검색
네트워크 세그먼테이션은 네트워크를 여러 개의 세그먼트나 서브넷으로 나누는 아키텍처 방식으로, 각각이 소규모 네트워크 역할을 합니다. 네트워크 관리자는 세분화된 정책에 따라 서브넷 간의 트래픽 흐름을 제어할 수 있습니다. 조직에서는 세그먼테이션을 사용하여 모니터링과 성능을 개선하고, 기술 문제를 현지화할 수 있으며, 무엇보다도 보안이 강화됩니다.
네트워크 세그먼테이션은 네트워크 보안 관리자가 권한이 없는 사용자, 호기심 많은 내부자, 악성 공격자 등이 이른바 기업의 "보석"과도 같은 귀중한 자산(예: 고객 개인 정보, 회사 재무 기록, 기밀 지적 재산)에 액세스하지 못하게 차단할 수 있는 강력한 도구가 됩니다. 현재 하이브리드 및 멀티 클라우드 환경(퍼블릭 클라우드, 프라이빗 클라우드, 소프트웨어 정의 네트워크(SDN))에 자산이 흩어져 있는 경우가 많은데, 그 모든 자산을 공격으로부터 보호해야 합니다. 네트워크 세그먼테이션을 보안에 활용하는 방법을 이해하려면 먼저 네트워크 보안에서 트러스트의 개념을 고려해야 합니다.
트러스트 가정
예전에는 네트워크 아키텍트가 네트워크 경계(외부 세계와 회사 사업에 중요한 데이터를 분리하는 투명한 경계)에 보안 전략을 적용했습니다. 경계 내에 있는 사람은 신뢰할 수 있고, 위협이 아니라고 가정했습니다. 따라서 정보 액세스 권한에 제한이 거의 없었습니다.
최근 들어 발생한 대규모 해킹 사건으로 인해 트러스트 가정에 대한 확신이 무너졌습니다. 무엇보다 내부자가 보안 침해의 원인이 될 수 있습니다. 일반적으로는 의도치 않게 발생하지만, 가끔은 의도적으로 발생하기도 합니다. 게다가 위협이 경계로 침투하면 자유롭게 내부망을 이동하며 사실상 모든 데이터, 애플리케이션, 자산, 서비스(DAAS)에 액세스할 수 있습니다. 공격자는 거의 아무런 제약 없이 액세스하면서 모든 귀중한 자산을 손쉽게 유출할 수 있으며, 사건 발생 이후에야 침해가 탐지되는 경우가 많습니다(그림 1 참조).
그림 1: 트러스트 가정이 적용된 경계 내의 내부망 이동
제로 트러스트 대응
신뢰를 전제로 하는 가정은 본질적인 취약점이 존재하기 때문에 많은 조직에서 제로 트러스트 전략을 도입하기 시작했습니다. 제로 트러스트는 기본적으로 모든 사람, 심지어 이미 네트워크 경계 내에 있는 사람조차 신뢰할 수 없다고 가정합니다. 제로 트러스트는 조직의 가장 중요하고 귀중한 DAAS 주변에 구축한 "보호 표면"을 중심으로 작동합니다. 보호 표면은 사업 운영에 가장 중요한 것만 포함하고 있기 때문에 전체 네트워크 경계의 공격 표면보다 훨씬 작습니다.
여기에 네트워크 세그먼테이션이 필요합니다. 네트워크 아키텍트는 세그먼테이션을 활용하여 보호 표면 주변으로 마이크로 경계를 구성할 수 있습니다. 기본적으로 제2의 방어선이 구축되는 것입니다. 경우에 따라 가상 방화벽으로 보호 프로비저닝을 자동화하여 세그먼테이션 작업을 단순화할 수 있습니다. 어떤 방식으로 네트워크 세그먼테이션을 실행하든, 권한이 있는 사용자가 보호 표면 내의 자산에 액세스하고 그 외의 사용자는 기본적으로 차단됩니다.
신뢰를 전제로 하던 시절과 달리, 경계에 침입하더라도 민감한 정보에 액세스할 수 없기 때문에 세그먼테이션은 공격자에게는 나쁜 소식입니다. 마이크로 경계는 물리적이든, 가상적이든 위협의 내부망 이동을 차단하며, 기본적으로 최초 보안 침해로 이어지는 대부분 공격을 무력화합니다(그림 2 참조).
그림 2: 제로 트러스트와 네트워크 세그먼테이션을 적용한 이후 경계 내 이동 제한
사용 사례
조직들은 다음과 같이 다양한 용도로 네트워크 세그먼테이션을 활용할 수 있습니다.
요점 정리
네트워크 세그먼테이션은 물리적, 논리적 세그먼테이션으로 구현할 수 있습니다.
이름에서부터 알 수 있듯이, 물리적 세그먼테이션은 대규모 네트워크를 소규모 서브넷의 모음으로 분할합니다. 물리적 방화벽 또는 가상 방화벽이 서브넷 게이트웨이로 작동하면서 오가는 트래픽을 통제합니다. 토폴로지가 아키텍처에 고정되어 있기 때문에 물리적 세그먼테이션은 비교적 간단합니다.
논리적 세그먼테이션은 두 가지 기본 방법(가상 로컬 영역 네트워크(VLAN) 또는 네트워크 주소 지정 방식) 중 하나를 사용해서 생성합니다. VLAN 태그가 해당 서브넷으로 트래픽을 자동 라우팅하기 때문에 VLAN 기반 방식은 상당히 간단하게 구현할 수 있습니다. 네트워크 주소 지정 방식도 똑같이 효과적이지만, 네트워크 이론에 대한 자세한 이해가 필요합니다. 케이블을 연결하거나 구성 요소를 물리적으로 이동할 필요가 없으므로 논리적 세그먼테이션이 물리적 세그먼테이션보다 유연합니다. 자동 프로비저닝을 사용하면 서브넷 구성을 상당히 단순화할 수 있고,
세그먼테이션 아키텍처로 이동하면 방화벽 정책 관리를 단순화할 수 있습니다. 요즘은 서브넷 액세스 제어와 위협 탐지, 완화를 네트워크의 여러 부분에서 관리하는 대신 하나의 통합 정책을 사용하는 방법을 권장합니다. 이 방법을 사용하면 공격 표면이 줄어들고 조직의 보안 태세가 강화됩니다.
네트워크 세그먼테이션에 대한 자세한 내용은 여기를 클릭하여 확인하세요.
Prisma™ Cloud는 개발 수명 주기 및 하이브리드 클라우드와 멀티 클라우드 환경에 걸쳐 사용자, 애플리케이션, 데이터 및 전체 클라우드 네이티브 기술 스택에 대해 업계에서 가장 광범위한 보안 및 규정 준수 적용 범위를 갖춘 가장 포괄적인 클라우드 네이티브 보안 플랫폼(CNSP)입니다.
Prisma™ Cloud(이전의 RedLock)는 클라우드 보안 및 규정 준수 서비스로, 클라우드 리소스 변경 사항을 동적으로 검색하고 사용자 활동, 리소스 구성, 네트워크 트래픽, 위협 인텔리전스, 취약점 피드를 비롯한 사일로화된 원시 데이터 소스의 상관관계를 지속적으로 파악하여 퍼블릭 클라우드 위험 에 대한 완전한 가시성을 제공합니다. Prisma는 혁신적인 머신 러닝 중심의 접근법을 통해 기업이 위험의 우선순위를 신속하게 결정하고, 민첩한 개발을 유지하고, 공동 책임 모델에서 의무를 효과적으로 이행할 수 있도록 합니다.
전 세계 수많은 조직들은 전통적인 데이터 센터와 퍼블릭 클라우드 구축을 위한 클 라우드 및 가상화 이니셔티브를 확대하고 있습니다. 새로운 이니셔티브는 NFV 컴포 넌트로써, 또는 더 완벽한 멀티 테넌트 솔루션으로써의 보안을 포함합니다.
클라우드 제공 보안을 통해 모바일 인력이 이 대화형 웹캐스트에서 액세스 권한을 제공하고 지속적인 가시성과 보호 기능을 유지하는 방법을 알아보십시오.
팔로알토 네트웍스의 VM-Series for VMware®는 차세대 방화벽 보안 및 고급 위협 예방 기능을 통해 NSX™, ESXi™ 및 vCloud® Air™ 환경에 상주하는 데이터를 사이버 위협에서 보호할 수 있습니다.
Prisma™ Public Cloud(이전의 RedLock)는 클라우드 보안 및 규정 준수 서비스로,클라우드 리소스 변경 사항을 동적으로 검색하고 사용자 활동, 리소스 구성, 네트워크 트래픽, 위협 인텔리전스, 취약점 피드를 비롯한 사일로 환경의 데이터 소스 간 상관 관계를 지속적으로 파악하여 퍼블릭 클라우드 위험에 대한 완전한 가시성을 제공합니 다. Prisma는 혁신적인 머신 러닝 중심의 접근법을 통해 기업이 위험의 우선순위를 신 속하게 결정하고, 민첩한 개발을 유지하고, 공동 책임 모델에서 의무를 효과적으로 이 행할 수 있도록 합니다.