마이크로 세그먼테이션이란?

마이크로 세그먼테이션은 워크로드 간 네트워크 액세스를 관리하는 보안 방법입니다. 마이크로 세그먼테이션을 통해 관리자는 최소 권한의 원칙제로 트러스트를 기반으로 트래픽을 제한하는 보안 정책을 관리할 수 있습니다. 조직은 마이크로 세그먼테이션을 사용하여 공격 표면을 줄이고, 침해 억제 기능을 개선하고, 규정 준수를 강화할 수 있습니다.

마이크로 세그먼테이션 설명

마이크로 세그먼테이션이란 네트워크를 세그먼트로 나누고 세그먼트의 요구 사항을 기반으로 각 세그먼트에 보안 제어를 적용하는 것과 관련된 보안에 대한 접근 방식을 말합니다.

네트워크 시각화 기술의 마이크로 세그먼테이션 소프트웨어는 클라우드 구축에서 영역을 만드는 데 사용됩니다. 이러한 세분화된 보안 영역은 워크로드를 격리하여 사용자 지정된 워크로드별 정책으로 개별 워크로드를 보호합니다. 이와 유사하게, 네트워크의 각 가상 머신(VM)은 정확한 보안 제어를 통해 애플리케이션 수준까지 보호될 수 있습니다.

워크로드 또는 애플리케이션에 제공되는 세분화된 보안 제어 마이크로 세그먼테이션은 동일한 서버 또는 가상 머신에서 여러 애플리케이션이 실행되는 최신 클라우드 환경에 매우 중요합니다. 조직은 서버에 대한 단일 보안 정책 대신 개별 워크로드와 애플리케이션에 보안 제어를 적용할 수 있습니다.

마이크로 세그먼테이션
그림 1: 마이크로 세그먼테이션은 네트워크를 세그먼트로 나누어 제로 트러스트를 기반으로 트래픽을 제한합니다.

워크로드란?

워크로드는 애플리케이션을 실행하는 데 필요한 리소스와 프로세스로 광범위하게 정의될 수 있습니다. 호스트, 가상 머신과 컨테이너는 워크로드의 몇 가지 예입니다.

기업은 데이터센터, 하이브리드 클라우드 및 멀티 클라우드 환경 전반에서 워크로드를 실행합니다. 대부분 조직의 애플리케이션은 비즈니스 요구 사항에 따라 다양한 클라우드 네이티브 컴퓨팅 아키텍처 전체에 점점 더 분산되고 있습니다.

경계 보안을 넘어

경계 보안은 대부분 조직의 네트워크 보안 제어에서 중요한 부분을 차지하고 있습니다. 네트워크 방화벽과 같은 네트워크 디바이스는 보안 경계를 넘는 "노스-사우스(north-south)"(클라이언트에서 서버) 트래픽을 검사하고 악성 트래픽을 차단합니다. 경계 내부의 자산은 암묵적으로 신뢰되며 이는 곧 "이스트-웨스트(east-west)"(워크로드에서 워크로드) 트래픽은 검사를 거치지 않음을 의미합니다.

"노스-사우스(north-south)"(클라이언트에서 서버) 트래픽과 "이스트-웨스트(east-west)"(워크로드에서 워크로드) 트래픽
그림 2: "노스-사우스(north-south)"(클라이언트에서 서버) 트래픽과 "이스트-웨스트(east-west)"(워크로드에서 워크로드) 트래픽

대부분의 조직에서 이스트-웨스트(east-west) 통신은 데이터센터 및 클라우드 트래픽 패턴의 대부분을 차지하며, 경계에 집중하는 방어는 이스트-웨스트(east-west) 트래픽에 대한 가시성이 없습니다. 이러한 요인을 감안하여 악성 행위자는 이를 워크로드 간 내부망 이동의 기회로 사용합니다.

네트워크는 워크로드 간에 신뢰할 수 있는 경로를 생성하고 두 엔드포인트가 서로 액세스할 수 있는지 여부를 결정합니다. 마이크로 세그먼테이션은 격리를 생성하고 두 엔드포인트가 서로 액세스해야 하는지 여부를 결정합니다. 최소 권한 액세스로 세분화를 적용하면 내부망 이동의 범위를 감소시키고 데이터 침해를 억제합니다.

그림 2: 마이크로 세그먼테이션을 통해 공격을 격리할 수 있습니다.
그림 3: 마이크로 세그먼테이션을 통해 공격을 격리할 수 있습니다.

네트워크 세분화 과제

네트워크 세분화는 네트워크를 더 소규모의 여러 세그먼트로 나누는 접근 방식입니다. 이는 성능과 보안에 다음과 같은 이점이 있습니다.

  • 성능: 네트워크를 더 소규모의 서브넷과 VLAN으로 세분화하면 브로드캐스트 패킷의 범위가 줄어들고 네트워크 성능이 향상됩니다.
  • 보안: 네트워크 보안 팀은 액세스 제어 목록(ACL)을 VLAN과 서브넷에 적용하여 서로 다른 네트워크 세그먼트에 있는 시스템을 격리할 수 있습니다. 데이터 침해 발생 시 ACL은 위협이 다른 네트워크 세그먼트로 확산되는 것을 방지합니다.

보안 목적으로 네트워크 세분화를 활용하는 데에는 어려움이 따릅니다. 세분화 요구 사항은 네트워크 아키텍처와 일치하지 않는 경우도 있습니다. 세분화 요구 사항에 맞게 네트워크를 재설계하거나 VLAN 및 서브넷을 재구성하는 것은 어려우며 많은 시간이 소요됩니다.

그림 3: VLAN 및 서브넷을 사용한 네트워크 세분화는 네트워크 브로드캐스트 도메인을 분할하여 최적의 네트워크 성능을 제공하는 입증된 방법입니다.
그림 4: VLAN 및 서브넷을 사용한 네트워크 세분화는 네트워크 브로드캐스트 도메인을 분할하여 최적의 네트워크 성능을 제공하는 입증된 방법입니다.

마이크로 세그먼테이션의 작동 방식

제로 트러스트 또는 ID 기반 세분화라고도 하는 마이크로 세그먼테이션은 재설계할 필요 없이 세분화 요구 사항을 제공합니다. 보안 팀은 네트워크의 워크로드를 격리하여 악의적인 내부망 이동의 효과를 제한할 수 있습니다. 마이크로 세그먼테이션 제어는 다음 세 가지 범주로 통합할 수 있습니다.

  • 에이전트 기반 솔루션은 워크로드의 소프트웨어 에이전트를 사용하며 개별 호스트 및 컨테이너에 세분화된 격리를 시행합니다. 에이전트 기반 솔루션은 기본 제공 호스트 기반 방화벽을 활용하거나 워크로드 ID 또는 속성을 기반으로 격리 기능을 이끌어냅니다.
  • 네트워크 기반 세분화 제어는 네트워크 인프라에 의존합니다. 이 스타일은 로드 밸런서, 스위치, 소프트웨어 정의 네트워크(SDN) 및 오버레이 네트워크와 같은 물리적 및 가상 디바이스를 활용하여 정책을 적용합니다.
  • 네이티브 클라우드 제어는 클라우드 서비스 제공업체에 내장된 기능을 활용합니다(예: Amazon 보안 그룹, Azure 방화벽 또는 Google Cloud 방화벽).

마이크로 세그먼테이션은 가시성, 세분화된 보안, 동적 적응이라는 세 가지 주요 원칙을 통해 프라이빗 클라우드와 퍼블릭 클라우드 모두에서 일관된 보안을 제공합니다.

마이크로 세그먼테이션 솔루션은 데이터센터와 클라우드의 내부 및 전반의 모든 네트워크 트래픽에 대한 가시성을 제공해야 합니다. 트래픽을 모니터링할 수 있는 많은 방법이 있지만 가장 효과적인 조치는 IP 주소와 포트만 포함하는 로그가 아니라 워크로드 컨텍스트(예: 클라우드, 애플리케이션, 오케스트레이터)와 결합된 트래픽을 확인하는 것입니다.

세분화된 보안이란 곧 네트워크 관리자가 중요한 애플리케이션에 대한 특정 정책을 생성하여 보안을 강화하고 정확히 파악할 수 있음을 의미합니다. 그 목표는 주간 급여 실행 또는 인력 데이터베이스 업데이트와 같이 특정 워크로드에 대한 트래픽을 정확하게 제어하는 정책을 통해 위협 요소의 내부망 이동을 예방하는 것입니다.

마이크로 세그먼테이션은 동적 환경에 대한 보호 기능을 제공합니다. 예를 들어, 컨테이너 및 Kubernetes와 같은 클라우드 네이티브 아키텍처는 몇 초 만에 가동을 시작 및 중단할 수 있습니다. 클라우드 워크로드에 할당된 IP 주소는 일시적이기 때문에 IP 기반 규칙 관리가 불가능합니다. 마이크로 세그먼테이션을 통해 보안 정책은 네트워크 구조(예: 10.100.0.10 tcp/80)가 아닌, ID 또는 속성(env=prod, app=hrm 등)으로 표현됩니다. 애플리케이션이나 인프라에 변경 사항이 있을 경우 인력이 개입할 필요 없이 보안 정책에 대한 자동 수정이 실시간으로 트리거됩니다.

마이크로 세그먼테이션의 유형

마이크로 세그먼테이션은 동적 환경에 대한 보호 기능을 제공합니다. 예를 들어, 컨테이너 및 Kubernetes와 같은 클라우드 네이티브 아키텍처는 몇 초 만에 가동을 시작 및 중단할 수 있습니다. 클라우드 워크로드에 할당된 IP 주소는 일시적이기 때문에 IP 기반 규칙 관리가 불가능합니다. 마이크로 세그먼테이션을 통해 보안 정책은 네트워크 구조(예: 10.100.0.10 tcp/80)가 아닌, ID 또는 속성(env=prod, app=hrm 등)으로 표현됩니다. 애플리케이션이나 인프라에 변경 사항이 있을 경우 인력이 개입할 필요 없이 보안 정책에 대한 자동 수정이 실시간으로 트리거됩니다.

컨테이너 세분화

컨테이너 세분화는 보안을 개선하고 공격 표면을 줄이기 위해 컨테이너를 서로 격리하고 호스트 시스템을 격리하는 작업이 포함됩니다. 컨테이너화는 여러 애플리케이션이나 서비스가 단일 호스트 시스템의 별도의 컨테이너에서 실행되도록 널리 사용되는 기술입니다. 그러나 적절한 세분화가 이루어지지 않을 경우 컨테이너는 서로의 데이터와 구성 파일에 액세스할 수 있으며 이로 인해 보안 취약점을 초래할 수 있습니다.

컨테이너 세분화 모범 사례

  • 컨테이너 격리: 무단 액세스를 방지하기 위해 각 컨테이너는 동일한 호스트 시스템에서 실행되는 다른 컨테이너로부터 격리되어야 합니다. 이것은 기본 제공 격리 메커니즘을 제공하는 Docker 및 Kubernetes와 같은 컨테이너 기술을 사용하여 수행할 수 있습니다.
  • 네트워크 세분화: 컨테이너는 네트워크 세분화 기술을 사용하여 서로 세분화될 수 있습니다. 여기에는 각 컨테이너에 대해 별도의 네트워크를 생성하고 컨테이너 간 트래픽을 허용하거나 거부하도록 방화벽 규칙을 구성하는 작업이 포함됩니다.
  • 역할 기반 액세스 제어: 역할 기반 액세스 제어(RBAC)는 사용자 역할과 권한을 기준으로 서로 다른 컨테이너에 대한 액세스 정책을 정의하는 데 사용될 수 있습니다. 이는 승인된 사용자와 프로세스만이 해당 컨테이너에 액세스하도록 보장하는 데 도움이 됩니다.
  • 이미지 서명: 신뢰할 수 있는 이미지만 프로덕션에 구축될 수 있도록 컨테이너 이미지를 디지털로 서명할 수 있습니다. 컨테이너 이미지가 변조되거나 변경되는 것을 방지하는 데 도움이 되며 보안 취약점의 리스크를 감소시킵니다.
  • 런타임 보호: 런타임 보호 도구는 컨테이너 활동을 모니터링하고 보안 침해를 나타내는 이상을 탐지하는 데 사용될 수 있습니다. 이러한 도구는 공격을 실시간으로 탐지하고 예방하는 데 도움이 되며, 컨테이너화된 환경의 보안 태세를 향상합니다.

컨테이너 세분화는 컨테이너화된 애플리케이션과 서비스의 보안을 보장하는 데 도움이 됩니다. 컨테이너를 격리하고 액세스 제어 정책을 적용함으로써 조직은 공격 표면을 줄이고 민감한 데이터와 리소스에 대한 무단 액세스를 예방할 수 있습니다. 컨테이너 세분화는 네트워크 보안, 액세스제어, 런타임 보호를 포함한 전체 보안 전략의 일부로 구현해야 합니다.

클라우드 보안의 사용자 세분화

클라우드 보안의 사용자 세분화에는 사용자가 업무 기능을 수행하는 데 필요한 리소스에만 액세스할 수 있도록 조직 내 다양한 역할과 책임을 기준으로 사용자 액세스를 나누는 작업이 포함됩니다. 사용자 세분화는 민감한 데이터와 리소스의 노출을 승인된 사용자로 제한하여 공격 표면을 줄입니다.

클라우드 환경은 동적이고 빠르게 변화하기 때문에, 사용자 세분화는 포괄적인 클라우드 보안 전략의 중요한 구성 요소입니다. 다음은 클라우드 보안의 사용자 세분화에 대한 몇 가지 주요 고려 사항입니다.

  • 역할 기반 액세스 제어(RBAC): RBAC에는 역할에 대한 권한을 생성 및 정의한 후 업무 기능에 따라 적절한 역할에 사용자를 할당하는 과정이 포함됩니다. 이 접근 방식은 사용자가 업무 기능을 수행하는 데 필요한 리소스에만 액세스할 수 있도록 보장하여 우발적이거나 의도적인 데이터 침해의 리스크를 줄입니다.
  • 다단계 인증(MFA): MFA는 사용자가 리소스에 액세스하기 위해 두 개 이상의 인증 형식을 제공해야 합니다. 여기에는 비밀번호, 보안 토큰 또는 생체 지표 데이터가 포함됩니다. MFA는 특히 RBAC와 결합하여 클라우드 리소스에 대한 무단 액세스를 예방할 수 있는 효과적인 방법입니다.
  • 지속적인 모니터링: 사용자 활동의 지속적인 모니터링은 보안 인시던트를 실시간으로 탐지 및 대응하는 데 중요합니다. 여기에는 로그 데이터와 사용자 동작을 분석하여 위협 및 취약점을 식별하는 작업이 포함됩니다.
  • 직무 분리: 직무 분리에는 여러 사용자 간에 책임을 나누어 한 사용자가 시스템이나 프로세스에 대한 과도한 제어 기능을 갖는 것을 방지하는 작업이 포함됩니다. 이는 사기 또는 오류의 리스크를 줄이고 민감한 운영이 여러 사용자에 의해 수행될 수 있도록 보장합니다.
  • 정기적인 액세스 검토: 정기적인 액세스 검토에는 사용자 액세스 권한과 해당 권한이 여전히 필수적인지 확인하기 위해 정기적으로 검토하는 작업이 포함됩니다. 액세스 검토는 불필요한 액세스 권한을 식별 및 제거하여 무단 액세스의 리스크를 줄이는 데 도움이 됩니다.

RBAC, MFA, 지속적인 모니터링, 직무 분리, 정기적인 액세스 검토를 구현하여 조직은 클라우드 보안 태세를 향상하고 진화하는 위협으로부터 보호하며 공격 표면을 줄이고 민감한 데이터와 리소스에 대한 무단 액세스를 예방할 수 있습니다.

마이크로 세그먼테이션의 이점

마이크로 세그먼테이션을 도입하는 조직은 실질적인 이점을 실현합니다. 자세한 내용은 다음과 같습니다.

  • 공격 표면 감소: 마이크로 세그먼테이션은 개발 또는 혁신의 속도 저하 없이 완전한 네트워크 환경에 대한 가시성을 제공합니다. 애플리케이션 개발자는 개발 주기의 초기에 보안 정책 정의를 통합하고 애플리케이션 구축이나 업데이트가 새로운 공격 벡터를 생성하지 않도록 보장할 수 있습니다. 이것은 급변하는 DevOps 환경에서 특히 중요합니다.
  • 침해 억제 향상: 보안 팀은 마이크로 세그먼테이션을 통해 사전정의된 정책에 대해 네트워크 트래픽을 모니터링할 수 있을 뿐만 아니라 데이터 침해에 대한 대응 및 복구 업데이트 시간을 단축할 수 있습니다.
  • 규정 준수 강화: 마이크로 세그먼테이션을 사용하여 규정 담당자는 규정의 적용을 받는 시스템을 나머지 인프라로부터 격리하는 정책을 생성할 수 있습니다. 규제되는 시스템과의 통신을 세부적으로 제어하면 규정을 준수하지 않는 사용의 리스크를 줄일 수 있습니다.
  • 정책 관리 단순화: 마이크로 세그먼테이션 네트워크 또는 제로 트러스트 보안 모델로 전환하면 정책 관리를 단순화할 수 있는 기회가 제공됩니다. 일부 마이크로 세그먼테이션 솔루션은 학습된 애플리케이션 동작을 기준으로 자동 애플리케이션 검색 및 정책 권장 사항을 제공합니다.

마이크로 세그먼테이션 사용 사례

마이크로 세그먼테이션 사용 사례의 범위는 방대하며 계속 증가하고 있습니다. 몇 가지 대표적인 사례는 다음과 같습니다.

  • 개발 및 프로덕션 시스템: 최상의 사례 시나리오에서 조직은 개발과 테스트 환경을 프로덕션 시스템으로부터 주의 깊게 분리합니다. 그러나 이러한 조치는 개발자가 테스트를 위해 프로덕션 데이터베이스에서 고객 정보를 가져오는 등 부주의한 활동을 예방하지 못합니다. 마이크로 세그먼테이션은 두 환경 사이의 연결을 세부적으로 제한하여 더욱 엄격한 분리를 시행할 수 있습니다.
  • 소프트 자산의 보안: 기업은 고객 및 직원의 기밀 정보, 지적 재산 및 기업 재무 데이터와 같은 "소프트" 자산을 보호하기 위한 막대한 재정적, 평판적 인센티브를 가지고 있습니다. 마이크로 세그먼테이션은 다운타임과 비즈니스 운영 지장을 초래할 수 있는 다른 악의적인 행위와 유출로부터 보호할 수 있는 또 다른 수준의 보안을 더합니다.
  • 하이브리드 클라우드 관리: 마이크로 세그먼테이션은 여러 클라우드에 걸쳐 있는 애플리케이션을 원활하게 보호하고 여러 데이터센터와 클라우드 서비스 제공업체로 구성된 하이브리드 환경 전반에 걸쳐 일관된 보안 정책을 구현할 수 있습니다.
  • 인시던트 대응: 앞서 언급한 바와 같이, 마이크로 세그먼테이션은 위협의 내부망 이동과 침해의 영향을 제한합니다. 또한 마이크로 세그먼테이션 솔루션은 인시던트 대응 팀이 공격 전술과 텔레메트리를 더 잘 이해하여 특정 애플리케이션에 대한 정책 위반을 찾아내는 데 도움이 될 로그 정보를 제공합니다.

마이크로 세그먼테이션 FAQ

네트워크 세분화와 마이크로 세그먼테이션은 다른가요?

네트워크 세분화와 마이크로 세그먼테이션 모두 네트워크 보안과 성능을 향상하지만 근본적인 방법의 차이가 있습니다. 기존 네트워크 세분화는 네트워크 내부 및 외부의 노스-사우스(North-South) 트래픽에 초점을 두고 VLAN, 방화벽, 라우터 및 기타 디바이스를 사용하여 구현됩니다. 이러한 디바이스는 네트워크 수준에서 액세스 제어 목록(ACL) 또는 방화벽 규칙과 같은 보안 정책을 시행하도록 구성될 수 있습니다.

반면 마이크로 세그먼테이션은 이스트-웨스트(east-west) 트래픽에 초점을 두며 일반적으로 하이퍼바이저 기반 방화벽이나 엔드포인트 보호 플랫폼(EPP)과 같은 소프트웨어 기반 보안 솔루션을 사용하여 구현됩니다. 마이크로 세그먼테이션은 네트워크 수준이 아닌, 개별 워크로드 또는 애플리케이션 수준에서 보안 정책을 적용합니다.

방화벽 정책이란 무엇인가요?

방화벽 정책은 조직의 방화벽이 특정 IP 주소 및 주소 범위에 대한 인바운드와 아웃바운드 네트워크 트래픽을 처리해야 하는 방법을 정의합니다. 정책은 IP 주소는 물론 사용자 ID, 네트워크 활동, 애플리케이션에 초점을 두어야 합니다.

가상 네트워크란?

가상 네트워크는 소프트웨어를 사용하여 컴퓨터, 가상 머신(VM). 서버 또는 가상 서버를 인터넷으로 연결하며, 하드웨어와 케이블로 특정 위치에 고정된 기존의 물리적 네트워크와는 대조적입니다.

애플리케이션 의존이란?

애플리케이션 의존은 소프트웨어, 애플리케이션, 서버 및 기타 구성 요소가 기능을 수행하기 위해 서로 의존하는 경우를 말합니다. 중단 없는 서비스를 보장하려면 클라우드로 마이그레이션하거나 구성 요소를 새로운 클라우드 환경으로 이동하거나 마이크로 세그먼테이션을 구현하기 전에 애플리케이션 종속성을 매핑해야 합니다.