Offcanvas

데이터센터 / 보안 / 통신|네트워크

트래픽 분리를 통한 보안 강화··· 마이크로세그멘테이션의 이해

2018.01.31 Ann Bednarz  |  Network World
마이크로세그멘이션은 데이터센터에서 보안 구역을 만들고 워크로드를 분리해 보안을 강화하는 방법이다. 기본적으로 네트워크 보안을 더 단절된 형태로 바꾼다다.



마이크로세그멘테이션과 VLAN, 방화벽, ACL의 차이
사실 네트워크 세그멘테이션은 새로운 기술이 아니다. 이미 많은 기업이 지난 수년간 방화벽과 VLAN(virtual local area networks), ACL(access control lists) 등을 이용해 네트워크 세그멘테이션을 활용했다. 마이크로세그멘테이션은 여기서 한 발 더 나간다. 개별 워크로드에 정책을 적용해 사이버 공격에 대한 저항력을 강화한다.

ZK 리서치(ZK Research)의 설립자이자 애널리스트인 제우스 캐라발라는 "VLAN이 '결이 거친' 세그멘테이션을 제공한다면, 마이크로세그멘테이션은 더 세분화된 세그멘테이션을 제공한다. 트래픽 구분이 필요한 모든 곳에서 매우 유용하다"라고 말했다.

소프트웨어 정의 네트워크과 네트워크 가상화가 확산하는 것도 마이크로세그멘테이션이 주목받는 이유다. 캐라발라는 "(이들 기술을 이용해) 기반 하드웨어에서 분리된 레이어에서 소프트웨어로 마이크로세그멘테이션 작업을 할 수 있게 됐다. 이제 세그멘테이션을 더 쉽게 배치할 수 있다"라고 말했다.

마이크로세그멘테이션이 데이터센터 트래픽을 관리하는 방법
방화벽과 IPS(intrusion prevention systems) 등 전통적인 보안 시스템들은 데이터센터로 들어오는 트래픽에 대해 노스-사우스 방향으로 감지해 보안을 강화하도록 설계됐다. 반면 마이크로세그멘테이션은 이스트-웨스트 트래픽이나 서버 간의 통신 트래픽 등을 더 효과적으로 관리하도록 개발됐다. 이스트-웨스트 트래픽은 주변부에 초점을 맞춘 보안 툴을 우회하는 것이 특징인데, 최근 급증세를 보이고 있다. 일단 데이터 유출이 발생하면 마이크로세그멘테이션은 해커에 의한 것으로 추정되는 네트워크 이스트-웨스트 트래픽을 제한한다.

캐라발라는 "많은 기업이 방화벽과 IPS 등을 데이터센터에 배치했다. 노스-사우스 트래픽은 이들 방화벽을 반드시 통과해야 한다. 그러나 이스트-웨스트 트래픽은 이들 보안 툴을 우회한다. 방화벽을 모든 연결 지점에 배치하면 이러한 우회를 막을 수 있지만 막대한 비용이 들고 유연하지도 않다"라고 말했다.

마이크로세그멘테이션 주도권은 누구?
마이크로세그멘테이션이 점점 확산하고 있지만 기업 내에서 누가 이 시스템을 담당해야 하는가를 놓고는 여전히 논란이 있다. 대기업의 경우 네트워크 보안 엔지니어가 이를 담당할 수 있다. 중소기업은 보안과 네트워크 관리팀이 마이크로세그멘테이션 배치 실무를 맡는 것을 고려할 수 있다.

캐라발라는 "별도의 전담 부서가 필요한지 의문이다. 대신 기업이 마이크로세그멘테이션을 활용하는 방식에 따라 담당 부서를 결정하는 것이 더 맞다. 현재는 보안과 네트워크 전문가들이 주로 관심을 보이고 있다. 마이크로세그멘테이션은 네트워크 오버레이로 운영된다. 따라서 보안 운영팀의 경우 네트워크 최상위에 이를 배치하고 운영하는 것이 어렵지 않을 것이다. 네트워크 관리자가 사물인터넷(IoT) 기기 보안을 강화하는 방법으로 사용하는 것도 마찬가지다. 일단은 이 두 조직이 가장 필요로 하는 기술이다"라고 말했다.

마이크로세그멘테이션의 혜택과 보안 위험
마이크로세그멘테이션을 이용하면 IT 전문가가 트래픽 종류에 따라 유연하게 보안 설정을 할 수 있다. 워크로드 사이에서 네트워크와 애플리케이션의 통해 허용된 트래픽을 일정하게 제한하는 정책을 만들 수 있다. 예를 들어 제로 트러스트(zero-trust) 보안 모델에서 기업은 의료 기기가 오직 다른 의료 기기와만 통신할 수 있도록 정책을 설정할 수 있다. 기기나 워크로드가 이동하면 보안 정책과 속성도 함께 따라 이동하게 된다.

최종적인 목표는 네트워크 공격의 확산을 막는 것이다. 세그멘테이션 룰을 워크로드와 애플리케이션에 적용해 해커에 의해 위조된 워크로드나 애플리케이션이 다른 곳으로 확산하는 것을 막는다.

또다른 목표는 운영 효율성이다. 액세스 제어 리스트와 라우팅 룰, 방화벽 정책을 만드는 것은 복잡하고 많은 수작업을 동반한다. 빠르게 변화하는 환경에 맞춰 확장하기는 더 어렵다. 반면 마이크로세그멘테이션은 일반적으로 소프트웨어를 통해 작업할 수 있다. 세그먼트를 정의하기 더 편리하다. 또한, 마이크로세그멘테이션을 이용하면 IT 부서가 네트워크 세그멘테이션 정책을 중앙집중화할 수 있다. 그만큼 필요한 방화벽 정책의 수도 줄일 수 있다.

물론 효율화된다고 해도 만만한 작업은 아니다. 수년간 운영해 온 방화벽 룰과 접근 제어 리스트를 통합하고 이를 오늘날 복잡하고 분산된 기업 환경 전반에 맞게 적용할 수 있도록 바꾸기는 결코 쉽지 않다. 따라서 일단 맵핑에서 시작하는 것이 좋다. 워크로드와 애플리케이션 간의 연결을 맵핑하는 것이다. 이를 통해 많은 기업에 부족한 가시성을 확보할 수 있다.

캐라발라는 "세그멘테이션에서 가장 큰 어려움은 세그멘테이션할 대상을 정확히 파악해야 한다는 점이다. 연구 결과를 보면 기업 50%가 네트워크에 어떤 IT 기기가 연결돼 있는지 거의 혹은 전혀 갖지 못한다. 어떤 기기가 네트워크에 있는지도 모른다면, 만들어야 할 세그멘트의 종류를 어떻게 알 수 있겠나? 데이터센터 트래픽에 대해서 마찬가지다. 가시성이 매우 부족한 상황이다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.