핵심 이름: 네트워크 보호
패턴 이름: 네트워크 격리
컨텍스트 및 문제
최신 위협 행위자가 약한 네트워크 경계를 악용하여 횡적으로 이동하고 권한을 에스컬레이션합니다. 일반적인 공격 경로에는 도난당한 자격 증명, 프로토콜 남용 및 토큰 재생이 포함됩니다. 내부로 들어가면 악의적 사용자가 중요한 워크로드에 액세스하기 위해 부실한 세분화, 지나치게 허용되는 권한 또는 공유 인프라를 악용하는 경우가 많습니다.
기존 플랫 네트워크를 사용하면 최소 권한 액세스를 적용하기 어렵고 리소스에 광범위하게 연결할 수 있는 경우가 많습니다. 명확한 격리가 없으면 내부 및 외부 위협 모두 여러 시스템을 신속하게 손상시킬 수 있습니다. 네트워크 세분화를 표준화하고 경계를 적용하며, 횡적 이동을 방지하고 침입을 차단하도록 트래픽 흐름을 엄격하게 제어하는 것이 과제입니다.
해결 방법
네트워크 격리는 네트워크를 세그먼트로 분할 및 격리하고 네트워크에 대한 네트워크 액세스를 제어하여 네트워크를 보호합니다. ID 인식 네트워크 보안 솔루션과 가시성, 모니터링 및 검색 기능의 향상된 기능을 결합합니다. 핵심 사례는 다음과 같습니다.
네트워크 분할 및 소프트웨어 정의 경계: 네트워크 분할 및 동적 위험 기반 액세스를 사용하여 위반을 가정하고 횡적 이동을 제한합니다. 범위가 지정된 액세스를 사용하여 최소 권한을 적용하고 ID 기반 액세스 제어를 사용하여 명시적으로 확인합니다.
SASE 및 ZTNA: SASE(Secure Access Service Edge) 및 ZTNA(제로 트러스트 네트워크 액세스) 아키텍처를 사용하여 보안 및 네트워킹을 통합합니다. 컨텍스트, ID 및 조건부 액세스 제어에 따라 액세스 권한을 부여하고 제한하여 제로 트러스트 원칙을 맞춥니다.
암호화 및 통신: 전송 중인 데이터를 보호하고 강력한 최신 암호화 및 통신으로 데이터 변조 위험을 제한하고 약한 프로토콜을 차단하여 위반을 가정합니다.
가시성 및 위협 감지: 네트워크 활동의 지속적인 가시성 및 모니터링 및 로깅을 사용하여 위반을 가정 합니다. 최소 권한을 적용하고 액세스 제어 및 위협 검색을 사용하여 명시적으로 확인하여 변칙을 찾아서 표시합니다. 대규모 네트워킹 리소스 및 컨트롤의 배포, 관리 및 할당을 자동화하여 제로 트러스트를 적용합니다. 자동화가 없으면 지연, 불일치 및 간격이 빠르게 발생할 수 있습니다.
정책 기반 컨트롤: 세분화된 적응 ID 중심 조건부 액세스 정책 컨트롤을 사용하여 명시적으로 확인하고최소 권한을 적용합니다. 침해 가정 전략을 사용하여 기본적으로 거부 방침을 채택하고, 지속적으로 위험을 재평가합니다.
클라우드 및 하이브리드 네트워크 보안: 클라우드 워크로드를 보호된 마이크로 경계로 격리하고 SaaS 및 PaaS 앱용 ID 인식 프록시 및 CASB(Cloud Security Access Broker) 솔루션을 사용하여 다중 클라우드 및 하이브리드 환경에서 위반을 가정 하고 명시적으로 확인 합니다. 클라우드 및 온-프레미스의 통합 보안 정책, 보안 하이브리드 연결 메커니즘, 클라우드/하이브리드 보안 상태 개선 및 중앙 집중식 보안 모니터링을 통해 제로 트러스트 원칙을 적용합니다.
안내
조직은 다음과 같은 실행 가능한 사례를 사용하여 유사한 패턴을 채택할 수 있습니다.
| 사용 사례 | 권장 작업 | Resource |
|---|---|---|
| 마이크로 구분 |
|
Azure 네트워크 보안 그룹 개요 |
| 가상 네트워크 격리 |
|
가상 네트워크(VNet) 격리 - Azure 가상 네트워크 |
| PaaS 리소스에 대한 경계 보호 |
|
네트워크 보안 경계란? |
| 가상 머신에 대한 보안 연결 |
|
Azure Bastion 정보 |
| 아웃바운드 가상 액세스 제한 |
|
Azure의 기본 아웃바운드 액세스 - Azure Virtual Network |
| 계층화된 경계 방어 |
|
Azure DDoS Protection 개요 |
| 중앙 집중식 정책 관리 |
|
Azure Virtual Network Manager의 보안 관리자 규칙 |
결과
혜택
- 복원력: 침입의 폭발 반경을 제한합니다.
- 확장성: 표준화된 네트워크 격리는 엔터프라이즈 규모 환경을 지원합니다.
- 가시성: 서비스 태그 지정 및 모니터링은 트래픽 흐름의 보다 명확한 특성을 제공합니다.
- 규정 조정: 중요한 리소스를 엄격하게 분리해야 하는 프레임워크 준수를 지원합니다.
Trade-offs
- 운영 오버헤드: 분할된 네트워크를 디자인하고 유지 관리하려면 계획 및 지속적인 업데이트가 필요합니다.
- 복잡성: 더 많은 세분화는 추가 관리 계층을 도입하고 크기를 조정하기 위해 자동화가 필요할 수 있습니다.
- 성능 고려 사항: 일부 격리 측정값은 대기 시간을 약간 증가시킬 수 있습니다.
주요 성공 요인
성공을 추적하려면 다음을 측정합니다.
- 직접 인터넷에 노출되지 않고 격리된 가상 네트워크에 배포된 워크로드 수입니다.
- 중앙 집중식 보안 관리자 규칙에 의해 제어되는 서비스의 비율입니다.
- 레드 팀 테스트 중에 식별된 횡적 이동 경로 수의 감소입니다.
- 환경 전체에서 최소 권한 정책을 준수합니다.
- 비정상적인 네트워크 활동을 검색하고 수정하는 시간입니다.
요약
네트워크 격리는 횡적 이동을 방지하고 중요한 워크로드를 보호하기 위한 기본 전략입니다. 조직은 리소스를 분할하고, 경계를 적용하고, 계층화된 방어를 적용함으로써 공격 표면을 줄이고 최신 악의적 사용자에 대한 복원력을 구축합니다.
네트워크 격리는 더 이상 선택 사항이 아닙니다--- 클라우드 및 하이브리드 환경을 보호하는 데 필요한 제어입니다. 네트워크 격리 목표는 횡적 이동을 줄이고, 제로 트러스트에 부합하며, 엔터프라이즈 규모 환경을 보호하기 위한 명확한 프레임워크를 제공합니다.
또한 모든 네트워크, ID 및 디바이스 활동을 지속적으로 모니터링해야 합니다. XDR(확장 검색 및 대응) 솔루션 및 SIEM 도구를 사용하여 로깅을 중앙 집중화하고 보안 경고를 상호 연결하여 변칙 및 위협을 효과적으로 검색합니다. 행동 분석, 심층 패킷 검사 및 자동화된 위협 대응과의 조합을 통해 의심스러운 활동을 신속하게 차단하고, 효율적인 인시던트 대응을 지원합니다.
현재 네트워크 토폴로지 평가 및 세분화 및 경계 컨트롤을 구현하여 네트워크 격리 목표에 맞춥니다.