일반적으로 기업 IT 환경에 적용되는 네트워크 인프라 보안은 리소스 및 데이터의 무단 액세스, 수정, 삭제 및 도용을 방지하기 위한 예방 조치를 설치하여 기본 네트워킹 인프라를 보호하는 프로세스입니다. 이러한 보안 조치에는 액세스 제어, 애플리케이션 보안, 방화벽, 가상 프라이빗 네트워크(VPN), 동작 분석, 침입 방지 시스템, 무선 보안 등이 포함될 수 있습니다.

네트워크 인프라 보안에는 기반 인프라가 계속 보호될 수 있도록 지속적인 프로세스와 사례에 대한 종합적인 접근 방식이 필요합니다. CISA(Cybersecurity and Infrastructure Security Agency)는 구현할 방법을 결정할 때 여러 가지 접근 방식을 고려할 것을 권장합니다.

• 네트워크 및 기능 세분화 및 분리 - 전체적인 인프라 레이아웃에 특히 주의를 기울여야 합니다. 적절한 세분화 및 분리는 잠재적인 침입자 악용이 내부 네트워크의 다른 부분으로 전파되는 것을 제한하는 효과적인 보안 메커니즘입니다. 라우터와 같은 하드웨어를 사용하면 네트워크를 분리하여 브로드캐스트 트래픽을 필터링하는 경계를 만들 수 있습니다. 이러한 마이크로 세분화는 공격이 탐지되면 트래픽을 추가로 제한하거나 차단할 수도 있습니다. 가상 분리는 하드웨어 없이도 라우터를 사용하여 네트워크를 물리적으로 분리하는 설계와 유사합니다.
• 불필요한 횡방향 통신 제한 - 네트워크 내의 피어 투 피어 통신을 간과해서는 안 됩니다. 피어 간의 필터링되지 않은 통신을 통해 침입자가 컴퓨터 간에 자유롭게 이동할 수 있습니다. 이를 통해 공격자는 백도어를 심거나 애플리케이션을 설치하여 대상 네트워크에 지속성을 구축할 수 있습니다.
• 네트워크 기기 강화 - 네트워크 기기 강화는 네트워크 인프라 보안을 강화하는 기본적인 방법입니다. 네트워크 암호화, 사용 가능한 서비스, 액세스 보안, 강력한 암호, 라우터 보호, 물리적 액세스 제한, 구성 백업 및 주기적 보안 설정 테스트와 관련하여 업계 표준 및 모범 사례를 준수하는 것이 좋습니다.
• 인프라 기기에 대한 보안 액세스 - 신뢰할 수 있는 특정 사용자가 리소스에 액세스할 수 있도록 관리 권한이 부여됩니다. 다단계 인증(MFA)을 구현하고, 권한이 부여된 액세스를 관리하고, 관리 자격 증명을 관리하여 사용자의 신뢰성을 보장합니다.
• OoB(Out-of-Band) 네트워크 관리 수행 - OoB 관리는 네트워크 기기를 원격으로 관리하기 위한 전용 통신 경로를 구현합니다. 이렇게 하면 관리 트래픽에서 사용자 트래픽을 분리하여 네트워크 보안을 강화할 수 있습니다.
• 하드웨어 및 소프트웨어의 무결성 검증 - 회색 시장의 제품들은 네트워크에 대한 공격 벡터를 허용하여 IT 인프라를 위협합니다. 불법 제품을 사용하면 방심한 네트워크에 침투하기 위해 대기 중인 악성 소프트웨어가 사전 로드될 수 있습니다. 조직은 기기와 소프트웨어에 대한 무결성 점검을 정기적으로 수행해야 합니다.

네트워크 인프라 보안의 가장 큰 위협은 라우팅 인프라를 공격하고 제어하고자 하는 해커와 악성 애플리케이션입니다. 네트워크 인프라 구성 요소에는 라우터, 방화벽, 스위치, 서버, 로드 밸런서, 침입 탐지 시스템(IDS), 도메인 이름 서버(DNS), 스토리지 시스템 등 네트워크 통신에 필요한 모든 기기가 포함됩니다. 이러한 각 시스템은 대상 네트워크에 악성 소프트웨어를 배포하려는 해커에게 진입점을 제공합니다.

• 게이트웨이 리스크: 게이트웨이 라우터에 대한 액세스 권한을 얻는 해커는 네트워크 안팎의 트래픽을 모니터링, 수정 및 거부할 수 있습니다.
• 침투 리스크: 내부 라우팅 및 스위칭 기기에서 더 많은 제어 권한을 확보한 해커는 네트워크 내부의 주요 호스트 간 트래픽을 모니터링, 수정 및 거부할 수 있으며 내부 호스트 간의 신뢰할 수 있는 관계를 악용하여 횡방향으로 다른 호스트로 이동할 수 있습니다.

해커가 네트워크에 피해를 줄 수 있는 공격은 수없이 많지만, 심층적인 시스템 침투를 방지하려면 라우팅 인프라를 보호하고 방어하는 것이 가장 중요합니다.

네트워크 인프라 보안을 제대로 구현하면 비즈니스 네트워크에 몇 가지 주요 이점을 제공할 수 있습니다.

• 리소스 공유 개선으로 비용 절감: 보호를 통해 여러 사용자가 네트워크의 리소스를 위협 없이 활용할 수 있어 궁극적으로 운영 비용을 절감할 수 있습니다.
• 공유 사이트 라이센스: 보안을 구현하면 모든 머신에 라이센스를 부여하는 것보다 사이트 라이센스를 이용하는 것이 더욱 저렴해집니다.
• 파일 공유로 생산성 향상: 사용자는 내부 네트워크 전반에서 안전하게 파일을 공유할 수 있습니다.
• 보호되는 내부 커뮤니케이션: 내부 e-메일 및 채팅 시스템을 외부로부터 보호합니다.
• 구분화 및 보안 파일: 여러 사용자가 공유하는 머신을 사용하는 것에 비해 사용자 파일과 데이터가 서로로부터 보호됩니다.
• 데이터 보호: 로컬 서버로의 데이터 백업은 간단하고 안전하므로 중요한 지적 재산을 보호할 수 있습니다.

네트워크 인프라 보안에 대한 다양한 접근 방식이 존재하지만, 여러 접근 방식을 준수하여 네트워크 방어를 확장하는 것이 가장 좋습니다.

• 액세스 제어: 권한이 없는 사용자 및 기기가 네트워크에 액세스하지 못하도록 방지합니다.
• 애플리케이션 보안: 하드웨어 및 소프트웨어에 보안 조치를 취하여 잠재적인 취약점을 차단합니다.
• 방화벽: 특정 트래픽이 네트워크에 드나드는 것을 허용하거나 방지할 수 있는 게이트키핑 기기입니다.
• 가상 프라이빗 네트워크(VPN): VPN은 엔드포인트 간 연결을 암호화하여 인터넷을 통한 안전한 통신 "터널"을 생성합니다.
• 동작 분석: 이러한 툴은 일반적인 활동에서 벗어나는 네트워크 활동을 자동으로 탐지합니다.
• 무선 보안: 무선 네트워크는 유선 네트워크보다 보안이 취약하며, 새로운 모바일 기기와 애플리케이션이 확산됨에 따라 네트워크 침투 벡터가 계속 증가하고 있습니다.