.png)
제로 트러스트 정책을 신속하고 안전하게 시행하기 위해 필요한 것
이 시리즈에서는 성공을 위한 필수 특성을 고려했습니다. 발견, 저작, 및 배포 제로 트러스트 세그멘테이션 정책이번 주에는 제로 트러스트 세그멘테이션 정책을 시행하는 데 필요한 사항을 자세히 살펴보는 것으로 마무리하겠습니다.완전하게 시행되지 않는 제로 트러스트 정책으로는 멀웨어, 랜섬웨어 또는 악의적인 공격자를 막을 수 없습니다.애플리케이션 기능을 중단하지 않고 모든 제로 트러스트 정책을 전체 인프라에 신속하게 적용할 수 있도록 하려면 고려해야 할 주요 고려 사항이 있습니다.
안심하세요, 미안하지 마세요
기존 클라우드 및 데이터 센터 환경에서 작업할 때 첫 번째 요구 사항은 “해를 끼치지 마십시오!” 라는 히포크라테스 선서를 따르는 것입니다.모든 마이크로 세그멘테이션 솔루션은 에이전트를 사용합니다.안전한 에이전트가 필요하며 어떤 인라인 에이전트도 안전하지 않습니다.인라인 방화벽, 필터링 또는 기타 보안 기능을 구현하는 에이전트는 안전하다고 간주될 수 없습니다.에이전트 종료에 실패하면 애플리케이션이 중단되며, 이는 운영상 안전하지 않습니다.인라인 에이전트가 열리지 않으면 보안 메커니즘이 사라지는데, 이것이 바로 안전하지 않은 컴퓨팅의 정의입니다.적용을 위한 유일한 안전 에이전트 기술은 데이터 경로 외부에 있는 에이전트입니다.공급업체 에이전트가 실패하거나 제거되더라도 규칙을 그대로 유지하는 솔루션이 필요합니다.수요 에이전트 재부팅 없이 설치 및 업그레이드할 수 있습니다.에이전트는 사용자 공간에서 실행해야 합니다.커널을 수정하거나, 사용자 지정 네트워크 어댑터를 설치하거나, 인라인으로 설치되는 모든 것을 거부하십시오.이처럼 기본적인 것을 다시 만들 필요는 없습니다. 스테이트풀 방화벽 말 그대로 데이터센터나 클라우드의 모든 것에 하나가 포함될 때 말이죠.
모든 것에 적용
시행할 제로 트러스트 정책이 있다면 이를 적용하기에 가장 좋은 곳은 어디에나 있습니다!지난 12년 동안 사용되어 온 모든 운영 체제에는 완벽하게 우수한 스테이트풀 방화벽이 있습니다. 바로 IPtables/NetFilter와 Windows 필터링 플랫폼입니다.AIX, Solaris, 심지어 메인프레임에도 비슷한 기술이 존재합니다.네트워크 스위치, 로드 밸런서 및 하드웨어 방화벽에는 모두 방화벽 규칙이 적용됩니다.모두 사용해 보는 건 어떨까요?제로 트러스트를 어디에나 적용하고 이미 소유하고 있는 모든 것에 대해 정책 집행을 자동화하세요.집행에는 다음과 같은 내용이 포함되어야 합니다. 쿠버네티스 컨테이너 환경, 아마존, 하늘빛 과 구글 클라우드 인스턴스, SaaS 서비스, 심지어 OT 장치를 IT 환경에 접근하지 못하도록 하는 것까지.모든 디바이스가 이미 필요한 모든 것을 지원하고 있는 상황에서 제로 트러스트 정책을 시행하는 독점 공급업체 에이전트를 고려할 가치조차 없습니다.
신뢰의 속도 향상
제로 트러스트 배포는 정책의 안전성에 대한 신뢰도에 따라 진행됩니다.결국 제로 트러스트 정책에서는 원하는 모든 것을 지정해야 하지만 그 밖의 모든 것은 거부됩니다.즉, 제로 트러스트 정책은 완벽해야 합니다.데이터 센터에는 몇 개의 플로우가 있나요?이러한 모든 흐름의 완벽함을 확신하기는 어려울 것 같습니다.편히 쉬세요.제로 트러스트 세그멘테이션은 어렵지 않아도 됩니다.규모가 작더라도 단 하나의 서비스라도 적용할 수 있는지 확인하세요.결국 가장 취약한 흐름 중 일부는 환경의 모든 시스템에 영향을 미치는 핵심 서비스 및 관리 시스템입니다.대부분 단일 포트 또는 작은 범위를 사용합니다.어떤 좋은 솔루션이라도 이러한 소수의 포트만 선택적으로 적용할 수 있어야 합니다.정의하기 쉽고 동의하기 쉬우며 보안에 매우 중요합니다.스펙트럼의 반대편에는 “다음 공유 서비스 목록을 제외한 모든 DEV 시스템이 PROD와 통신하지 못하도록 하되 가능한 한 제한하십시오”와 같은 정책적 욕구를 적용하는 것뿐입니다.모든 DEV 시스템과 모든 PROD 시스템을 완벽하게 이해하는 사람은 아무도 없을 것입니다. 너무 동적이고 복잡하기 때문입니다.하지만 최고의 제로 트러스트 세그멘테이션 솔루션은 규칙 순서 지정 문제나 정책 상속 위반으로부터 자유로워지면서도 이와 같은 정확한 기능을 제공하는 적용 범위를 쉽게 정의할 수 있습니다.팀의 모든 구성원이 정책이 올바르고 안전한지 얼마나 빨리 확신할 수 있을까요?단일 정책 선언문 수준에서 시행하는 동시에 광범위한 분리 목표를 시행할 수 있는 솔루션을 찾아보세요.둘 다 똑같이 간단하다면 변경 제어를 통해 제로 트러스트 정책을 쉽게 시행할 수 있습니다.
요약하면
시행된 규칙으로 클라우드, 엔드포인트 및 데이터 센터 시스템을 격리하는 것이 요점입니다. 제로 트러스트.가시성 전용 또는 모니터링 솔루션은 절대 제로 트러스트 세그멘테이션으로 간주될 수 없습니다.좋은 세그멘테이션 솔루션은 우선 안전해야 하며 개방형이나 폐쇄형에서 장애가 발생하여 전체 환경을 위험에 빠뜨리는 인라인 기술에 의존하지 않아야 합니다.단속은 광범위하게 이루어져야 하며 OS 기반 방화벽부터 랙에 설치된 하드웨어 및 네트워크 장비에 이르기까지 이미 비용을 지불하고 소유한 모든 방화벽을 활용해야 합니다.컨테이너, 클라우드 및 전체 컴퓨팅 환경에 제로 트러스트 세그멘테이션 정책을 구현하려면 다양한 솔루션이 필요합니다. 그렇다면 각 솔루션에 이미 있는 솔루션을 사용하는 것은 어떨까요?마지막으로, 단일 정책 설명부터 전체 환경을 세분화하는 쉬운 방법까지 시행을 강화할 수 있는 것이 중요합니다.세분화된 마이크로 세분화는 시스템이 중단되지 않을 것이라는 확신을 공유하는 속도로 진행됩니다.따라서 매우 유연하고 미묘한 적용 기능을 갖춘 솔루션은 항상 가장 빠른 제로 트러스트 결과를 제공합니다.
ICYMI, 이 시리즈의 나머지 부분을 읽어보십시오.
