네트워크 세그멘테이션 보안 모범 사례

#1. 중요한 데이터 및 자산 식별

조직 내의 모든 데이터와 자산이 동일한 가치를 지니는 것은 아닙니다. 고객 데이터베이스와 같은 일부 시스템은 정상적인 작동을 유지하는 데 필수적일 수 있습니다. 프린터와 같은 다른 것들은 유용하지만 비즈니스 기능에 필수적이지는 않습니다.

자산에 중요도와 가치 수준을 할당하는 것은 네트워크 세그멘테이션을 위한 중요한 첫 번째 단계입니다. 이러한 레이블은 나중에 네트워크 내에서 다양한 신뢰 영역을 정의하는 데 사용됩니다.

#2. 각 자산에 분류 레이블 할당

자산의 가치 외에도 자산에 포함된 데이터의 민감도를 고려하는 것도 중요합니다. 고객 정보, 연구 및 개발 데이터 등과 같이 매우 민감한 데이터를 보유하는 자산은 데이터 보호 규정 또는 기업 보안 정책에 따라 컴플라이언스에 대한 추가 보호가 필요할 수 있습니다.

이러한 레이블은 데이터의 민감도(즉, public에서 highly restricted까지) 및 자산에 포함된 데이터 유형입니다. 이는 PCI DSS(Payment Card Industry Data Security Standard)와 같은 해당 규정에 따라 세그멘테이션 정책을 정의하는 데 도움이 됩니다.

#3. 네트워크를 통한 데이터 흐름 매핑

네트워크 세그멘테이션은 네트워크를 격리된 세그먼트로 분할하여 네트워크 보안을 개선하는 데 도움이 됩니다. 이로 인해 공격자가 초기 발판을 확보한 후 네트워크를 통해 측면으로 이동하기가 더 어려워집니다.

그러나 허용해야 하는 합법적인 데이터 흐름이 많이 있습니다. 다음을 포함하여 네트워크의 모든 시스템에 대한 모든 데이터 흐름을 매핑해야 합니다.

• 북쪽 방향 교통: 노스바운드 트래픽은 직원이 회사 네트워크에 연결된 관리되는 디바이스에서 saleforce.com 방문하는 것처럼 회사 네트워크를 떠납니다.
• 동서 교통: East-West 트래픽은 데이터 센터 네트워크의 프런트 엔드 웹 서버 및 백 엔드 데이터베이스 서버와 같은 네트워크 경계 내부의 시스템 간에 이동합니다.
• 남쪽 방향 교통: 사우스바운드 트래픽에는 네트워크 세그먼트 또는 영역으로 들어오는 데이터(예: DMZ 네트워크 또는 회사 인트라넷의 온-프레미스에 있는 웹 서버에 액세스하는 고객 또는 직원)가 포함됩니다.

#4. 자산 그룹 정의

조직 네트워크 내의 특정 자산은 유사한 목적으로 사용되며 정기적으로 통신합니다. 이러한 시스템을 서로 분리하는 것은 정상적인 기능을 유지하기 위해 많은 예외가 필요하기 때문에 의미가 없습니다.

자산 그룹을 정의할 때는 이와 유사한 기능과 회사 네트워크에 있는 다양한 자산의 민감도를 모두 고려하는 것이 중요합니다. 유사한 목적과 유사한 민감도 수준을 가진 모든 자산은 신뢰 수준 또는 기능이 다른 다른 자산과 별도로 하나의 세그먼트로 그룹화해야 합니다.

#5. Deploy a Segmentation 게이트웨이

세그먼트 경계를 정의하는 것은 중요하지만 이러한 경계가 적용되지 않으면 조직에 아무런 이점이 없습니다. 각 네트워크 세그먼트에 액세스 제어를 적용하려면 세그먼트 게이트웨이를 배포해야 합니다.

세그먼트 경계를 적용하려면 해당 세그먼트에 들어오고 나가는 모든 네트워크 트래픽이 게이트웨이를 통과해야 합니다. 결과적으로 조직은 효과적인 세분화를 구현하기 위해 여러 게이트웨이가 필요할 수 있습니다. 이러한 요구 사항은 하드웨어 방화벽 또는 가상 방화벽을 선택할지 여부를 결정하는 데 도움이 될 수 있습니다.

#6. 액세스 제어 정책 생성

특정 세그먼트 내의 자산 간 트래픽은 제한 없이 흐르도록 허용될 수 있습니다. 그러나 세그먼트 간 통신은 세그먼트 게이트웨이에서 모니터링하고 액세스 제어 정책을 준수해야 합니다.

이러한 정책은 애플리케이션, 디바이스 또는 사용자가 작업을 수행하는 데 필요한 최소 수준의 권한을 가져야 한다는 최소 권한 원칙에 따라 정의해야 합니다. 이러한 권한은 #3에서 식별된 합법적인 데이터 흐름을 기반으로 해야 합니다.

#7. 정기 감사 및 검토 수행

마이크로 세그먼트를 정의하고, 세그멘테이션 게이트웨이를 배포하고, 액세스 제어 정책을 생성 및 적용한 후에는 네트워크 세그멘테이션을 구현하는 프로세스가 대부분 완료됩니다. 그러나 네트워크 세그멘테이션 정책을 정의하는 것은 일회성 연습이 아닙니다.

네트워크 세그멘테이션 정책은 기업 네트워크의 진화 또는 초기 설계 프로세스의 간과 및 오류로 인해 변경될 수 있습니다. 이러한 잠재적 문제를 해결하려면 변경 사항이 적용되었는지, 시스템에 불필요한 위험이 있는지, 이러한 위험을 완화하기 위해 네트워크 세그먼트 및 액세스 제어를 업데이트할 수 있는 방법을 결정하기 위한 정기적인 감사가 필요합니다.

#8. 가능한 경우 자동화

네트워크 세그멘테이션 정책을 정의하는 것은 특히 엔터프라이즈급 네트워크의 경우 큰 작업이 될 수 있습니다. 이러한 모든 단계를 수동으로 수행하는 것은 어렵거나 불가능할 수 있습니다.

이러한 이유로 가능한 한 자동화 기능을 활용하는 것이 중요합니다. 특히 검색 및 분류 단계에서 자동화는 네트워크에 추가된 새로운 자산, 통신 흐름, 취약성이 포함된 경우 식별, 네트워크 세그멘테이션 정책을 적용하는 데 매우 중요할 수 있습니다.

체크 포인트로 IoT를 위한 네트워크 세그멘테이션 구현

자동화된 탐지 및 라벨링은 사물인터넷(IoT)(IoT)의 성장과 함께 더욱 중요해졌습니다. 이러한 디바이스는 안전하지 않은 경우가 많으며, 엔터프라이즈 네트워크의 중요한 시스템에서 격리하기 위해 세그멘테이션이 필요합니다. 그러나 효과적인 IoT 보안을 구현하려면 IoT 프로토콜을 이해하는 방화벽이 필요합니다. IoT를 위한 네트워크 세그멘테이션이 실제로 작동하는 모습을 보려면 데모를 요청하세요.