데이터 센터 보안
데이터 센터 보안이란?

데이터 보안은 디지털 데이터를 물리적 보안 침해, 데이터 유출 또는 사이버 공격으로 인해 발생할 수 있는 무단 액세스, 손상, 도난 등으로부터 보호하는 절차입니다.

횡단 데이터 센터(서버 간) 트래픽이 증가하면서 보안 요건이 바뀌고 있습니다. 가상화 및 컨테이너화된 애플리케이션 환경에서는 횡단 트래픽의 속도와 볼륨으로 인해 새로운 보안 솔루션이 필요해집니다. 특히 제로 트러스트 보안이 필수적인 멀티 테넌트 시나리오인 경우 더욱 그렇습니다.

데이터 센터의 IT 담당자.
  • 데이터 센터 보안 및 제로 트러스트
  • 보안 데이터 센터의 구성 요소
  • 제로 트러스트의 핵심 원칙
  • 엔드포인트 보안이란?
  • 인프라 보안이 중요한 이유
  • 차세대 보안 데이터 센터 패브릭
  • 데이터 센터 패브릭 마이그레이션
데이터 센터 보안 및 제로 트러스트
서버실에 있는 사업가.

데이터 센터 보안 및 제로 트러스트

최근 몇 년 동안 사이버 보안 위협 환경이 크게 변화했습니다. 공격자들이 엔터프라이즈 데이터 센터에 침투하고 중요한 정보를 탈취하려는 동기는 그 어느 때보다 강합니다. 데이터 센터의 경우 이는 보안 정책이 명시적으로 허용하지 않는 한 기본적으로 네트워크의 모든 엔터티와 모든 트래픽을 불신한다는 의미입니다.

마이크로 서비스 기반 애플리케이션의 트래픽은 하드웨어 방화벽, IPS, 기타 보안 장치에 의해 전혀 검사되지 않기 때문에 엔터프라이즈가 내부에서의 공격에 취약해집니다.

NIST SP 800-207에 따르면 “제로 트러스트 보안 모델은 공격자가 해당 환경에 존재”하며 제로 트러스트 아키텍처가 “데이터 유출을 방지하고 내부의 측면 이동을 제한하도록 설계되었다고 가정”합니다.

데이터 센터에 대한 가장 큰 위협 두 가지는 다음과 같습니다.

  • 인프라 공격: 기업은 운영 유지에 기술 자산을 사용합니다. 따라서 기술 인프라 보호는 조직 자체를 보호하는 것과 같습니다. 데이터 센터 구성요소(스토리지, 컴퓨팅, 네트워크)의 기능에 대한 공격은 성능, 가용성, 독점 데이터, 지식 재산권 등의 손실로 이어져 기업 수익에 부정적인 영향을 미칩니다.
  • 사이버 공격: 기술 인프라에 대한 위협은 피싱 시도 및 랜섬웨어 공격부터 분산 서비스 거부(DDoS) 익스플로잇과 사물 인터넷(IoT) 봇넷에 이르기까지 다양합니다. 고급 모니터링, 애플리케이션 인식 정책 시행, 위협 탐지 기능을 갖춘 전담 보안 시스템을 통해 비즈니스에 중요한 애플리케이션과 고객 대면 애플리케이션을 원활하게 실행할 수 있습니다.
 보안 데이터 센터의 구성 요소

보안 데이터 센터의 구성 요소

최신 데이터 센터 보안에는 세분화된 가시성, 정책 제어, 복잡성 추가 없이 자동화된 위협 탐지 및 완화가 필요합니다.

1. 완전한 가시성

데이터 센터 네트워크는 빠르게 변화합니다. 가장 시급한 과제는 컴퓨팅 및 스토리지 리소스를 이동하거나 업그레이드하는 동안 사용자의 운영 안정성과 가시성을 유지하는 것입니다.

다양한 유형의 보안 인프라에서 얻은 원격 측정 데이터를 집계할 수는 있지만, 시간이 많이 걸리는 경우가 많고 문제가 발생한 후에야 문제를 식별할 수 있습니다.

2. 세분화

어떤 연결을 허용하고 어떤 연결을 거부해야 하는지에 대한 정책을 적절히 정의하려면 애플리케이션과 데이터와 관련된 다양한 사용자 프로필을 이해하는 것이 필요합니다. 요건을 파악함으로써 적절한 데이터 센터 액세스 프로필을 그에 맞게 개발할 수 있습니다. 세분화는 보안 정책을 적용할 수 있는 데이터 센터 호스트를 논리적으로 분리하는 것으로,

데이터 센터의 모든 횡단 트래픽을 스테이트풀 방식으로 검사하고 악의적인 행위자가 내부 네트워크를 통해 이동하지 않도록 방지하는 정책을 적용함으로써 원치 않는 수평적 이동을 방지합니다. 마이크로 세분화는 새 아키텍처 디자인을 요구하지 않고도 세분화를 실현할 수 있습니다.

마이크로세그먼테이션은 높은 수준의 감시가 필요한 호스트 하위 집합에 적용될 수도 있고, 더 광범위하게는 데이터 센터의 보안 태세를 극대화하는 데 적용될 수도 있습니다.

3. 위협 완화

최신 데이터 센터 인프라에서는 사전에 위협을 감지하고 공격을 제한할 수 있는 능력이 필수적입니다. 단일 창구를 통한 중앙 관리 정책은 알려지지 않은 위협을 완화하고 차단하는 데 도움이 됩니다.

자동화된 정책 기반 네트워크 세분화 및 마이크로 세분화가 필요하며 중앙 집중식 보안 어플라이언스는 트래픽 흐름을 확장하는 데 비효율적입니다. 트래픽을 데이터 센터 엣지의 하드웨어 어플라이언스로 헤어핀 처리하면 애플리케이션 성능이 낮아지고 확장성이 제한되며 비용은 높아지고 대기 시간이 늘어납니다.

 제로 트러스트의 핵심 원칙
제로 트러스트 보안의 핵심 원칙 다이어그램.
제로 트러스트 보안의 핵심 원칙 다이어그램.
이미지를 탭하여 줌인

제로 트러스트의 핵심 원칙

지속적인 검증과 증명 기능을 갖춘 제로 트러스트 보안 아키텍처는 다양한 유형의 사이버 공격을 신속하게 탐지하고 침입이 발생하기 전에 방지합니다. 제로 트러스트 모델은 마이크로 세분화를 지원하며 이를 통해 IT 팀은 잠재적인 위협을 쉽게 억제할 수 있도록 네트워크 리소스를 분리할 수 있습니다.

포괄적인 가시성
IoT 채택이 증가하면서, 네트워크의 모든 장치와 사용자에 대한 전체 스펙트럼 가시성은 점점 더 중요하면서도 어려운 작업이 되고 있습니다. 가시성이 없으면 제로 트러스트 모델을 지원하는 중요한 보안 제어를 적용하기 어렵습니다. 자동화 기능, AI 기반 기계 학습 기능, 장치 유형을 빠르게 식별하는 기능이 중요합니다.

인증 및 권한 부여
절대 신뢰하지 말고 항상 검증하라 여러 인증 방법을 사용하여 로그인 시간에 따른 다단계 인증, 자세 확인, 새 사용자 및 새 장치 등 다양한 사용 사례를 동시에 지원할 수 있습니다.

최소 권한 액세스를 위한 ID 기반 액세스 제어
ID에 기반한 최소 권한 액세스를 사용하면 사용자와 장치가 자신의 역할에 따라 일관되게 행동하는 경우에만 기능을 수행하는 데 필요한 리소스에만 액세스할 수 있습니다. 액세스 제어 정책은 리소스에 대한 액세스를 제한하면서 비정상적인 동작이 관찰되거나 위반이 의심되는 경우 액세스를 동적으로 조정합니다.

 엔드포인트 보안이란?

엔드포인트 보안이란?

엔드포인트 보안은 네트워크 엔드포인트(회사 네트워크에 액세스하는 데 사용되는 데스크톱, 노트북, 태블릿 및 기타 모바일 장치 등의 하드웨어)를 보호하여 회사의 귀중한 자산인 데이터를 취약점과 위협으로부터 보호합니다. 엔드포인트 보안의 유형은 다음과 같이 다양합니다.

  • 네트워크 액세스 제어(NAC): 방화벽을 사용하여 네트워크에 대한 엔드포인트 장치의 액세스를 제어합니다.
  • 데이터 손실 방지: 피싱 사기나 엔드포인트에 설치된 맬웨어를 통해 해킹되거나 유출된 파일 및 데이터를 보호합니다.
  • 데이터 분류: 조직에서 가장 민감한 데이터를 식별하고 해당 취약성에 더 높은 가치를 적용하여 그에 따라 액세스를 제공할 수 있도록 합니다.
  • URL 필터링: 엔드포인트가 연결할 수 있는 웹사이트 수를 제한하고 맬웨어로부터 보호합니다.
  • 클라우드 경계 보안: 민감한 클라우드 기반 데이터와 애플리케이션 주위에 방화벽을 설치하여 데이터에 액세스할 수 있는 엔드포인트를 제한합니다.
  • 샌드박싱: 사용자의 엔드포인트가 작동할 수 있도록 네트워크를 모방한 가상 환경을 설정하여 민감한 정보에 대한 액세스를 제한합니다.
 인프라 보안이 중요한 이유

인프라 보안이 중요한 이유

상호 연결이 증가하고 다양한 클라우드 플랫폼과 기업 네트워크 엣지에서 클라우드 서비스, 마이크로 서비스, 소프트웨어 구성 요소 등의 도입이 증가함에 따라 기술 인프라의 보호는 더 복잡해지고 그 중요성도 커지게 되었습니다. 제로 트러스트 보안 아키텍처 도입은 기업이 이러한 문제를 해결하는 한 가지 방법입니다.

동시에 조직의 보안 전략에 있어 가장 약한 부분이 바로 인적 요소이므로 IT 인프라를 보호하기 위해 비밀번호 및 자격 증명 보안에 대한 직원 교육을 실시하는 것이 매우 중요합니다. 인프라 보안은 다음 4가지 수준을 통해 회사 전체의 기술 경계에 걸쳐 데이터 보호를 구현합니다.

  • 물리적: 물리적 인프라를 도난, 파괴 등으로부터 보호합니다. 다른 지역의 오프사이트 백업을 적용한 데이터 복구 계획도 물리적 보안 전략의 일부가 될 수 있습니다.
  • 네트워크: 네트워크 리소스에 대한 액세스를 허용하기 전에 온프레미스, 방화벽을 통한 클라우드 또는 MFA(다중 인증)을 통해 들어오고 나가는 네트워크 트래픽을 모니터링하여 확인합니다.
  • 애플리케이션: 오래된 소프트웨어에는 사이버 공격자가 악용해 IT 시스템에 액세스할 수 있는 취약점이 있을 수 있으므로, 소프트웨어 및 펌웨어 업데이트가 전체 엔터프라이즈 네트워크에 분산되어 적용되도록 해야 합니다.
  • 데이터: 데이터 보호를 위해 URL 필터링, 바이러스 백신 툴, 샌드박스, 보안 이메일 게이트웨이, EDR(엔드포인트 감지 및 대응) 툴, 데이터 암호화 등과 같은 일반적인 엔터프라이즈 엔드포인트 보안 조치를 사용합니다.
 차세대 보안 데이터 센터 패브릭

차세대 보안 데이터 센터 패브릭

데이터 센터 네트워킹은 지난 10년간 진화하여 새로운 애플리케이션 아키텍처의 물량과 속도를 해결할 수 있도록 고성능 25/100/400G 리프-스파인 토폴로지를 제공하게 되었지만, 보안 및 서비스 아키텍처는 그러지 못했습니다.

기존의 경계 보안 접근법과 달리 최신 제로 트러스트 보안 아키텍처는 신뢰를 취약성으로 인식하기에 네트워크의 접속을 허용하더라도 사용자가 훼손되었을 수 있으므로 기본적으로 신뢰해서는 안 된다고 가정합니다. 따라서 네트워크 전체에 걸쳐 ID와 장치의 증명과 인증을 요구합니다. 네트워크의 모든 단일 구성요소는 독립적으로 신뢰성을 확립해야 하며 기존의 포인트 보안 조치를 포함하여 상호작용하는 다른 구성요소를 통해 인증되어야 합니다. 제로 트러스트 보안 전략의 핵심 원칙은 다음과 같습니다.

  • 절대 신뢰하지 말고 항상 검증하라
  • 위반을 가정하라
  • 명시적으로 확인하라

분산형 서비스 아키텍처는 제로 트러스트를 데이터 센터와 네트워크 서버 엣지까지 더 깊이 확장하여 정밀한 마이크로 세분화를 제공하고 미션 크리티컬 워크로드의 보안을 획기적으로 확장하고 강화합니다.

 데이터 센터 패브릭 마이그레이션

데이터 센터 패브릭 마이그레이션

데이터 센터 패브릭 마이그레이션 다이어그램.
데이터 센터 패브릭 마이그레이션 다이어그램.
이미지를 탭하여 줌인

관련 제품, 솔루션 또는 서비스

안전한 데이터 센터 네트워크의 새 시대

데이터 센터 네트워크는 조직이 비즈니스 전환을 위한 디지털 이니셔티브를 시작하는 상황에서 빠르게 발전하고 있습니다.

자세히 알아보기

관련 주제

HPE Aruba Networking은 엣지 중심, 클라우드 지원, 데이터 기반 아키텍처 솔루션을 제공합니다.

데이터 센터 네트워크

자세히 알아보기

엔터프라이즈 데이터 센터

자세히 알아보기

네트워크 스위치

자세히 알아보기