IoT 디바이스의 확산과 기업의 하이브리드 업무 확대로 네트워크가 공간적으로 분산되고 있으며, 이로 인해 새로운 가시성 및 보안 문제가 증가하고 있다. 사용자의 탈중심화 현상이 증가하고, 더 지능화되고 지속적인 공격이 이루어지면서 네트워크 보안은 지난 몇 년간 위험도가 높아졌다.
네트워크의 경계에 주로 중점을 두는 기존의 보안 접근방식은 더 이상 신뢰할 수 없는 상황이 됐다. 최신 네트워크 보안은 끊임없이 변화하는 다양한 사용자와 디바이스는 물론, 네트워크 인프라의 기존의 “신뢰할 수 있는” 부분을 표적화 하는 위협까지 다뤄야 한다.
이제 조직들은 비즈니스 효율을 높이기 위해 디지털 트랜스포메이션을 가속화하면서 에지 투 클라우드로부터 제로 트러스트 및 SASE(Secure Access Service Edge) 보안 프레임워크를 구현해야 한다.
제로 트러스트와 SASE 프레임워크 기술이 적용된 아루바 다이내믹 세그멘테이션(Aruba Dynamic Segmentation)은 Aruba ESP(Edge Services Platform)는 에지 투 클라우드 보안 최적 솔루션으로 주목받고 있다. ID와 관련 액세스 권한에 따라 트래픽을 세분화하여 IT 자원에 대한 최소 권한 액세스를 구축하는 것을 근간으로 한다. 사용자 또는 IoT 기기와 같은 엔드포인트 클라이언트의 연결 위치나 연결 방식이 아니라 역할과 정책을 기반으로 신뢰 여부를 결정한다.
다이내믹 세그멘테이션은 중앙화된 정책 정의를 통해 유선, 무선 및 WAN 네트워크 모두에 대한 역할 기반 액세스 및 정책 실행을 통합해 사용자와 디바이스가 각각의 역할과 관련이 있는 대상과만 통신하게 해 트래픽을 보호하고 분리시켜 준다.
제로 트러스트 및 SASE의 핵심은 ID 기반 세그멘테이션
사용자 또는 디바이스의 연결 방식과 위치에 따라 액세스 제어를 결정할 경우 네트워크를 일일이 직접 구성해야 하고 이에 따른 오류 위험도 높아져서 보안에 큰 문제가 발생할 수 있다.
사실 제로 트러스트는 이미 10년 전에 소개된 개념이다. 사용자 또는 클라이언트의 ID와 역할에 따라 정의된 자원에 대한 제한된 액세스를 바탕으로 IT 액세스 정책을 정의하고 실행할 수 있는 보안 아키텍처를 조직에 제공해 문제를 해결하는 것이 목적이었다. 예를 들면 프린터는 직원들의 급여 정보가 저장된 서버에 접속하도록 허용되면 안 된다.
제로 트러스트 네트워크는 연결 방법과 관계없이 액세스 제어 정책에 따라 트래픽을 분할한다. 이미 오래전부터 SASE는 클라우드 기반 워크로드의 중요성을 확인하고 제로 트러스트를 SDWAN과 클라우드 제공 보안 서비스를 포함하도록 확장했다. 제로 트러스트와 SASE 프레임워크는 조직을 보호하기 위해 네트워크에 내장되는 ID 기반 세그멘테이션을 이용하는 안전한 네트워크 기초를 위한 청사진을 제공한다.
다이내믹 세그멘테이션의 주요 기능
아루바의 다이내믹 세그멘테이션은 ID, 정책 및 네트워크 인프라를 활용하여 IT 부서의 중요 자산 보호를 간소화하고 자동화하며, △디바이스 검색 및 프로파일링 △ID 및 인증 △역할 기반 정책 △자동화된 실행 기능을 제공한다.
네트워크로 유입되는 IoT 디바이스 또는 클라이언트의 수가 지속적으로 증가함에 따라, IT 부서가 네트워크에 접속하는 모든 대상을 관찰하고 추적하기는 어렵다. 디바이스 검색 및 프로파일링을 위한 다이내믹 세그멘테이션의 핵심 요소는 아루바 센트럴(Aruba Central)의 AI 기반 클라이언트이다. 이는 아루바 네트워크 인프라의 텔레메트리와 머신러닝을 이용하여 95%의 유효성으로 네트워크에 접속하는 모든 유형의 클라이언트를 자동으로 프로파일링한다. 타사 네트워크 구축에서 사용할 수 있는 자동화된 AI 기반 클라이언트 프로파일링도 옵션으로 제공한다.
ID 및 인증 기능은 802.1x 또는 기타 기술을 통해 사용자 또는 디바이스의 ID 인증이 완료되고 나면 IT 부서는 적합한 역할 및 액세스 권한을 정의할 수 있으며, 이러한 권한은 자동으로 적용된다. 사용자 또는 디바이스의 네트워크 상태 또는 위치와 관계없이 해당 ID에 액세스 권한이 부여된다.
역할이란 사용자 또는 클라이언트의 ID가 확인된 후에 할당되는 권한으로 구성된 논리적 그룹을 말한다. 권한에는 액세스 가능한 애플리케이션들의 목록, 접근 가능한 서비스 및 기타 클라이언트, 심지어 특정 사용자가 네트워크에 접속할 수 있는 주당 일수까지도 포함될 수 있다. 역할과 실행은 제로 트러스트와 SASE에 대한 조직의 전반적 관점과 GDPR과 같은 컴플라이언스 요구사항에 의해 결정된다.
역할이 정의되고 나면 실행은 네트워크 인프라에 의해 액세스 권한을 이용한 트래픽의 적합한 라우팅 및 세분화를 통해 진행된다. 다이내믹 세그멘테이션은 개별적으로 또는 함께 사용 가능한 여러 가지 실행 모델을 선택할 수 있다
글로벌 스케일의 제로 트러스트 및 SASE 보안 간소화
조직들이 자사 네트워크에 대한 강력한 보안을 모색함에 따라 IoT, BYOD 클라이언트 및 사용자 트래픽에 대한 세그먼트화의 중요성이 더욱 커지고 있다. 아루바의 혁신적인 다이내믹 세그멘테이션 솔루션은 에지 투 클라우드를 위한 통합 정책 및 실행 기능을 동적으로 적용해 IT 부서가 자사 환경의 보안을 강화하기 위한 이상적인 모델을 선택할 수 있도록 지원한다. 다이내믹 세그멘테이션이 실행하는 세분화된 역할 기반 액세스 권한을 통해 공격이 탐지되었을 때 엔드포인트 클라이언트를 자동으로 차단 또는 격리해 침해된 사용자와 클라이언트가 공격에 이용되는 것을 손쉽게 막을 수 있다.
또한 클라우드 또는 온프레미스로 사용 가능한 중앙화된 모델과 분산된 모델 중에서 선택할 수 있어 전체 네트워크 토폴로지에 걸쳐 적합한 액세스 및 보안 정책이 자동으로 업데이트되고 지속적인 실행을 보장한다. 아루바 다이내믹 세그멘테이션은 네트워크의 규모 및 복잡성과 관계없이 글로벌 스케일의 제로 트러스트 및 SASE 보안을 간소화하는 독보적 솔루션이다.
[알림] 전자신문인터넷과 GTT KOREA는 오는 11월 17일 목요일 오전 10시 부터 오후 5시까지 “SECaaS Summit Online 2022”을 개최한다. 무료로 진행되는 이 행사에서는 클라우드 보안의 글로벌 리더들이 클라우드 환경에서 기업과 고객의 보안을 강화해 안전하고 안정적인 비즈니스 환경을 제공하는 서비스형 보안 SECaaS 트렌드와 기업에 맞는 SECaaS 최적 활용 전략을 제시한다.
전자신문인터넷 유은정 기자 (judy6956@etnews.com)