마이크로세그멘테이션은 조직의 데이터센터 또는 클라우드 환경에서 워크로드 간의 네트워크 액세스를 제어하고 제한하는 데 도움이 되는 보안 모범 사례입니다.
이 세그멘테이션 기법은 새로운 것이 아닙니다. IT 팀은 오래 전부터 네트워크와 애플리케이션에 세그멘테이션을 적용해 왔습니다. 예를 들어, 네트워크 세그멘테이션은 네트워크를 여러 세그먼트로 나누어 공격 노출면을 줄입니다. 그러면 어떤 네트워크 세그먼트의 호스트에 보안 침해가 일어나더라도 다른 세그먼트의 호스트에는 영향을 주지 않습니다.
마이크로세그멘테이션은 데이터 또는 애플리케이션 단계에서 이루어지는 세분화의 정도가 다릅니다. IT 팀에서는 여러 개의 물리적 방화벽 대신 네트워크 가상화 기술을 사용하여 네트워크를 개별 데이터 공유 또는 워크로드 수준까지 분할한 다음 각각에 대해 고유한 정책 기반 보안 제어를 구현할 수 있습니다. 그러면 사실상 데이터센터 및 클라우드 환경 전반에서 고도로 특정화된 보안 영역이 형성되어 해당 기업의 보안 태세와 공격에 대한 방어 체계를 강화하고 사이버 이벤트의 영향 범위를 최소화합니다.
마이크로세그멘테이션은 오늘날 클라우드의 인기에 힘입어 점점 더 많이 쓰이고 있습니다. 클라우드에서는 절대적인 데이터 및 워크로드 분리와 통합 정책 실행이 필요하기 때문입니다. 또한 컨테이너와 같이 표준 경계 보안으로는 완전히 보호할 수 없는 워크로드를 배포할 때 더 확실한 보호 기능을 제공할 수 있습니다. 예를 들어, 클라우드 네이티브 워크로드에는 대개 동적 IP 주소가 있으므로, IP 주소를 기반으로 규칙을 만들려고 하면 효과가 없습니다.
마이크로세그멘테이션의 작동 원리
지금까지는 조직의 네트워크에 경계 보안을 주로 사용했습니다. 이러한 보안 프로토콜 및 디바이스에서는 클라이언트와 서버 간에 이동하는 트래픽, 또는 외부 소스에서 네트워크로, 아니면 그 반대로 전송되는 데이터를 모니터링합니다. 이 네트워크의 내부에 있는 것은 대개 신뢰할 수 있었고, 데이터는 모니터링 없이도 워크로드 간에 이동할 수 있었습니다.
그러나 클라우드가 인기를 얻으면서 오늘날 조직의 트래픽 대부분은 워크로드 간에 이동하는 트래픽입니다. 그리고 경계 보안으로는 이 트래픽을 검사하지 못합니다. 마이크로세그멘테이션에서는 이러한 워크로드를 격리합니다. 그리고 두 워크로드가 상호 데이터에 액세스하는 것을 허용할 지를 결정하기 위해 정책과 규칙을 적용합니다.
IT 관리자는 하나의 네트워크에서 워크로드를 서로 분리함으로써 경계 공격과 달리 네트워크 내에서 일어나는 래터럴 공격으로 인한 피해를 줄이거나 없앨 수 있습니다. 그러면 공격자가 경계 보안을 통과하더라도 시스템은 서버 간 위협으로부터 보호받습니다.
마이크로세그멘테이션의 보안 제어는 일반적으로 크게 세 가지 범주로 나뉩니다.
- 소프트웨어 에이전트 또는 기타 에이전트 기반 솔루션 - IT 팀에서 세그멘테이션 대상인 워크로드와 시스템을 포괄하는 소프트웨어 에이전트를 사용할 수 있습니다. 그중에는 워크로드 속성을 보고 격리 방법을 결정하는 솔루션이 있는가 하면, 워크로드에 내장된 방화벽을 기준으로 삼는 경우도 있습니다.
- 네트워크 기반 제어 - 여기서는 물리적 네트워크 인프라 또는 가상 네트워크 인프라(예: 소프트웨어 정의 네트워크(SDN), 스위치, 로드 밸런서 등)를 사용하여 정책을 생성하고 구현합니다.
- 기본 제공 클라우드 제어 - 여기서는 시스템이 클라우드 서비스 제공업체의 기본 제어, 이를테면 AWS의 Amazon Security Group, 또는 기본 제공된 방화벽을 활용합니다.
제로 트러스트 보안 소개
마이크로세그멘테이션 보안 제어는 일반적으로 최소 권한(least privilege)과 제로 트러스트 아키텍처(ZTA)를 토대로 합니다. 이 제로 트러스트 보안 모델에서는 기존 보안 접근 방식에 내재된 암시적 신뢰를 적용하지 않습니다. 예전에는 네트워크 시스템 내에서 사용자에게 암시적 신뢰를 부여하는 게 일반적이었으나, 현재 제로 트러스트 원칙에서는 사용자에게 필요한 시스템, 정보, 애플리케이션에 한해 액세스 권한을 부여하고 그 밖의 요소와는 계속 사용자를 격리시킵니다. 그러면 데이터가 여러 시스템/애플리케이션 간의 불필요한 래터럴 무브먼트를 제한합니다.
제로 트러스트 모델에서는 어떤 조직의 네트워크에 로그인하여 들어가더라도 자유롭게 이동할 수 있는 게 아닙니다. 사용자가 해당 시스템 내의 특정 데이터 및 애플리케이션에 액세스하려면 끊임없이 인증 및 승인 절차를 거쳐야 합니다.
이러한 제로 트러스트 보안 접근 방식이 오늘날 더욱 널리 쓰이게 된 이유 중 대표적인 3가지를 꼽는다면, 1) 업종을 불문하고 급격하게 증가하는 중대한 데이터 유출 사고, 2) 최근 몇 년 새 본격화된 원격 및 하이브리드 업무 모델로의 전환, 3) 한때는 데이터센터에 의해 명확하게 정의되었던 보안 경계를 무너뜨린 클라우드로의 리소스 이동을 들 수 있습니다. 실제로 Gartner의 예측에 의하면, 2025년에는 기존 보안 방식 대신 이 모델을 도입하는 조직이 60%에 이를 것입니다.
제로 트러스트 vs 마이크로세그멘테이션
많은 전문가가 마이크로세그멘테이션을 제로 트러스트 네트워크 액세스(ZTNA)라고 하는 제로 트러스트 보안 프랙티스의 핵심 기술로 간주합니다. 이 두 가지 보안 접근 방식은 긴밀하게 연결되어 있습니다. 실제로 마이크로세그먼테이션을 통해 제로 트러스트가 가능해집니다. 워크로드가 매우 세부적으로 세그멘테이션되고, 제로 트러스트 원칙에 따라 어느 누구도 엄격한 또는 강제적인 인증 및 승인 절차를 거치지 않고서는 이 워크로드에 액세스하지 못합니다. 어떤 워크로드가 보안 침해를 당하더라도, 해당 위협이 조직의 다른 워크로드, 사용자, 리소스에 영향을 미치지 않으므로 안심할 수 있습니다.
마이크로세그멘테이션의 이점
마이크로세그멘테이션은 조직의 시스템 내에서 래터럴 공격의 위협을 줄이거나 예방할 수 있다는 이점과 함께, 어떤 워크로드를 가장 중요하게 보호해야 하는지에 관한 보다 유익한 인사이트를 IT 팀에 제공합니다. 그리고 다음과 같은 이점도 누릴 수 있습니다.
네트워크 공격 노출면 축소
어떤 조직의 공격 노출면(attack surface)은 누군가에 의한 네트워크 침투가 일어날 수 있는 모든 지점입니다. 이러한 지점을 공격 벡터(attack vector)라고 하는데, 여기에는 애플리케이션, API, 비밀번호 및 사용자 자격 증명, 암호화되지 않은 데이터, 사용자 본인 등이 포함될 수 있습니다.
마이크로세그멘테이션으로 이 각 지점을 서로 격리할 수 있습니다. 즉, 공격자가 시스템에 침입하더라도 전체 네트워크의 극히 작은 부분에만 액세스할 수 있습니다. 공격 노출면면이 각 마이크로세그먼트의 크기로 축소되었기 때문입니다.
그리고 IT 팀은 마이크로세그멘테이션을 통해 성능 저하나 예기치 않은 다운타임 없이 해당 조직의 네트워크 전 범위를 면밀하게 모니터링할 수 있습니다. 마이크로세그멘테이션 덕분에 앱 개발자가 개발 중에 보안 정책 및 제어를 정의하는 것도 가능합니다. 그러면 단지 애플리케이션 배포 또는 업데이트 때문에 새로운 취약점이 생기는 것을 방지할 수 있습니다.
더 효과적으로 보안 침해 억제
IT 팀과 보안 팀은 마이크로세그먼트와 세부적인 정책을 통해 네트워크를 이동하는 데이터를 더 효과적으로 모니터링할 수 있습니다. 그리고 보안 팀에서 더 빨리, 효율적으로 공격을 식별할 수 있습니다. 위협을 완화하거나 공격에 대응하는 데 걸리는 시간도 단축됩니다. 마이크로세그먼트는 상호 격리되어 있어 보안 침해가 일어나더라도 그 범위가 해당 마이크로세그먼트 하나로 한정됩니다. 즉, 보안 침해가 확산되지 않아 네트워크의 다른 영역에 영향을 미치지 않습니다.
더 충실하게 규정 준수
조직은 해당 데이터를 저장, 액세스, 관리, 사용하는 방법에 관한 온갖 지침을 준수해야 하기 때문에 규제 대상 데이터 보호는 일반 정보 보호보다 더 까다로울 수 있습니다. 마이크로세그먼테이션을 통해 조직은 개별 워크로드에 대한 정책을 만들고 구현함으로써 해당 데이터에 액세스하고 사용하는 방법을 훨씬 더 면밀하게 제어할 수 있습니다. 이러한 정책 자체가 규정 준수에 도움이 될 수 있습니다. 게다가 다른 워크로드와 격리되는 점 때문에 규정 준수 의무를 더 성실히 이행할 수 있습니다.
정책 관리 간소화
일부 마이크로세그멘테이션 솔루션에서는 조직의 정책 관리를 원활하게 수행하게 해주는 도구가 내장되어 있습니다. 이러한 도구는 네트워크에서 애플리케이션을 자동으로 찾아 해당 애플리케이션 또는 시스템의 작동 방식에 따라 각기 다른 유형과 수준의 정책을 추천하는 기능을 제공합니다.
가장 중요한 워크로드 보호
해당 조직의 비즈니스에 더 중요한 워크로드가 있기 마련입니다. IT 팀은 마이크로세그먼테이션의 세분화 특성을 활용하여 조직에서 정의한 맞춤형 보안 정책 및 제어를 생성함으로써 가장 중요하고 가치 있는 워크로드를 가장 확실히 보호하게 할 수 있습니다.
마이크로세그멘테이션 구현 방식
제로 트러스트와 마이크로세그멘테이션이 인기를 얻으면서 구현 모범 사례도 생겨나고 있습니다. 이 구현은 하나의 프로세스라는 점을 무엇보다도 염두에 두어야 합니다. 그리고 귀사가 구현을 시작할 준비가 되었는지는 평가해야 합니다.
구현에 앞서 IT 팀이 전반적으로 네트워크 세그멘테이션에 익숙하고 이미 사용 중이어야 합니다. 네트워크 리소스를 상호 분리하는 방식의 토대가 되는 명확한 보안 정책도 필요합니다.
그리고 종합적인 검색 프로세스를 거치면서 애플리케이션 및 네트워크 트래픽 흐름에 관한 광범위한 가시성을 확보하기까지 다소 시간이 걸릴 수 있습니다. 즉, 네트워크에서 실행 중인 각종 디바이스, 애플리케이션, 기타 워크로드를 파악하고, 각각의 데이터 흐름을 확인해야 합니다.
이제 네트워크에 무엇이 있는지 알았으므로 각 워크로드에서 수행 가능한 작업을 결정할 차례입니다. 그러면 마이크로세그먼트별로 실제 정책이 생성됩니다.
eSecurityPlanet의 전문가들은 실제 마이크로세그멘테이션을 수행할 단계에 네 가지 주요 기본 접근 방식이 있다고 설명합니다.
- 네트워크 패브릭 - 이 방식에서는 네트워크 패브릭이 2배로 늘어납니다. 즉, 하드웨어와 소프트웨어를 수직 통합함으로써 마이크로세그먼트로 이루어진 인프라를 적시에 모니터링하고 관리할 수 있게 됩니다. 이는 데이터센터 환경에서 더 효과적입니다.
- 하이퍼바이저 - 하이퍼바이저, 즉 가상 머신 관리자는 네트워크를 통한 데이터 트래픽에 대한 적용 지점이 될 수도 있습니다. 이 접근 방식을 사용하면 개별 시스템마다 업데이트를 관리하고 소프트웨어 패치를 설치하는 번거로움이 사라집니다.
- 서드파티 엔드포인트 통합 - 엔드포인트 보호를 외부 벤더에 아웃소싱하는 이 방식은 일부 조직에서는 탁월한 선택이 됩니다. 이는 에이전트 기반이며, 실시간으로 정책을 보호할 수 있습니다.
- 차세대 방화벽 - 가장 진일보한 구현 방식으로 인정받는 차세대 방화벽은 애플리케이션 제어, 침입 탐지 및 방지, 심층 패킷 검사를 포함하는 강력한 보호 기능을 제공합니다. 애초에 클라우드에서 사용하도록 만들어지지는 않았으나, 이미 서비스 형태의 방화벽(firewall-as-a-service)을 제공하는 공급업체도 있습니다.
마이크로세그멘테이션의 사용 사례
- 하이브리드 클라우드 관리 - 조직은 일관성 있는 보안 제어 및 정책을 만들고, 데이터센터 뿐만 아니라 각종 클라우드 플랫폼에서 강력한 보호를 받을 수 있습니다.
- 프로덕션 시스템과 개발 시스템 분리 - 마이크로세그멘테이션으로 두 환경을 분리하는 것은 물론 더욱 엄격하게 격리하는 정책을 만들 수도 있습니다.
- 중요 데이터 및 자산에 대한 보안 강화 - 기밀 고객/회사 정보와 지적 재산을 포함하는 이른바 "소프트(soft)" 자산은 조직 내에서 일어나는 보안 위협에 대비하여 더 확실하게 보호받습니다.
- 사고 대응 - 마이크로세그멘테이션은 공격자의 래터럴 무브먼트를 제한합니다. 대부분 마이크로세그멘테이션 솔루션은 로깅 기능을 기본 제공하는데, 보안 팀에서 이 기능을 활용하여 공격 및 후속 조치에 대한 가시성을 강화할 수 있습니다.
결론
클라우드에 의해 전 세계의 비즈니스 방식이 끊임없이 변화하는 까닭에 클라우드 보안의 작동 방식을 이해하고 데이터, 애플리케이션, 시스템 및 기타 자산을 제대로 보호할 올바른 도구와 사례를 찾는 게 그 어느 때보다 중요합니다.
클라우드 보안의 중요한 부분 중 하나가 제로 트러스트 보안 방식을 실현하는 마이크로세그멘테이션이며, 이는 향후 몇 년 동안 더욱 광범위하게 보급될 것입니다.
Nutanix는 클라우드에서 데이터 및 기타 자산을 보호하는 데 따르는 어려움을 잘 알고 있습니다. 아울러 제로 트러스트 보안 모델을 도입하는 한편, 기업의 공격 노출면을 줄이고 날로 진화하는 규정을 준수하고 데이터 유출 사고를 더 효율적으로 해결하고 방지하는 데 도움이 될 다양한 솔루션을 제공합니다.