저는 데이터 센터에서 시간이 중요한 애플리케이션 구성 요소의 네트워크 트래픽을 보호할 수 있는 가능성(및 그 장단점)을 찾고 있습니다. 목표는 공격자가 VM을 손상시킬 경우 발생할 수 있는 피해를 최소화하는 것입니다. 다른(손상되지 않은) VM 간의 트래픽을 읽는 것은 불가능합니다. 이는 암호화를 통해 또는 네트워크 액세스를 제한하여 달성할 수 있습니다.
우리는 VMware 환경, 여러 ESXi 호스트 및 Fortigate 방화벽을 보유하고 있습니다. 애플리케이션이 여러 연결을 차례로 열기 때문에 내부 트래픽의 일부는 아직 암호화되지 않았습니다. 그리고 전체 프로세스에는 대기 시간 제한이 있습니다.
대기 시간 제한으로 인해 각 연결에 대한 TLS의 (사소한) 사용은 옵션이 아닙니다. 어쩌면 애플리케이션이 수행하는 작업과 관계없이 TLS 연결을 열어두는 모든 시스템의 프록시를 사용하여 수행할 수도 있습니다.
모든 관련 시스템(약 50개) 사이에 VPN을 사용하는 것은 관리에 있어서 악몽이 될 것 같습니다. 우리는 VPN 솔루션을 더욱 악화시킬 수 있는 연결 유지를 사용합니다.
또한 ARP 스푸핑에 대한 보호 수단으로 영구 ARP 항목을 사용하는 것에 대해서도 생각합니다. VMware는 MAC 스푸핑을 방지합니다. 이로 인해 대기 시간이 추가되지 않으며 암호화가 필요하지 않습니다. 그러나 Fortigate에서는 잘 작동하지 않으며 가상 IP에서도 작동하지 않습니다.
언급된 접근 방식과 제가 아직 알지 못하는 기타 접근 방식에 대한 의견에 관심이 있습니다.
마이크로서비스와 타이밍 제한이 있는 다른 조직은 무엇을 합니까? 최선의 해결책이 무엇인지에 대한 설명은 필요하지 않습니다. 나는 실현 가능하다고 입증된 것이 무엇인지 알고 싶습니다.
답변1
제로 트러스트 아키텍처의 일부로 오늘날 "마이크로 세분화"라고 불리는 것을 찾고 있는 것 같습니다.
기본적으로 기존 분할(방화벽 및 vLANing)을 사용하면 서브넷 간의 통신을 제한합니다. 즉, 특정 기준을 충족하지 않는 누군가와 통신하는 것을 방지합니다. 마이크로 세분화에서는 동일한 서브넷 내에 있는 애플리케이션/서비스 간에 트래픽 제한 및/또는 검사를 수행합니다. 이는 하이퍼바이저 수준에서 가장 쉽게 수행됩니다. 하이퍼바이저는 기본적으로 게스트로 들어오고 나가는 모든 트래픽을 볼 수 있기 때문입니다.
제로 트러스트란 "아무도 믿지 말라"는 오래된 보안 격언을 의미합니다. 심지어 자신의 시스템도 마찬가지입니다. 기본적으로 정보에 대해 "알아야 할 사항"에 해당하는 최소한의 신뢰 수준을 확장합니다. 앱 서버는 TLS 요청에 대한 응답으로만 외부 세계와 통신할 수 있으며 다른 어떤 것도 허용되지 않습니다. 신뢰를 작업에 대한 명시적인 요구 사항으로 제한하여 더 이상 허용하지 않습니다.
예를 들어, 마이크로 세분화를 사용하여 Front-End-App-Server-A가 Mid-Tier-Logic-Server-A와 통신할 수 있으며, Mid-Tier-Logic-Server-A는 다시 Database-Server-A와 통신할 수 있다고 말할 수 있습니다. 하지만 프런트엔드 서버는 DB 서버와 직접 통신할 수 없습니다. 그리고 Front-End-A는 동일한 서브넷에 있더라도 Front-End-B와 통신할 수 없습니다.
VMware는 최근 자사 플랫폼에서 마이크로 세분화를 사용하는 것에 대해 상당히 큰 관심을 가져왔습니다. 확인해 보아야 할 것 같습니다:https://www.vmware.com/solutions/micro-segmentation.html
이는 암호화에 대한 세션 생성 시간 제한을 우회합니다. 게다가 암호화가 할 수 없는 작업도 수행합니다. (VPN 또는 SSL/TLS는 전송 중인 데이터를 보호하지만 "보안" 네트워크 내에서 공격자가 한 번 저지를 수 있는 피해를 실제로 제한하지는 않습니다. 신뢰가 제한된 분할은 공격자가 가능한 다음 단계를 제한합니다. 기본적으로 그들은 새로운 공격을 물리쳐야 합니다. 새로운 벡터로 피벗하려고 할 때마다 방화벽을 설치합니다.) 그리고 모든 작업은 하이퍼바이저/네트워크 수준에서 수행됩니다. 이는 이를 사용하기 위해 애플리케이션을 다시 작성할 필요가 없음을 의미합니다. 인프라 수준에서 이를 설정하고 애플리케이션이 수행 중인 모든 작업을 계속 수행하도록 하세요.
답변2
기본적으로 VPN은 TLS와 유사한 성능 영향을 미칩니다. 따라서 대기 시간 측면에서 더 저렴한 솔루션이 필요합니다.
ESXi 방화벽을 사용할 수 있습니다. (기본적으로 vmware 기술은 Linux에 가깝고 브리지 및 기타 가상 네트워크 구성 요소에 대한 L2 및 L3 필터링이 가능합니다.)
일종의 네트워크 분할을 사용할 수 있습니다. 서로 다른 게스트 그룹에 할당된 여러 네트워크 어댑터를 사용하면 몇 가지 추가 장벽이 발생할 수 있습니다.
일부 VLAN 설정을 사용할 수 있지만 IMHO는 약간 과대평가된 전략입니다.