.png)
마지막으로, Windows 서버를 보호하는 새로운 방법
Windows 운영 체제는 세계에서 가장 많이 설치된 운영 체제 중 하나이므로 해커들의 매력적인 표적이 될 것이라는 점은 이해할 수 있습니다.기존의 안티바이러스 및 맬웨어 보호 외에 이러한 컴퓨터와 해당 컴퓨터가 연결된 네트워크를 보호하기 위해 할 수 있는 다른 방법은 무엇일까요?
네트워크에 보안 하드웨어를 추가하면 공격을 억제하거나 경고를 보내거나 공격을 완전히 차단할 수 있습니다.VLAN 및 방화벽 기반 네트워크 세분화 현재까지 가장 효과적인 네트워크 보안 전략이지만 유지 관리 및 신속한 확장이 불가능하다는 등 몇 가지 주요 단점이 있습니다.
가장 경험이 많은 보안 전문가조차도 방화벽 규칙이 의도하지 않은 영향을 우려하여 방화벽 규칙을 제거하지 않기로 결정했습니다.
네트워크를 적절하게 분할하는 데 필요한 VLAN과 방화벽 규칙의 수를 따라잡다 보면 보안 팀의 리소스가 너무 많이 소모될 수 있습니다.또한 이 접근 방식은 정책을 변경 사항과 동기화하려면 사람의 개입이 필요하기 때문에 시간이 지남에 따라 무너질 수 있습니다.아무리 숙련된 보안 전문가라도 방화벽 규칙이 의도치 않은 영향을 미칠까 봐 방화벽 규칙을 제거하지 않기로 결정했습니다.
방화벽 규칙이 늘어날수록 관리하기가 훨씬 더 어려워지고 결국에는 터무니없이 많은 수에 이르게 됩니다.저는 개인적으로 다음과 같은 대기업을 본 적이 있습니다. 수백만 방화벽 규칙 중 일부는 10년이 넘었습니다.
포트 기반 규칙의 문제점
Windows 운영 체제는 기존 방화벽으로 보안을 설정하려고 할 때 독특한 문제를 일으킵니다.이러한 방화벽은 포트 기반 규칙을 사용하므로 특정 IP 주소의 포트가 다른 IP 주소의 다른 포트와 통신할 수 있습니다.
이 전략은 일반적으로 단일 포트 또는 다양한 포트에서 단일 프로세스를 실행하는 UNIX 및 Linux에 적합합니다.하지만 Microsoft 운영 체제에서는 동적으로 할당될 수 있는 단일 포트 또는 포트 그룹을 사용하는 프로세스 그룹을 사용하는 것이 일반적입니다.따라서 고객이 어떤 포트를 사용할지 미리 알지 못할 수도 있습니다.그렇다면 포트를 사용하는 프로세스를 모르는 경우 포트를 허용해야 하는지 또는 어떤 포트를 사용할지 어떻게 알 수 있을까요?
기업은 문제의 증상을 치료하고 있지만 핵심 문제는 아닙니다. 오늘날의 보안은 정적이어서 변화 속도를 따라가지 못합니다.
동적 포트는 일반적으로 동의한 “하이 포트” 풀에서 무작위로 할당됩니다.상상할 수 있듯이 어떤 포트를 사용할지 모르면 세그먼트 방화벽에서 광범위한 포트 범위가 열려 Windows 시스템이 서로 통신할 수 있습니다.반대로 이러한 포트 범위를 제한할 수도 있지만 이 경우 레지스트리 키를 변경하고 모든 Windows 호스트를 재부팅해야 합니다.
이로 인해 감당할 수 없을 만큼 많은 방화벽 규칙을 관리하거나 호스트의 고유 포트 범위를 제한해야 하는 이상적인 입장에 처하게 됩니다.
변화 속도 따라잡기
기업들은 방화벽 규칙을 관리하는 소프트웨어를 만들고, 방화벽에 애플리케이션 인식 기능을 추가하고, 일반적으로 불만스러운 상황을 이리저리 지원함으로써 도움을 주려고 노력하고 있습니다.하지만 이들 모두는 문제의 증상만 다루고 핵심 문제는 아닙니다. 오늘날의 보안은 정적이어서 변화 속도를 따라가지 못합니다.
이제 클라우드 마이그레이션에서도 세분화된 애플리케이션 세분화가 가능합니다.
를 입력하세요 일루미오 어댑티브 시큐리티 플랫폼 (ASP)동적인 적응형 보안 모델을 통해 Windows (및 Linux) 워크로드를 보호하는 완전히 새로운 접근 방식입니다.Illumio ASP는 운영 체제, Windows 필터링 플랫폼 및 iptables에서 제공하는 기본 보안 강화 서비스를 사용합니다.그런 다음 규칙을 작성하기 위해 IP 주소와 포트가 필요하지 않은 직관적인 레이블링 시스템이 추가되었습니다.
따라서 새 호스트나 수정된 호스트가 체크인하면 Illumio ASP는 할당된 레이블을 읽고 보안 프로필을 자동으로 구성합니다.호스트가 IP 주소를 이동하는 경우에도 마찬가지입니다. 변경 사항이 확인되고 모든 적절한 정책이 몇 초 만에 다시 계산됩니다.
레이블을 통해 환경을 정의하면 애플리케이션 보안을 그룹화할 수 있습니다.애플리케이션 구성 요소를 가동하거나 축소하면 방화벽 규칙을 수정하거나 VLAN을 관리할 필요 없이 보안이 뒤따릅니다.
이것은 무엇을 의미할까요?이제 클라우드 마이그레이션에서도 세분화된 애플리케이션 세분화를 달성할 수 있습니다.
정책 컴퓨팅 엔진 (PCE) 은 운영의 “두뇌”입니다.
Windows 환경에 프로세스 기반 적용 기능이 추가됨에 따라 Illumio는 마침내 동적 하이 포트를 처리하는 방법에 대한 문제를 해결할 것입니다.승인된 프로세스를 정의하기만 하면 Illumio를 통해 원하는 포트에서 안전하게 통신할 수 있습니다.
이런 일이 일어나는 이유는 무엇일까요?정책 컴퓨팅 엔진 (PCE) 은 운영의 “두뇌”입니다.a라는 경량 에이전트를 사용합니다. 가상 단속 노드 (VEN), PCE는 변경이 발생한 시점을 즉시 인식하고 몇 초 내에 영향을 받는 시스템을 수정합니다.이 동적 정책 엔진을 사용하면 자연어 보안 정책을 신속하게 작성할 수 있을 뿐만 아니라 Illumination이라는 애플리케이션 구조의 대화형 실시간 맵도 표시합니다.복잡한 보안 태세를 누구에게나 알릴 수 있는 매우 효과적인 도구입니다.
Windows 서버 보안이 정말 흥미로워졌습니다.
