2020.04.22

"우리가 마이크로세그멘테이션을 선택한 이유는..." 3사의 사례

John Edwards | Network World
기업 리소스에 침입하는 방법을 무차별적으로 탐색하는 약탈자가 가득하다. 네트워크 정글의 시대라고 부를 수도 있겠다. 이에 여러 IT 리더는 각종 마이크로세그멘테이션(microsegmentation) 접근법으로 이에 대응하고 있다. 이는 워크로드를 서로 분리해 무단의 횡적 이동을 방지하도록 설계된 접근법이다. 필자는 3곳의 기업에게 마이크로세그멘테이션 기술을 도입한 이유와 기술이 작용하는 방식을 질문했다.
 
Image Credit : Getty Images Bank

VM웨어 NSX를 통한 분산 방화벽 
식품 제조업체인 슈거크릭(SugarCreek)의 CIO인 토드 푸는 완전히 가상화 된 프라이빗 데이터센터를 운영한다. 여느 CIO와 마찬가지로 그의 보안 목표는 단순하다. 네트워크 공격자를 좌절시키고 감지하는 것이다. 

그는 “무엇보다, 데이터베이스를 보호한다. 데이터베이스를 불청객으로부터 보호하는 조치라면 무엇이든 이행한다”라고 말했다. 

이를 위해서는 이제 전통적인 경계 보호 이상이 요구된다. 푸는 “과거에는 경계부 방화벽을 이용해 외부 침입을 방어했다”라고 말했다. 그러나 공격자의 기술이 고도화됨에 따라 기본적 경계 보호는 더 이상 효과적인 보호를 제공할 수 없었다. 그는 “방화벽이 데이터와 더 가깝게 있어야 함을 발견했다”라고 말했다. 

해법은 인프라를 마이크로세그먼트로 분할하고, 방화벽으로 각 리소스를 지키는 것이다. 푸는 “우리는 VM웨어 NSX를 사용한다. 이는 분산 방화벽을 각 애플리케이션이나 VM 바로 옆에 배치한다. 마이크로세그멘테이션에 의해 인프라의 모든 계층을 보호한다. 따라서 사건이 발생하더라도 침입은 한 계층으로 한정될 수 있다”라고 말했다. 

푸는 세그먼트마다 방화벽으로 보호되는 다수의 마이크로세그먼트가 성능을 훼손하지 않으면서 공격을 방어하는 최고의 방법이라고 보고 있다. 그는 “분산 가상 방화벽의 미학은 가상 머신이 서로 통신할 필요가 있더라도 동일 호스트 상에 있다면 트래픽이 호스트를 벗어나지 않는다는 점이다. 데이터 경로가 단축된다”라고 말했다. 

속도 향상도 인상적이다. 푸는 “네트워크의 기가비트 속도로부터 호스트의 버스 속도로 변한다. 극적으로 더 빠르다”면서 “그 후, 클라우드로 이전할 때 우리는 이미 NSX 내에 방화벽을 확립했다. 따라서 데이터 센터로부터 클라우드로 이전하더라도, 하이퍼스케일러이든 퍼블릭 프라이빗 클라우드이든, 방화벽 규칙이 애플리케이션과 함께 간다”라고 말했다.

푸는 인프라 보안에 아무리 자신이 있더라도 이는 궁극적으로 훼손될 것이라는 전제를 세우고 있다고 말했다. 그는 “각 스택을 방어하고 있기 때문에 해킹이 일어나도 특정 애플리케이션으로 한정된다. 이는 확산되지 않는다”면서 “우리의 목표는 무언가가 침입하면 연관 애플리케이션만 영향을 받도록 하는 것이다. 네트워크에 걸쳐 횡적으로 확산되는 것과 반대이다”라고 말했다. 

마이크로세그멘테이션은 강력한 보안 개선 방식이지만, 제대로 전개하려면 상당한 계획과 노력이 필요하다. 푸는 “이에 뛰어들기 전에 자신의 환경을 정확히 이해하는 것이 매우 중요하다. 무엇보다, 적절히 주의하지 않을 경우 실패할 가능성이 있음을 알아야 한다”라고 말했다.

ID 기반의 제로 트러스트 마이크로세그멘테이션 
보스턴의 로펌 굴스턴 앤 스토스(Goulston & Storrs)의 CIO인 존 아스널트는 마이크로세그멘테이션을 활용해 법률 문서, 기밀 고객 정보, 여타 중요 파일이 무단으로 유출되는 것을 차단한다. 그는 특히 ID 기반의 제로 트러스트 마이크로세그멘테이션이 자신의 조직에 적합하다고 보고 있다.

그는 “우리의 기업 네트워크는 중간 규모이고, VM웨어가 150여 개의 가상 윈도우 서버를 호스팅한다. 우리는 이용 사례를 기준으로, 우리의 자산을 몇 가지 기술 그룹으로 분할한다”라고 전했다. 

굴스턴 앤 스토스의 데이터베이스 자원은 대형 로펌으로서는 일반적인 형태다. 아스널트는 “문서 관리가 우리 세계의 중심이다. 또한 여러 전문 애플리케이션도 있고, 파일 및 인쇄 서비스 같은 일반적인 것들도 있다”라고 말했다. 

그는 여러 마이크로세그멘테이션 접근법을 조사한 뒤 엣지와이즈 네트웍스(Edgewise Networks)의 ID-기반 제로 트러스트 마이크로세그멘테이션이 조직의 니즈에 가장 가깝게 부합한다는 것을 발견했다고 밝혔다.  

엣지와이즈에 따르면 ID-기반 제로 트러스트 마이크로세그멘테이션은 ‘나쁜 것’을 무조건 뿌리뽑는 대신 알려진 ‘좋은’ 소프트웨어 및 리소스의 긍정적인 확인 및 검증에 치중한다. 

좋은 것으로 확인되지 않은 출처로부터 나오는 모든 트래픽은 기본적으로 거부된다. 아울러, 네트워크 수준이 아니라 워크로드 수준에 적용되기 때문에 ID 기반 정책은 이식이 가능하다. 따라서 워크로드는, 온-프레미스에서, 퍼블릭 클라우드에서, 심지어 컨테이너에서 실행되는가와 무관하게 보호된다. 

아스널트는 엣지와이즈 제품의 엔진이 제공하는 권고안을 기초로 머신러닝 주도형 마이크로세그멘테이션을 적용할 수 있었다고 말했다. 

그는 “처음 전개할 때에는 어느 정도 조심했다. 네트워크 내의 경로들을 사실상 폐쇄하는 것이기 때문이다. 또한 매우 복잡하기도 하다”면서 “이런 일을 과거에 해본 적이 없었기 때문에, 무리 없이 보수적인 계획을 수립했다. 이용자에게 영향을 주지 않거나 거의 주지 않는 것부터 시작한 것이다”라고 말했다. 

아스널트는 회사 조직이 툴에 신속히 적응했다고 말했다. 기존의 세그먼트는 13개의 전문 그룹으로 분리됐다. 그는 “첫 번째 세그먼트를 몇 주간 운영해보고 문제가 없음을 확인했다. 그 후 다음 세그먼트를 대상으로 이를 반복했다”라고 말했다.

시간이 지나면서 기술이 기대한대로 원활하게 작동하는 것이 명확해졌다. 그 때부터 전개에 속도를 내기 시작했다. 그는 “처음에는 보수적으로 접근했다. 그러면서 기술이 작용하는 방식에 충분히 익숙해졌다”라고 말했다. 

아스널트는 마이크로세그멘테이션을 새롭게 도입할 때에는 점진적으로 나아가고 거듭해서 테스트하라고 조언했다. 그는 “마이크로세그멘트를 할 때 적절한 제품을 이용한다면 안전망을 가진 것이다”라고 말하면서 경솔한 실수에는 대가가 따른다고 경고했다. 

그는 이어 “패치하는 것을 잊거나, 인증정보가 유출되었다고 해도, 해커는 훼손된 영역으로 제한된다. 한편, 제대로 구현되기만 한다면 마이크로세그멘테이션은 아마 최고의 보안 툴일 것이다”라고 말했다. 

AI로 구동되는 마이크로세그먼트 인프라 
광통신 기술 개발업체인 루멘텀(Lumentum)의 CISO인 애미트 바드와지는 회사의 최첨단 연구 프로젝트를 보호할 수 있는 강력하고 실용적인 방법을 찾아야 했다. 아울러 일상적이지만 중요한 업무 또한 보호해야 했다. 

그는 “우리에게는 R&D 활동이 많다. 따라서 제조 시 첨단 기술이 많이 관여한다. R&D 시설 및 공장이 여러 곳에 있고, 판매 및 서비스를 위한 사무실도 여러 곳이다”라고 말했다. 

진행 중인 연구 프로젝트나 사업 기능에 악영향을 주지 않으면서 첨단 인프라 보호를 전개하기 위해 바드와지는 실드X 일래스틱 시큐리티 플랫폼(ShieldX Elastic Security Platform)을 채택했다. 

실드X 네트웍스 소프트웨어는, 에이전트에 의존하지 않으면서, 멀티 클라우드 환경에 나타나는 새 네트워크 세그먼트에 네트워크 기반 아키텍처를 삽입한다. 한편 가시성, 애널리틱스, 보안 컨트롤을 위해 인프라 트래픽을 수집해 조사하고, 기업 크기나 변화 속도에 관계 없이, 멀티-클라우드 또는 가상화 환경에 맞는 전면적인 보안 전략을 자동으로 정의하고 강제한다. 

바드와지는 높은 보호 수준, 전개 속도, 자동화된 보안 컨트롤, 온-디멘드 마이크로세그멘테이션 때문에 실드X를 선택했다고 말했다. 소프트웨어가 지속적으로 네트워크를 모니터하고, 트래픽 증거, 에셋 정보, 취약점 데이터를 수집하여, 세그먼트를 보호하는 데 필요한 보안 정책을 자동으로 공급한다. 

업무를 클라우드로 이동시키는 조직이 늘어남에 따라 바드와지는 마이크로세그먼트 인프라에 대한 니즈가 늘어날 것이라고 믿는다. 그는 “마이크로세그멘테이션이 없으면 워크로드는 취약해진다. 모든 워크로드가 동시에 취약해지는 것이다”라고 말했다.

바드와지는 마이크로세그멘테이션으로의 이동은 간단히 이루어지는 것이 아님을 인정했다. 그는 “처음에 설치할 때에는 시간이 걸린다. 그러나 일단 기술이 배치되면 그 다음부터는 매우 수월해진다”라고 말했다. 

바드와지는 또 마이크로세그멘테이션에 정연하게 접근해야 한다고 조언한다. 그는 “가지고 있는 것과 보호하려 하는 것을 알아야 한다. 또한 워크로드를 이해해야 하고, 이에 접근하는 사람이 누구인지, 악의적인 사람이 왜 이를 원하는지, 무슨 일이 일어날 수 있는지를 파악해야 한다”라고 말했다. ciokr@idg.co.kr



2020.04.22

"우리가 마이크로세그멘테이션을 선택한 이유는..." 3사의 사례

John Edwards | Network World
기업 리소스에 침입하는 방법을 무차별적으로 탐색하는 약탈자가 가득하다. 네트워크 정글의 시대라고 부를 수도 있겠다. 이에 여러 IT 리더는 각종 마이크로세그멘테이션(microsegmentation) 접근법으로 이에 대응하고 있다. 이는 워크로드를 서로 분리해 무단의 횡적 이동을 방지하도록 설계된 접근법이다. 필자는 3곳의 기업에게 마이크로세그멘테이션 기술을 도입한 이유와 기술이 작용하는 방식을 질문했다.
 
Image Credit : Getty Images Bank

VM웨어 NSX를 통한 분산 방화벽 
식품 제조업체인 슈거크릭(SugarCreek)의 CIO인 토드 푸는 완전히 가상화 된 프라이빗 데이터센터를 운영한다. 여느 CIO와 마찬가지로 그의 보안 목표는 단순하다. 네트워크 공격자를 좌절시키고 감지하는 것이다. 

그는 “무엇보다, 데이터베이스를 보호한다. 데이터베이스를 불청객으로부터 보호하는 조치라면 무엇이든 이행한다”라고 말했다. 

이를 위해서는 이제 전통적인 경계 보호 이상이 요구된다. 푸는 “과거에는 경계부 방화벽을 이용해 외부 침입을 방어했다”라고 말했다. 그러나 공격자의 기술이 고도화됨에 따라 기본적 경계 보호는 더 이상 효과적인 보호를 제공할 수 없었다. 그는 “방화벽이 데이터와 더 가깝게 있어야 함을 발견했다”라고 말했다. 

해법은 인프라를 마이크로세그먼트로 분할하고, 방화벽으로 각 리소스를 지키는 것이다. 푸는 “우리는 VM웨어 NSX를 사용한다. 이는 분산 방화벽을 각 애플리케이션이나 VM 바로 옆에 배치한다. 마이크로세그멘테이션에 의해 인프라의 모든 계층을 보호한다. 따라서 사건이 발생하더라도 침입은 한 계층으로 한정될 수 있다”라고 말했다. 

푸는 세그먼트마다 방화벽으로 보호되는 다수의 마이크로세그먼트가 성능을 훼손하지 않으면서 공격을 방어하는 최고의 방법이라고 보고 있다. 그는 “분산 가상 방화벽의 미학은 가상 머신이 서로 통신할 필요가 있더라도 동일 호스트 상에 있다면 트래픽이 호스트를 벗어나지 않는다는 점이다. 데이터 경로가 단축된다”라고 말했다. 

속도 향상도 인상적이다. 푸는 “네트워크의 기가비트 속도로부터 호스트의 버스 속도로 변한다. 극적으로 더 빠르다”면서 “그 후, 클라우드로 이전할 때 우리는 이미 NSX 내에 방화벽을 확립했다. 따라서 데이터 센터로부터 클라우드로 이전하더라도, 하이퍼스케일러이든 퍼블릭 프라이빗 클라우드이든, 방화벽 규칙이 애플리케이션과 함께 간다”라고 말했다.

푸는 인프라 보안에 아무리 자신이 있더라도 이는 궁극적으로 훼손될 것이라는 전제를 세우고 있다고 말했다. 그는 “각 스택을 방어하고 있기 때문에 해킹이 일어나도 특정 애플리케이션으로 한정된다. 이는 확산되지 않는다”면서 “우리의 목표는 무언가가 침입하면 연관 애플리케이션만 영향을 받도록 하는 것이다. 네트워크에 걸쳐 횡적으로 확산되는 것과 반대이다”라고 말했다. 

마이크로세그멘테이션은 강력한 보안 개선 방식이지만, 제대로 전개하려면 상당한 계획과 노력이 필요하다. 푸는 “이에 뛰어들기 전에 자신의 환경을 정확히 이해하는 것이 매우 중요하다. 무엇보다, 적절히 주의하지 않을 경우 실패할 가능성이 있음을 알아야 한다”라고 말했다.

ID 기반의 제로 트러스트 마이크로세그멘테이션 
보스턴의 로펌 굴스턴 앤 스토스(Goulston & Storrs)의 CIO인 존 아스널트는 마이크로세그멘테이션을 활용해 법률 문서, 기밀 고객 정보, 여타 중요 파일이 무단으로 유출되는 것을 차단한다. 그는 특히 ID 기반의 제로 트러스트 마이크로세그멘테이션이 자신의 조직에 적합하다고 보고 있다.

그는 “우리의 기업 네트워크는 중간 규모이고, VM웨어가 150여 개의 가상 윈도우 서버를 호스팅한다. 우리는 이용 사례를 기준으로, 우리의 자산을 몇 가지 기술 그룹으로 분할한다”라고 전했다. 

굴스턴 앤 스토스의 데이터베이스 자원은 대형 로펌으로서는 일반적인 형태다. 아스널트는 “문서 관리가 우리 세계의 중심이다. 또한 여러 전문 애플리케이션도 있고, 파일 및 인쇄 서비스 같은 일반적인 것들도 있다”라고 말했다. 

그는 여러 마이크로세그멘테이션 접근법을 조사한 뒤 엣지와이즈 네트웍스(Edgewise Networks)의 ID-기반 제로 트러스트 마이크로세그멘테이션이 조직의 니즈에 가장 가깝게 부합한다는 것을 발견했다고 밝혔다.  

엣지와이즈에 따르면 ID-기반 제로 트러스트 마이크로세그멘테이션은 ‘나쁜 것’을 무조건 뿌리뽑는 대신 알려진 ‘좋은’ 소프트웨어 및 리소스의 긍정적인 확인 및 검증에 치중한다. 

좋은 것으로 확인되지 않은 출처로부터 나오는 모든 트래픽은 기본적으로 거부된다. 아울러, 네트워크 수준이 아니라 워크로드 수준에 적용되기 때문에 ID 기반 정책은 이식이 가능하다. 따라서 워크로드는, 온-프레미스에서, 퍼블릭 클라우드에서, 심지어 컨테이너에서 실행되는가와 무관하게 보호된다. 

아스널트는 엣지와이즈 제품의 엔진이 제공하는 권고안을 기초로 머신러닝 주도형 마이크로세그멘테이션을 적용할 수 있었다고 말했다. 

그는 “처음 전개할 때에는 어느 정도 조심했다. 네트워크 내의 경로들을 사실상 폐쇄하는 것이기 때문이다. 또한 매우 복잡하기도 하다”면서 “이런 일을 과거에 해본 적이 없었기 때문에, 무리 없이 보수적인 계획을 수립했다. 이용자에게 영향을 주지 않거나 거의 주지 않는 것부터 시작한 것이다”라고 말했다. 

아스널트는 회사 조직이 툴에 신속히 적응했다고 말했다. 기존의 세그먼트는 13개의 전문 그룹으로 분리됐다. 그는 “첫 번째 세그먼트를 몇 주간 운영해보고 문제가 없음을 확인했다. 그 후 다음 세그먼트를 대상으로 이를 반복했다”라고 말했다.

시간이 지나면서 기술이 기대한대로 원활하게 작동하는 것이 명확해졌다. 그 때부터 전개에 속도를 내기 시작했다. 그는 “처음에는 보수적으로 접근했다. 그러면서 기술이 작용하는 방식에 충분히 익숙해졌다”라고 말했다. 

아스널트는 마이크로세그멘테이션을 새롭게 도입할 때에는 점진적으로 나아가고 거듭해서 테스트하라고 조언했다. 그는 “마이크로세그멘트를 할 때 적절한 제품을 이용한다면 안전망을 가진 것이다”라고 말하면서 경솔한 실수에는 대가가 따른다고 경고했다. 

그는 이어 “패치하는 것을 잊거나, 인증정보가 유출되었다고 해도, 해커는 훼손된 영역으로 제한된다. 한편, 제대로 구현되기만 한다면 마이크로세그멘테이션은 아마 최고의 보안 툴일 것이다”라고 말했다. 

AI로 구동되는 마이크로세그먼트 인프라 
광통신 기술 개발업체인 루멘텀(Lumentum)의 CISO인 애미트 바드와지는 회사의 최첨단 연구 프로젝트를 보호할 수 있는 강력하고 실용적인 방법을 찾아야 했다. 아울러 일상적이지만 중요한 업무 또한 보호해야 했다. 

그는 “우리에게는 R&D 활동이 많다. 따라서 제조 시 첨단 기술이 많이 관여한다. R&D 시설 및 공장이 여러 곳에 있고, 판매 및 서비스를 위한 사무실도 여러 곳이다”라고 말했다. 

진행 중인 연구 프로젝트나 사업 기능에 악영향을 주지 않으면서 첨단 인프라 보호를 전개하기 위해 바드와지는 실드X 일래스틱 시큐리티 플랫폼(ShieldX Elastic Security Platform)을 채택했다. 

실드X 네트웍스 소프트웨어는, 에이전트에 의존하지 않으면서, 멀티 클라우드 환경에 나타나는 새 네트워크 세그먼트에 네트워크 기반 아키텍처를 삽입한다. 한편 가시성, 애널리틱스, 보안 컨트롤을 위해 인프라 트래픽을 수집해 조사하고, 기업 크기나 변화 속도에 관계 없이, 멀티-클라우드 또는 가상화 환경에 맞는 전면적인 보안 전략을 자동으로 정의하고 강제한다. 

바드와지는 높은 보호 수준, 전개 속도, 자동화된 보안 컨트롤, 온-디멘드 마이크로세그멘테이션 때문에 실드X를 선택했다고 말했다. 소프트웨어가 지속적으로 네트워크를 모니터하고, 트래픽 증거, 에셋 정보, 취약점 데이터를 수집하여, 세그먼트를 보호하는 데 필요한 보안 정책을 자동으로 공급한다. 

업무를 클라우드로 이동시키는 조직이 늘어남에 따라 바드와지는 마이크로세그먼트 인프라에 대한 니즈가 늘어날 것이라고 믿는다. 그는 “마이크로세그멘테이션이 없으면 워크로드는 취약해진다. 모든 워크로드가 동시에 취약해지는 것이다”라고 말했다.

바드와지는 마이크로세그멘테이션으로의 이동은 간단히 이루어지는 것이 아님을 인정했다. 그는 “처음에 설치할 때에는 시간이 걸린다. 그러나 일단 기술이 배치되면 그 다음부터는 매우 수월해진다”라고 말했다. 

바드와지는 또 마이크로세그멘테이션에 정연하게 접근해야 한다고 조언한다. 그는 “가지고 있는 것과 보호하려 하는 것을 알아야 한다. 또한 워크로드를 이해해야 하고, 이에 접근하는 사람이 누구인지, 악의적인 사람이 왜 이를 원하는지, 무슨 일이 일어날 수 있는지를 파악해야 한다”라고 말했다. ciokr@idg.co.kr

X