2023년의 네트워크 구역화: AI와 자동화가 상황을 변화시키는 방법

클라우스 할러 | 2023년 6월 7일

네트워크 구역화는 기업의 공격 표면을 줄이고 측면 이동을 방해하는 기본적인 예방 보안 제어입니다. 이는 공격자가 인터넷에서 모든 가상 머신(VM)에 직접 접근할 수 없기 때문에 공격자의 삶을 더욱 어렵게 만듭니다. 그리고 회사 네트워크에 들어가더라도 방화벽과 영역이 내부 네트워크 연결과 트래픽을 제한하는 경우 한 VM에서 다음 VM으로 빠르게 이동할 수 없습니다. 그러나 AI 및 IT 자동화의 증가는 하나의 근본적인 구역화 원칙인 단계에 도전합니다. 생산, 사전 생산 및 통합, 테스트 및 개발 영역 간의 차별화가 여전히 적절합니까? 2020년대에는 어떤 변화가 일어날까요?

개발 영역, 테스트 영역, 사전 프로덕션 영역, 프로덕션 영역 등 애자일 엔지니어링 방법론이 오래된 폭포 모델을 대체했지만 단계는 살아 남았습니다(그림 1). 일부 IT 부서에는 3개(또는 2개) 단계가 있고 일부는 통합 테스트 또는 단위 테스트 단계에 대해 설명합니다. 목표는 동일합니다.

관련 항목: AI의 가장 큰 문제는? 거짓말하는 챗봇

ISO 27001 인증을 받은 조직은 ISO 준수를 위해 개발, 테스트 및 생산 시스템을 분리해야 합니다(ISO 27001:2022 Annex A 8.31).

그림 1: 정교하고 전통적인 네트워크 구역화 개념

관련: 워싱턴이 AI에 대해 놓치고 있는 것에 대한 Biden의 전 기술 고문

실제로 대규모 네트워크 설계에서는 내부 영역과 외부(즉, 인터넷 연결 가능) 영역을 구분하고 인터넷과 외부 영역 사이에 웹 애플리케이션 방화벽과 애플리케이션 인터페이스(API) 관리 솔루션을 배치합니다. 국가 또는 사업 단위는 기타 광범위한 구역 지정 차원입니다. 비프로덕션 단계에서도 동일하거나 더 단순한 구역화 개념이 적용될 수 있습니다.

그것이 전통적인 설정이었습니다. 지난 몇 년간 AI와 IT 자동화가 주목을 받으며 변화를 가져왔습니다.

고가용성과 빠른 코딩-배포 주기 모두 데이터 센터의 자동화가 필요합니다. 또한 자동화를 통해 관리자는 훨씬 더 효율적이게 됩니다. 소프트웨어 설치 및 설정은 관리자가 20개의 플로피 디스크를 조작하던 과거 몇 년 동안 정규 작업을 수행했던 것과 비교하여 오늘날 원클릭 작업입니다. 오늘날의 모니터링 서버에는 자동 경보 기능이 있습니다. 수동 개입이 필요한 경우 관리자에게 사전에 알립니다. 또한 CI/CD 파이프라인이 표준입니다. 그러나 이러한 효율성 향상을 위해서는 네트워크 구역화 개념을 수정해야 합니다(그림 2).

모니터링 및 배포 구성 요소와 CI/CD 파이프라인이 네트워크 영역 지정에 미치는 영향

모니터링 솔루션은 VM 및 네트워크 구성 요소의 가용성을 확인하고 잠재적으로 보안 사고를 암시하는 이벤트를 찾습니다. 영국에는 전체 데이터 센터에 대한 하나의 모니터링 솔루션이 있지만 생산 영역에 대한 모니터링 솔루션은 없습니다. 스페인에는 개발용이 있고, 인도에는 테스트용이 있습니다. 모니터링 애플리케이션은 교차 단계 액세스가 필요함을 의미합니다. 모니터링 구성 요소를 생산 영역 내의 전용 영역에 배치하거나 완전히 별도로 배치할 수 있습니다. 분명히 이러한 애플리케이션을 구역별로 분리하면 운영상의 실수가 발생할 가능성이 줄어듭니다. 또한 모든 방화벽을 그냥 여는 것이 아니라 선택적으로 방화벽을 열어야 합니다.

모니터링 솔루션이 한 예입니다. 다른 솔루션(예: 패치 관리 또는 취약점 검색)도 동일한 범주에 속합니다. 그러나 그러한 솔루션에 대한 교차 단계 액세스를 우회하는 것이 가능할 수도 있지만(항상 합리적이지는 않음) CI/CD 파이프라인은 정의상 교차 단계입니다. 먼저 로컬 랩톱에 코드를 배포한 다음 테스트 서버, 통합 환경, 마지막으로 프로덕션에 배포합니다. 따라서 CI/CD 파이프라인의 순수한 특성에는 교차 단계 액세스가 필요합니다. 다시 말하지만, 하나의 도구가 모든 단계에서 VM을 배포하고 변경해야 하는 경우 영역 사이의 방화벽을 완전히 철거해서는 안 되며 이 도구를 위해 선택적으로만 열어야 합니다.