네트워크 세그멘테이션이란?

네트워크 세그멘테이션의 개념은 한동안 사용되어 왔습니다. 네트워크 세그멘테이션의 가장 간단한 형태는 조직의 내부 네트워크를 인터넷의 나머지 부분과 격리하는 것입니다.

이 경계를 정의하면 조직의 중요한 데이터가 내부에 유지되도록 하면서 잠재적인 위협을 네트워크 외부에 보관하도록 설계된 경계 중심의 보안 정책을 구축할 수 있습니다. 그러나 조직은 네트워크 내에 추가 내부 경계를 정의하여 더 나아가 향상된 보안 및 액세스 제어를 제공할 수 있습니다.

데모 요청하기 IDC IoT 보안 가이드

네트워크 세그멘테이션이란?

네트워크 세그멘테이션의 내부 작동 방식

네트워크 세그멘테이션은 몇 가지 다른 방법으로 수행할 수 있습니다. 한 가지 일반적인 접근 방식은 방화벽 세그멘테이션입니다. 이 접근 방식에서 조직은 원하는 네트워크 경계에 방화벽을 배포하고 물리적 링크 또는 VLAN(Virtual Local Area Network)을 통해 네트워크를 설계하여 경계를 통과하는 모든 트래픽이 해당 방화벽을 통해 라우팅되도록 합니다.

 

방화벽에 경계를 넘는 트래픽에 대한 완전한 가시성과 제어 기능을 제공함으로써 조직은 해당 경계에 대한 액세스 제어를 적용할 수 있습니다. 미리 정의된 규칙에 따라 방화벽은 다양한 유형의 트래픽을 허용하거나 차단할 수 있습니다. 이러한 규칙은 네트워크 세그먼트에 대한 액세스를 특정 사용자 또는 애플리케이션으로 제한하고, 특정 유형의 트래픽이 경계를 넘지 못하도록 차단할 수 있습니다.

 

소프트웨어 정의 네트워킹(SDN)을 사용하면 마이크로세그멘테이션을 구현할 수도 있습니다. 마이크로세그멘테이션은 기존 네트워크 세그멘테이션과 같은 여러 엔드포인트의 규모에서 작업하는 대신 개별 워크로드를 서로 격리하여 세그멘테이션의 세분화를 높입니다. 이러한 추가적인 세분화는 조직에 더 높은 수준의 네트워크 가시성과 제어를 제공하여 네트워크 세그멘테이션의 이점을 증폭시킵니다.

네트워크 세그멘테이션이 필요한 이유는 무엇입니까?

모든 트래픽이 엔터프라이즈 네트워크에 들어오고 나갈 수 있다면 사이버 공격이 성공할 확률은 기하급수적으로 증가할 것입니다. 조직의 경계 방화벽은 외부 공격자에 대한 첫 번째 방어선 역할을 합니다.

 

그러나 조직은 내부 네트워크 세그멘테이션을 구현하여 상당한 이점을 얻을 수도 있습니다. 네트워크 세그멘테이션의 주요 이점 중 일부는 다음과 같습니다.

 

  • Increased Visibility: 방화벽은 조직이 방화벽 을 통과하는 모든 트래픽에 대한 가시성을 제공합니다. 조직의 네트워크가 세분화될수록 조직은 내부 네트워크 트래픽에 대한 가시성을 높일 수 있습니다.
  • 심층 방어: 조직의 경계 방어는 네트워크에 침입하는 많은 위협을 탐지하고 차단하는 데 도움이 되지만 모든 위협을 포착할 수는 없습니다. 중요한 자산과 외부 세계 사이에 여러 네트워크 경계를 추가하면 침입을 탐지하고 대응할 수 있는 추가 기회가 제공됩니다.
  • 향상된 액세스 제어: 네트워크 세그멘테이션을 구현하는 방화벽은 액세스 제어 정책을 적용할 수 있습니다. 이를 통해 조직은 알아야 할 필요성에 따라 네트워크 액세스를 제한 할 수 있습니다.
  • 제한된 측면 이동: 사이버 범죄자는 일반적으로 사용자 워크스테이션을 손상시키며 중요한 시스템에 액세스하고 목표를 달성하기 위해 네트워크를 통해 이동해야 합니다. 네트워크 세그멘테이션은 이를 달성하기 더 어렵게 만들고 세그먼트 경계를 넘으려고 할 때 탐지 확률을 높입니다.
  • 내부자 위협 관리: 경계 기반 방어는 외부 위협을 탐지하는 데 효과적일 수 있지만 악의적인 내부자에게는 눈이 멀 수 있습니다. 내부 네트워크 세분화는 악의적인 직원 및 손상된 계정에 대한 가시성과 위협 탐지 기능을 제공합니다.
  • 더 나은 네트워크 성능: 네트워크 세그멘테이션은 조직의 인트라넷을 정의된 역할이 있는 개별 세그먼트로 나눕니다. 이렇게 하면 네트워크 정체가 줄어들고 성능이 향상됩니다.
  • 중요한 시스템 보호. 산업 제어 시스템(ICS)과 같은 일부 시스템은 매우 높은 가용성 요구 사항을 가지고 있어 사이버 위협으로부터 업데이트하고 보호하기가 어렵습니다. ICS 보안 모범 사례에는 잠재적인 위협에 대한 노출을 최소화하기 위해 격리된 네트워크 세그먼트에 배치하는 것이 포함됩니다.
  • 신뢰할 수 없는 시스템 격리. 많은 조직에는 공용 게스트 네트워크가 있으며 비즈니스 사용이 증가함에 따라 사물인터넷(IoT) (IoT 디바이스는 엔터프라이즈 네트워크에서 안전하지 않고 신뢰할 수 없는 많은 디바이스를 도입합니다. 이러한 디바이스를 별도의 네트워크 세그먼트에 격리하는 것은 IoT 보안 모범 사례이며 엔터프라이즈 네트워크의 결과에 대한 위협을 제한합니다.
  • 간소화된 규정 컴플라이언스: 규제 컴플라이언스 감사의 범위에는 일반적으로 보호된 데이터에 액세스할 수 있는 모든 시스템이 포함됩니다. 네트워크 세그멘테이션은 민감하고 보호된 정보를 특정 네트워크 세그먼트에 포함시킴으로써 이 범위를 제한하여 규제 컴플라이언스 책임을 단순화합니다.

네트워크 세그멘테이션을 통한 제로 트러스트 구현

네트워크 세그멘테이션 정책을 구현하는 것은 제로 트러스트 보안 정책을 향한 중요한 단계입니다. 제로 트러스트 보안은 직원의 직무 역할에 따라 액세스 제어 정책을 시행할 수 있는 능력에 의존합니다. 네트워크 세그멘테이션은 트래픽을 검사할 수 있는 경계를 만들고 이러한 액세스 제어를 적용하고 시행할 수 있습니다.

 

체크 포인트의 차세대 방화벽 은 네트워크 세그멘테이션을 구현하기 위한 이상적인 솔루션입니다. 콘텐츠 검사 및 액세스 제어 시행을 제공할 뿐만 아니라 세그먼트 경계를 넘으려는 악성 트래픽을 식별하고 차단하기 위한 다양한 위협 탐지 솔루션을 통합합니다. 체크 포인트의 솔루션에 대해 자세히 알아 보려면 당사에 문의하십시오. 그런 다음 데모를 요청 하여 체크 포인트 NGFW의 기능을 직접 확인하십시오.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인