과학기술정보통신부 제로트러스트 가이드라인 1.0의 핵심 원칙에 충실한 솔루션 ‘Akamai Guardicore Segmentation’
현대 네트워크 보안의 패러다임은 "절대 믿지 말고, 계속 검증하라"는 제로트러스트 원칙에 기반을 두고 있습니다. 과학기술정보통신부가 제시한 제로트러스트 가이드라인 1.0은 이 원칙을 구현하기 위한 구체적인 실행 방안을 안내합니다. 특히, 마이크로 세그멘테이션과 소프트웨어 정의 경계 같은 개념은 네트워크 보안을 한층 강화하는 구체적인 실행 방안을 제시합니다. 가이드라인 1.0의 핵심 원칙을 충족시키기 위해 Akamai Guardicore Segmentation(이하 Guardicore) 솔루션이 어떤 기능과 역할을 하는지 살펴보겠습니다. 가이드라인 1.0이 명시하고 있는 마이크로 세그멘테이션과 소프트웨어 정의 경계 구현의 핵심은 ‘Visibility, Enforcement, Operation’ 세 키워드로 나누어 살펴볼 수 있습니다.
가시성 확보
‘Visibility’ 확보는 제로트러스트 보안 모델의 핵심 원칙인 "절대 믿지 말고, 계속 검증하라"를 실행하는 데 있어서 필수입니다. 아카마이가 강조하는 가시성은 'Contextual Visibility’입니다. 이 개념은 단순히 네트워크의 구성 요소를 보는 것을 넘어서, 그들이 어떻게 상호 작용하고, 어떤 상황에서 활동하는지에 대한 맥락을 제공한다는 의미를 담고 있습니다.
Guardicore는 네트워크 전반에 걸쳐 자산을 자동으로 식별하고 통신 흐름을 시각화하여, 관리자가 수작업으로 정책 설정을 할 필요 없이 자산의 완벽한 가시성을 확보할 수 있도록 합니다. Guardicore는 네트워크 내의 서버, 컴퓨팅 서비스, 컨테이너 등 다양한 유형의 자산을 실시간으로 식별합니다. 이를 통해 보안 관리자는 네트워크의 변경 사항을 즉각적으로 인지하고, 보안 정책을 신속하게 조정할 수 있습니다. 네트워크 내에서 자산 간의 통신 흐름을 명확하게 시각화하여 볼 수 있게 되면, 보안 관리자는 애플리케이션과 서비스의 상호작용을 이해하고, 잠재적인 보안 위협이나 취약점을 더 신속하게 찾아 대응할 수 있습니다. 이런 가시성은 마이크로 세그멘테이션 전략을 수립하고 소프트웨어 정의 경계를 설정하는 데 필수라 할 수 있습니다.
이외에도 Guardicore는 쿠버네티스 환경에서 실행되는 애플리케이션과 컨테이너에 대한 가시성도 제공합니다. 오케스트레이션 도구를 통해 쿠버네티스 개체에 연결된 레이블을 자동으로 가져와 가시성에 반영하여, 컨테이너화된 애플리케이션의 보안을 강화할 수 있습니다. 쿠버네티스 환경에서의 운영을 포함해, 모든 인프라에서 자산과 애플리케이션의 상호작용을 정확히 파악할 수 있다고 있고 이해할 수 있습니다. 이 역시 제로트러스트 보안 모델을 효과적으로 실행하는 데 필수적인 기능이라 할 수 있습니다.
Policy Enforcement를 통한 논리적 망 분리 구현
‘Policy Enforcement’ 는 제로트러스트 보안 모델 구현의 필수 조건으로, 특히 마이크로 세그멘테이션과 소프트웨어 정의 기반의 논리적 망 분리 구현의 핵심 기술입니다.
Guardicore는 서비스의 속성에 기반하여 보안 정책을 생성하며, 이를 통해 워크로드 간 필요한 연결만을 허용합니다. 이러한 접근 방식은 측면 이동(lateral movement) 공격의 확산을 방지하고, 네트워크 내에서 워크로드 간의 안전한 통신을 보장합니다. 또한, 전통적인 중앙집중화된 방화벽 관리 대신, Guardicore는 분산 형태로 각 워크로드에 보안 정책을 적용합니다. 이는 보안 가용성을 높이고 관리 복잡성을 줄이는 데 도움을 줍니다
Guardicore는 소프트웨어 정의 기반 세그멘테이션도 지원합니다. Guardicore는 라벨(Label)을 사용하여 보안 정책을 적용합니다. 새로운 워크로드가 네트워크에 추가될 때, 해당 워크로드에 라벨을 할당하기만 하면, 기존에 설정된 보안 정책이 자동으로 적용됩니다. 이는 보안 정책의 관리와 운영을 대폭 간소화합니다.
이외에도 Guardicore는 전통적인 IP와 포트 기반의 구분을 넘어, 서비스의 실제 속성과 워크로드의 기능에 기반한 정책을 생성합니다. 이는 네트워크의 보안을 더욱 강화하고, 특정 서비스 또는 애플리케이션에 대한 보다 정밀한 접근 제어를 가능하게 합니다. 더불어 Guardicore는 프로세스 단위까지 보안 정책을 생성할 수 있는 능력을 제공합니다. 이를 통해 보안 관리자는 애플리케이션 내부의 세밀한 작업에 대해서도 보안 정책을 적용할 수 있으며, 이는 보안 수준을 한층 더 높이는 데 기여합니다.
Operations의 간소화와 강화
세 번째 키워드인 Operations는 보안 운영의 효율성을 높이고, 복잡성을 줄이며, 보안 정책의 일관성을 유지하는 것을 뜻합니다.
Guardicore는 보안 정책의 일관성을 유지하면서 온프레미스, 클라우드, 하이브리드를 포괄하는 다양한 인프라에 쉽게 적용할 수 있는 정책 템플릿을 제공합니다. 이는 보안 관리자가 환경과 관계없이 동일한 보안 기준을 적용할 수 있도록 지원합니다. 또한, Guardicore는 클라우드로의 이동이나 IP 주소의 변경 시에도 기존에 설정된 보안 정책을 그대로 유지할 수 있는 기능을 제공합니다. 이는 자산의 이동이나 환경 변화가 보안 정책에 영향을 주지 않도록 보장합니다.
이외에도 Guardicore는 기존의 방화벽과 함께 운영될 수 있으며, 이를 통해 기존 보안 시스템과 새로운 보안 정책 사이의 격차를 해소합니다. 조직은 기존 보안 인프라를 유지하면서도, 제로트러스트 보안 모델을 단계적으로 고도화할 수 있습니다.
가이드라인 1.0 실현을 위한 솔루션
Guardicore는 제로트러스트 보안 모델의 핵심 원칙을 실행하는 데 있어 강력한 도구입니다. 자동화된 자산 관리, 세밀한 정책 실행, 그리고 간소화된 운영을 통해, 네트워크의 복잡성과 보안 위협에 효과적으로 대응할 수 있습니다. Guardicore는 과학기술정보통신부 제로트러스트 가이드라인 1.0을 충실히 구현하고 준수할 수 있도록 도와주며, 조직이 더 안전한 디지털 환경을 구축할 수 있는 검증된 기술과 기능을 제공하는 종합적인 솔루션입니다.