마이크로세그먼테이션이란?

마이크로세그멘테이션은 조직에 다음과 같은 다양한 이점을 제공합니다.

• 공격 표면 감소: 네트워크를 더 작은 세그먼트로 분할함으로써, 마이크로세그먼테이션은 공격 표면을 줄이고 공격자가 중요한 자산에 액세스하기 어렵게 만듭니다. 
• 개선된 침해 봉쇄: 침해가 발생하는 경우, 마이크로세그먼테이션은 공격자가 네트워크 전반에서 이동할 수 있는 능력을 제한함으로써 공격의 영향을 억제하는 데 도움이 될 수 있습니다. 네트워크의 영향을 받는 영역을 격리함으로써, 마이크로세그먼테이션은 맬웨어나 기타 악의적인 활동의 확산을 방지하여 침해로 인해 발생할 수 있는 잠재적 피해를 줄일 수 있습니다. 
• 더욱 강화된 규제 준수: 많은 규제 프레임워크는 조직이 민감한 데이터를 보호하기 위해 강력한 액세스 제어 및 보안 조치를 구현하도록 요구합니다. 오직 승인된 사용자와 애플리케이션만이 중요한 리소스에 액세스할 수 있도록 보장함으로써, 마이크로세그먼테이션은 조직이 규제 표준을 준수함을 입증하는 데 도움이 될 수 있습니다. 
• 간소화된 정책 관리: 마이크로세그먼테이션은 네트워크의 특정 세그먼트에 보안 정책을 적용함으로써 정책 관리를 간소화할 수 있습니다. 이 기능은 각 개별 장치나 사용자에 대한 정책을 관리하는 것이 어려울 수 있는 대규모 또는 복잡한 네트워크에서 특히 유용할 수 있습니다. 

마이크로세그먼테이션은 적절하게 계획하고 구현하지 않으면 네트워크 성능과 보안에 문제를 일으킬 수 있습니다.

• 성능 저하 . 마이크로세그먼테이션은 네트워크를 모니터링하고 관리하는 것을 더욱 복잡하게 만들 수 있으며, 네트워크를 너무 세밀하게 세분화하거나 보안 정책을 너무 많이 적용하면 네트워크 트래픽 패턴에 영향을 미치고 네트워크 성능을 제한할 수 있습니다. 각 세그먼트에 보안 정책을 적용하면 네트워크에 추가적인 오버헤드가 발생하여 지연이 발생하고 네트워크 성능이 저하될 수 있습니다.
• 보안 허점. 마이크로세그먼테이션은 강력한 보안 기술이지만, 모든 트래픽이 적절하게 필터링되고 허용/거부되도록 정책을 올바르게 구성해야 합니다. 구성 오류와 일관되지 않은 정책 시행은 보안 격차, 합법적 트래픽 차단, 잠재적 취약점으로 이어질 수 있습니다.

조직에서는 세그먼트의 수와 크기, 적용할 보안 정책, 네트워크 트래픽 패턴에 미치는 영향 등을 포함하여 마이크로세그먼테이션 전략을 신중하게 계획해야 합니다. 적절한 테스트와 모니터링을 수행하여 마이크로세그먼테이션이 네트워크 성능에 부정적인 영향을 미치거나 보안 격차를 발생시키지 않는지 확인해야 합니다.

마이크로세그먼테이션을 사용하면 조직이 네트워크 내에 보안 영역이나 세그먼트를 만들어 네트워크 트래픽을 세부적으로 제어하고 공격 표면을 최소화할 수 있습니다. 각 세그먼트는 세그먼트 간에 승인된 트래픽만 흐르도록 허용하는 정책 및 제어 기능을 사용하여 보안됩니다.

마이크로세그먼테이션은 일반적으로 소프트웨어 정의 네트워킹(SDN)을 사용하여 구현되며, 이를 통해 물리적 네트워크 인프라와 독립적인 가상 네트워크를 만들 수 있습니다. 각 네트워크 세그먼트는 세그먼트 내부로 들어오고 나가는 트래픽 유형을 정의하는 정책을 사용하여 보안됩니다. 예를 들어, 액세스 제어 목록(ACL)을 사용하면 각 세그먼트에 액세스할 수 있는 사용자나 장치를 제어할 수 있습니다. 침입 탐지 및 방지 시스템(IDPS)을 사용하면 각 세그먼트 내의 악성 활동을 탐지하고 차단할 수 있습니다. 암호화는 세그먼트 간에 데이터가 이동할 때 데이터를 보호하는 데 사용할 수 있습니다.

마이크로세그먼테이션은 네트워크 트래픽에 대한 세부적인 가시성과 제어를 제공하여 승인되지 않은 트래픽과 잠재적인 보안 위반을 쉽게 식별하고 보안 사고에 신속하게 대응할 수 있도록 해줍니다.

마이크로세그먼테이션 제어에는 세 가지 주요 유형이 있습니다.

에이전트 기반 마이크로세그먼테이션 제어는 서버, 워크스테이션 또는 기타 네트워크 장치와 같은 엔드포인트에 설치된 소프트웨어 에이전트를 사용하여 네트워크 세그먼테이션 정책을 시행합니다. 에이전트는 해당 엔드포인트에 대한 특정 정책을 지속적으로 모니터링하고 시행하며, 관리 콘솔을 통해 중앙에서 관리할 수 있으므로 조직 네트워크 전반의 구성 및 배포 정책이 간소화됩니다.

네트워크 기반 마이크로세그멘테이션 제어는 SDN을 사용하여 가상 네트워크 세그먼트를 생성하며, 각 세그먼트에는 고유한 보안 정책과 제어 세트가 있습니다. 이러한 가상 세그먼트는 서로 분리되어 있어 공격자의 측면 이동 가능성이 제한됩니다. 정책과 통제는 엔드포인트 수준이 아닌 네트워크 계층에서 시행됩니다. 이를 통해 사용자 신원, 애플리케이션 유형, 네트워크 위치를 포함한 광범위한 요소를 기준으로 네트워크 트래픽을 세분화할 수 있습니다.

기본 클라우드 마이크로 세분화 제어는 클라우드 환경을 위해 특별히 설계되었습니다. 그들은 네트워크 보안 그룹 및 가상 사설 클라우드와 같은 클라우드 기반 보안 기능을 사용하여 가상 네트워크 세그먼트를 만들고 보안 정책을 시행합니다. 이러한 제어 기능은 클라우드 플랫폼의 기본 보안 기능을 활용하여 모든 클라우드 인스턴스에서 자동으로 적용되는 세부적인 보안 정책을 제공합니다.

조직에서는 자사의 특정 요구 사항과 목표에 따라 하나 이상의 유형의 마이크로세그먼테이션을 구현하기로 선택할 수 있습니다. 일반적인 마이크로세그먼테이션 유형은 다음과 같습니다.

애플리케이션 세분화

애플리케이션 세분화는 데이터베이스, API, 웹 서버 등 특정 애플리케이션 리소스에 대한 액세스를 제어하는 보안 정책을 만들어 개별 애플리케이션을 보호하고, 무단 액세스와 데이터 침해를 방지하는 데 도움이 됩니다. 또한 조직에서는 최소 권한 액세스 제어를 시행하여 사용자와 애플리케이션이 특정 기능을 수행하는 데 필요한 리소스에만 액세스할 수 있도록 할 수 있습니다.

계층 세분화

계층 분할은 웹 계층, 애플리케이션 계층, 데이터베이스 계층과 같은 애플리케이션 스택의 여러 계층이나 레이어를 보호하여 공격자가 애플리케이션 스택 내에서 측면 이동하여 중요한 데이터나 리소스에 액세스하는 것을 방지합니다.

환경 세분화

개발, 테스트, 운영 환경 등 네트워크 내의 다양한 환경이나 영역을 보호함으로써 조직은 이러한 환경에 대한 엄격한 액세스 제어를 시행하고 중요한 데이터와 리소스에 권한이 있는 사용자 및 애플리케이션만 액세스할 수 있도록 할 수 있습니다.

컨테이너 세분화

컨테이너 세분화는 컨테이너화된 환경 내의 개별 컨테이너나 컨테이너 그룹을 보호하여 공격 표면을 줄이고 공격자가 컨테이너 환경 내에서 측면으로 이동하는 것을 방지합니다. 적절한 세분화가 없으면 컨테이너가 서로의 데이터와 구성 파일에 접근할 가능성이 있으며, 이로 인해 보안 취약성이 발생할 수 있습니다.

컨테이너 세분화 모범 사례

• 컨테이너 격리. Docker나 Kubernetes와 같은 기술을 사용하면 컨테이너가 호스트 시스템과 동일 시스템의 다른 컨테이너로부터 격리되도록 할 수 있습니다. 이렇게 하면 컨테이너가 지정된 범위를 벗어난 리소스에 액세스하는 것을 방지할 수 있습니다.
• 네트워크 세분화. 네트워크 분할을 사용하여 컨테이너와 다른 네트워크 리소스 간의 통신을 제한합니다. 여기에는 각 컨테이너에 대해 별도의 네트워크를 만들고, 컨테이너 간 트래픽을 허용하거나 거부하는 방화벽 규칙을 구성하고, 승인된 통신만 허용되도록 보장하는 작업이 포함됩니다.
• 역할 기반 접근 제어. 역할 기반 액세스 제어(RBAC)를 구현하여 권한이 있는 사용자만 컨테이너 및 관련 리소스에 액세스하고 수정할 수 있도록 합니다. Kubernetes RBAC와 같은 RBAC 프레임워크를 구현하여 사용자 역할과 권한을 정의하고 적용할 수 있습니다.
• 이미지 서명. 신뢰할 수 있는 이미지만 컨테이너를 생성하는 데 사용되도록 하려면 이미지 서명을 사용하세요. 디지털 서명은 컨테이너 이미지가 변조되거나 변경되는 것을 방지하는 데 도움이 될 수 있습니다.
• 런타임 보호. 컨테이너 런타임 중에 보안 위협을 탐지하고 대응하려면 런타임 보호 기능을 사용하세요. 런타임 보안 에이전트나 취약성 스캐너와 같은 도구는 컨테이너에 침해 징후가 있는지 모니터링하고 적절한 조치를 취해 위험을 완화할 수 있습니다.

클라우드 보안의 사용자 세분화

• RBAC는 사용자의 책임과 액세스 요구 사항에 따라 특정 역할이나 그룹을 할당합니다. 각 역할은 해당 역할에 적합한 일련의 권한과 액세스 제어와 연결됩니다. RBAC는 사용자가 업무에 필요한 리소스와 데이터에만 액세스할 수 있도록 보장합니다.
• 다중 요소 인증(MFA)을 사용하려면 사용자가 시스템이나 애플리케이션에 액세스하기 전에 두 가지 이상의 인증을 제공해야 합니다. 여기에는 비밀번호, 보안 토큰, 일회용 액세스 코드 또는 생체 인식 데이터가 포함될 수 있습니다. MFA는 특히 RBAC와 결합할 때 클라우드 리소스에 대한 무단 액세스를 방지하는 효과적인 방법입니다.
• 지속적인 모니터링 에는 의심스러운 행동이나 잠재적인 보안 위협을 파악하기 위해 사용자 활동 및 시스템 로그를 정기적으로 분석하는 작업이 포함됩니다. 사용자의 일반적인 접근 패턴이나 행동을 벗어나는 활동에 대해 보안 팀에 경고를 보내 비정상적인 동작을 식별하는 데 도움이 될 수 있습니다.
• 업무 분리는 단일 사용자가 중요한 프로세스나 시스템을 완벽하게 제어할 수 없도록 보장합니다. 사용자를 다양한 역할과 책임으로 세분화하면 사기나 오류의 위험이 줄어들고, 여러 직원이 민감한 작업을 수행하도록 할 수 있습니다.
• 정기적인 액세스 검토 에는 사용자가 필요한 리소스에만 액세스할 수 있도록 시스템 및 애플리케이션에 대한 사용자 액세스를 정기적으로 평가하는 작업이 포함됩니다. 접근 검토를 통해 불필요한 접근 권한을 식별하고 제거하여 무단 접근 위험을 줄일 수 있습니다.

작업 부하는 네트워크에서 실행되는 계산 또는 처리 단위이기 때문에 마이크로세그먼테이션의 필수적인 측면입니다. 작업 부하는 제대로 작동하기 위해 서로 통신해야 하는 애플리케이션, 서비스 또는 프로세스가 될 수 있습니다. 마이크로세그먼테이션은 워크로드 수준에서 세부적인 보안 제어를 제공하므로 조직은 특정 워크로드를 잠재적 위협으로부터 분리하고 보호할 수 있습니다. 작업 부하를 세분화함으로써 조직은 잠재적인 공격 표면을 제한하고, 위협의 측면 이동을 방지하고, 작업 부하별로 보안 정책을 시행할 수 있습니다.

워크로드에는 종속성이 있을 수 있습니다. 종속성이란 워크로드가 네트워크 환경 내의 다양한 애플리케이션 및 서비스와 관계 및 상호 작용을 갖는다는 것을 의미합니다. 종속성을 이해하는 것은 효과적인 마이크로세그먼테이션 전략에 중요합니다. 하나의 애플리케이션이나 서비스에 대한 액세스가 변경되면 다른 애플리케이션 및 서비스의 성능이나 보안에 영향을 미칠 수 있기 때문입니다. 마이크로세그먼테이션을 구현하기 전에 종속성을 매핑해야 합니다. 

경계 또는 네트워크 보안과 마이크로세그멘테이션은 네트워크 보안의 각기 다른 측면을 해결하는 두 가지 보안 전략입니다. 경계 보안은 외부 소스에서 네트워크에 대한 액세스를 제한하여 네트워크의 외부 경계(일반적으로 네트워크 엣지)를 보호함으로써 외부 위협에 대한 1차 방어선을 제공합니다. 또한 보안 경계를 통과하려고 시도하는 “남북”(클라이언트에서 서버로) 트래픽을 검사하여 악성 트래픽을 차단합니다. 경계 보안은 일반적으로 방화벽, 침입 탐지 및 방지 시스템, VPN 등의 기술을 통해 수행됩니다.

마이크로세그멘테이션은 네트워크를 더 작은 세그먼트 또는 영역으로 분할하고 각 세그먼트에 세분화된 보안 제어를 적용함으로써 네트워크의 내부 보안에 중점을 둡니다. 이를 통해 조직은 네트워크 내부 및 애플리케이션 또는 워크로드 수준에서 “동서”로 이동하는 측면 트래픽을 제어하여 잠재적인 공격 표면을 줄일 수 있습니다.

네트워크 세분화와 마이크로 세분화는 모두 네트워크 보안과 성능을 개선하지만 근본적으로 다릅니다. 전통적인 네트워크 세분화(때로는 매크로 세분화라고도 함)는 기능이나 위치를 기준으로 네트워크를 더 큰 세그먼트로 나누는 것을 의미합니다. 일반적으로 네트워크 내외부로 "북쪽에서 남쪽"(클라이언트에서 서버)으로 이동하는 트래픽에 초점을 맞춥니다.  

마이크로세그먼테이션은 네트워크를 작은 세그먼트로 나누고 각 세그먼트에 고유한 보안 정책을 적용하여 동서 네트워크 액세스에 대한 보다 세부적인 제어 수준을 제공하며, 제로 트러스트 액세스 제어를 시행하는 기능을 제공합니다. 마이크로세그먼테이션은 네트워크 수준이 아닌 개별 작업 부하 또는 애플리케이션 수준에서 보안 정책을 적용합니다.

방화벽 정책은 조직의 방화벽이 네트워크의 여러 세그먼트 간 또는 네트워크와 인터넷 간의 트래픽을 허용하거나 거부하는 방법을 정의하는 규칙입니다. 방화벽 정책은 이러한 세그먼트와 계층 간의 트래픽을 허용하거나 거부하는 방법을 결정하는 규칙입니다. 

방화벽은 미리 정의된 규칙에 따라 트래픽을 필터링하여 네트워크에 대한 액세스를 제어합니다. 방화벽은 세그먼트 간 액세스를 제어하는 데 사용될 수 있는 반면, 마이크로세그먼테이션은 네트워크를 더 작은 세그먼트로 나누고 각 세그먼트에 고유한 보안 정책을 적용합니다. 이를 통해 네트워크 액세스에 대한 보다 세부적인 수준의 제어가 가능해져 조직은 특정 애플리케이션과 서비스에 대한 액세스를 제한할 수 있습니다. 

가상 네트워크는 물리적 네트워크 인프라 내에서 작동하지만, 소프트웨어를 사용하여 보안 네트워크를 통해 컴퓨터, VM, 서버 또는 가상 서버를 연결합니다. 이는 하드웨어와 케이블로 네트워크 시스템을 연결하는 기존의 물리적 네트워크 모델과는 구별됩니다. 가상 네트워크를 사용하면 대규모 네트워크 내에 격리된 환경을 만들 수 있으며, 이를 통해 조직은 특정 애플리케이션이나 서비스를 세부적으로 세분화할 수 있습니다.  

마이크로세그먼테이션은 공격자가 이용할 수 있는 공격 표면을 제한하여 조직이 네트워크의 애플리케이션과 데이터를 잠재적 위협으로부터 더 잘 보호하는 데 도움이 될 수 있습니다. 또한, 마이크로세그먼테이션을 통해 네트워크 트래픽에 대한 가시성과 제어력이 향상되어 보안 사고를 보다 쉽게 식별하고 대응할 수 있습니다.

F5는 조직이 네트워크에서 마이크로세그먼테이션 및 기타 보안 제어 기능을 구현하고 관리하는 데 도움이 되는 제품과 서비스를 제공합니다. F5가 퍼블릭 및 하이브리드 클라우드, 데이터 센터, 엣지 사이트에서 간편하고 안전한 연결을 제공하는 방법에 대해 알아보세요. F5가 향상된 운영 효율성을 위해 앱 계층 보안 네트워킹과 자동화된 클라우드 네트워크 프로비저닝을 제공하는 방식을 살펴보세요.