사이버 보안은 역사적으로 끝이 없는 경쟁이었지만 기업이 네트워크 분할 기술에 계속 투자하면서 개발 속도가 빨라지고 있다. 디지털에 굶주린 기업은 위협에 맞서 디지털 기반 제품 및 서비스 사용에 대한 이해관계자의 신뢰를 구축, 성장 및 유지해 경쟁 우위를 확보하기 위해 네트워크 분할 및 해당 통계에 대해 배울 수 있다.

따라서 보안 경영진은 네트워크 분할의 작동 원리, 기능, 이점 및 사용 사례를 이해하여 운영 및 웹 기반 리소스를 보호할 수 있다.

AI멀티플이 2024년 네트워크 환경을 최적화하는 네트워트 분할의 이점과 전략을 제시한다.

네트워크 분할이란

네트워크 분할은 측면 네트워크 이동을 최소화하여 사이버 공격자의 활동을 제한하기 위해 기본 네트워크를 여러 개의 작은 하위 네트워크로 나누는 심층 방어 보안 메커니즘이다.

각 하위 네트워크 또는 "영역"은 액세스 포인트, 사용자 이름 및 비밀번호, 방화벽 보호를 통해 추가 보안 계층(예: 마이크로 분할, 역할 기반 액세스 제어(RBAC), 제로 트러스트 네트워크 액세스(ZTNA) )을 나타낸다.

여러 지점을 운영하는 주요 소매업체를 생각해 보라. 소매업체의 보안 프로토콜에 따라 지점 직원은 회계 데이터 시스템에 접근하는 것이 허용되지 않는다. 모든 지점 데이터가 회계 시스템에 액세스하는 것을 금지해 네트워크 분할을 통해 보안 표준을 구현할 수 있다.

물리적 네트워크와 논리적 네트워크

네트워크 분할은 물리적 네트워크 분할과 논리적 네트워크 분할 2가지가 있다.

물리적 네트워크는 가시적인 인프라인 반면, 논리적 네트워크는 물리적 네트워크 내부에서 데이터가 흐르는 방식을 결정하는 추상적이고 기능적인 프레임워크이다.

물리적 네트워크는 전선, 라우터, 엔드포인트, 허브, 스위치 및 기타 물리적 구조와 같이 장치를 연결하는 실제 하드웨어 구성 요소를 나타낸다.

논리 네트워크는 장치 간에 데이터가 전송되는 방식 과 프로토콜 및 주소 지정 체계를 사용하여 구성 및 제어되는 방식에 적용된다.

네트워크 분할 구현을 고려해야 하는 이유

네트워크 분할은 외부인(예: 고객, 공급업체, 악의적인 공격자 또는 승인되지 않은 사용자)을 방지하고 제3자 여부에 관계없이 고정 IP 주소가 개인 데이터나 기업 회계 파일과 같은 민감한 데이터에 액세스하지 못하도록 보호하기 위한 효과적인 도구이다.

네트워크 분할을 구현하는 이유는 ▲대규모 네트워크는 더 작고 관리하기 쉬운 부분으로 나뉜다 ▲보안 운영자는 각 서브넷에 대해 특정 규칙을 만들 수 있다 ▲운영자는 서브넷 전체의 트래픽 흐름을 규제, 관리 및 제한할 수 있다. ▲네트워크의 일부 부분에서는 사용자 트래픽이 감소하여 네트워크 성능이 향상될 수 있다. ▲사기 또는 네트워크 위협(예: 랜섬웨어)을 단일 세그먼트로 제한하여 유해한 공격이 이동할 수 있는 거리를 최소화하는 측면에서 보안을 향상시키기 위해서다.

한다.

네트워크 분할의 작동

네트워크 분할은 네트워크를 여러 부분으로 분리하며 각 부분은 다르게 제어될 수 있다. 이 기술은 물리적 분할 또는 논리적 분할이라는 두 가지 접근 방식 중 하나를 채택하여 수행되는 경우가 많다.

① 물리적 분할

물리적 분할은 대규모 컴퓨터 네트워크를 더 작은 서브넷으로 나누는 프로세스이다. 예를 들어 물리적 또는 가상 방화벽은 서브넷 게이트웨이 로 작동하여 네트워크에 들어오고 나가는 트래픽을 규제할 수 있다.

레이아웃이 설계에서 설정되므로 물리적 분할은 관리가 간단하지만 회사가 온프레미스에서 실제 하드웨어를 구매, 배포 및 관리해야 하므로 경제적으로 비용이 많이 들고 유연성이 떨어지며 확장성이 떨어진다.

물리적 분할에는 더 많은 유연성과 확장성이 필요하므로 다양한 유형의 보안 프로토콜이 줄어들 수 있다. 예를 들어, 회사에서 PCI DSS 규정 준수를 위해 네트워크 설정을 업데이트하려는 경우 필요한 리소스, 장비 및 전문 인력이 확보될 때까지 기다려야 할 수 있다.

② 논리적 분할

논리적 분할은 소프트웨어를 사용하여 서브넷을 통해 네트워크를 더 작은 섹션으로 나누는 프로세스이다. 논리적 분할은 VLAN(가상 근거리 통신망) 또는 네트워크 주소 지정 체계라는 두 가지 주요 방법을 사용하여 서브넷을 생성한다. VLAN은 네트워크 데이터를 다양한 대상으로 라우팅하기 위해 추가 라우터나 인터넷 연결 없이 하나의 물리적 네트워크의 트래픽을 여러 네트워크로 나눈다.

네트워크 주소 지정 체계는 여러 계층 간에 네트워크 리소스를 나누어 계층 3 네트워크 전반에 걸쳐 네트워크 세그먼트를 생성한다(데이터가 수신 장치에 전달, 라우팅 및 주소 지정되는 방식 결정).

논리적 분할은 물리적 분할보다 적응성이 훨씬 뛰어납니다. VLAN과 네트워크 주소 지정 체계 분할 방법은 모두 사용자가 새 장비를 구입하지 않고도 실시간 보안 구성을 설정하거나 네트워크를 재설계할 수 있으므로 비용이 저렴하고 유연성이 높다.

예를 들어, VLAN 및 네트워크 주소 지정 체계 태그는 트래픽을 적절한 서브넷으로 자동 라우팅하며 VLAN 기반 시스템은 설치가 비교적 간단한다.

네트워크 분할 사용 사례의 예:

예를 들어, 회사는 PCI-DSS 위원회의 기준 준수를 보장하기 위해 방화벽 정책을 설정하여 PCI(주변 장치 구성 요소 상호 연결, 컴퓨터의 하드웨어 장치를 연결하는 데 사용되는 로컬 컴퓨터 네트워크) 영역을 네트워크에서 격리할 수 있다.

그런 다음 네트워크 관리자는 PCI 연결을 "PCI 웹, PCI 앱 및 PCI 데이터 영역"으로 더 나누어 어떤 영역이 다른 영역에 연결할 수 있는지, 어떻게 연결할 수 있는지 지정할 수 있다(이 경우 회사의 네트워크만 PCI 영역에 연결할 수 있으며, 공용 네트워크가 아님).

그림: 방화벽을 사용한 네트워크 분할

방화벽을 사용한 네트워크 분할

① 기존 네트워크 분할(VLAN, ACL 및 방화벽)

기존 네트워크는 방화벽, 가상 근거리 통신망 VLAN, 액세스 제어 목록(ACL)을 통해 서비스 트래픽을 분류한다. 

VLAN은 서브넷을 사용하여 서비스를 분리하도록 설정되지만 동일한 서브넷 내의 서버를 격리할 수는 없다.

ACL을 사용하여 서버를 격리할 수 있다. 반면에 데이터 센터 네트워크에는 많은 수의 서버가 있다. 호스트 서비스가 분할되면 상당한 수의 ACL 규칙을 설정해야 하므로 설정 및 관리가 복잡해진다. 또한 네트워크 장치는 ACL 기능이 제한되어 있어 많은 ACL 제약 조건을 설치하기 위한 기준을 충족할 수 없다.

방화벽은 내부 격리를 위해 DC를 타사 네트워크에 연결하는 데에만 사용되며 DC의 각 네트워크 노드에 방화벽을 설치할 수 있다. 여기에는 상당한 구성 및 서비스 운영과 함께 상당한 양의 하드웨어 및 기술 투자가 수반되는 많은 수의 방화벽이 수반된다.

② 마이크로 분할 : 마이크로 분할은 전체 네트워크가 아닌 특정 워크로드 또는 애플리케이션에 대한 보안 액세스 제어를 구현한다.

이는 보다 분할된 분할을 제공해 다른 기존 네트워크 분할 방법과 차별화된다. 마이크로 분할 도구를 사용하면 관리자는 IP 주소, IP 네트워크 세그먼트, MAC 주소 및 VM 이름 분할을 기반으로 분할을 조정할 수 있다. MAC는 네트워크 내 통신에서 네트워크 주소 역할을 하는 네트워크 인터페이스 컨트롤러에 발급되는 고유 식별자이다.

네트워크 분할의 이점

① 높아지는 사이버 위험

분할은 별개의 하위 세그먼트 간의 장벽을 정의하여 이동성 제한이 있는 공격을 무력화할 수 있다. 이러한 분할된 접근 방식은 해커가 네트워크에 침입한 후 측면으로 이동하는 것을 방지하여 보안을 강화한다.

자동화된 보안 위험 평가는 자동화된 기술을 사용하여 위험 평가를 위한 데이터 수집 프로세스를 자동화하므로 이 프로세스에는 알고리듬, 기계 학습, 자동화 기술이 사용된다.

② 네트워크 가시성 향상

네트워크 분할은 트래픽이 불필요한 라우터를 통과하지 않고 더 짧은 거리를 이동할 수 있는 서브넷(네트워크 내부의 네트워크)을 생성한다. 이렇게 하면 도달 범위가 제한되어 있기 때문에 대규모 네트워크에 비해 취약성을 모니터링 하고 사이버 공격을 탐지하는 것이 훨씬 더 쉬워진다.

③ 물리적 장치 보호

분할은 평면 네트워크를 생성하여 스스로 방어할 수 없는 장치에 액세스하는 위험한 트래픽을 방지할 수 있다. 예를 들어, 시설의 네트워크 제어 시스템은 강력한 보안 조치로 구축되지 않을 수 있다. 네트워크 분할은 잠재적으로 위험한 인터넷 트래픽이 네트워크에 액세스하는 것을 방지할 수 있다.

평면 네트워크는 여러 스위치가 아닌 단일 스위치에 장치를 연결하여 네트워크의 스위치 및 라우터 수를 줄이기 위한 것이다.

④ 사이버 공격 피해 제한

분할은 공격 배포를 제한하여 사이버 보안에 도움이 된다. 예를 들어, 분할은 악성 코드가 한 부분에서 확산되어 다른 부분의 장치를 오염시키는 것을 방지한다.

⑤ IT 거버넌스 구축

네트워크 분할은 보안 정책을 유용한 기준으로 변환하여 현재 규정 준수 실패에 대한 투명성을 제공하고 규정 준수를 위반하는 데이터에 대한 요청을 적극적으로 감지할 수 있도록 한다.

⑥ 규정 준수 개발

네트워크 분할을 통해 보안 정책을 모델링하여 규정 준수를 달성할 수 있다. 승인된 서비스를 통해 허용된 액세스 기준을 설정해 기업은 기존 침해를 식별하고 정리하는 동시에 새로운 침해의 진입을 방지할 수 있다.

네트워크 분할 전략

사이버 보안을 위한 최적의 네트워크 분할 전략은 아래와 같다.

① 제3자 액세스 제한

IT 사용자의 74%는 제3자에게 너무 많은 특권 액세스를 제공해 데이터 침해가 발생한다고 말한다. 

회사는 제3자 위험을 제한하고 통제할 수 있다. 모든 타사 공급업체가 전체 용량으로 계속 작동하기 위해 기업 서버에 대한 완전한 액세스를 요구하는 것은 아니다. 데이터 유출 가능성의 영향을 완화하기 위해 기업은 계약자에게 업무 수행에 필요한 최소한의 액세스 권한만 부여해야 한다. 각 사용자에 대한 특정 보안 조치를 갖춘 고유한 게이트웨이를 만드는 것은 데이터 유출을 최소화하기 위해 제3자 액세스를 격리하는 한 가지 방법이다.

② 과도하거나 불충분한 분할을 피한다

네트워크 분할을 구현할 때 발생하는 일반적인 오류는 과도한 네트워크로 분할하거나 과소 분할하는 것이다. 네트워크 활동량이 많은 대규모 기업에서는 최대한 많은 보안을 분할해 보안이 극대화된다고 가정할 수 있다. 그러나 다양한 네트워크를 통제 및 관리하기에 충분한 리소스를 확보하는 것과 디지털 작업자 효율성에 영향을 미치는 것 사이에서 균형을 이루는 것이 중요하다.

과도하게 분할하면 직원들이 데이터 액세스 권한을 얻기 위해 많은 액세스 포인트를 탐색하게 되어 워크플로에 병목 현상이 발생할 수 있다.

각 시스템 간의 격리가 부적절할 경우 네트워크를 과소 분할하면 운영이 비효율적으로 진행될 수도 있다. 두 개 또는 세 개의 세그먼트로 분할된 단일 네트워크는 적절한 네트워크 분할에 필요한 보안 수준을 제공하지 않다.

③ 실시간으로 네트워크 모니터링 및 감사

네트워크의 격차나 약점을 제거하려면 모든 분할 작업에 네트워크 트래픽과 활동에 대한 지속적인 모니터링과 감사가 포함되어야 한다.

지속적인 네트워크 모니터링을 통해 기업은 네트워크에 대한 철저한 시각과 가능한 취약점 에 대한 정보를 얻을 수 있다.

정기적인 네트워크 감사를 통해 기업은 현재 보안 관행의 성공 여부를 평가할 수 있다. 네트워크 감사를 통해 기업은 네트워크의 보안 위반을 감지하여 네트워크 관리 팀이 시정 조치를 취할 수 있다. 감사자는 네트워크 감사 중에 다음과 같은 중요한 매개변수를 검사하는 경우가 많다.

④ 자원 속성 분류

회사는 네트워크 분할 제약 조건을 설정하기 전에 자원을 평가하고 가치를 부여할 수 있다. 각 리소스(애플리케이션, IoT(사물 인터넷) 장치, 데이터베이스)는 관련성, 데이터 민감도 및 우선 순위에 따라 분류되어야 한다.

⑤ 동일하거나 유사한 리소스 결합

속성과 가치에 따라 리소스를 분류한 후 기업은 비교 가능한 네트워크 리소스를 그룹화할 수 있다. 보안이 낮은 항목은 보안이 높은 다른 자산과 동일한 네트워크에 배치되어야 한다.

이 접근 방식을 사용하면 각 네트워크에 대한 보안 프로토콜을 보다 쉽게 ​​설계 및 유지 관리하고 어떤 네트워크의 우선 순위를 다른 네트워크보다 우선시하여 네트워크 감시 및 필터링을 간소화할 수 있다.

⑥ 엔드포인트 보안 실행

엔드포인트 장치는 방치되는 경우가 많고 보안이 충분하지 않기 때문에 사이버 공격의 표적이 되는 경우가 많다. 단 한 명의 공격자만이 전체 메인 네트워크에 접근할 수 있다.

엔드 포인트 탐지 및 대응(EDR) 방법은 기업 이 IOA(공격 지표) 및 IOC(손상 지표)와 같은 사이버 위협 인텔리전스(CTI) 지표를 적극적으로 추적하여 추가 보안 계층을 추가하는 데 도움이 될 수 있다. 따라서 기업은 엔드포인트와 모든 워크로드에서 발생하는 작업과 활동을 기록하여 보안 담당자에게 감지되지 않을 수 있는 문제를 찾는 데 필요한 통찰력을 제공할 수 있다.

⑦ 최소 권한 원칙 준수

네트워크 분할이 이루어지면 각 네트워크는 제로 트러스트 패러다임 과 최소 권한 개념을 준수해야 한다. 이러한 관행에는 모든 계층에서 네트워크 액세스를 제한하는 것이 수반되며, 이는 네트워크 경계 내부의 모든 사용자로부터 인증을 수반한다.

다음 기술은 기업이 제로 트러스트 아키텍처를 구축하는 데 도움이 된다.

⑧ 사이버 보안 관행 자동화

네트워크 분할 전략을 수립하는 것은 특히 대규모 네트워크의 경우 부담스러운 작업이 될 수 있다. 이러한 모든 작업을 수동으로 수행하는 것은 불가능할 수 있다. 사이버 보안 자동화는 사이버 위협 이나 취약성을 감지하고, 워크로드를 간소화 하고, 네트워크 분할을 구현하는 동안 네트워크에 추가된 새로운 자산을 인식하는 데 유용한 도구이다.

보안 사용자는 자동화(예: 사이버 보안을 위한 RPA) 기능을 활용하여 데이터 강화 작업 자동화, 권한 있는 데이터 관리 자동화, 무단 액세스 제거 등의 작업을 수행 할 수 있다.

조직에 적합한 도구나 서비스를 선택하는 방법에 대한 지침은 당사의 데이터 기반 연구와 소프트웨어 정의 경계(SDP) 소프트웨어, 마이크로 분할 도구 및 제로 트러스트 네트워킹 소프트웨어 목록을 확인하라.