네트워크 세분화는 네트워크를 더 작고 개별적인 하위 네트워크로 분할하여 네트워크 팀이 하위 네트워크를 구획화하고 각 하위 네트워크에 고유한 보안 제어 및 서비스를 제공할 수 있도록 지원하는 네트워크 보안 기술입니다.

네트워크 세분화 프로세스에는 물리적 네트워크를 여러 논리적 하위 네트워크로 파티셔닝하는 과정이 포함됩니다. 네트워크가 관리하기 쉬운 더 작은 단위로 세분화되면 구획화된 개별 세그먼트에 제어가 적용됩니다.

네트워크 세분화는 네트워크 세그먼트별로 고유한 보안 서비스를 제공하여 네트워크 트래픽을 더 효과적으로 제어하고, 네트워크 성능을 최적화하며, 보안 태세를 개선합니다.

첫째는 보안 향상입니다. 보안은 가장 링크만큼만 강하다는 것을 우리 모두 알고 있습니다. 대규모 플랫 네트워크는 필연적으로 넓은 공격 범위를 발생시킵니다. 그러나 대규모 네트워크가 작은 하위 네트워크로 분할되면 하위 네트워크 내에서 네트워크 트래픽이 격리되어 공격 범위가 줄어들고 수평 이동이 지연됩니다. 그 결과 네트워크 경계가 침해될 경우 네트워크 세그먼트는 공격자가 네트워크 전체에서 횡방향으로 이동하지 못하도록 방지합니다.
이뿐 아니라 세분화는 네트워크 전반으로 확산되기 전에 활성 공격을 격리할 수 있는 논리적인 방법을 제공합니다. 예를 들어 세분화는 한 세그먼트의 멀웨어가 다른 세그먼트의 시스템에 영향을 미치지 않도록 합니다. 세그먼트를 생성하면 공격이 확산될 수 있는 범위가 제한되고 공격 범위가 절대적으로 최소화됩니다.

다음은 성능입니다. 세분화는 특정 세그먼트에서 불필요한 트래픽을 제거하여 네트워크 정체를 줄임으로써 네트워크 성능을 개선합니다. 예를 들어 의료 기기가 게스트 웹 브라우징 트래픽의 영향을 받지 않도록 병원의 의료 기기를 방문자 네트워크에서 따로 분류할 수 있습니다.

네트워크를 세분화하면 하위 네트워크당 호스트 수가 감소하고 하위 네트워크당 로컬 트래픽을 최소화하며 외부 트래픽을 하위 네트워크에 지정된 트래픽으로만 제한할 수 있습니다.

네트워크 세분화는 대규모 네트워크 내에 여러 개의 분리된 세그먼트를 생성하며, 각 세그먼트에는 서로 다른 보안 요구 사항과 정책이 적용될 수 있습니다. 이러한 세그먼트는 신뢰 수준이 동일한 특정 애플리케이션 또는 엔드포인트 유형을 보유합니다.

네트워크 세분화를 수행하는 방법에는 여러 가지가 있습니다. VLAN을 통해 구현된 경계 기반 세분화를 살펴본 다음 네트워크 가상화 기술을 통해 네트워크에서 보다 심도 있게 수행되는 세분화에 대해 알아보겠습니다.

경계 기반 세분화

경계 기반 세분화는 신뢰를 기반으로 내부 및 외부 세그먼트를 생성합니다. 이때 네트워크 세그먼트 내부에 있는 것은 신뢰할 수 있고 외부에 있는 것은 신뢰할 수 없는 것으로 간주합니다. 결과적으로 내부 리소스에 대해서는 제약이 거의 없어지며, 내부 리소스는 일반적으로 내부 네트워크 세분화가 최소화된 플랫 네트워크에서 운영됩니다. 필터링 및 세분화는 고정된 네트워크 지점에서 이루어집니다.

원래 VLAN은 네트워크 성능을 개선하기 위해 브로드캐스트 도메인을 분할할 목적으로 도입되었습니다. 시간이 지남에 따라 VLAN은 보안 툴로 사용될 만큼 성장했지만 처음부터 보안 툴로 사용되도록 의도된 것은 아니었습니다. VLAN의 문제는 VLAN 내 필터링이 없다는 것이며, 이는 곧 매우 광범위한 수준의 액세스를 뜻합니다.

또한 세그먼트 간에 이동하려면 정책이 필요합니다. 정책을 사용하면 한 세그먼트에서 다른 세그먼트로의 트래픽 흐름을 중지하거나 트래픽 유형, 소스 및 대상에 따라 트래픽을 제한할 수 있습니다.
네트워크 방화벽은 경계 기반 세분화에 사용되는 일반적인 툴입니다. 원래는 세그먼트 내에서 any-to-any 통신을 허용하면서 네트워크 트래픽의 종방향 이동을 제어하기 위해 사용되었습니다.

네트워크 가상화

오늘날 많은 조직이 수많은 네트워크 지점에서 세분화가 필요한 특정 기능을 갖춘 다양한 네트워크 영역을 유지합니다. 또한 네트워크가 지원해야 하는 엔드포인트는 신뢰 수준이 각자 다른 수많은 엔드포인트 유형을 포함하도록 확장되었습니다.

따라서 경계 기반 세분화로는 더 이상 충분하지 않습니다. 예를 들어 클라우드, BYOD 및 모바일 환경의 출현으로 인해 명확한 구분이 사라져 경계가 모호해졌습니다. 이제 보안과 네트워크 성능을 개선하려면 더 깊이 있는 네트워크 세분화가 필요합니다. 또한 오늘날의 횡방향 트래픽 패턴에서도 여전히 더 많은 네트워크 세분화가 필요합니다. 여기서 네트워크 가상화는 세분화를 다음 단계로 끌어올리는 역할을 합니다.

가장 간단한 형태의 네트워크 가상화는 물리적 인프라와 독립적으로 네트워크 및 보안 서비스를 프로비저닝하는 것입니다. 네트워크 가상화는 경계뿐만 아니라 전체 네트워크에서 네트워크 세분화를 구현하여 효율적인 네트워크 세분화를 주도하는 데 핵심적인 역할을 합니다. 실제로 과거에 사용했던 경계 기반 세분화는 이제 가상화될 뿐 아니라 유연하고 세분화된 보안 정책과 함께 네트워크의 모든 세그먼트까지 분산됩니다.