네트워크 세분화는 내부망 이동을 줄이고 네트워크 성능을 개선하기 위해 네트워크를 더 작고 고립된 섹션으로 나누는 방법입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
글 링크 복사
네트워크 세분화는 네트워크*를 더 작고 격리된 섹션으로 나누는 방법입니다. 이러한 파티션은 물리적 하드웨어 또는 소프트웨어를 통해 생성하고 보호할 수 있으며, 각 파티션에는 고유한 구현 과제가 있습니다.
네트워크의 여러 세그먼트를 분리함으로써 조직에서는 내부망 이동을 더 쉽게 방지하고, 네트워크 트래픽을 세밀하게 제어하며, 네트워크 성능을 개선할 수 있습니다. 세분화라고 불리는 접근 방식을 통해 개별 워크로드 및 앱에 대한 정책을 설정할 수도 있습니다.
*네트워크는 서로 연결된 컴퓨터 그룹입니다.
네트워크 세분화는 네트워크를 여러 섹션으로 나누어 각기 다른 제어를 적용할 수 있습니다. 일반적으로 이 프로세스는 물리적 세분화와 논리적 세분화 등 두 방법 중 하나를 사용하여 수행됩니다.
물리적 세분화에는 라우터, 스위치, 방화벽 등의 하드웨어 장비를 사용하여 네트워크를 개별 섹션으로 분리하는 것이 필요합니다. 이러한 장비는 특정 기준에 따라 구성할 수 있는 세분화 정책(예: 트래픽 소스, 목적지 등)을 통해 각 섹션에 들어오고 나갈 수 있는 트래픽 유형을 제어합니다.
물리적 세분화(경계 기반 세분화라고도 함)는 설정 및 유지 관리에 비용이 많이 들고 노동 집약적인 경우가 많습니다. 물리적 세분화는 또한 대부분의 조직이 여전히 물리적 네트워크 경계를 유지한다는 가정에 따라 운영됩니다.
그러나 클라우드 컴퓨팅의 등장으로 IT가 관리하는 내부 네트워크가 아닌 인터넷을 통해 사용자가 데이터와 앱에 액세스할 수 있게 되면서 물리적 네트워크 경계는 거의 사라졌습니다. 온프레미스 인프라를 사용하는 조직에서도 사용자가 외부 장치 및 소프트웨어를 통해 내부 리소스에 연결할 수 있도록 허용하는 경우가 많습니다.
논리적 세분화, 즉 가상 네트워크 세분화는 소프트웨어를 사용하여 네트워크를 더 작은 섹션으로 나눕니다. 이러한 세그먼트는 서브넷, 가상 근거리통신망(VLAN), 네트워크 주소 체계를 통해 생성할 수 있습니다.
물리적 세분화와 마찬가지로 논리적 세분화도 세분화 정책을 사용하여 각 네트워크 세그먼트로 들어오고 나가는 트래픽의 흐름을 제한합니다.
논리적 세분화는 여러 하드웨어 장비의 구성, 유지 관리, 업데이트에 의존하지 않습니다. 따라서 네트워크를 분리하고 보호하는 데 있어 보다 유연하고 확장 가능하며 비용 효율적인 방법으로 널리 알려져 있습니다.
네트워크 세분화를 올바르게 구현하면 조직에서 보안, 성능, 규제 준수를 더 효율적으로 개선하는 데 도움이 될 수 있습니다. 가장 중요한 몇 가지 장점은 다음과 같습니다.
네트워크 세분화는 네트워크를 더 작은 섹션으로 나누어 서로 다른 보안 제어 및 정책을 적용합니다.
반면, 마이크로세분화는 네트워크 세분화의 하위 집합으로 개별 워크로드에 훨씬 더 세밀한 제어를 적용할 수 있습니다. (워크로드란 서버, 가상 머신, 서버리스 기능처럼 일정량의 메모리와 컴퓨팅 리소스를 사용하는 프로그램 또는 앱을 말합니다.) 이는 기본적으로 사용자나 장치를 신뢰하지 않는 Zero Trust 보안 모델의 일부입니다.
네트워크 세분화와 마이크로세분화의 보안 이점을 더 잘 이해하기 위해 왕이 보호하려는 금과 보석을 많이 가지고 있다고 상상해 보겠습니다. 왕은 그 모든 보물을 여러 개의 비밀 금고에 보관할 수 있으며, 각 금고는 특정 키(네트워크 세분화)를 사용해야만 잠금을 해제할 수 있습니다. 도둑이 금고 한 개의 열쇠를 훔친 경우, 그 안에 있는 보물을 훔칠 수는 있지만, 다른 금고의 열쇠를 추가로 훔치지 않고서는 다른 금고에 접근할 수 없습니다. 마찬가지로, 하위 네트워크 하나에 침입한 공격자는 해당 네트워크 내의 데이터를 침해할 수는 있지만, 다른 하위 네트워크로 자유롭게 이동할 수는 없습니다.
또는, 왕이 보물을 여러 금고에 분산시킬 수 있을 뿐만 아니라, 각 금고 안에 잠긴 상자에 넣고 각 상자는 고유한 열쇠로만 열 수 있도록 할 수도 있습니다(마이크로세분화). 이렇게 하면 도둑이 보물 금고 중 하나의 열쇠를 훔쳐도 추가 열쇠를 구하지 않고는 개별 보물 상자를 열 수 없습니다. 마찬가지로 마이크로세분화된 네트워크에서는 공격자가 하나의 워크로드를 손상시키더라도 추가 워크로드를 손상시키거나 액세스하지 못할 수도 있습니다.
마이크로세분화가 조직에서 Zero Trust 보안 태세를 갖추는 데 어떻게 도움이 되는지 자세히 알아보세요.