구조화된 정책 제어를 통한 올바른 세그멘테이션 구현

궁극적으로는 제로 트러스트 세그멘테이션 보안 규칙을 만들고 시행하는 것에 관한 것입니다.

제로 트러스트 세그멘테이션은 신중하게 정의된 액세스 정책을 수립하여 IT 시스템 및 환경 전반에 걸쳐 침해가 확산되는 것을 방지합니다.

어느 조직에서든 적어도 하나의 엔드포인트 디바이스가 공격자에 의해 침해되는 것은 불가피합니다.하지만 조직에 제로 트러스트 세그멘테이션 보안이 마련되어 있다면 위반은 제한될 수 있습니다. 엔드포인트가 랩톱, 데스크톱, 서버 또는 가상 머신이든 관계없이 해당 초기 엔드포인트로 이동합니다.

세그멘테이션 정책은 멀웨어가 다른 미션 크리티컬 서버 및 데이터 센터에 자신을 복제하거나 귀중한 데이터를 찾기 위해 네트워크를 탐색하는 데 필요한 네트워크 포트 및 프로토콜에 액세스하지 못하도록 방지합니다.세그멘테이션은 유리 아래 파리처럼 공격을 제자리에 가둡니다.

제로 트러스트 세그멘테이션: 두 가지 접근 방식

A 규칙 엔진 에 대한 구문을 정의하는 소프트웨어입니다. 세그멘테이션 규칙.또한 규칙이 정의되면 해당 규칙도 적용됩니다.일반적으로 세그멘테이션 소프트웨어 공급업체는 고객을 위한 규칙 엔진을 설계할 때 두 가지 접근 방식을 취합니다.

첫 번째 접근 방식은 고객에게 최대한의 유연성을 제공하여 조직 전체의 이해관계자가 원하는 범주나 레이블로 규칙을 정의할 수 있도록 하는 것입니다.

또 다른 접근 방식은 다음과 같은 디자인 철학을 채택하는 것입니다. 구조화된 정책 제어.이 접근 방식은 세그멘테이션 규칙에 사용할 수 있는 레이블 수를 제한합니다.또한 IT 보안 전문가로 구성된 중앙 집중식 팀이 규칙 제정을 제어할 수 있습니다.이러한 접근 방식을 채택한 공급업체는 결국 단순성이 개방형 복잡성보다 공격을 줄이는 데 더 효과적일 것이라고 믿습니다.

이제 이러한 접근 방식을 살펴보고 실제 배포에서 얻을 수 있는 장점과 문제점을 비교해 보겠습니다.

세그멘테이션에 대한 최대의 유연성 접근 방식

어느 조직에서든 보안 요구 사항 부서마다, 사용 사례마다 다를 수 있습니다.애플리케이션마다 다른 규칙이 필요합니다.동일한 애플리케이션이라도 실행 중인 데이터 센터, 실행 중인 소프트웨어 버전, 사용하는 리소스 등에 따라 규칙이 다를 수 있습니다.

많은 세그멘테이션 공급업체는 다양한 사용자와 애플리케이션 소유자가 자신의 전문 분야 또는 책임 영역에 대해 자체 규칙을 설정할 수 있도록 하여 이러한 유연성 요구를 해결합니다.

일반적으로 이러한 공급업체는 세 가지 유형의 규칙을 지원합니다.

• 특정 경로를 통한 교통 이동을 방지하기 위한 “차단” 규칙
• 특정 유형의 교통이 통로를 통과하도록 허가하기 위한 “허용” 규칙
• 특정 상황에서 트래픽을 차단하거나 허용하도록 다른 규칙을 선점하기 위한 규칙을 “재정의”합니다.

높은 수준에서 보면 유연한 규칙 제정에 대한 이러한 분산형 접근 방식이 유망해 보입니다.결국 IT 자산 소유자는 특정 IT 자산 또는 관련 자산 그룹에 가장 적합한 세분화 규칙을 설정하는 데 필요한 도메인 지식을 갖추고 있어야 합니다.또한 차단, 허용 및 재정의라는 세 가지 유형의 규칙을 제공하면 IT 보안 팀과 비즈니스 이해 관계자에게 IT 자산 보호를 위한 올바른 보안 정책을 정의하는 데 필요한 정밀도를 제공할 수 있을 것으로 보입니다.

안타깝게도 대부분의 조직에서는 특히 워크로드가 수만 또는 수십만 개에 이르는 대규모 조직 클라우드, 온프레미스 및 엔드포인트 환경에 분산되어 있습니다. 이러한 접근 방식이 곧 “와일드 웨스트 (Wild West)" 라고 할 수 있습니다.

물론 조직 전체의 이해 관계자들은 귀중한 IT 자산을 보호하기 위한 규칙을 정의했습니다.하지만 이렇게 되면 결국 혼란으로 이어집니다. 효과적으로 관리하기에는 너무 다양한 종류의 규칙이 너무 많기 때문입니다.

규칙 제정이 분산되고 조정되지 않기 때문에 규칙 모음에는 충돌과 누락이 발생하여 공격자가 이를 뚫고 나갈 수 있는 기회가 생깁니다.중앙에서 일관성 있는 거버넌스는 사실상 불가능합니다.

이러한 “와일드 웨스트 (Wild West)” 조건을 만드는 이유는 다음과 같습니다.

• 책임 영역은 종종 겹칩니다.
  예를 들어, 한 사람은 비즈니스 애플리케이션을 담당하고 다른 사람은 데이터베이스를 담당할 수 있습니다.응용 프로그램은 데이터베이스를 사용할 수 있지만 응용 프로그램과 데이터베이스에 대해 정의된 액세스 규칙은 독립적으로 개발됩니다.따라서 특히 다른 응용 프로그램에서도 데이터베이스를 사용하는 경우 두 규칙 집합이 일치하지 않을 수 있습니다.
  
  또 다른 예: 한 사람이 회사의 CRM (고객 관계 관리) 애플리케이션을 담당하고 있습니다.다른 사람이 회사의 뉴욕 데이터 센터를 담당하고 있는데, 여기서 CRM 애플리케이션이 실행되고 있습니다.이 두 사람이 보안 철학에 동의하더라도 독립적으로 구현한 세그멘테이션 규칙이 서로 완벽하게 작동할 가능성은 거의 없습니다.수십 또는 수백 개의 규칙을 독립적이고 효과적으로 작성하기에는 IP 주소, 포트 및 프로토콜이 너무 복잡합니다.
  
• 세그멘테이션 제어는 중앙 집중식이 아니라 분산되어 있으므로 테스트가 거의 발생하지 않습니다.
  제어가 너무 많은 이해 관계자에게 분산되어 있기 때문에 IT 조직에서 모든 세그멘테이션 규칙을 활성화하기 전에 테스트하기가 어렵습니다.테스트를 제대로 하지 않으면 오류와 실수가 발생할 위험이 커집니다.이로 인해 비즈니스에 중요한 트래픽이 실수로 차단될 수도 있습니다.
  
• 무제한 또는 많은 수의 레이블을 지원하면 혼란이 발생합니다.
  이러한 방식으로 제어를 분산하는 세그멘테이션 제품은 일반적으로 고객이 다음을 정의할 수 있도록 합니다. 세분화를 위한 자체 카테고리 또는 레이블.
  
  이러한 유연성을 활용하여 고객은 곧 세그멘테이션 정책에 사용할 레이블을 20개, 30개 또는 그 이상 보유하게 됩니다.예를 들어 고객은 다음과 관련된 모든 IT 자산에 레이블을 지정할 수 있습니다. PCI “PCI 규정 준수” 라벨 준수또한 특정 위치의 모든 자산에 위치 이름을 표시하거나 사업부, 애플리케이션, 환경 (예: 테스트 대 운영), 추가 정부 규정 (예: GDPR) 등에 대한 레이블을 부착할 수 있습니다.
  
  이론적으로 이러한 라벨의 확산은 정확성과 가시성을 제공합니다.실제로는 보안 모델이 너무 복잡해서 효과적으로 관리할 수 없게 됩니다.
  
  팀에서는 규칙 순서를 통해 이러한 혼란을 줄일 수 있습니다. 예를 들어 데이터 센터의 규칙을 먼저 적용하고, 애플리케이션 규칙을 다음으로 적용하고, 규정 또는 사업부에 대한 규칙을 마지막으로 적용하도록 규칙 세트를 구성할 수 있습니다.하지만 실제로 이러한 구조화는 복잡한 정책으로 이어져 특정 상황에서 어떤 규칙이 적용되는지 구분하기가 매우 어렵습니다.
  
• 분산형 규칙은 직원이 직장을 옮길 때 관리하기가 더 어렵습니다.
  분산 규칙 제정의 또 다른 문제는 조직의 IT 및 보안 팀이 어떤 규칙이 왜 생성되었는지 추적하기 어렵게 만든다는 것입니다.
  
  애플리케이션 소유자와 같은 규칙 작성자는 세그멘테이션 규칙에 대한 생각을 문서화하지 않았을 수 있습니다.직원이 퇴사하면 중요한 보안 및 운영 지식이 손실됩니다.

이러한 매우 유연한 접근 방식의 가장 큰 문제점은 무엇일까요?이로 인해 공격자가 악용할 수 있는 틈이 생깁니다.조직이 네트워크를 분할하는 데 투자한 모든 시간, 비용 및 노력에도 불구하고 랜섬웨어는 여전히 침투하고 있습니다.

세분화에 대한 구조화된 정책 제어 접근 방식

세그멘테이션 규칙을 만들기 위한 “최대 유연성” 접근 방식과 달리 세그멘테이션 공급업체는 다음을 제한할 수 있습니다. 라벨 개수 만들 수 있습니다.

역할, 애플리케이션, 환경 및 위치만 포함하여 허용되는 레이블의 수는 4개 정도로 적을 수 있습니다.또는 그 수가 조금 더 많을 수도 있지만 위에서 설명한 최대 유연성 접근 방식에서 허용된 수만큼 많지는 않을 수도 있습니다.

라벨을 제한하는 것이 실제로 효과적이라는 것이 밝혀졌습니다.사실, 가장 큰 규모의 성공적인 배포 의 제로 트러스트 세그멘테이션은 모두 이러한 접근 방식을 취하여 레이블을 10개 이하로 제한합니다. 이러한 정책은 매우 복잡한 하이브리드 IT 환경을 보호하고 있음에도 불구하고 말입니다.

구조화된 정책 제어 접근 방식이 효과적인 이유는 다음과 같습니다.

• 라벨이 제한되어 있어 중앙 집중화와 사전 조정이 필요합니다.
  세그멘테이션 정책 관리가 제대로 작동하려면 조직에 네트워크 트래픽을 분석하고 적용할 세그멘테이션 정책을 공동으로 개발할 중앙 팀이 필요합니다.
  
  애플리케이션 소유자는 데이터베이스 소유자와 협력하고, 데이터베이스 소유자는 방화벽 관리자와 협력합니다.승인된 트래픽 패턴에 대한 공통된 분석과 이해를 바탕으로 작업하기 때문에 필요한 보안을 제공하는 일관되고 상호 일관된 세그멘테이션 규칙을 정의할 수 있습니다.
  
• 이는 구조화된 정책 제어가 제공할 수 있는 포괄적인 네트워크 가시성을 기반으로 합니다.
  다양한 애플리케이션, 데이터베이스 및 기타 리소스에서 규칙 제정을 조정하려면 IT 및 보안 팀이 필요로 합니다. 포괄적인 가시성 조직의 네트워크 트래픽에 반영합니다.이를 통해 애플리케이션과 서비스가 사용하는 합법적인 트래픽을 식별할 수 있습니다.
  
  필수 트래픽이 식별되면 다른 모든 것을 차단하는 정책을 작성하기가 더 쉬워집니다.또한 다양한 이해관계자가 어떤 트래픽을 허용해야 하는지에 대해 더 쉽게 합의할 수 있습니다.이해관계자가 네트워크 사용에 대한 공통된 이해를 바탕으로 작업할 수 있으면 협업이 간단해집니다.
  
• Zero Trust 보안을 위해 기본적으로 모든 트래픽을 거부하여 더욱 간편하게 사용할 수 있습니다.
  이해관계자에게 트래픽을 차단하거나, 트래픽을 허용하거나, 이전 세그멘테이션 규칙을 재정의할 수 있는 옵션을 제공하는 대신 모든 시스템 또는 환경에서 기본적으로 모든 트래픽을 차단하는 것으로 구조화된 정책 접근 방식을 시작할 수 있습니다.그런 다음 IT 및 보안 팀은 조직 전체의 모든 합법적인 트래픽을 보여주는 시각화 맵을 사용하여 애플리케이션, 데이터베이스 또는 서비스에 필요한 트래픽만 허용하는 정책을 작성할 수 있습니다.
  
  구조화된 정책 제어 공급업체는 기본적으로 아무것도 신뢰하지 않기 때문에 정부에서 권장하는 엄격한 제로 트러스트 보안을 제공합니다. 국립 표준 기술 연구소 (NIST), 그 안에 있는 미국 백악관 국가 사이버 보안 개선에 관한 행정 명령, 및 기타 IT 보안 당국
  
• 규칙 제정이 중앙 집중화되므로 IT 및 보안 팀은 규칙을 적용하기 전에 규칙을 테스트하고 매핑할 수 있습니다.
  규칙 제정에 대한 중앙 집중식 접근 방식의 또 다른 이점은 규칙에 대한 일관된 모델이 있기 때문에 전체 모델을 테스트 모드에서 실행할 수 있다는 것입니다.또한 규칙을 구현하기 전에 워크로드 간의 통신 경로를 시각적으로 매핑하여 팀에 잠재적 문제를 알릴 수 있습니다.이를 통해 IT 및 보안 팀은 규칙을 적용하기 전에 문제를 해결하고 규칙을 미세 조정할 수 있습니다.

결론: 유연성 vs. 확장성

규칙을 대규모로 구현하면 이 두 가지 접근 방식 중 하나를 선택하는 것이 매우 어려워집니다.

소규모 조직에서도 매우 유연한 접근 방식은 순식간에 유지가 불가능해집니다.독립적으로 개발된 규칙 세트가 무수히 많은 가운데 보안 격차가 지속될 수밖에 없습니다.통합된 조정이 이루어지지 않아 공격이 뚫리거나 선의의 보안 규칙이 미션 크리티컬 트래픽을 우발적으로 차단합니다.

이와는 대조적으로, 세분화에 대한 구조화된 정책 제어 접근 방식을 통해 IT 및 보안 팀은 스타트업부터 가장 크고 복잡한 글로벌 네트워크에 이르기까지 모든 종류의 IT 환경을 간단하고 효율적으로 보호할 수 있습니다.

제로 트러스트 세그멘테이션을 위한 Illumio 솔루션에 대해 알아보려면:

• 가져와 제로 트러스트 임팩트 리포트 조직이 제로 트러스트에 접근하는 방식에 대한 ESG 연구를 학습합니다.
• 심층 가이드 다운로드 5단계로 마이크로 세분화 전략을 수립하는 방법.
• 무료 사본 받기 포레스터 뉴 웨이브: 마이크로세그멘테이션, 2022년 1분기 일루미오가 리더로 선정되었습니다.
• 스케줄 의무가 없는 데모 및 제로 트러스트 세그멘테이션 전문가와의 상담