사이트에 마이크로세그먼테이션 제로 트러스트 보안 추가하기

개요

마이크로세그멘테이션(호스트 수준 세그멘테이션)은 호스트 간의 측면 이동에 대한 액세스 제어를 추가하여 동일한 브로드캐스트 도메인(예: VLAN) 내의 트래픽을 보호합니다. 전통적인 네트워크 방화벽은 종종 Layer 3에서 작동하며, 항상 내부 VLAN(Layer 2) 트래픽을 검사하거나 차단하지는 않습니다.

카토의 소켓 사이트에 마이크로세그멘테이션을 활성화하면 범위의 서브넷 마스크가 여러 /32 주소로 분할됩니다. 해당 VLAN 내의 모든 호스트 대 호스트 트래픽은 기본 게이트웨이(소켓)로 전송되도록 강제화되며, 적절한 카토 방화벽 엔진이 목적지 호스트에 도달하기 전에 트래픽을 평가합니다. 이는 VLAN을 공유하는 호스트 간의 "동서" 트래픽을 검사 및 정책 시행을 위해 방화벽을 통과하도록 강제화합니다.

장치에 대한 최적의 온프렘 보안을 제공하기 위해 마이크로세그멘테이션을 위해 소켓 차세대 LAN 방화벽을 사용하는 것을 권장합니다.

이것이 필요한 이유

  • 호스트 간에 허가되지 않은 트래픽을 차단하여 같은 LAN 내의 위험을 줄이세요.

  • 모든 호스트 간 통신이 제로 트러스트 정책에 따르도록 레이어 2 트래픽의 파일 공개 범위를 얻으세요.

  • 여러 VLAN을 만드는 대신 호스트 수준에서 정책 규칙을 적용하여 세분화를 간소화하세요.

마이크로 세분화 및 DHCP 구성

마이크로 세분화는 각각의 장치에 /32 주소를 할당하고, 모든 동서 트래픽을 소켓을 통해 정책 평가를 위해 강제하며 DHCP를 기반으로 호스트 수준 격리를 시행합니다. DHCP 서버로 Cato를 사용하거나 Cato의 DHCP 릴레이를 통해 통합된 타사 DHCP 서버를 사용하여 마이크로 세분화를 활성화할 수 있습니다.

다음은 마이크로 세분화를 위한 DHCP 구성 옵션의 설명입니다.

  • DHCP 서버로서의 Cato - Cato는 네트워크 범위 내에서 호스트에 직접 IP 주소를 할당합니다. 마이크로 세분화가 활성화되면, Cato는 각 DHCP 할당에 /32 주소를 자동으로 적용하고, 동서 검사를 소켓을 통해 강제 시행합니다.

  • DHCP 릴레이를 사용하는 타사 DHCP 서버 - Cato가 DHCP 릴레이로 구성된 외부 DHCP 서버를 사용하는 네트워크 범위에 대해 마이크로 세분화를 활성화합니다. 이 구성에서는 외부 서버가 IP 주소를 할당하며, Cato는 투명하게 동일한 /32 호스트 라우팅과 동서 트래픽 검사를 Cato 관리 DHCP와 같이 시행합니다. 이를 통해 기존 DHCP 인프라를 변경하지 않고도 제로 트러스트 세분화를 적용할 수 있습니다.

참고

참고: DHCP 릴레이에 대한 마이크로 세분화 지원에는 소켓 버전 24.0.21570 이상을 실행하는 물리적 소켓 사이트가 필요합니다.

필수 조건

  • 버전 22.x 이상의 소켓과 물리적 소켓

  • 기본 범위와 VLAN 네트워크 범위에 대해 지원됩니다.

  • 보안 요구 사항에 따라, 마이크로세그멘테이션이 적용된 장치에 적합한 트래픽을 허용하도록 LAN 또는 WAN 방화벽 정책을 구성하세요.

마이크로세그멘테이션에 대한 확인된 OS

다음 운영 체제는 마이크로 세분화를 지원하도록 Cato에 의해 검증되었습니다. 다른 운영체제를 사용하는 장치에 마이크로세그멘테이션을 적용하기 전에, 운영체제가 환경에서 정상적으로 작동하는지 확인하는 것을 권장합니다.

  • Android 삼성 갤럭시 A24 SM-A245F/DSN

  • BusyBox DHCP 클라이언트 (Linux 18.04.6 LTS Ubuntu Debian OS 기반)

  • iOS 18.3.1

  • Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • 프린터 HP LaserJet Pro MFP M428fdn

  • 프린터 Brother 모델 MFC-L2700DW

  • Windows 11

  • Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (64비트 운영 체제, x64 기반 프로세서)

  • Windows Server 2022 ESX VM 데이터센터, AMD EPYC 7413 24코어 프로세서 2.65 GHz (64비트 운영 체제, x64 기반 프로세서)

  • Windows Server 2019 ESX VM 표준 AMD EPYC 7413 24코어 프로세서 2.65 GHz (64비트 운영 체제, x64 기반 프로세서)

  • Yealink IP 전화 SIP-T23G & SIP-T40G

마이크로세그멘테이션 배포를 위한 추천

네트워크 내의 측면 이동을 제한하는 보안 정책의 정밀한 시행을 보장하면서 마이크로세그멘테이션을 배포하면 합법적인 트래픽을 잠재적으로 방해할 수 있습니다. 네트워크에서 마이크로세그멘테이션을 성공적으로 배포하기 위해 이러한 권장 사항을 따르십시오.

  1. 단일 범위로 시작하여 계정에서 점진적으로 마이크로세그멘테이션을 활성화하세요.

  2. 현재 DHCP 임대 시간이 끝난 후 장치가 새로운 DHCP IP를 요청해도 마이크로세그멘테이션은 효과를 발휘하므로, 다음을 수행해야 합니다:

    1. DHCP 임대 시간에 대한 계정 설정을 덮어쓰고 네트워크 범위에 대한 DHCP 임대 시간을 줄이세요. 최소 값은 1분입니다.

    2. 전체 계정에 대해 마이크로세그멘테이션을 활성화하는 경우 계정 수준 DHCP 임대 시간을 임시로 줄이십시오. 마이크로세그멘테이션이 정상적으로 작동하는 것을 확인한 후, DHCP 임대 시간을 이전 설정으로 변경할 수 있습니다.

      참고: 기본 DHCP 임대 시간은 72시간(3일)입니다.

  3. 네트워크 범위 내 장치에 대한 영향을 모니터링하세요:

    1. 방화벽 정책에 따라 계정에서 허용된 엔터티와 장치가 통신할 수 있는지 확인하세요.

    2. 장치가 인터넷 리소스와 완전한 연결성을 가지고 있는지 확인하세요.

      마이크로세그멘테이션은 동서 방향의 내부 VLAN 트래픽에 해당하며, 인터넷 트래픽에는 영향이 없어야 합니다.

  4. 비대칭 라우팅을 피하여 내부 VLAN 트래픽이 소켓을 통해 대칭적으로 라우팅되도록 하세요. 마이크로세그멘테이션으로 보호되는 장치는 Cato를 DHCP 서버로 사용하는 것을 권장합니다.

    예를 들어, Cato /32 할당 서브넷 마스크로 잘못 구성되지 않은 정적 IP를 가진 프린터는 사이트 뒤의 다른 장치와 통신할 수 없습니다.

네트워크 범위에서 마이크로세그멘테이션 활성화

마이크로세그멘테이션을 위해 새로운 또는 기존의 네트워크 범위를 구성합니다. 이 구성은 사이트의 각 호스트에 자동 /32 서브넷 마스크 할당을 강제합니다. 그런 다음 소켓 LAN 또는 WAN 방화벽 정책을 검토하여 세분화된 트래픽이 허용되는지를 확인합니다.

DHCP_Microsegmentation.png

사이트 뒤의 네트워크 범위에 대한 마이크로세그멘테이션을 활성화하려면:

  1. 탐색 메뉴에서 네트워크 > 사이트를 클릭하고 사이트를 선택하세요.

  2. 탐색 메뉴에서 사이트 구성 > 네트워크를 클릭하세요.

  3. 새로운 을 클릭하거나, DHCP 설정 열에서 네트워크 범위를 클릭하세요.

    IP 범위 패널이 열립니다.

  4. 네트워크 유형을 지원되는 범위로 설정하세요.

  5. VLAN, 서브넷 등의 다른 네트워크 범위 설정을 입력하세요.

  6. DHCP 구성을 정의하십시오:

    • Cato를 DHCP 서버로 사용하려면:

      • DHCP 유형DHCP 범위로 설정하고 이 DHCP 범위에 대한 호스트의 IP 주소 범위를 입력하세요.

    • DHCP 릴레이를 사용하는 타사 DHCP 서버를 구성하려면:

      1. DHCP 유형을 DHCP 릴레이로 설정하십시오.

      2. DHCP 릴레이 그룹에서 이 네트워크의 DHCP 릴레이 그룹을 선택하십시오.

        DHCP 릴레이 그룹 및 Cato를 DHCP 릴레이로 구성하는 방법에 대한 자세한 내용은 Cato를 DHCP 릴레이로 구성하기을 참조하십시오.

  7. DHCP 기반 마이크로세그멘테이션을 선택하세요.

  8. 적용을 클릭한 후 저장을 클릭하세요.

마이크로세그멘테이션 롤백을 위한 추천

네트워크에서 배포된 마이크로세그멘테이션을 롤백하고 실행 취소해야 하는 경우, 네트워크에 미치는 영향을 최소화하기 위해 이러한 권장 사항을 따르십시오.

  1. 단일 범위로 시작하여 계정에서 점진적으로 마이크로세그멘테이션을 비활성화하세요.

  2. 현재 DHCP 임대 시간이 끝난 후 장치가 새로운 DHCP IP를 요청해도 마이크로세그멘테이션 비활성화는 효과를 발휘하므로, 다음을 수행해야 합니다:

    1. DHCP 임대 시간에 대한 계정 설정을 덮어쓰고 네트워크 범위에 대한 DHCP 임대 시간을 줄이세요. 최소 값은 1분입니다.

    2. 전체 계정에 대해 마이크로세그멘테이션을 비활성화하는 경우 계정 수준 DHCP 임대 시간을 임시로 줄이십시오. 마이크로세그멘테이션이 정상적으로 작동하는 것을 확인한 후, DHCP 임대 시간을 이전 설정으로 변경할 수 있습니다.

      참고: 기본 DHCP 임대 시간은 72시간(3일)입니다.

알려진 제한 사항

  • Linux 기반 시스템의 경우, 마이크로세그멘테이션을 활성화해도 두 개의 기본 라우터가 이미 연결되어 있는 경우 기본 게이트웨이에 대한 경로 항목이 생성되지 않습니다.

    우회에 대한 자세한 내용은 이 기사를 참조하세요.

도움이 되었습니까?

2명 중 2명이 도움이 되었다고 했습니다.

댓글 0개