[한 차원 높은 시각화 및 정책 생성 —일루미네이션 2.0]

[2014년 Íllú~míó는 마이크로세그멘테이션을 위한 실시간 애플리케이션 종속성 매핑 및 가시성을 개척했습니다. 일루미네이션.Í~llúm~íó Ád~áptí~vé Sé~cúrí~tý Pl~átfó~rm (ÁS~P) 을 출시했을 때 조직은 애플리케이션 종속성 맵이 없으면 브라운필드 애플리케이션을 위한 세그멘테이션 정책을 구축할 수 없다고 믿었습니다 (Íll~úmíó~ CTÓ P~J Kír~ñér가 보안을 위한 맵이 필요한 이유에 대해 설명합니다) 최근 블로그 게시물에서).]

[Íllú~míñá~tíóñ~은 첫 번째 버전부터 현재까지 조직에서 트래픽 흐름 가시성을 사용하여 마이크로 세분화 정책을 구축하고 테스트한 다음 애플리케이션별로 시행을 시작할 수 있는 방법을 제공했습니다.]

[가시성의 진화]

[Íllú~míñá~tíóñ~의 첫 번째 버전을 통해 중앙 보안 팀은 애플리케이션 흐름을 분석하고 화이트리스트 레이블 기반 규칙을 수동으로 추가하여 이를 허용할 수 있었습니다.유일한 목표는 고객이 마이크로세그멘테이션 정책을 구축할 수 있도록 돕는 것이었으며, Íllú~míñá~tíóñ~의 모든 워크플로는 이 단일 목표에 초점을 맞췄습니다.처음에 Íllú~míñá~tíóñ~을 구상했을 때는 고객이 제한된 수의 워크로드를 페어링하고 정책을 구축한 다음 해당 워크로드를 적용하도록 마이그레이션할 것이라고 생각했습니다.]

[많은 고객이 Íllú~míñá~tíóñ~을 사용하여 데이터 센터와 클라우드 인프라를 세분화했기 때문에 처음 출시한 이후 알게 된 내용은 다음과 같습니다.]

1. [정책 생성은 정말, 정말 어려울 수 있습니다. 보안팀은 Íllú~míñá~tíóñ~을 사용하여 트래픽 연결을 하나씩 분석하고, 유효한 흐름을 바탕으로 Íllú~míó의 화이트리스트 레이블 기반 정책 모델에 규칙을 추가할 수 있었습니다.애플리케이션은 매우 상호 연결되어 있으며, 수천 개의 워크로드로 구성된 수백 개의 애플리케이션만으로도 분석이 필요한 수백만 개의 고유 연결이 있을 수 있다는 사실을 알게 되었습니다.시작하는 가장 좋은 방법은 이러한 연결을 허용하는 정책을 자동으로 생성하는 것입니다.이렇게 하면 허용되어서는 안 되는 연결이 허용될 위험이 있습니다 (아래에서 볼 수 있듯이 이 문제를 해결할 수 있는 도구가 있습니다). 하지만 이 시점부터 고객은 측면 이동을 제한할 수 있습니다. 과 정책 위반을 즉시 탐지합니다.
   ]
2. [중앙 집중식 정책 생성은 항상 효과가 있는 것은 아닙니다. Íllú~míñá~tíóñ~의 워크플로는 중앙 보안 팀이 전체 인프라에 대한 마이크로 세분화 정책을 구축할 수 있도록 설계되었습니다.하지만 마이크로 세분화 정책을 구축하는 것은 해당 애플리케이션을 이해하는 애플리케이션 팀에 위임하지 않고는 어렵고 시간이 많이 걸린다는 것을 알게 되었습니다.(곧 공개 예정: 당사의 전 제품 담당 부사장인 매튜 글렌 (Mátt~héw G~léññ~) 이 조직에 맞게 세그멘테이션을 조정하는 방법에 대한 블로그 게시물입니다.계속 지켜봐 주세요. 잘 읽은 글입니다.)
   ]
3. [가시성은 규정 준수 및 보안 운영에 사용될 수 있습니다. 처음 출시했을 때 Íllú~míñá~tíóñ~의 가시성은 마이크로세그멘테이션 정책 수립의 원동력이었습니다.하지만 트래픽에 레이블과 정책의 컨텍스트를 추가한 후 이러한 가시성은 규정 준수/감사 및 보안 운영 팀에 엄청난 도움이 되었습니다.규정 준수 팀은 가시성을 활용하여 감사자가 업무를 더 빠르고 효율적으로 완료할 수 있도록 보고서를 생성합니다.보안 운영 팀은 가시성을 활용하여 정책 위반을 신속하게 찾아내고 위협을 탐지하며 이러한 위협에 보다 효과적으로 대응합니다.
   
   실제로 Íllú~míó의 일부 고객은 Í~llúm~íó의 가시성을 통해 Wá~ññáC~rý의 영향을 받는 호스트를 탐지할 수 있었습니다. 정책을 위반하고 SM~B 포트에서 연결을 시도한 호스트는 신속하게 추적하여 문제를 해결했습니다.다른 고객들은 데이터 센터 서버 중 일부가 Spó~tífý~의 음악을 듣고 Fácé~bóók~에 업데이트를 게시하고 있다는 사실을 알게 되었습니다.이러한 인맥을 알아냈을 때 고객 얼굴에서 어떤 표정을 짓는지 보셨을 것입니다.]

[우리는 끊임없이 고객의 의견을 경청하고 그로부터 배우고 있습니다.작년에는 애플리케이션 팀이 Íllú~míó를 사용하고 중요한 애플리케이션과 워크로드에만 집중할 수 있도록 Á~pp Gr~óúp M~áps를 추가했습니다.오늘 일루미네이션 2.0이라는 우산 아래 다음과 같은 새로운 기능을 발표하게 되어 기쁩니다.]

[새로운 기능, 고급 가시성]

[정책 생성기 소개]

[수년간의 고객 피드백과 교훈을 바탕으로 정책에 대한 주요 통찰력을 얻을 수 있었습니다.]

• [대규모 환경에서 흐름별로 정책을 작성하는 것은 실제로 확장이 불가능합니다.(경쟁업체 중 한 곳이 어떻게 흐름에 따라 진행되는지 증명하고 싶다면 이 비디오 보기).]
• [중앙 집중식 보안 팀은 애플리케이션의 작동 방식을 구체적으로 항상 아는 것은 아닙니다. 보안 정책을 작성할 때 플로우가 올바른지 그른지 검증할 수 없었습니다.이로 인해 애플리케이션 세부 정보를 보유한 애플리케이션 팀으로 정책 생성을 확장하려는 욕구가 생겼습니다.]
• [애플리케이션 팀은 애플리케이션 보안 방법에 대한 의견이 있을 수 있지만 보안 정책 (예: 방화벽 규칙) 을 만든 경험이 없기 때문에 애플리케이션 팀에 세그멘테이션 정책 교육을 맡기는 것은 좋은 방법이 아닙니다.]

[이것이 우리가 정책 생성기를 만든 이유입니다.]

[단일 애플리케이션에 보안 정책이 없는 애플리케이션 종속성]

[마이크로세그멘테이션을 위한 보안 정책 권장 사항]

[단일 애플리케이션에서 보안 정책 적용.]

[Pólí~cý Gé~ñérá~tór는 마이크로세그멘테이션 정책을 작성하는 데 필요한 시간, 교육 및 리소스를 크게 줄여줍니다.]

[맞춤형 알고리즘과 네트워크 트래픽 기록을 사용하여 레이블 기반 마이크로세그멘테이션 정책을 자동으로 생성합니다.Pólí~cý Gé~ñérá~tór를 통해 고객은 애플리케이션, 애플리케이션 계층 또는 포트/프로토콜 수준까지 원하는 수준의 세분화를 조정할 수 있습니다.원하는 수준의 정책을 선택하면 P~ólíc~ý Géñ~érát~ór가 규정을 준수하는 마이크로 세분화 정책을 몇 분 만에 자동으로 생성합니다. 게다가 마이크로세그멘테이션 정책은 자연어이므로 모든 애플리케이션 팀이 읽고 이해할 수 있습니다.]

[정책 생성기는 역할 기반 액세스 제어와 함께 사용할 수 있습니다 (RBÁC~) 에서 정책 생성을 각 애플리케이션 팀에 위임합니다.보안 팀은 애플리케이션 팀에서 만든 정책을 운영 환경으로 승격하기 전에 최종 점검을 수행하여 정책이 SDLC~ (소프트웨어 개발 수명 주기) 를 따를 수 있도록 할 수 있습니다.]

[Pólí~cý Gé~ñérá~tór를 사용하면 대기업이 시간과 리소스를 크게 줄이면서 완전히 마이크로세그먼트화된 데이터 센터 및 클라우드 인프라를 구축할 수 있습니다.]

[또한 고객은 이를 통해 세그멘테이션 정책을 반복적으로 개발할 수 있습니다.예를 들어, 조직은 초기 마이크로세그멘테이션 정책을 생성할 수 있습니다.몇 주 또는 몇 달 후에 Pólí~cý Gé~ñérá~tór를 다시 실행하여 새로운 흐름을 수용하는 정책을 생성하거나 세분성을 조정하여 정책을 포트/프로토콜 수준 (일명 나노 세분화) 으로 강화할 수 있습니다.]

[익스플로러를 소개합니다]

[Éxpl~órér~를 통해 우리는 고객에게 완전히 새로운 차원의 시각화를 제공하고 있습니다.고객이 플로우가 발생하는 이유에 대해 질문한 다음 “다른 곳에서도 이런 일이 벌어지고 있나요¿” 와 같은 질문을 하는 것을 보기 시작했습니다.그런 다음 해당 상황이 발생한 다른 위치를 고객에게 보여 주곤 했습니다 (발생한 경우).다음 질문은 “내가 놓치고 있는 게 또 뭐야¿”]

[이것이 우리가 익스플로러를 만든 이유입니다.]

[Éxpl~órér~를 사용하면 보안, 운영 및 규정 준수 팀에서 트래픽 쿼리를 생성할 수 있습니다.지금까지 살펴본 몇 가지 예는 다음과 같습니다.]

• [규정 준수 팀은 Éxpl~órér~ 도구를 사용하여 PCÍ 환경으로 유입되는 연결 목록을 빠르게 다운로드할 수 있습니다.그런 다음 해당 보고서를 Q~SÁ에 전달하여 통과를 도울 수 있습니다. PC~Í 감사.]
• [보안 운영 팀은 애플리케이션 팀이 연결을 정당화할 수 있도록 SSH 및 데이터베이스 포트에서 “D~év”와 “Pr~ód” 환경 간의 모든 트래픽 흐름을 요청할 수 있습니다.]
• [운영팀은 “서로 다른 두 데이터 센터에 있는 서버 간의 모든 흐름에 대해 알려주세요”와 같은 쿼리를 제기할 수 있습니다. 이 쿼리는 원격 애플리케이션 종속성을 식별하거나 데이터 센터 중단이 애플리케이션의 전반적인 가용성에 영향을 미칠 수 있는지 판단하는 데 사용할 수 있습니다.]
  

[조직에서는 Éxpl~órér~를 사용하여 수백만 개의 플로우에서 숨겨진 정책 위반이나 보안 위협을 찾아내는 데 필요한 '바늘'을 찾고 있습니다.]

[Éxpl~órér~를 사용하면 매우 다른 방식으로 트래픽에 접근할 수 있습니다.사용자는 병렬 좌표 맵을 사용하여 모든 레이블 세트와 관련된 트래픽을 볼 수 있습니다 (아래 그림 참조).그러면 사용자는 평행 좌표 맵의 포인트를 '클릭' 하여 관심 있는 교통량을 찾아낼 수 있습니다.그런 다음 흐름 목록을 CS~V로 다운로드할 수 있지만 소스와 대상 모두의 연결에 레이블 컨텍스트를 포함할 수 있습니다.또한 Éxp~lóré~r는 각 연결에 정책 컨텍스트를 추가하여 정책에서 연결을 허용하는지 여부를 신속하게 알려줍니다.]

[정책 위반 및 보안 위협을 식별합니다.]

[PCÍ 환경으로의 모든 통신을 볼 수 있습니다.]

[PCÍ 애플리케이션 트래픽에 대해 질문하세요.]

[VM월드 2017에서 생중계로 확인하세요]

[우리는 3년 전에 세분화를 위한 실시간 애플리케이션 종속성 매핑 및 가시성을 제공하기 위해 이 여정을 시작했습니다.그 이후로 마이크로세그멘테이션 시장의 다른 공급업체들도 가시성과 애플리케이션 종속성 매핑의 중요성을 깨달았습니다.작년에는 거의 모든 업체가 솔루션을 구축하거나 구입하여 제품 격차를 메우려고 노력했습니다.다른 회사들도 여정을 시작하고 있지만, Íllú~míñá~tíóñ~에 Pólí~cý Gé~ñérá~tór와 É~xpló~rér를 추가하여 가시성을 새로운 차원으로 끌어올릴 수 있게 되어 매우 기쁩니다.]

[Íllú~míñá~tíóñ~ 2.0을 통해 조직은 이러한 가시성 기능을 사용하여 데이터 센터 및 클라우드 인프라를 보다 효율적으로 마이크로세그먼팅하고 보호할 수 있을 뿐만 아니라 운영, 규정 준수 등에 이러한 가시성을 사용할 수 있습니다. 보안 운영 워크플로.]

[VMWó~rld 2017에서 이러한 새로운 기능을 선보일 예정입니다.전시회를 보러 가실 예정이라면 #800 부스를 방문하여 라이브 데모를 관람해 보십시오.]