메타데이터를 얻을 수 있는 것이 일반적입니다.이러한 노력은 초기 마이크로 세분화 배포의 지속적인 운영 및 확장에 큰 도움이 됩니다.

에이전트 설치

마이크로세그멘테이션 에이전트를 수백 또는 수천 개의 시스템에 배포하려면 일종의 자동화가 필요합니다.어떤 경우에는 기존 도구일 수도 있고 처음부터 새로 만드는 경우도 있습니다.그러나 대부분의 경우 에이전트 설치를 자동화된 빌드 프로세스와 통합하려는 경우가 많습니다.Chef, Puppet, Ansible, Salt 또는 기타 프레임워크이든 관계없이 기업의 표준 자동화 라이프사이클에 보안을 구축할 수 있는 기회가 있습니다.

대부분의 엔터프라이즈 데이터 센터에는 오케스트레이션 프레임워크를 사용한 완전 자동화와 이러한 도구가 없는 레거시 환경이 혼합되어 있습니다.가능한 경우 오케스트레이션 팀과의 통합 작업에 시간을 할애하면 프로젝트를 가장 성공적으로 완료할 수 있습니다.오케스트레이션 프레임워크를 사용할 수 없는 오래된 환경은 사용자 지정 스크립팅을 사용하여 별도로 처리할 수 있습니다.

정책 엔진 설치

일부 고객은 정책 엔진 생성을 오케스트레이션 패키지에 패키징하기도 합니다.정책 인스턴스화가 자동화되면 서버 장애 시 자동화를 통해 새로운 정책 엔진을 구축하는 것과 거의 같은 속도로 복구할 수 있습니다.DEV-OPS 움직임이 강한 조직에서는 이를 고려해 보는 것이 좋습니다.

정책 엔진 데이터베이스 백업

모든 마이크로세그멘테이션 정책 엔진에는 일종의 데이터베이스가 있습니다.이 데이터베이스가 손상되거나 사용할 수 없는 경우 솔루션이 전혀 작동하지 않거나 바람직하지 않은 결과가 발생할 수 있습니다.OPS 팀이 필요한 백업을 자동화하고 공급업체의 절차에 따라 복원 및 복구에 능숙한지 확인하십시오.

라벨 지정

워크로드에 레이블을 처음 할당하는 작업은 일반적으로 정책 엔진에 일괄 업로드하는 방식으로 이루어집니다.이렇게 하면 초기 시스템의 초기 상태에 맞는 레이블이 생성됩니다.시간이 지나면 라벨이 변경됩니다.새로운 시스템이 추가되고 일부는 없어질 것입니다.이 워크플로가 자동화될수록 관련된 모든 사람이 더 쉽게 작업할 수 있습니다.여기에는 내부 설계 문서에 레이블 지정을 코드화하고 레이블을 저장, 업데이트 및 검색하는 방법을 결정하는 작업이 포함됩니다.

마이크로세그멘테이션 솔루션은 항상 레이블을 사용하지만 이러한 레이블은 중앙 집중식 메타데이터 관리를 통해 유지 관리하는 것이 가장 좋습니다.DEV OPS 팀은 메타데이터 관리에 대해 강한 의견을 갖고 있을 가능성이 높으므로 이들의 의견을 포함하는 것이 좋습니다.

메타데이터 관리

마이크로세그멘테이션 배포는 메타데이터 할당에 따라 보안 정책을 구축합니다.즉, 시간이 지남에 따라 마이크로 세분화 솔루션에는 사물의 상호 작용 방식을 설명하는 일련의 레이블과 기타 메타데이터가 있게 됩니다.이러한 레이블은 일반적으로 공급업체에서 맞춤 제작한 것이 아니라 기존 정보 출처에서 재사용됩니다.

이는 자동화 기회를 제공합니다.우수한 마이크로세그멘테이션 솔루션은 라벨이 변경될 때 항상 정책을 다시 계산합니다.따라서 메타데이터를 마이크로세그멘테이션 솔루션 외부에서 유지 관리할 경우 이러한 업무 분리를 자동화에 활용할 수 있습니다.마이크로세그멘테이션 솔루션이 외부 “정보 소스”를 참조하는 경우 메타데이터 변경 사항이 있으면 정책 엔진에 프로그래밍 방식으로 알리고 규칙이 자동으로 업데이트됩니다.

마이크로세그멘테이션을 사용하면 메타데이터 관리에 대해 더 똑똑해지는 것은 정책 및 정책 관리에 대해 더 똑똑해지는 것과 같습니다.레이블을 만드는 데 사용되는 메타데이터가 저장되는 위치와 메타데이터를 업데이트, 검색 및 정책 엔진에 제공하는 방법을 고민하는 데 걸리는 시간은 언제나 큰 도움이 됩니다.다른 경우에는 정책 엔진의 정보가 기존 CMDB 시스템을 업데이트하는 데 유용할 수 있습니다.마이크로세그멘테이션을 배포하면 조직에서 메타데이터를 사용하고 활용하는 방법을 고려해야 하는 훌륭한 이유가 되며 이러한 개선을 자동화할 수 있는 원동력이 될 수 있습니다.

모든 것을 집으로 가져오기

마이크로세그멘테이션을 성공적으로 구축하면 내부 세그멘테이션 모델, 정책 대화 및 보안 자동화 수준이 향상됩니다.팀을 해당 목적지로 이끌려면 새로운 학습과 새로운 기회가 필요합니다.마이크로세그멘테이션은 기존 운영 모델의 일부를 변화시킬 것이며 부서 간 배포 팀이 가장 효과적으로 서비스를 제공할 것입니다.

리더로서 여러분의 의견은 몇 가지 중요한 시점에 필요할 것입니다.메타데이터 및 정책 개발에 대해 올바른 대화를 나누도록 고집하면 비즈니스의 속도와 민첩성에 지속적인 변화를 가져올 수 있습니다.세밀한 제어와 빠른 자동화를 동시에 실현할 수 있습니다.자체 마이크로세그멘테이션 배포를 배포, 운영 및 실행하는 데 성공했다는 소식을 듣고 싶습니다.

마이크로세그멘테이션 전략을 처음부터 끝까지 구현하기 위해 알아야 할 모든 것에 대해 자세히 알아보려면 eBook을 확인하십시오. 보안 침해를 넘어선 보안: 마이크로세그멘테이션을 통한 심층 방어 사이버 보안 전략 구축을 위한 실무 가이드.