.png)
제로 트러스트에 정책이 중요한 이유
에 대한 아이디어 최소 권한 새로운 것은 아니며 최소 권한 서비스를 위해 네트워크에서 장치를 별도로 유지한다는 아이디어도 마찬가지입니다.결국 모든 방화벽은 배송 컨테이너에서 기본 규칙인 “모두 거부 (deny all)" 라는 기본 규칙과 함께 제공되므로 최소 권한 정책을 만들도록 초대합니다.그래서 지난 15~20년 동안 우리는 경계 방화벽에 점점 더 많은 허용 및 거부 명령을 성실하게 입력해 왔습니다.현재 대부분의 조직에는 이러한 명령문이 너무 많아서 이를 관리하려면 고도로 숙련된 관리자로 구성된 팀이 필요하며 최근 몇 년 동안 복잡성이 폭발적으로 증가했습니다.
문제 (곱하기 3)
이제 제로 트러스트 최소 권한으로 돌아가도록 규정합니다.이번에만, 엣지가 아니라 모든 워크로드, 모든 사용자, 모든 엔드포인트에서 말이죠.이것이 얼마나 실현 가능할까요?매년 Cisco는 다음을 발표합니다. 엔터프라이즈 네트워크에 대한 상세 조사그리고 이것은 우리가 고려할 수 있는 간단한 근사치를 제공합니다.2020년에는 트래픽의 73% 가 “동서”, 즉 데이터 센터의 시스템 사이에서 발생했고 약 27% 는 경계를 통과했습니다.따라서 기존 경계 방화벽 규칙은 트래픽의 27% 를 포괄합니다.
분명한 의미는 나머지 73% 의 트래픽에 대해 유사한 정책을 수립하는 것이 대략 작업의 3배, 규칙 복잡성의 3배, 인원수의 3배라는 것입니다.이것이 바로 문제입니다.아무도 3배의 비용을 지출하고, 3배의 고용을, 3배의 복잡성을 구성할 수는 없습니다.SDN 솔루션을 활용하여 이 작업을 수행하려고 했거나 가상 방화벽을 배포해 본 사람들은 이것이 제대로 작동하지 않는다는 것을 알고 있습니다.
제로 트러스트를 제안하는 모든 공급업체는 이 난제를 해결해야 합니다.당면한 엄청난 과제의 운영 현실을 고려하지 않고서는 제로 트러스트 결과를 달성할 수 있다고 단언하는 것은 믿을 수 없습니다.제로 트러스트 결과를 원하는 사람이라면 누구나 성공적인 구현을 위해 비용, 운영 복잡성 및 인적 자원 구성 요소를 충족할 수 있다는 확실한 증거가 필요합니다.
정책을 시행할 장소가 더 이상 필요하지 않습니다
방화벽이 네트워크에 처음 도입되었을 때 방화벽은 대규모 트래픽을 차단하고 제한할 수 있는 유일한 장치였습니다.하지만 오늘날에는 이런 성과가 있습니다. 제로 트러스트 마이크로 세그멘테이션 단속 포인트 문제가 아니에요.AIX, Solaris 및 System Z (메인프레임) 를 포함하여 Windows에서 Linux에 이르기까지 데이터 센터의 모든 최신 운영 체제에는 커널 전달 경로에 상태 저장 방화벽이 잘 구현되어 있습니다.라우터와 스위치부터 방화벽과 로드 밸런서에 이르기까지 모든 네트워크 디바이스는 방화벽 규칙을 적용할 수 있습니다.
실제로 데이터 센터의 거의 모든 네트워크 연결 장치에는 일부 액세스 제어 기능이 있습니다.즉, 제로 트러스트를 구현하기 위해 방화벽 팔레트를 구매할 필요가 없습니다.단속 지점은 이미 이용 가능합니다.즉, 제로 트러스트를 구현하는 데 드는 비용은 거의 전적으로 구성 복잡성 영역에서 느껴질 것입니다.결국 필요한 인력의 수는 해야 할 업무의 양에서 비롯됩니다.
정책 관리가 제로 트러스트 결과를 결정합니다
따라서 정책이 제로 트러스트 배포에서 가장 중요한 단일 요소라는 결론을 내릴 수 있습니다.제로 트러스트 목표의 달성 가능성은 정책을 검색, 작성, 배포 및 시행하는 것이 얼마나 쉬운지에 따라 달라집니다.
공급업체는 자신의 기능에 대해 이야기하고 멋진 사용자 인터페이스를 보여주기를 좋아하지만 결국 중요한 것은 Zero Trust 마이크로 세그멘테이션 이니셔티브에 내재된 정책 관리 작업을 얼마나 간소화, 축소 및 자동화하느냐뿐입니다.
누구나 제로 트러스트 정책을 작성하기 전에 먼저 모든 관련 통신 흐름과 해당 애플리케이션의 작동 방식, 즉 핵심 서비스와 연결된 사용자 및 기타 장치에 따라 달라지는 방식을 알아야 합니다.이는 정책 발견이라고 할 수 있습니다. 이는 단순히 거품에 걸린 앱을 예쁘게 묘사하는 것 이상의 의미가 있습니다.궁극적으로 제로 트러스트 정책을 성공적으로 작성하려면 필요한 모든 정보가 필요합니다.
정책을 작성하면 인간의 욕구를 IP 주소로 변환해야 하는 부담을 없애야 합니다.작성 부담을 줄이려면 메타데이터를 사용하여 정책을 단순화, 확장 및 상속해야 합니다.정책을 작성한 후에는 이미 존재하는 적용 지점에 정책을 배포할 방법이 필요합니다.모든 정책을 최신 상태로 유지하고 애플리케이션 자동화를 통해 자동으로 추적하려면 어떻게 해야 할까요?이동, 추가, 변경을 모두 처리할 수 있다면 관리 팀의 업무량이 줄어듭니다.
마지막으로, 정책 집행은 궁극적으로 제안된 정책을 검증하고 신뢰도를 높이는 능력에 달려 있습니다.방화벽에는 모델링 기능이 없습니다.하지만 “허락하고 기도하는 것”만으로는 충분하지 않습니다.정책이 정확하고 완전하며 신청 내용을 망치지 않을 것임을 알고 모든 이해관계자에게 이를 전달할 수 있어야 합니다.
결론
제로 트러스트 정책 관리에 중요한 것이 무엇인지 아는 것은 제로 트러스트 또는 마이크로 세그멘테이션 프로젝트를 제공하는 데 필요한 것이 무엇인지 아는 것과 같습니다.세분화된 세그멘테이션의 운영은 정책을 발견, 작성, 배포 및 시행하는 인간의 능력에 따라 결정되는 속도로 진행될 것입니다.효과적이고 효율적인 정책 관리가 이루어지면 그에 비례하여 인력 요구 사항도 감소합니다.따라서 제로 트러스트를 운영하는 데 있어 가장 중요한 요소는 긴축에 필요한 복잡한 정책을 효과적으로 처리하는 것임이 분명합니다. 세그멘테이션 제어.정책 관리는 매우 중요하므로 향후 블로그 게시물에서 정책 관리에 대해 자세히 살펴보도록 하겠습니다.
