마이크로세그먼테이션

제2절 마이크로세그먼테이션

사이버 공격자들이 기존 보안 기술 및 기법을 회피하면서 IT 환경을 탐색하기 위한 새로운 방법을 지속적으로 시도하는 가운데, 이에 대응해 마이크로 세그먼테이션이 부상하고 있다.

마이크로세그먼테이션(Microsegmentation)은 제로 트러스트 구현 방식으로써 IT 환경을 통제 가능한 구역으로 분할해 각 서비스/워크로드 상호 간 안전하게 격리하고 네트워크 보호 단위를 세분화함으로써 승인되지 않은 횡적 이동 문제에 대처하는 기법이다. 마이크로세그먼테이션은 중대한 네트워크 보호 문제에 대처해 위험을 낮추고 동적인 IT 환경의 요구에 상응해 보안을 조정하기 위한 목적으로 설계된 기술이다. 마이크로세그먼테이션을 통해 보안담당자는 내부 네트워크 내에서 확산될 수 있는 불필요한 경로를 차단함으로써 이런 공격 기술을 방해할 수 있다

클라우드 도입으로 인한 기존 경계보안의 한계점은 커지고 있어 경계만이 아니라 조직 네트워크 전반에서 세분화된 정책 실행이 필요하게 되었다. 마이크로세그먼테이션은 하나의 중앙 정책을 사용하되 보안 집행은 각각의 개별 시스템으로 분산하며 데이터 침해를 막을 뿐만 아니라 침해가 발생하더라도 그 범위를 극히 작은 네트워크 세그먼트로 제한함으로써 피해를 대폭 줄이는 기능도 한다.

마이크로세그먼테이션의 일반적인 3가지 유형은 호스트 에이전트 세그먼테이션(host-agent segmentation), 하이퍼바이저 세그먼테이션(hypervisor segmentation), 그리고 네트워크 세그먼테이션(network segmentation)이다.

 

Ÿ   호스트 에이전트 세그먼테이션

엔드 포인트에 위치한 에이전트에 의존하여 모든 데이터 플로우는 중앙 관리자에게 표시되고 중계된다. 감염된 기기가 호스트일 경우, 효과적인 호스트 전략은 문제가 애초에 네트워크에 진입하지 못하도록 차단하는 데 도움이 될 수 있다. 그러나 이를 위해서는 모든 호스트가 소프트웨어를 설치해야 하고, 이로 인해 레거시 운영체제와 구형 시스템과 관련한 문제가 발생한다.

 

Ÿ   하이퍼바이저 세그먼테이션

하이퍼바이저를 통과하는 모든 트래픽을 모니터링하기 위해 방화벽을 사용하고, 운영 시 인스턴스의 이동에 따라 관련된 새 하이퍼바이저의 방화벽 정책으로 변경할 수 있다. 단점은 하이퍼바이저 세그먼테이션은 일반적으로 클라우드 환경이나 컨테이너 또는 베어 메탈(bare metal)에서는 작동하지 않는다는 것이다.

 

Ÿ  네트워크 세그먼테이션

네트워크를 여러 개의 세그먼트나 서브넷으로 나누는 방식으로 기존의 개념이 계속 발전하여 모니터링과 관리 가능한 수준으로 좀더 세그먼트를 세분화하여 관리한다.