제로 트러스트 세그멘테이션 정책을 작성하기 위해 필요한 것

지난 주, 우리는 논의 제로 트러스트 세그멘테이션 정책을 작성하는 데 필요한 애플리케이션 및 광범위한 환경 컨텍스트를 검색하는 데 필요한 기능필수 사항이 무엇인지 알게 되면 이를 정책 선언문에 명시해야 합니다.우수한 마이크로 세분화 솔루션은 검색에서 작성까지 원활하게 진행되며 세분화된 세분화 정책을 효율적으로 작성하는 데 필요한 모든 워크플로를 완벽하게 지원합니다.제로 트러스트 세그멘테이션 정책을 가속화하고 지원하는 요소에 대해 알아보겠습니다.

어떻게 해야할지 말고 원하는 것을 말하세요

과거에는 ACL (액세스 제어 목록) 을 작성하려면 무엇을 원하고 어떻게 해야 하는지 알아야 했습니다.그 결과 크고 복잡한 규칙 테이블이 나옵니다.제로 트러스트 세그멘테이션은 선언형에서 작동합니다. 정책 모델반대로 “정책”과 “규칙”을 구분합니다.정책은 우리가 원하는 결과입니다. 예를 들어 DEV와 PROD 환경을 분리하는 것과 같습니다.정책을 실현하는 데 필요한 규칙이나 ACL은 정책 엔진의 결과물이지 사람의 노력이 아닙니다.이를 통해 정책 작성이 크게 간소화됩니다.

하나의 장치가 다른 장치 3개와 통신할 수 있도록 허용하는 규칙을 작성하면 네 개의 규칙을 작성할 필요가 없습니다.한 서버가 다른 세 서버와 통신할 수 있다는 정책 하나만 작성하면 됩니다. 정책 엔진 해당 정책을 실현하기 위한 모든 규칙을 만듭니다.전체 데이터 센터 또는 클라우드 배포 규모로 볼 때 이러한 단순화는 제로 트러스트 세그멘테이션 정책의 개발을 가속화합니다.

익숙한 이름과 IP 주소

글쓰기 기존 방화벽 규칙 인프라에서 이해하는 IP 주소와 서버에 제공하는 이름을 지속적으로 변환해야 하기 때문에 항상 속도가 느립니다.이러한 변환을 제거하면 제로 트러스트 세그멘테이션 정책을 작성하는 시간이 크게 단축됩니다.

가장 좋은 상황은 조직이 CMDB, SIEM, IP 주소 관리 시스템, 호스트 이름 규칙, 서버 이름 등에 이미 있는 이름을 재사용할 수 있는 경우입니다. 익숙한 이름이 시각화의 모든 시스템에 레이블을 지정하고 정책 작성을 위한 추상화를 제공하면 갑자기 모든 사람이 제로 트러스트 정책을 이해하고 작성할 수 있습니다.번역이 필요 없으며, 전체 팀은 작성된 정책이 시각화를 통해 발견한 요구 사항과 일치한다는 데 신속하게 합의에 도달할 수 있습니다.

상속을 활용하여 정책 부담 경감

제로 트러스트 세그멘테이션 정책을 이름 (또는 레이블) 으로 추상화하면 제로 트러스트 허용 목록의 가장 좋은 부분 중 하나인 정책 상속을 활용할 수 있습니다.순수 허용 목록은 기존 방화벽과 달리 규칙 순서에 주의를 기울일 필요가 없습니다.

방화벽에서는 다음과 같은 기능이 혼합되어 있습니다. 허용 목록 및 거부 목록 규칙이란 규칙이 설계된 대로 작동하려면 엄격한 순서를 따라야 한다는 의미입니다.허용 목록에서는 항목만 허용되기 때문에 허용되는 순서나 두 번 이상 허용되는지 여부에는 차이가 없습니다.

즉, 제로 트러스트 세그멘테이션 정책은 자유롭게 상속될 수 있습니다.정책을 한 번 작성하면 필요한 만큼 여러 번 재사용할 수 있습니다.워크로드는 PROD 환경 정책, 데이터 센터 수준 정책 및 모든 데이터베이스에 대해 작성한 정책에서 정책의 일부를 파생시킬 수 있습니다.핵심 서비스에 대한 정책을 한 번 정의한 다음 환경의 모든 워크로드에 해당 정책이 적용되도록 할 수 있습니다.상속을 사용하면 기존 방법보다 훨씬 쉽게 제로 트러스트 정책을 작성할 수 있습니다.

규칙 작성을 배포하여 규모 확보

방화벽 규칙 작성은 장치가 사실상 네트워크 아키텍처의 일부이기 때문에 오랫동안 네트워크 보안 팀에서 중앙 집중화하고 관리해 왔습니다.이로 인해 방화벽 팀에서 애플리케이션 팀이 시스템 작동 방식을 IP 주소로 설명해야 한다는 어색한 대화가 이어졌습니다.그래야만 방화벽 팀에서 이를 규칙으로 변환할 수 있습니다.그런데 왜 그렇게 많은 커뮤니케이션과 번역에 신경을 쓰나요?

제로 트러스트 세그멘테이션과 강력한 역할 기반 액세스 제어 (RBAC) 기능을 통해 규칙 작성을 배포할 수 있습니다.제로 트러스트 세그멘테이션 솔루션이 애플리케이션별 뷰와 기능을 제공하도록 설계된 경우 다음과 같은 이점을 얻을 수 있습니다. 애플리케이션 소유자가 정책을 작성하거나 검증합니다. 애플리케이션의 내부 운영, 그리고 중앙 집중식 팀이 작업을 승인하고 핵심 서비스, 데이터 센터 및 인터넷 액세스에 대한 정책을 추가하기 위한 것입니다.

강력한 제로 트러스트 세그멘테이션 솔루션은 정책 작성 프로세스 전반에 걸쳐 애플리케이션 및 DevOps 팀에 권한을 제공합니다.조직에서 자동화를 더 많이 원할수록 이 위임은 더욱 중요해집니다.팀 전체가 공동의 목표를 향해 노력할 수 있게 되면 신뢰와 조직 응집력을 구축하고 제로 트러스트 세그멘테이션 정책을 신속하게 제공할 수 있습니다.

요약하면

데이터 센터와 클라우드 환경은 복잡하며, 세그멘테이션 정책을 작성하는 것도 동일한 복잡성을 공유한다고 가정하는 것은 당연합니다.하지만 최고의 제로 트러스트 세그멘테이션 솔루션은 기존의 방화벽 규칙 개발 프로세스를 단순하고 확장 가능하며 효과적인 워크플로우로 대체합니다.선언형 정책 모델이란 실행 방법이 아니라 원하는 것을 말할 수 있다는 뜻입니다.

인간은 자신이 원하는 것을 잘 말하며, 스마트 정책 엔진은 이를 인프라의 규칙으로 바꿀 수 있습니다.익숙한 이름을 기반으로 정책을 만들고 여러 번 재사용할 수 있게 되면 전체 팀의 업무가 줄어듭니다.

무엇보다도 팀 전체가 협업할 수 있으면 팀 간의 비효율적인 벽이 무너지고 전체 조직이 협력하여 중요한 자산을 보호할 수 있습니다.제로 트러스트 세그멘테이션은 세그멘테이션 정책의 모든 측면을 개선하여 세그멘테이션을 강화하는 동시에 조직의 부담을 줄여줍니다.