세분화란?

세분화는 보안을 강화하고 침해의 영향을 줄이기 위해 애플리케이션 계층에서 네트워크를 별도의 세그먼트로 분할하는 기술입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 세분화의 정의
  • 세분화로 보안이 개선되는 방법 설명
  • 세분화가 Zero Trust 아키텍처에 적용되는 방법 설명

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

세분화란?

세분화는 네트워크를 작은 개별 섹션으로 나누며, 각 섹션에는 자체 보안 정책이 있고 별도로 액세스됩니다. 세분화의 목표는 위협과 유출을 손상된 세그먼트로 제한하여 나머지 네트워크에는 영향을 미치지 않으면서 네트워크 보안을 강화하는 것입니다.

대형 선박에는 갑판 아래가 여러 개의 구획으로 나뉘는 경우가 많으며, 각 구획은 방수 처리되어 다른 구획과 밀폐될 수 있습니다. 이렇게 하면 누수가 발생하여 한 구획에 물이 차더라도 나머지 구획은 건조한 상태로 유지되어 선박이 계속 떠 있을 수 있습니다. 네트워크 세분화의 개념도 비슷합니다. 네트워크의 한 세그먼트가 손상되더라도 나머지 네트워크와 쉽게 차단할 수 있습니다.

세분화는 Zero Trust 아키텍처의 핵심 구성 요소입니다. 이러한 아키텍처는 네트워크 내부나 외부로 이동하거나 내부에 있는 모든 트래픽이 위협이 될 수 있다고 가정합니다. 세분화를 사용하면 이러한 위협이 확산되기 전에 격리하여 내부망 이동을 방지할 수 있습니다.

세분화는 어디에서 발생할까요?

조직에서는 온프레미스 데이터 센터와 클라우드 컴퓨팅 배포(워크로드가 실행되는 모든 위치)를 모두 세분화할 수 있습니다. 서버, 가상 머신, 컨테이너, 마이크로서비스는 모두 이러한 방식으로 세분화할 수 있으며, 각각 고유한 보안 정책을 적용할 수 있습니다.

세분화는 네트워크에서 매우 세밀한 수준에서 발생할 수 있으며, 애플리케이션, 장치, 네트워크를 격리하는 것과는 반대로 개별 워크로드를 격리하는 것까지 가능합니다("워크로드"는 일정량의 메모리와 CPU를 사용하는 모든 프로그램 또는 애플리케이션을 의미합니다).

세분화는 어떻게 작동할까요?

네트워크를 세분화하는 기술은 조금씩 다릅니다. 하지만 다음과 같은 몇 가지 핵심 원칙은 거의 항상 적용됩니다.

애플리케이션 계층 가시성

세분화 솔루션은 네트워크에서 트래픽을 전송하는 애플리케이션을 인식합니다. 세분화는 어떤 애플리케이션이 서로 통신하고 있는지, 애플리케이션 간에 네트워크 트래픽이 어떻게 흐르는지에 대한 컨텍스트를 제공합니다. 이는 가상 근거리 통신망(VLAN) 또는 다른 네트워크 계층 방법을 사용하여 네트워크를 분할하는 것과 세분화를 구별하는 측면 중 하나입니다.

하드웨어 기반이 아닌 소프트웨어 기반

세분화는 소프트웨어를 통해 구성됩니다. 세분화는 가상이므로 관리자는 세분화를 구현하기 위해 라우터, 스위치 등의 네트워크 장비를 조정할 필요가 없습니다.

차세대 방화벽(NGFW) 사용

대부분의 세분화 솔루션은 차세대 방화벽(NGFW)을 사용하여 세그먼트를 분리합니다. 기존 방화벽과 달리 NGFW는 애플리케이션 인식 기능이 있어 네트워크 및 전송 계층뿐만 아니라 애플리케이션 계층에서도 네트워크 트래픽을 분석할 수 있습니다.

또한 클라우드 기반 방화벽을 사용하여 클라우드 컴퓨팅 배포를 세분화할 수 있습니다. 일부 클라우드 호스팅 공급자는 기본 제공 방화벽 서비스를 사용하여 이 기능을 제공합니다.

보안 정책은 세그먼트마다 다릅니다.

관리자는 원하는 경우 각 워크로드에 대한 보안 정책을 사용자 지정할 수 있습니다.특정 워크로드의 중요도와 처리하는 데이터에 따라 어떤 워크로드는 광범위한 액세스를 허용할 수 있고, 어떤 워크로드는 매우 제한적일 수 있습니다.한 워크로드는 다양한 엔드포인트에서 API쿼리를 수락할 수 있고, 다른 워크로드는 특정 서버와만 통신할 수 있습니다.

모든 네트워크 트래픽에 대한 가시성

일반적인 네트워크 로깅은 포트, IP 주소 등의 네트워크 및 전송 계층 정보를 제공합니다. 세분화도 애플리케이션 및 워크로드 컨텍스트를 제공합니다. 모든 네트워크 트래픽을 모니터링하고 애플리케이션 컨텍스트를 추가함으로써 조직에서는 네트워크 전반에 걸쳐 세분화 및 보안 정책을 일관되게 적용할 수 있습니다. 이에 따라 필요한 경우 보안 정책을 조정하는 데 필요한 정보도 제공됩니다.

세분화로 보안이 어떻게 개선될까요?

세분화는 위협이 전체 네트워크에 확산되는 것을 방지하여 사이버 공격으로 인한 피해를 제한합니다. 공격자의 액세스가 제한되며 기밀 데이터에 접근하지 못할 수도 있습니다.

예를 들어, 세분화된 데이터 센터에서 실행되는 워크로드가 있는 네트워크에는 수십 개의 개별 보안 영역이 포함될 수 있습니다. 한 영역에 액세스할 수 있는 사용자는 다른 영역 각각에 대해 별도의 권한이 필요합니다. 이를 통해 권한 상승(사용자가 너무 많은 액세스 권한을 가진 경우) 및 내부자 위협(사용자가 고의 또는 무의식적으로 기밀 데이터의 보안을 손상시키는 경우)의 위험을 최소화할 수 있습니다.

다른 예로 한 컨테이너에 취약점이 있다고 가정해 보겠습니다. 공격자는 악성 코드를 통해 이 취약점을 악용하여 이제 컨테이너 내의 데이터를 변경할 수 있습니다.경계에서만 보호되는 네트워크에서 공격자는 네트워크의 다른 부분으로 내부망 이동하여 권한을 상승시키고 결국 매우 중요한 데이터를 추출하거나 변경할 수 있습니다.세분화된 네트워크에서는 공격자가 별도의 진입 지점을 찾지 않고는 공격할 수 없을 가능성이 높습니다.

Zero Trust 네트워크의 다른 구성 요소는?

Zero Trust는 보안 환경의 내부와 외부에 이미 위협이 존재한다고 가정하는, 네트워크 보안에 대한 철학이자 접근 방식입니다. 많은 조직에서 공격을 예방하고 공격 성공으로 인한 피해를 최소화하기 위해 Zero Trust 아키텍처를 채택하고 있습니다.

세분화가 Zero Trust 전략의 핵심 구성 요소이기는 하지만, 이것이 유일한 요소는 아닙니다. Zero Trust 다른 원칙은 다음과 같습니다.

  • 지속적인 모니터링 및 유효성 검사: 이미 인증된 장치나 사용자를 포함하여 어떤 장치나 사용자도 자동으로 신뢰되지 않습니다. 로그인 및 연결 시간이 주기적으로 시간 초과되어 사용자와 장치가 지속해서 다시 확인됩니다
  • 최소 권한의 원칙: 사용자는 꼭 필요한 시스템과 데이터에만 액세스할 수 있습니다
  • 장치 액세스 제어: 장치 액세스도 사용자 액세스와 마찬가지로 추적되고 제한됩니다
  • 다단계 인증(MFA): 인증은 비밀번호, 보안 질문, 기타 지식 기반 방법에만 의존하지 않고 최소 두 가지 신원 요소를 사용하여 이루어집니다

조직에서 이러한 구성 요소를 구현하는 데 Cloudflare가 어떻게 도움이 되는지 알아보려면 Cloudflare Zero Trust 플랫폼에 대해 읽어보세요.