What is Macro-Segmentation?

매크로 세그멘테이션은 기존 네트워크 세그멘테이션의 또 다른 용어입니다. 매크로 세그멘테이션의 목표는 비즈니스 요구 사항을 지원하기 위해 네트워크를 여러 개의 개별 청크로 분할하는 것입니다. 매크로 세분화의 일반적인 사용 사례 중 하나는 개발 환경과 프로덕션 환경의 격리입니다. 현재 개발 중인 애플리케이션에는 악용 가능한 취약성 또는 기타 문제가 포함될 가능성이 높으므로 엔터프라이즈 보안 또는 나머지 네트워크 기능에 잠재적인 위협이 될 수 있습니다. 프로덕션 네트워크에서 개발 네트워크를 분할하면 조직의 네트워크 안정성 및 운영 능력에 위험을 초래하지 않고 신뢰할 수 없는 애플리케이션을 테스트할 수 있습니다.

What is Macro-Segmentation?

매크로 세분화의 작동 방식

매크로 세분화는 조직의 물리적 네트워크 인프라에서 오버레이로 구현되는 경우가 많습니다. 이 작업은 방화벽 과 VLAN(Virtual Local Area Network)의 조합을 사용하여 수행됩니다.

 

VLAN은 물리적 네트워크를 통해 트래픽을 라우팅하는 방법을 정의하는 가상화된 네트워크입니다. 즉, 두 시스템이 서로 다른 VLAN에 있는 경우 트래픽을 두 시스템 간에 직접 라우팅하지 못할 수 있습니다. 대신 VLAN 간의 모든 트래픽이 먼저 방화벽을 통과하도록 VLAN이 구성됩니다. 이를 통해 방화벽은 VLAN 간의 경계를 적용하고(즉, 권한 없이 VLAN 경계를 넘으려고 시도하는 모든 트래픽을 차단) 보안 검사 및 액세스 제어 정책 시행을 수행할 수 있습니다.

매크로 세분화 vs 마이크로 세분화

거시적 세분화와 마이크로 세분화 는 모두 조직의 네트워크를 섹션으로 나누는 방법이며 여러 가지 이점을 제공할 수 있습니다. 그러나 거시적 세분화와 마이크로 세분화 정책은 매우 다릅니다.

 

  • 매크로 세분화: 매크로 세그멘테이션은 네트워크를 시스템 그룹으로 분할하여 부서 또는 기타 기준에 따라 네트워크 인프라와 시스템을 분할할 수 있는 기능을 제공합니다. 일반적으로 VLAN 및 방화벽을 사용하여 구현됩니다.
  • 마이크로 세분화: 마이크로 세분화는 일반적으로 조직의 인프라를 시스템 또는 애플리케이션 수준에서 나눕니다. 조직 네트워크 내의 데이터 흐름에 대한 매우 세분화된 가시성과 제어를 제공하여 제로 트러스트 보안 전략을 구현할 수 있도록 하는 데 사용됩니다. 소프트웨어 정의 솔루션을 사용하여 배포되는 경우가 많은데, 이러한 시스템은 이미 라우팅 목적을 위해 심층적인 가시성과 제어가 필요하기 때문입니다(검사 및 정책 시행을 더 쉽게 만듦).

매크로 세분화의 주요 이점

매크로 세그멘테이션은 조직의 네트워크를 모놀리식에서 개별 서브넷 모음으로 변환합니다. 이는 조직에 다음과 같은 여러 가지 이점을 제공합니다.

 

  • 향상된 가시성 및 제어: 매크로 세분화를 구현하지 않으면 조직은 경계 방화벽을 통과하는 네트워크 경계의 네트워크 트래픽에 대한 심층적인 가시성과 제어만 할 수 있습니다. 매크로 세분화를 통해 내부 네트워크 방화벽은 조직 네트워크 내의 데이터 흐름에 대한 훨씬 더 심층적인 수준의 이해와 제어를 제공합니다.
  • 향상된 보안: 조직이 매크로 세분화를 구현하는 주된 이유는 사이버 공격에 대한 저항력을 높이기 위해서입니다. 일반적으로 손상된 시스템(사용자 워크스테이션 등)이 공격자의 목표가 될 가능성이 낮기 때문에 조직의 네트워크 내부에 있는 공격자는 목표를 달성하기 위해 네트워크를 통해 횡적으로 이동해야 할 수 있습니다. 매크로 세그멘테이션을 통해 조직은 세그먼트 경계에서 내부 데이터 흐름을 검사하여 이러한 수평 이동을 감지할 가능성을 높일 수 있습니다.
  • 네트워크 성능 향상: 매크로 세그멘테이션을 통해 조직은 비즈니스 요구 사항에 따라 네트워크를 세분화할 수 있습니다. 이렇게 하면 서로 자주 통신하는 시스템이 긴밀하게 연결되고 불필요한 네트워크 흐름이 귀중한 대역폭을 소비하지 않도록 하여 네트워크 대기 시간 및 정체를 줄이는 데 도움이 될 수 있습니다.
  • 규제 컴플라이언스: PCI DSS(Payment Card Industry Data Security Standard)와 같은 일부 데이터 보호 규정은 조직이 알아야 할 필요성에 따라 보호된 데이터(예: 결제 카드)에 대한 액세스를 제한하도록 규정합니다. 매크로 세그멘테이션은 PCI DSS 규정의 필수 구성 요소로, 규정을 준수하는 조직은 결제 카드 처리에 사용되는 시스템을 엔터프라이즈 네트워크의 나머지 부분과 격리해야 하기 때문입니다.

Implementing Macro-segmentation with 체크 포인트

매크로 세그멘테이션은 내부 네트워크 방화벽을 사용하여 VLAN을 정의하고 VLAN 경계를 넘어 흐르는 트래픽의 콘텐츠 검사를 수행합니다. 이는 조직에 다양한 이점을 제공하며 회사의 데이터 보안 및 규제 컴플라이언스 전략의 중요한 구성 요소일 수 있습니다.

 

그러나 조직은 네트워크 내에서 매크로 세분화를 배포하기 위한 전략을 설계하고 구현할 때 네트워크 인프라의 유용성도 고려해야 합니다. 세그먼트 경계를 넘는 모든 내부 네트워크 트래픽이 내부 네트워크 방화벽을 통과해야 하는 경우 조직은 네트워크 성능과 보안을 모두 극대화하기 위해 높은 처리량과 강력한 보안 검사 기능을 갖춘 방화벽이 필요합니다.

체크 포인트의 보안 솔루션을 통해 조직은 전체 네트워크 인프라를 통해 효과적인 매크로 세분화를 구현할 수 있습니다. 체크 포인트 차세대 방화벽(NGFW)은 온프레미스 인프라에 강력한 보안과 높은 처리량을 제공하는 반면, 체크 포인트 CloudGuard는 조직의 클라우드 기반 배포를 위한 클라우드 네이티브 가시성 및 보안 솔루션을 제공합니다. 이러한 솔루션이 작동하는 모습을 보려면 체크 포인트 NGFWCloudGuard Infrastructure as a Service (서비스형 인프라(IaaS)) 솔루션의 데모를 요청하십시오.

×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다.웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.
확인