[제로 트러스트 정책 발견에 필요한 것]

[에 대한 근본적인 진실 마이크로 세그멘테이션 보호해야 할 트래픽에 대한 우리의 이해보다 더 세분화될 수는 없다는 것입니다.보이지 않는 것은 정말 구분할 수 없어요.]

[현재 대부분의 세그멘테이션 공급업체는 애플리케이션을 일종의 “버블”에 빠뜨려 격리 가능성을 보여주는 일종의 애플리케이션 맵을 제공합니다.대안 대비 크게 개선되었지만 (시각화 기능 없음), 실제로는 이 정도로는 견고한 제로 트러스트 정책을 작성하기에 충분하지 않습니다.필요하지만 충분하지 않습니다. 그 밖에 무엇이 필요할까요¿]

[에서 논의한 바와 같이 이 시리즈 소개, 제로 트러스트 마이크로 세그멘테이션의 성공 여부는 정책 관리 프로세스의 효율성에 따라 결정됩니다.세그멘테이션 규칙을 작성하는 것은 하나의 작업이 아니라 다양한 분석 및 의사 결정 단계입니다.따라서 세분화를 개선하려면 심층적인 이해가 필요하며 각 단계에 대한 올바른 가시성과 워크플로에 반영되어야 합니다. 단순한 단일 시각화가 모든 작업과 의사 결정 지점에 적용될 가능성은 없습니다.]

[정책 검색은 조직이 제로 트러스트 정책을 작성할 수 있을 만큼 애플리케이션과 해당 컨텍스트를 잘 이해하기 위해 거치는 일련의 작업입니다.여기에는 서비스, 호스트 및 애플리케이션 수준 정보뿐 아니라 다른 많은 정보도 포함됩니다.]

[전체 애플리케이션 컨텍스트]

[애플리케이션의 전체 컨텍스트는 내부 작업을 넘어섭니다.다른 애플리케이션과 통신할 수 있고, 20-30개의 공통 핵심 서비스에 연결될 수 있고, 기업 및 VPÑ 위치에서 오는 사용자가 있고, S~ááS 서비스 또는 기타 원격 주소 공간과 상호 작용할 수 있습니다.조직도 없이 이 모든 것을 지도에 그냥 버리는 것은 혼란의 원인이 되어 크롤링 진행 속도가 느려질 수 있습니다¡~]

[외부 연결을 ÍP 관리 시스템에 있을 수 있는 일반 명명된 주소 범위로 요약하는 것이 중요합니다.이러한 방식으로 사용자 서브넷, DM~Z 트래픽 등을 쉽게 찾아낼 수 있습니다. 특히 마이크로 세그멘테이션 배포 초기에는 “보호된” 시스템보다 “보호되지 않는” 시스템이 더 많습니다.이러한 시스템은 어떻게 표시, 구성 및 분류됩니까¿이러한 시스템이 정책 모델의 객체이고 맵에 그대로 표시되면 복잡성과 규칙 작성이 단순화됩니다.마지막으로, 대부분의 애플리케이션은 사용자를 위해 존재합니다.사용자 컨텍스트를 어떻게 이해하고, 표시하고, 조치를 취할 수 있을까요¿]

[궁극적으로 정책을 검색하려면 완전한 애플리케이션 컨텍스트가 필요하며, 이를 위해서는 외부 ÍP 주소 또는 호스트 이름을 100줄 이상 포함하는 단순한 애플리케이션 도면 이상의 작업이 필요합니다.]

[마이크로 워크플로와 매크로 워크플로우]

[데이터 센터 또는 클라우드 환경은 애플리케이션 외에도 고려해야 할 사항이 많은 복잡한 곳입니다.애플리케이션 종속성 맵은 애플리케이션을 이해하는 데 매우 중요하지만 더 큰 구조를 볼 수 있다면 어떨까요¿어떻게 알 수 있을까요¿ Dé~v와 Pró~d 간에 어떤 트래픽이 전달되고 있습니까¿¿전체 환경에서 포트 3306의 모든 데이터베이스 트래픽을 확인하여 누락된 것이 없는지 어떻게 확인할 수 있을까요¿~LDÁP~나 RDP와 같은 핵심 서비스의 “도달 범위”를 보고 현재 활동을 파악하는 것은 어떨까요¿~]

[100,000개 이상의 노드가 넘는 여러 환경을 보호하는 데 있어 Íllú~míó의 경험은 애플리케이션 컨텍스트 외에도 매크로 환경을 위한 시각화 및 탐색 도구를 갖춘 데 반영됩니다.또한 추상화된 레이블 기반 정책을 효과적으로 작성하려면 정책 모델이 제공하는 모든 추상화 수준에서 통신을 시각화하고 검사할 수 있어야 합니다.흥미롭게도 애플리케이션 뷰에 매우 유용한 애플리케이션 버블은 이러한 상황에서는 거의 쓸모가 없습니다.최상의 정책 검색 솔루션은 수집된 흐름 데이터의 데이터베이스 덤프뿐만 아니라 모든 추상화 수준에서 통신을 표시할 수 있는 명확한 방법을 제공합니다.]

[대량 또는 집계 정책 작성을 통해 대규모 트래픽을 신속하게 처리하는 데 필수적인 매크로 수준의 보기를 제공하는 마이크로 세분화 솔루션이 필요합니다.]

[다양한 이해관계자에 대한 다양한 견해]

[방화벽 팀만이 정책 검색 활동 중에 흐름과 정책을 검사하는 것은 아닙니다.세분화 경계가 애플리케이션 서버 또는 컨테이너 호스트로 이동함에 따라 운영 및 애플리케이션 팀은 필요한 모든 서비스가 적절하게 프로비저닝되었는지 확인하는 데 많은 관심을 기울일 것입니다.이러한 동료들은 정책을 신속하게 검사하고 기능을 검증해야 하는 필요에 맞게 특별히 설계된 뷰를 통해 질문에 가장 잘 답할 수 있습니다.정책 개발 세부 정보 중 상당수는 필요하지 않으며, 실제로 애플리케이션 및 운영 팀의 핵심 관심사를 분산시킵니다.]

[애플리케이션 및 운영 팀을 위해 신중하게 시각화와 워크플로를 구성한 마이크로 세분화 제품을 찾으십시오. 이들은 정책 워크플로의 일부이므로 요구 사항을 지원하는 도구가 있어야 합니다.Áñ RB~ÁC 물론 필터링된 뷰는 필수적이지만 더 많은 것을 기대하세요 — gé~t 애플리케이션 소유자별 시각화 정책 검색 프로세스를 가속화합니다.]

[요약하면]

[필요한 사항을 이해하는 것보다 더 빠르게 정책을 작성할 수 있는 사람은 없습니다¡정책 발견은 모든 정책 관리 워크플로우의 첫 번째 부분입니다.최신 애플리케이션 또는 컨테이너화된 마이크로서비스 컬렉션의 정책 요구에는 단순한 애플리케이션 버블을 훨씬 뛰어넘는 완전한 애플리케이션 컨텍스트가 필요합니다.ÍP 범위, 비관리형 시스템, 핵심 서비스 등을 표현하는 것은 모두 애플리케이션 서비스를 컨텍스트에서 이해하는 데 필수적입니다.]

[좋은 정책 모델은 커뮤니케이션을 여러 수준 또는 “레이블”로 추상화하는 기능을 제공하므로 이러한 상위 정책 목표를 지원하는 시각화를 갖추는 것도 중요합니다.결국 대량 정책은 신속한 정책이므로 적절한 기능을 갖추면 정책 개발을 크게 가속화할 수 있습니다.]

[마지막으로 마이크로 세분화에는 여러 조직이 포함됩니다.정책 발견은 팀 스포츠입니다. 각 팀이 최대한 효율적으로 업무를 수행할 수 있도록 모든 구성원이 맞춤형 검색 관점을 갖도록 하세요.]

[빠르고 효율적인 정책 검색은 빠르고 효율적인 정책 작성으로 이어집니다.다음 주에는 정책 작성을 가속화하기 위해 무엇이 필요한지 논의할 예정입니다.]