마이크로 세그멘테이션이란?

마이크로 세그멘테이션은 데이터센터 및 애플리케이션 환경을 작은 세그먼트로 나눠 가상 머신(VM)이나 컨테이너의 단일 애플리케이션과 같은 개별 워크로드를 보호하는 소프트웨어 정의 보안 기술입니다. 전통적인 네트워크에서는 내부 네트워크와 인터넷이 연결되는 지점에 보안이 집중되는 경우가 많습니다. 마이크로 세그멘테이션은 내부에 보안을 집중하여 네트워크 내부에서 이동하는 트래픽에 세분화된 보안 정책을 적용합니다.

마이크로 세그멘테이션은 격리를 통해, 최초 진입 지점을 통과한 공격자가 시스템 간에 이동하지 못하도록 막습니다. 이 접근 방식은 제로 트러스트 보안의 핵심 구성 요소로, 데이터센터 내부 통신을 기본적으로 신뢰할 수 없다는 원칙에 기반해 작동하는 보안 방식입니다. 신뢰하는 것이 아니라, 자동화된 엄격한 정책에 따라 모든 요청을 검증해야 합니다. 

VMware 관리자: Red Hat OpenShift 살펴보기

마이크로 세그멘테이션은 중앙의 단일 지점에 의존하지 않고 개별 워크로드를 보호하는 방식으로 네트워크 보안을 강화합니다. 워크로드가 VM, 컨테이너, 서버리스 등 다양한 형태인 현대적인 데이터센터에서 이러한 접근 방식은 기존의 경계 방어를 보완합니다. 네트워크의 기본 장벽이 해제되더라도 모든 내부 구성 요소는 고유한 소프트웨어 정의 경계로 계속 보호됩니다.

전통적인 네트워크 분리와 마이크로 세그멘테이션 비교

전통적으로 네트워크는 방화벽, VLAN(Virtual Local Area Network)과 같은 하드웨어 기반 툴을 사용해 분리했습니다. 이 접근 방식은 'north-south' 보안, 즉 트래픽이 데이터센터의 주요 게이트웨이를 통해 들어오거나 나가는 방식에 중점을 둡니다. 

이 모델의 문제는 특정 세그먼트 내부의 모든 것을 '신뢰할 수 있는' 것으로 취급한다는 점입니다. 동일한 VLAN에 위치한 애플리케이션과 데이터베이스는 일반적으로 제한 없이 서로 통신할 수 있습니다. 하나가 손상되면, 이미 네트워크의 진입 지점이 보안 해제되었기 때문에 다른 하나도 손상됩니다.

마이크로 세그멘테이션은 내부에서 서버와 애플리케이션 간에 발생하는 통신인 'east-west' 트래픽을 처리합니다. 개별 워크로드 수준에서 보안 정책을 적용하므로, 기반의 물리적 네트워크 레이아웃이나 서버가 위치한 VLAN에 상관없이 정책이 실행됩니다. 대신, 소프트웨어가 워크로드 자체의 Identity를 바탕으로 보안을 정의합니다. 

메커니즘

마이크로 세그멘테이션은 네트워크 보안에 3가지 핵심 원칙을 사용합니다.

• 격리: 워크로드는 룰에서 통신을 허용하지 않는 한 서로 별도로 유지되며, 이는 소버린 디지털 환경을 형성하는 데 기여합니다. 예를 들어 같은 물리적 하드웨어에서 실행하더라도 개발 환경과 프로덕션 환경을 서로 격리할 수 있습니다.
• 세부 제어: 보안 팀이 매우 구체적인 룰을 작성할 수 있습니다. 예를 들어 '서버 A가 서버 B와 통신 가능' 대신 '특정 포트를 통해서만 그리고 특정 유형의 데이터에 대해서만 웹 서버가 데이터베이스와 통신 가능'이라는 룰을 설정할 수 있습니다.
• 최소 권한 원칙: 워크로드에 작업 수행에 필요한 최소한의 액세스 권한만 부여하는 것을 말합니다. 서비스를 다른 시스템에 연결할 필요가 없는 경우 마이크로 세그멘테이션은 해당 연결이 불가능하도록 보장합니다. 

소프트웨어 기반 및 정책 기반 구현

현대적인 인프라는 항상 변화하기 때문에, 수동적인 하드웨어 설정으로 인프라를 보호할 수 없습니다. VM과 컨테이너가 너무 빨리 구동했다가 해제되므로 수동 작업으로 관리할 수 없습니다.

마이크로 세그멘테이션은 소프트웨어와 정책에 기반합니다. 보안 정책이 코드 형태입니다. 새 VM이나 컨테이너가 시작되면 시스템은 이를 인식하고 자동으로 관련 보안 태그와 룰을 적용합니다. 워크로드가 어느 물리 서버나 클라우드를 사용하든, 보안은 워크로드와 함께 움직입니다.

소프트웨어 정의 네트워킹에 대해 자세히 알아보기 

마이크로 세그멘테이션은 전통적인 하드웨어 기반 네트워킹으로는 불가능한 수준까지는 아니어도 어려운 수준의 제어와 가시성을 제공합니다. 마이크로 세그멘테이션이 현대적인 IT 환경에 주는 주요 장점은 다음과 같습니다.

더 강력한 보안 및 제한적인 내부 이동 

마이크로 세그멘테이션의 가장 중요한 장점은 침해를 방지하는 것입니다. 플랫 네트워크에서는 공격자가 우선순위가 낮은 시스템 하나에 액세스할 수 있기만 해도, 고객 정보가 담긴 데이터베이스처럼 가치가 높은 타겟으로 자유롭게 이동할 수 있는 경우가 많습니다.

마이크로 세그멘테이션은 ‘1개 항목의 세그먼트’를 만들기 때문에, 단일 워크로드가 손상되더라도 위협이 격리됩니다. 공격자는 집안의 다른 부분으로 연결되는 문이 없는 디지털 '방'에 갇히게 됩니다.

컴플라이언스와 감사 가능성 향상

의료, 금융과 같이 엄격한 규정으로 관리되는 산업에서 마이크로 세그멘테이션은 컴플라이언스 프로세스를 간소화합니다. 조직은 민감한 데이터를 다루는 시스템을 네트워크상의 나머지 부분과 분리할 수 있습니다.

보안 정책을 소프트웨어로 정의하기 때문에, 감사 담당자는 정확히 어느 사용자가 어느 시스템에 액세스 권한이 있는지 손쉽게 확인할 수 있습니다. 이 정도로 세분화된 보고 체계를 갖추면 민감한 정보가 규제 표준에 맞게 보호되는지 입증하기가 훨씬 더 간편해집니다. 

네트워크 트래픽에 관한 가시성과 제어 향상

보이지 않는 대상은 보호할 수 없습니다. 마이크로 세그멘테이션 툴은 'east-west' 트래픽 패턴에 대한 심도 있는 가시성을 제공합니다. 보안 팀은 다양한 애플리케이션과 서비스가 실시간으로 어떻게 상호작용하는지 정확히 확인할 수 있습니다. 이러한 가시성은 보안 위협이나 성능 장애를 나타내는 비정상적인 동작을 식별하는 데 도움이 됩니다.

현대적 IT 환경 적응성

전통적인 보안 룰은 IP 주소나 특정 하드웨어 포트와 같은 물리적 위치와 연계되는 경우가 많습니다. 클라우드 네이티브 환경에서는 컨테이너를 구동했다가 해제하는 과정에서 물리적 위치가 끊임없이 바뀝니다. 

마이크로 세그멘테이션은 환경에 종속되지 않는 방식입니다. 네트워크 하드웨어가 아닌 워크로드에 보안 정책을 연결하기 때문에 워크로드 실행 위치가 온프레미스 데이터센터든, 프라이빗 클라우드, 퍼블릭 클라우드 환경 등 무엇이라도 상관없이 보호는 일관되게 유지됩니다.

자동화를 통한 관리 간소화

현대적인 마이크로 세그멘테이션 환경에서는 보안 정책이 자동화됩니다. 새로운 애플리케이션이 배포되면 롤에 따라 필요한 보안 정책을 자동으로 상속할 수 있습니다. 그러면 사람 관리자가 수동으로 구성해야 할 필요성이 줄어들고, 사람의 실수가 개입할 리스크가 감소합니다.

마이크로 세그멘테이션으로 네트워크 액세스를 구성하는 방법 알아보기

지난 수년간 가상화는 데이터센터 효율성의 근원이었습니다. 단일 물리 서버에서 여러 개의 VM을 실행하는 것을 예로 들 수 있습니다. 하지만 가상 환경으로 전환하면서 새로운 취약점이 생겨났습니다. 전통적인 하드웨어 방화벽은 동일한 물리 호스트에 위치한 두 VM 사이를 이동하는 트래픽을 포착하지 못하는 경우가 많습니다. 

내부 가시성이 없는 이러한 경우, 보안 팀이 악의적인 내부 이동을 식별하거나 차단하지 못하는 경우가 발생할 수 있습니다. 이러한 문제는 조직이 클라우드 네이티브 아키텍처로 이전하고 VM과 컨테이너를 모두 사용함에 따라 더 커집니다. 

전통적인 네트워크 분리를 가상 환경에 적용하는 경우의 한계

전통적인 네트워크 분리는 트래픽을 가상 호스트에서 내보내 물리적 방화벽을 통과시킨 후 다시 가상 호스트로 라우팅하여 검사하는 방식을 사용합니다. 이 프로세스에서는 막대한 성능 장애와 대기 시간이 발생합니다. 확장 가능한 환경을 보호하기에 효율적인 방법이 아닙니다. 그리고 동적인 가상 환경에서 IP 주소와 위치는 자주 변화합니다. 하드웨어 기반 룰은 지나치게 경직되어 있기 때문에, 지속해서 마이그레이션하거나 확장하는 VM에 대응할 수 없습니다.

마이크로 세그멘테이션이 확장 가능한 인프라를 지원하는 방식

마이크로 세그멘테이션은 보안과 기반 물리 하드웨어를 분리하여 이러한 비효율성을 해결합니다. 중앙의 방화벽으로 트래픽을 라우팅하는 대신, 각 VM이나 컨테이너의 가상 네트워크 인터페이스 수준에서 보안 정책을 적용합니다. 

그러면 다음을 실현할 수 있습니다. 

• 규모에 맞는 성능: 보안 점검이 가상화 계층 내에서 로컬로 이루어지기 때문에 긴 루프를 경유해가며 내부 트래픽을 외부 장치에 전송할 필요가 없습니다.
• 다양한 환경에서 일관성 확보: 전통적인 VM이나 현대적인 컨테이너 등 어떤 워크로드라도 상관없이 마이크로 세그멘테이션은 스택 전반에서 보안 정책을 관리하는 단일 방식을 제공합니다.
• 이동성: VM이 물리 호스트 간에 이동하면 VM의 보안 경계도 자동으로 함께 이동합니다.

마이크로 세그멘테이션은 보안을 가상화 계층에 직접 통합하여, 내부 시스템 노출 없이 인프라를 신속하게 확장할 수 있도록 지원합니다.

마이크로 세그멘테이션은 조직의 구체적인 목표에 연계하여 적용할 때 가장 효과적입니다. 일반적인 시나리오는 다음과 같습니다. 

• 하이브리드 클라우드 환경 보호: 온프레미스 데이터센터 및 여러 클라우드 공급업체에서 실행되는 애플리케이션을 일관된 단일 보안 정책으로 보호합니다.
• 규제 컴플라이언스: 민감한 금융 또는 의료 데이터(예: 신용카드 번호, 환자 기록)를 다루는 시스템을 격리하는 방식을 통해, 전체 네트워크를 차단하지 않고도 엄격한 감사 요구 사항을 충족합니다.
• 개발 및 프로덕션 환경 보호: 테스트 환경에 있는 버그나 보안 공백이 고객 데이터가 있는 라이브 프로덕션 환경에 유입되지 않도록 보장합니다. 

마이크로 세그멘테이션이 우수한 보안을 제공하지만, 전통적인 네트워크 모델에서 마이크로 세그멘테이션 모델로 이전하려면 신중한 계획이 필요합니다.

일반적인 과제

• 초기 복잡성: 대규모 조직에서는 매 순간 수천 건의 연결이 발생합니다. 이러한 연결을 매핑하여 어느 항목 간에 통신이 이루어져야 하는지 파악하기는 쉽지 않습니다.
• 정책 관리: 생성하는 세그먼트가 늘어나면 그에 따라 정책도 더 생성하게 됩니다. 올바른 툴이 없다면 사람 관리자가 수천 개의 개별 보안 룰을 관리하는 일이 어려울 수 있습니다.
• 기존 툴과의 통합: 마이크로 세그멘테이션은 성능 문제나 숨겨진 리스크를 야기하지 않고 기존 보안 스택 및 인프라와 연동되어야 합니다.

성공 모범 사례

마이크로 세그멘테이션의 일반적인 과제를 극복하고 원활한 롤아웃을 보장하기 위해 고려해야 할 산업 모범 사례는 다음과 같습니다.

• 작게 시작하기: 전체 데이터센터의 마이크로 세그멘테이션을 단번에 완료하려고 하지 마세요. 명확하게 정의된 애플리케이션이나 특정 환경부터 시작하세요. 이러한 초기 프로젝트를 활용하여 정책 작성 프로세스를 다듬어 나갑니다.
• 가치가 높은 자산에 우선순위 두기: 처음에는 민감한 고객 데이터를 다루거나 비즈니스 운영에 중요한 애플리케이션에 중점을 둡니다.
• 가능한 한 모든 위치에서 자동화: 수작업으로 룰을 정의하는 것은 확장을 저해합니다. 자동으로 트래픽 패턴을 발견하고 보안 정책을 제안할 수 있는 툴을 사용하세요. 자동화는 환경이 성장함에 따라 보안도 함께 강화되도록 보장합니다.
• 지속적인 모니터링 구현: 네트워크 트래픽을 지속적으로 모니터링하여 새로운 통신 패턴을 식별하고 애플리케이션 진화에 따라 정책을 조정해야 합니다. 

마이크로 세그멘테이션에 대한 Red Hat의 현대적인 모듈식 접근 방식은 과도한 상용 서브스크립션에서 종종 발생하는 복잡성과 셸프웨어를 방지합니다. Red Hat® OpenShift® Virtualization에서는 일관된 보안 정책을 갖춘 단일 플랫폼에서 VM과 컨테이너를 관리할 수 있습니다. 따라서, 필요 없는 기능에 대해 비용을 낭비하는 일 없이 인프라를 확장할 수 있습니다. 

오픈소스 표준을 기반으로 구축된 Red Hat OpenShift는 워크로드 수준에서 세분화된 네트워크 정책을 실행함으로써 제로 트러스트 아키텍처를 지원하는 현대적인 애플리케이션 플랫폼입니다. 다시 말해서, 기본적으로 모든 VM과 컨테이너를 격리하여 내부 위협을 방지합니다. 

Red Hat과 함께하면 벤더 종속적인 전통적인 제품군의 오버헤드 없이 기존 환경과 쉽게 통합되는 유연한 미래 지향적 보안 솔루션을 갖출 수 있습니다. 

VMware에서 Red Hat으로 VM을 마이그레이션하는 방법 알아보기