네트워크 세그멘테이션 을 통해 조직은 사이버 보안 위험을 줄이고 제로 트러스트 보안 정책을 정의하기 위한 중요한 첫 번째 단계 역할을 합니다. 네트워크 세그멘테이션은 제로 트러스트 보안 정책이 액세스 제어를 적용할 수 있는 네트워크 경계를 만듭니다.
과거에는 많은 조직에서 네트워크 경계에 보안 경계만 정의했습니다. 다음 단계에서는 회사 네트워크 내에서 효과적인 세그멘테이션을 구현하는 방법을 간략하게 설명합니다.
조직 내의 모든 데이터와 자산이 동일한 가치를 지니는 것은 아닙니다. 고객 데이터베이스와 같은 일부 시스템은 정상적인 작동을 유지하는 데 필수적일 수 있습니다. 프린터와 같은 다른 것들은 유용하지만 비즈니스 기능에 필수적이지는 않습니다.
자산에 중요도와 가치 수준을 할당하는 것은 네트워크 세그멘테이션을 위한 중요한 첫 번째 단계입니다. 이러한 레이블은 나중에 네트워크 내에서 다양한 신뢰 영역을 정의하는 데 사용됩니다.
자산의 가치 외에도 자산에 포함된 데이터의 민감도를 고려하는 것도 중요합니다. 고객 정보, 연구 및 개발 데이터 등과 같이 매우 민감한 데이터를 보유하는 자산은 데이터 보호 규정 또는 기업 보안 정책에 따라 컴플라이언스에 대한 추가 보호가 필요할 수 있습니다.
이러한 레이블은 데이터의 민감도(즉, public에서 highly restricted까지) 및 자산에 포함된 데이터 유형입니다. 이는 PCI DSS(Payment Card Industry Data Security Standard)와 같은 해당 규정에 따라 세그멘테이션 정책을 정의하는 데 도움이 됩니다.
네트워크 세그멘테이션은 네트워크를 격리된 세그먼트로 분할하여 네트워크 보안을 개선하는 데 도움이 됩니다. 이로 인해 공격자가 초기 발판을 확보한 후 네트워크를 통해 측면으로 이동하기가 더 어려워집니다.
그러나 허용해야 하는 합법적인 데이터 흐름이 많이 있습니다. 다음을 포함하여 네트워크의 모든 시스템에 대한 모든 데이터 흐름을 매핑해야 합니다.
조직 네트워크 내의 특정 자산은 유사한 목적으로 사용되며 정기적으로 통신합니다. 이러한 시스템을 서로 분리하는 것은 정상적인 기능을 유지하기 위해 많은 예외가 필요하기 때문에 의미가 없습니다.
자산 그룹을 정의할 때는 이와 유사한 기능과 회사 네트워크에 있는 다양한 자산의 민감도를 모두 고려하는 것이 중요합니다. 유사한 목적과 유사한 민감도 수준을 가진 모든 자산은 신뢰 수준 또는 기능이 다른 다른 자산과 별도로 하나의 세그먼트로 그룹화해야 합니다.
세그먼트 경계를 정의하는 것은 중요하지만 이러한 경계가 적용되지 않으면 조직에 아무런 이점이 없습니다. 각 네트워크 세그먼트에 액세스 제어를 적용하려면 세그먼트 게이트웨이를 배포해야 합니다.
세그먼트 경계를 적용하려면 해당 세그먼트에 들어오고 나가는 모든 네트워크 트래픽이 게이트웨이를 통과해야 합니다. 결과적으로 조직은 효과적인 세분화를 구현하기 위해 여러 게이트웨이가 필요할 수 있습니다. 이러한 요구 사항은 하드웨어 방화벽 또는 가상 방화벽을 선택할지 여부를 결정하는 데 도움이 될 수 있습니다.
특정 세그먼트 내의 자산 간 트래픽은 제한 없이 흐르도록 허용될 수 있습니다. 그러나 세그먼트 간 통신은 세그먼트 게이트웨이에서 모니터링하고 액세스 제어 정책을 준수해야 합니다.
이러한 정책은 애플리케이션, 디바이스 또는 사용자가 작업을 수행하는 데 필요한 최소 수준의 권한을 가져야 한다는 최소 권한 원칙에 따라 정의해야 합니다. 이러한 권한은 #3에서 식별된 합법적인 데이터 흐름을 기반으로 해야 합니다.
마이크로 세그먼트를 정의하고, 세그멘테이션 게이트웨이를 배포하고, 액세스 제어 정책을 생성 및 적용한 후에는 네트워크 세그멘테이션을 구현하는 프로세스가 대부분 완료됩니다. 그러나 네트워크 세그멘테이션 정책을 정의하는 것은 일회성 연습이 아닙니다.
네트워크 세그멘테이션 정책은 기업 네트워크의 진화 또는 초기 설계 프로세스의 간과 및 오류로 인해 변경될 수 있습니다. 이러한 잠재적 문제를 해결하려면 변경 사항이 적용되었는지, 시스템에 불필요한 위험이 있는지, 이러한 위험을 완화하기 위해 네트워크 세그먼트 및 액세스 제어를 업데이트할 수 있는 방법을 결정하기 위한 정기적인 감사가 필요합니다.
네트워크 세그멘테이션 정책을 정의하는 것은 특히 엔터프라이즈급 네트워크의 경우 큰 작업이 될 수 있습니다. 이러한 모든 단계를 수동으로 수행하는 것은 어렵거나 불가능할 수 있습니다.
이러한 이유로 가능한 한 자동화 기능을 활용하는 것이 중요합니다. 특히 검색 및 분류 단계에서 자동화는 네트워크에 추가된 새로운 자산, 통신 흐름, 취약성이 포함된 경우 식별, 네트워크 세그멘테이션 정책을 적용하는 데 매우 중요할 수 있습니다.