제로 트러스트 보안 모델 구현…연평균 23.4% 성장 예상
[데이터넷] 클라우드 도입이 가속화되면서 기존의 보안 개념이 완전히 달라지게 됐다. 그 중에서도 특히 많은 변화를 겪는 분야가 네트워크 보안이다. 클라우드는 물리적인 보안 경계를 없애기 때문에 전통적인 데이터센터를 위한 네트워크 방화벽과 IPS는 한계가 있다. 이 점을 지적하며 마이크로 세그멘테이션(Microsegmentation)이 부상하고 있다.
마이크로 세그멘테이션은 ‘클라우드에서 방화벽은 필요 없다’며 제안되는 개념으로, 워크로드 자체에 방화벽 기능을 내장하기 때문에 워크로드 이동 위치에 관계없이 액세스 제어가 지속될 수 있다.
마이크로 세그멘테이션은 전통적인 데이터센터와 다른 클라우드 네트워크 설계의 특성 때문이다. 기존의 데이터센터는 적층형 구조로 설계되며, 남-북(South-North) 트래픽이 주를 이룬다. 그러나 클라우드는 거의 대부분의 트래픽이 애플리케이션 간 수평적으로 흐르기(East-West) 때문에 남-북 트래픽에 최적화된 방화벽은 효용성이 떨어진다.
또 컨테이너·서버리스 컴퓨팅 등 실시간으로 생성, 수정, 변경되는 클라우드 환경에서 복잡한 정책을 기반으로 통제하는 방화벽은 맞지 않다. VM으로 설계된 가상 방화벽도 하드웨어 방화벽과 마찬가지로 네트워크 주소를 기반으로 통제-허용하며, 애플리케이션과 장치가 이동할 때 마다 정책을 지속적으로 업데이트해야 하기 때문에 빠른 변화가 필요한 클라우드에 적합하지 않다. 클라우드와 IP주소가 일시적으로 할당되는 경우 VM 방화벽의 정책을 일일이 수정해야 한다는 문제도 있다.
클라우드에서 방화벽 제거하라
마이크로 세그멘테이션은 리소스 ID를 기반으로 정책과 권한을 설정하며, 각각의 워크로드에 적용하기 때문에 감염된 워크로드가 다른 워크로드나 애플리케이션을 감염시키지 못한다. 이 때문에 ‘제로 트러스트(Zero Trust)’ 보안 모델을 구현하는 방법으로도 주목된다.
마이크로 세그멘테이션을 적용하면 IT 팀은 멀티·하이브리드 클라우드 전반에서 다양한 유형의 트래픽에 맞게 보안 설정을 맞춤화 할 수 있다. 예를 들어 A 워크로드는 B 워크로드로와 통신만 가능하도록 제한하며, 장치와 워크로드가 이동하면 사람의 개입 없이 자동으로 보안 정책과 속성도 이동할 수 있도록 설정할 수 있다.
마이크로 세그멘테이션을 구현하는 것은 결코 쉬운 일이다. 아니다. 멀티·하이브리드 클라우드로 전환한다해도 기존의 보안 정책을 무시할 수 없기 때문에 기존 방화벽 규칙과 액세스 제어 목록을 통합하고 새로운 정책 프레임워크로 변환시켜야 한다.
워크로드와 애플리케이션, 환경의 연결을 매핑해 적절한 정책을 설정하는 것은 매우 어려운 일이다. 연결이 끊어진 워크로드나 장애가 발생했을 때 설정 오류로 잘못된 동작을 할 때 등의 상황을 고려해 정책을 설정, 운영하고 면밀한 모니터링을 지속해야한다.
마이크로 세그멘테이션은 아직 성숙도가 높은 시장이라고 할 수 없지만, 성장세는 매우 높은 편이다. 시장조사기관 마켓워치는 마이크로세그멘테이션 시장 규모가 2020년 8억7000만 달러였으며, 2021년부터 2026년까지 5년간 연평균 성장률 19.9%를 기록할 것으로 예상했다. MENAFN은 2020년부터 2025년까지 23.4%의 연평균 성장률을 기록, 2025년 27억달러에 이를 것으로 예상했다.
마이크로 세그멘테이션의 개념을 주창하고 전진시켜 온 전문기업 일루미오, 가디코어 등이 업계 선두를 달리고 있으며, 전통적인 방화벽 기업들도 마이크로 세그멘테이션 개념을 적용한 새로운 방화벽을 출시하면서 선두업체를 맹추격하고 있다.
빠르게 쫓아가는 방화벽 기업들의 마이크로 세그멘테이션
방화벽 기업들도 이 시장을 집중 공략하고 있는데, 팔로알토네트웍스는 아포레토(Aporeto)를 인수하고 클라우드 네이티브 보안 플랫폼(CNSP) ‘프리즈마 클라우드(Prisma Cloud)’에 통합시켜 ‘아이덴티티 기반 마이크로 세그멘테이션(Identity-Based Microsegmentation)’ 기능으로 제공한다.
주니퍼네트웍스는 컨테이너 방화벽 ‘cSRX’를 통해 마이크로세그멘테이션 기능을 제공한다. cSRX는 컨테이너로 설계돼 1초 이내에 가동·중단할 수 있으며, L4-7 보안 정책을 사용해 마이크로세그멘테이션을 지원하고 다른 컨테이너 세그먼트의 트래픽을 제한한다. 코어 방화벽, 강력한 네트워킹, 모든 차세대 기능, 자동화된 수명 주기 관리 등 SRX 어플라이언스의 기능을 그대로 제공하고, 최대 100Gbps의 속도를 처리할 수 있어 업계에서 가장 빠른 속도를 보유하고 있다.