새로운 세그먼테이션 접근법으로 복잡한 환경은 단순하게, 혜택은 더 많이!
네트워크 세그먼테이션(segmentation)은 그동안 네트워크 환경은 물론, 데이터와 IT 자산을 보호하기 위해 시스템들을 구분시키는 중요한 역할을 맡아왔습니다. 하지만 세그멘테이션의 역할이 커지고 있음에도 불구하고, 기존 세그먼테이션 접근법은 관리가 상당히 힘들뿐만 아니라 악성코드 공격에 실시간으로 대응하고 이를 세부적으로 통제하는 데는 한계가 있었습니다. 특히 오늘날처럼 환경, 디바이스 그리고 사용자 역할이 끊임없이 변화하는 시대에는 관리가 더 복잡해 질 수밖에 없겠죠?
그래서 네트워크 분야의 강자인 시스코가 준비한 보안 솔루션이 있습니다. 바로 시스코 트러스트섹(Cisco TrustSec) 인데요. 이 기술은 소프트웨어 정의 세그먼테이션을 가능하게 해, 하이브리드 클라우드 또는 데이터 센터, 그리고 사용자와 디바이스까지 세그먼테이션 작업을 간소화해주고 있습니다. 시스코 트러스트섹으로 무엇이 가능한지 간단히 살펴보면 다음과 같습니다.
랜섬웨어에 대처하는 데 필요한 가장 중요한 기능인 악성코드의 측면 이동 제한
사용자의 환경이 변화하더라도 일관성 있는 세그멘테이션 유지(보안 정책)
컴플라이언스 목표를 충족
IoT 확산 관리
보안 운영의 단순화
이처럼 필수적이며, 효율적인 기능들이 하나의 패키지를 통해 제공된다니, 마치 보안계의 “맥가이버 칼” 같지 않나요? ^^
시스코 트러스트섹 기술은 시스코 스위치, 라우터, 무선 보안 기기들에 기본적으로 탑재되어 있으며, 해당 기술이 적용된 네트워크 기기들은 VLAN이나 IP 주소를 기반으로 한 ACL(access control lists) 없이도 세그멘테이션을 지원할 수 있습니다. 이처럼 네트워크 기기를 재설정하거나 네트워크를 재설계하는 일 없이 세그멘테이션 패턴을 바꾸는 것은 소프트웨어 정의 세그멘테이션의 가장 커다란 장점이랍니다!
애니메이션으로 이 복잡한 기술의 개념을 이해할 수 있도록 준비된 비디오를 함께 살펴보겠습니다.
그리고 최근 어떤 발전이 있었는지 보여주는 영상도 하나 준비했습니다. 최근 업그레이드된 소프트웨어 정의 세그멘터이션의 기술적인 내용이 궁금하신 분들은 바로 PLAY 버튼을 눌러주십시오 ^^
그룹별 보안태그 설정으로 복잡한 병원 환경 보안도 책임지는 트러스트섹!
의학분야에서 시스코 트러스트섹이 활용되는 사례를 살펴보면, 이 기술의 단순함과 뛰어난 역량에 감탄하실 텐데요. 대부분의 병원 환경은 매우 복잡하고 유동적입니다. 또, 대부분의 엑스레이 촬영실에는 각기 다른 엔드포인트가 설치되어 있고요. 가령 IP 지원 판독기의 콘트롤 헤드, (주로 윈도우 기반 PC인) 엑스선 기술자 판독 스테이션, 고화질 이미지 롤을 저장하고 이를 디지털 파일로 변화해 의사들에게 전송하는 캐시 서버처럼 말이지요. MRI실 또는 CT 촬영실에는 이것보다 훨씬 더 많은 엔드포인트들이 설치되어 있고요.
이 많은 엔드포인트들에 대한 가시성과 제어력을 확보하기란 그리 쉽지만은 않습니다. 게다가 의료진, 병원 직원, (대학병원의 경우) 학생, 환자 그리고 의료기기들이 모두 동일한 네트워크를 공유해야 하는 상황은 위험 부담을 늘리기도 하고요. 이런 상황에서 악성코드 또는 여타 위협들을 격리시키고, 건강정보 관련 규제를 준수하는 것은 엄청난 도전 과제가 되고 있습니다.
그러나 시스코 트러스트섹은 보안 규정을 IP 네트워크 설계와 네트워크 구조 상에서 분리시킬 수 있습니다. 논리적 태그를 활용해 정책을정의할 수 있기 때문에 시스템에 접근하기 위해서는 IP 주소나 VLAN에 의존하지 않아도 되며, 이 덕분에 엔드포인트까지 투명하게 변화를 역동적으로 적용할 수있습니다. 보안 정책은 네트워크 위치와 무관하게 작동하며, 중앙에서 관리가 가능하고요. 게다가 트러스트섹 지원 기기들은 필요한 정책들만 다운로드 하지요~ 만약 악성코드에 감염되면, 그룹 태그가 즉시 변경되어 감염된 트러스트섹 기기가 악성코드를 격리시킬 수 있도록 바로 해당 태그가 트러스트섹 기기에 전송됩니다. 이처럼 보안 정책을 해당되는 그룹에 따라 적용하고 관리할 수 있으니 규제준수와 감사는 예전보다 한결 간편해진답니다!
시스코 트러스트섹의 효율적이고 효과적인 세그멘터이션 기법, 게다가 필요에 따라 다르게 적용가능한 보안계의 맥가이버 칼인 소프트웨어 정의 세그멘테이션으로 여러분의 복잡한 네트워크 환경을 보호하실 수 있습니다.
자세한 내용은 시스코 보안 솔루션 페이지(국문), 트러스트섹 소개 페이지(영문), 그리고 트러스트섹에 대한 시스코 보안 전문가의 칼럼(국문)을 참고해 보시기 바랍니다!
이번 포스팅은 시스코 시큐어 액세스 및 모빌리티 제품 그룹의 제품 매니저 케빈 리건(Kevin Regan)이 작성한 Cisco TrustSec, the “Swiss Army Knife” in your network security toolbox를 바탕으로 준비되었습니다.
