KR102666943B1 - Method for managing network using micro-segmentation for zero trust security and access switch using the same - Google Patents

Method for managing network using micro-segmentation for zero trust security and access switch using the same Download PDF

Info

Publication number
KR102666943B1
KR102666943B1 KR1020230136611A KR20230136611A KR102666943B1 KR 102666943 B1 KR102666943 B1 KR 102666943B1 KR 1020230136611 A KR1020230136611 A KR 1020230136611A KR 20230136611 A KR20230136611 A KR 20230136611A KR 102666943 B1 KR102666943 B1 KR 102666943B1
Authority
KR
South Korea
Prior art keywords
mac address
registered
packet
specific
address
Prior art date
Application number
KR1020230136611A
Other languages
Korean (ko)
Inventor
최준영
Original Assignee
주식회사 파이오링크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파이오링크 filed Critical 주식회사 파이오링크
Priority to KR1020230136611A priority Critical patent/KR102666943B1/en
Application granted granted Critical
Publication of KR102666943B1 publication Critical patent/KR102666943B1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/02Topology update or discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

본 발명은 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법에 있어서, (a) 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 중 어느 하나인 특정 액세스 스위치가, 상기 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 상기 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 단계; 및 (b) 상기 특정 액세스 스위치가, 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 단계; 를 포함하는 방법에 관한 것이다.The present invention relates to a method of managing a network using micro-segmentation for zero trust security, (a) a specific access switch, which is one of the access switches that allow network devices to communicate with each other within the network, When the first forwarding is performed for a packet transmitted to a specific port among the ports of the access switch, the source MAC address corresponding to the specific network device that transmitted the packet is obtained from the Ethernet head of the packet, and the source MAC Check whether the address is registered in the MAC address table, and if the source MAC address is not registered in the MAC address table, group each port of each of the access switches according to a network security policy for zero trust security. Among the classified micro-segments, the source MAC address is registered in the MAC table with reference to the specific user security policy set for the specific micro-segmentation corresponding to the specific port of the specific access switch, and the source MAC address is registered in the MAC table. In a state registered in a table, checking whether the source MAC address satisfies the specific user security policy, and performing second forwarding for the packet if the source MAC address satisfies the specific user security policy; and (b) the specific access switch obtains the source IP address from the IP head of the packet, checks whether the source IP address is registered in the routing table, and determines whether the source IP address is not registered in the routing table. In this case, the source IP address is registered in the routing table, third forwarding is performed on the packet while the source IP address is registered in the routing table, and a destination IP address is selected from the IP head of the packet. or filtering the packet on which the third forwarding is performed by obtaining a service port and checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation; It relates to a method of including .

Description

제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법 및 이를 이용한 액세스 스위치{METHOD FOR MANAGING NETWORK USING MICRO-SEGMENTATION FOR ZERO TRUST SECURITY AND ACCESS SWITCH USING THE SAME}Method for managing a network using micro-segmentation for zero trust security and access switch using the same {METHOD FOR MANAGING NETWORK USING MICRO-SEGMENTATION FOR ZERO TRUST SECURITY AND ACCESS SWITCH USING THE SAME}

본 발명은 제로 트러스트 보안을 위한 네트워크 관리 방법에 관한 것으로, 보다 상세하게는, 네트워크의 액세스 스위치가 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 패킷의 스위칭을 수행하도록 함으로써 네트워크를 관리하는 방법에 관한 것이다.The present invention relates to a network management method for zero trust security, and more specifically, to a method of managing a network by having an access switch of the network perform packet switching using micro segmentation for zero trust security. .

경계 보안 모델(Perimeter security Model)은 기업 외부망에서 내부망으로 접속을 통제하는데 강력한 네트워크 보안 모델이지만, 경계 보안 모델의 가장 큰 문제점은 경계 그 자체에 있다. 즉, 보안 통제가 경계에 집중되어 있고, 경계를 넘어가면 더 이상 보안 통제를 적용할 수 없다.The perimeter security model is a powerful network security model for controlling access from a company's external network to its internal network, but the biggest problem with the perimeter security model lies in the boundary itself. That is, security controls are concentrated at the perimeter, and once the boundary is crossed, security controls can no longer be applied.

경계 보안 모델에서 접근을 허용했다는 것은 접속하는 주체를 신뢰(Trust)했다는 의미이므로, 접근자를 신뢰하기 때문에 내부 자원에 접근을 허용하는 것이다. 예를 들어, 내부 업무망에 위치한 컴퓨터는 내부 IP 주소를 사용하므로 내부 보안 장비에서 기본적으로 신뢰하는 원리로 동작한다.In the boundary security model, allowing access means trusting the accessing subject, so access to internal resources is allowed because the accessor is trusted. For example, computers located on the internal business network use internal IP addresses, so they operate on the principle of basic trust by internal security equipment.

공격자는 이러한 신뢰 관계를 악용하여 공격에 활용하고 있으며, 이미 신뢰를 부여받은 내부 단말기를 점유하고 공격에 악용하고 있다. 경계 보안 모듈은 외부망과 내부망의 접점인 경계에서만 보안 통제가 적용되므로 경계를 넘어서 내부에 위치하는 위협은 탐지하거나 차단할 수 없다.Attackers are abusing this trust relationship and using it for attacks, seizing internal terminals that have already been granted trust and exploiting them for attacks. The border security module applies security control only at the border, which is the interface between the external network and the internal network, so it cannot detect or block threats located inside beyond the border.

즉, 공격자는 악성코드를 이용해서 내부망에 위치하는 컴퓨터를 감염시킨 후, 감염된 컴퓨터를 거점으로 사용하면서 정보 자산을 공격할 수 있으므로, 이전까지 신뢰의 근원이었던 기업 내부망을 이제 더 이상 신뢰할 수 없게 되었다. 따라서, 기업 내부망은 이미 공격자가 침투해 있다는 가정이 필요하며, 그런 최악의 상황에서도 공격을 탐지하고 대응하는 절차가 필요해졌다.In other words, an attacker can use malicious code to infect computers located on the internal network and then use the infected computer as a base to attack information assets. Therefore, the company's internal network, which was previously a source of trust, can no longer be trusted. It has disappeared. Therefore, it is necessary to assume that an attacker has already infiltrated the company's internal network, and procedures to detect and respond to attacks have become necessary even in the worst-case scenario.

이러한 경계 보안 모델의 문제점을 해결하기 위한 방안으로 제로 트러스트 보안(Zero Trust Security) 모델이 제안되었다.As a way to solve the problems of this perimeter security model, the Zero Trust Security model was proposed.

제로 트러스트 보안은 기본적으로 데이터와 리소스를 액세스 불가능한 상태로 유지한 상태에서, 사용자는 적절한 상황에서 제한적으로만 이러한 데이터와 리소스에 액세스할 수 있는 것으로, 이를 최소 권한 액세스라 한다.Zero trust security essentially keeps data and resources inaccessible and allows users limited access to those data and resources under appropriate circumstances. This is called least-privilege access.

제로 트러스트 보안 모델은 네트워크 상의 모든 사용자, 기기 혹은 애플리케이션이 잠재적인 위협이 될 수 있으며, 액세스 권한 부여 전에 인증 단계를 거쳐야 함을 전제로 한다. 즉, 사용자의 위치나 네트워크에 따라 액세스 권한을 부여하는 것이 아니라 신원, 사용 기기, 요청된 내용 등을 기반으로 권한을 부여한다.The Zero Trust security model assumes that every user, device or application on the network is a potential threat and must undergo an authentication step before being granted access. In other words, rather than granting access based on the user's location or network, permission is granted based on identity, device used, and requested content.

따라서, 제로 트러스트 보안 모델은 모든 액세스 요청에 대해 기기 인증을 강제하기 때문에 안전성이 우수하며, 사용자가 어디서든 안전하게 액세스할 수 있어 업무 유연성을 향상시킬 수 있다는 장점이 있다. 또한, 사용자와 기기의 동작을 지속적으로 모니터링하기 때문에 보안을 유연하게 적용할 수 있다.Therefore, the zero trust security model has the advantage of being excellent in safety because it enforces device authentication for all access requests, and improving work flexibility by allowing users to access safely from anywhere. Additionally, security can be applied flexibly because the operation of users and devices is continuously monitored.

하지만, 제로 트러스트 보안 모델을 시스템에 구현하는 데 상당한 시간과 투자가 필요하며, 모든 액세스 요청에 대하여 일일이 기기 인증을 받아야 해 구현이 복잡해지고, 관리 비용이 높아지는 문제점이 있다. 또한, 사용자에게 인증을 강제하기 때문에 사용자 경험을 저하시키는 문제점이 있다.However, significant time and investment is required to implement the zero trust security model in the system, and each access request must be individually authenticated, which complicates implementation and increases management costs. Additionally, since authentication is forced on the user, there is a problem of deteriorating the user experience.

따라서, 본 출원인은 제로 트러스트 보안을 위하여 네트워크의 보안 모델을 보다 효율적으로 구현할 수 있도록 하는 방안을 제안하고자 한다.Therefore, the present applicant would like to propose a method to more efficiently implement the network security model for zero trust security.

본 발명은, 전술한 종래 기술의 문제점을 모두 해결하는 것을 그 목적으로 한다.The purpose of the present invention is to solve all the problems of the prior art described above.

또한, 본 발명은 제로 트러스트 보안을 위한 네트워크의 보안 모델을 저비용으로 빠른 시간 내에 구현할 수 있도록 하는 것을 다른 목적으로 한다.Another purpose of the present invention is to enable a network security model for zero trust security to be implemented quickly and at low cost.

또한, 본 발명은 제로 트러스트 보안을 위한 네트워크의 보안 모델을 보다 간단하게 구현할 수 있도록 하는 것을 또 다른 목적으로.Additionally, another purpose of the present invention is to enable a simpler implementation of a network security model for zero trust security.

또한, 본 발명은 제로 트러스트 보안을 위한 네트워크의 보안 모델을 저비용으로 관리할 수 있도록 하는 것을 또 다른 목적으로 한다.Another purpose of the present invention is to enable low-cost management of a network security model for zero trust security.

또한, 본 발명은 제로 트러스트 보안을 위한 네트워크의 보안 모델을 적용함에 따른 사용자의 경험 저하를 방지할 수 있도록 하는 것을 또 다른 목적으로 한다.Another purpose of the present invention is to prevent deterioration of user experience due to application of a network security model for zero trust security.

상기 목적을 달성하기 위한 본 발명의 대표적인 구성은 다음과 같다.A representative configuration of the present invention to achieve the above object is as follows.

본 발명의 일 실시예에 따르면, 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법에 있어서, (a) 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 중 어느 하나인 특정 액세스 스위치가, 상기 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 상기 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 단계; 및 (b) 상기 특정 액세스 스위치가, 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 단계; 를 포함하는 방법이 제공된다.According to an embodiment of the present invention, in a method of managing a network using micro-segmentation for zero trust security, (a) a specific device, one of the access switches that allow network devices to communicate with each other within the network, When the access switch performs the first forwarding of a packet transmitted to a specific port among the ports of the specific access switch, a source MAC address corresponding to the specific network device that transmitted the packet is generated from the Ethernet head of the packet. Obtain and check whether the source MAC address is registered in the MAC address table. If the source MAC address is not registered in the MAC address table, configure each port of the access switches for zero trust security. The source MAC address is registered in the MAC table by referring to a specific user security policy set for a specific micro-segmentation corresponding to the specific port of the specific access switch among micro-segments grouped and classified according to a network security policy, and With the source MAC address registered in the MAC table, check whether the source MAC address satisfies the specific user security policy, and if the source MAC address satisfies the specific user security policy, second forwarding for the packet performing steps; and (b) the specific access switch obtains the source IP address from the IP head of the packet, checks whether the source IP address is registered in the routing table, and determines whether the source IP address is not registered in the routing table. In this case, the source IP address is registered in the routing table, third forwarding is performed on the packet while the source IP address is registered in the routing table, and a destination IP address is selected from the IP head of the packet. or filtering the packet on which the third forwarding is performed by obtaining a service port and checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation; A method including is provided.

상기 일 실시예에서, 상기 마이크로 세그먼테이션들은 상기 액세스 스위치들을 관리하는 네트워크 컨트롤러에 의해 설정되며, 상기 네트워크 컨트롤러에 의해, 상기 네트워크 보안 정책에 따라 액세스 스위치 및 포트의 페어로 구분하여 상기 마이크로 세그먼테이션들이 설정되며, 상기 마이크로 세그먼테이션들 각각에 대하여 각각의 사용자 보안 정책이 설정된 상태에서, 상기 액세스 스위치들 각각에서의 상기 제1 포워딩이 수행되는 각각의 패킷들을 필터링하여 획득한 ARP(Address Resolution Protocol) 패킷들을 분석하여 상기 액세스 스위치들 각각의 포트들 각각에 결합된 상기 네트워크 디바이스들 각각이 검출되고, 상기 네트워크 디바이스들 각각이 결합된 상기 포트들 각각에 대응되는 상기 마이크로 세그먼테이션들 각각에 상기 네트워크 디바이스들을 상기 각각의 사용자 보안 정책에 따라 등록한 것일 수 있다.In one embodiment, the micro-segments are set by a network controller that manages the access switches, and the micro-segments are set by the network controller by dividing into pairs of access switches and ports according to the network security policy, , with each user security policy set for each of the micro-segments, analyzing ARP (Address Resolution Protocol) packets obtained by filtering each packet for which the first forwarding is performed in each of the access switches. Each of the network devices coupled to each of the ports of each of the access switches is detected, and the network devices are connected to each of the micro-segments corresponding to each of the ports to which each of the network devices is coupled to each user. It may have been registered in accordance with the security policy.

상기 일 실시예에서, 상기 (a) 단계에서, 상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 인에이블하고, 러닝된 MAC 어드레스들을 포워딩하되, 블랙리스트로 등록된 MAC 어드레스들만 드롭시키는 제1 블랙리스트 모드를 포함하며, 상기 제1 블랙리스트 모드에서, 상기 특정 액세스 스위치는, 상기 MAC 어드레스 러닝이 인에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행하고, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 MAC 어드레스 러닝을 통해 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행할 수 있다.In one embodiment, in step (a), the specific user security policy enables MAC address learning for all MAC addresses and forwards learned MAC addresses, but only MAC addresses registered as a blacklist. and a first blacklist mode that drops, wherein in the first blacklist mode, the specific access switch, with the MAC address learning enabled, (i) registers the source MAC address in the MAC address table. As a result of checking whether the source MAC address is registered in the MAC address table, it is checked whether the source MAC address is registered in the blacklist, and if the source MAC address is registered in the blacklist, the packet block the second forwarding for the packet, and perform the second forwarding for the packet if the source MAC address is not registered in the blacklist, and (ii) determine whether the source MAC address is registered in the MAC address table. As a result of checking, if it is confirmed that the source MAC address is not registered in the MAC address table, the source MAC address is registered in the MAC address table through MAC address learning, and the source MAC address is registered in the blacklist. Check whether the source MAC address is registered in the blacklist, block the second forwarding for the packet, and if the source MAC address is not registered in the blacklist, block the second forwarding for the packet. It can be done.

상기 일 실시예에서, 상기 (a) 단계에서, 상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 디스에이블하고, 화이트리스트로 등록된 MAC 어드레스들만 상기 MAC 어드레스 테이블에 등록하여 포워딩되도록 하되, 나머지 MAC 어드레스들은 드롭시키는 제1 화이트리스트 모드를 포함하며, 상기 제1 화이트리스트 모드에서, 상기 특정 액세스 스위치는, 상기 MAC 어드레스 러닝이 디스에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 패킷에 대한 상기 제2 포워딩을 수행하며, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있으면 상기 소스 MAC 어드레스를 상기 MAC 어드레스 테이블을 등록하고 상기 패킷에 대한 상기 제2 포워딩을 수행하고, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 차단할 수 있다.In one embodiment, in step (a), the specific user security policy disables MAC address learning for all MAC addresses, and registers and forwards only MAC addresses registered as a whitelist in the MAC address table. However, it includes a first whitelist mode in which the remaining MAC addresses are dropped, and in the first whitelist mode, the specific access switch, with the MAC address learning disabled, (i) the source MAC address If it is confirmed that the source MAC address is registered in the MAC address table as a result of checking whether the source MAC address is registered in the MAC address table, the second forwarding is performed for the packet, and (ii) the source MAC address is registered in the MAC address table. As a result of checking whether the source MAC address is registered in the MAC address table, if it is confirmed that the source MAC address is not registered in the MAC address table, it is checked whether the source MAC address is registered in the whitelist, and the source MAC address is registered in the whitelist. Register the source MAC address in the MAC address table and perform the second forwarding for the packet, and if the source MAC address is not registered in the whitelist, block the second forwarding for the packet. You can.

상기 일 실시예에서, 상기 (b) 단계에서, 상기 특정 서비스 보안 정책은, 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 포워딩하는 제2 블랙리스트 모드, 및 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 드롭시키는 제2 화이트리스트 모드 중 어느 하나의 모드를 포함하며, (i) 상기 특정 서비스 보안 정책이 상기 제2 블랙리스트 모드일 경우에는, 상기 특정 액세스 스위치는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하며, (ii) 상기 특정 서비스 보안 정책이 상기 제2 화이트리스트 모드일 경우에는, 상기 특정 액세스 스위치는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단할 수 있다.In the above embodiment, in step (b), the specific service security policy includes a second blacklist mode for forwarding remaining destination IP addresses or remaining service ports excluding the set destination IP address or set service port, and Includes any one of a second whitelist mode that drops the remaining destination IP addresses or remaining service ports except for the set destination IP address or set service port, and (i) the specific service security policy is set to the second black list mode. In the case of list mode, the specific access switch checks whether the destination IP address or the service port of the packet on which the third forwarding is performed is registered in the blacklist, and the destination IP address or the service port is registered in the blacklist. If it is confirmed that the port is registered in the blacklist, the third forwarding for the packet is blocked, and if it is confirmed that the destination IP address or the service port is not registered in the blacklist, the third forwarding for the packet is blocked. (ii) when the specific service security policy is the second whitelist mode, the specific access switch selects the destination IP address of the packet for which the third forwarding is performed, or Check whether the service port is registered in the whitelist, and if it is confirmed that the destination IP address or the service port is registered in the whitelist, the third forwarding for the packet is permitted, and the destination If it is confirmed that the IP address or the service port is not registered in the whitelist, the third forwarding of the packet can be blocked.

상기 일 실시예에서, 상기 특정 액세스 스위치는, 상기 패킷에 대한 상기 제3 포워딩을 차단한 경우, 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 네트워크 컨트롤러로 전송하여 상기 네트워크 컨트롤러로 하여금 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 참조하여 상기 특정 마이크로 세그먼테이션에 대응되는 상기 특정 사용자 보안 정책 및 상기 특정 서비스 보안 정책 중 적어도 하나를 업데이트할 수 있도록 하거나, 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 상기 특정 마이크로 세그먼테이션을 재설정할 수 있도록 할 수 있다.In the embodiment, when the specific access switch blocks the third forwarding of the packet, the specific access switch transmits information related to the packet for which the third forwarding was blocked to the network controller to enable the network controller to transmit the third forwarding to the network controller. 3 By referring to the information related to the packet whose forwarding has been blocked, at least one of the specific user security policy and the specific service security policy corresponding to the specific micro-segmentation can be updated, or the specific port of the specific access switch can be updated. It is possible to reset the corresponding specific micro segmentation.

상기 일 실시예에서, 상기 (b) 단계에서, 상기 제2 포워딩이 수행되는 상기 패킷이 ARP 패킷일 경우, 상기 특정 액세스 스위치는, 상기 패킷에 대한 상기 제3 포워딩을 수행하지 않고, 상기 패킷을 상기 특정 액세스 스위치의 상기 특정 포트를 제외한 나머지 포트들로 플러딩할 수 있다.In the above embodiment, in step (b), when the packet for which the second forwarding is performed is an ARP packet, the specific access switch does not perform the third forwarding for the packet and forwards the packet. Flooding can be done to ports other than the specific port of the specific access switch.

상기 일 실시예에서, (c) 상기 특정 액세스 스위치가, 상기 제3 포워딩이 수행되는 상기 패킷을 보안모듈로 전송하여 상기 보안모듈로 하여금 상기 패킷을 분석하여 상기 패킷이 비정상 패킷인지 확인하도록 하며, 상기 패킷이 비정상 패킷인 것으로 확인되면, 상기 패킷에 대한 상기 제3 포워딩을 차단하는 단계; 를 더 포함할 수 있다.In the above embodiment, (c) the specific access switch transmits the packet on which the third forwarding is performed to a security module and causes the security module to analyze the packet to determine whether the packet is an abnormal packet, If the packet is confirmed to be an abnormal packet, blocking the third forwarding for the packet; It may further include.

본 발명의 다른 실시예에서 따르면, 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 액세스 스위치에 있어서, 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하기 위한 인스트럭션들이 저장된 메모리; 및 상기 메모리에 저장된 상기 인스트럭션들에 따라 상기 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 동작을 수행하는 프로세서; 를 포함하며, 상기 프로세서는, (I) 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 상기 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 프로세스, 및 (II) 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 프로세스를 수행하는 액세스 스위치가 제공된다.According to another embodiment of the present invention, an access switch for managing a network using micro segmentation for zero trust security includes: a memory storing instructions for managing a network using micro segmentation for zero trust security; and a processor that manages a network using micro-segmentation for zero trust security according to the instructions stored in the memory. It includes, wherein the processor: (I) When the first forwarding is performed for a packet transmitted to a specific port among the ports of the access switch, the Ethernet head of the packet corresponds to the specific network device that transmitted the packet. , obtain the source MAC address, check whether the source MAC address is registered in the MAC address table, and if the source MAC address is not registered in the MAC address table, each port of the access switches Among the micro-segments grouped and classified according to the network security policy for zero trust security, the source MAC address is entered into the MAC table with reference to the specific user security policy set for the specific micro-segmentation corresponding to the specific port of the specific access switch. Register, and with the source MAC address registered in the MAC table, check whether the source MAC address satisfies the specific user security policy, and if the source MAC address satisfies the specific user security policy, the packet a process for performing second forwarding, and (II) obtaining a source IP address from the IP head of the packet, checking whether the source IP address is registered in the routing table, and determining whether the source IP address is registered in the routing table. If not registered, the source IP address is registered in the routing table, third forwarding is performed on the packet while the source IP address is registered in the routing table, and the IP header of the packet is A process of filtering the packet on which the third forwarding is performed by obtaining a destination IP address or service port and checking whether the destination IP address or service port satisfies a specific service security policy set for the specific micro-segmentation. An access switch that performs is provided.

상기 다른 실시예에서, 상기 마이크로 세그먼테이션들은 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들을 관리하는 네트워크 컨트롤러에 의해 설정되며, 상기 네트워크 컨트롤러에 의해, 상기 네트워크 보안 정책에 따라 액세스 스위치 및 포트의 페어로 구분하여 상기 마이크로 세그먼테이션들이 설정되며, 상기 마이크로 세그먼테이션들 각각에 대하여 각각의 사용자 보안 정책이 설정된 상태에서, 상기 액세스 스위치들 각각에서의 상기 제1 포워딩이 수행되는 각각의 패킷들을 필터링하여 획득한 ARP(Address Resolution Protocol) 패킷들을 분석하여 상기 액세스 스위치들 각각의 포트들 각각에 결합된 상기 네트워크 디바이스들 각각이 검출되고, 상기 네트워크 디바이스들 각각이 결합된 상기 포트들 각각에 대응되는 상기 마이크로 세그먼테이션들 각각에 상기 네트워크 디바이스들을 상기 각각의 사용자 보안 정책에 따라 등록한 것일 수 있다.In another embodiment, the micro-segments are set by a network controller that manages access switches that allow network devices to communicate with each other within a network, and are configured by the network controller to access switches and ports according to the network security policy. The micro-segments are set by dividing them into pairs, and with each user security policy set for each of the micro-segments, each packet for which the first forwarding is performed in each of the access switches is filtered and obtained. Each of the network devices coupled to each of the ports of each of the access switches is detected by analyzing one ARP (Address Resolution Protocol) packet, and the micro segmentation corresponding to each of the ports to which each of the network devices is coupled is performed. Each of the network devices may be registered according to the respective user security policy.

상기 다른 실시예에서, 상기 프로세서는, 상기 (I) 프로세스에서, 상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 인에이블하고, 러닝된 MAC 어드레스들을 포워딩하되, 블랙리스트로 등록된 MAC 어드레스들만 드롭시키는 제1 블랙리스트 모드를 포함하며, 상기 제1 블랙리스트 모드에서, 상기 MAC 어드레스 러닝이 인에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행하고, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 MAC 어드레스 러닝을 통해 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행할 수 있다.In the other embodiment, the processor, in process (I), configures the specific user security policy to enable MAC address learning for all MAC addresses, forward learned MAC addresses, and register them as a blacklist. A first blacklist mode that drops only MAC addresses that have been selected, and in the first blacklist mode, with the MAC address learning enabled, (i) whether the source MAC address is registered in the MAC address table. As a result of checking, if it is confirmed that the source MAC address is registered in the MAC address table, it is checked whether the source MAC address is registered in the blacklist, and if the source MAC address is registered in the blacklist, the packet blocking the second forwarding, performing the second forwarding for the packet if the source MAC address is not registered in the blacklist, and (ii) checking whether the source MAC address is registered in the MAC address table. As a result, if it is confirmed that the source MAC address is not registered in the MAC address table, the source MAC address is registered in the MAC address table through MAC address learning, and whether the source MAC address is registered in the blacklist is determined. Check and block the second forwarding for the packet if the source MAC address is registered in the blacklist, and perform the second forwarding for the packet if the source MAC address is not registered in the blacklist. You can.

상기 다른 실시예에서, 상기 프로세서는, 상기 (I) 프로세스에서, 상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 디스에이블하고, 화이트리스트로 등록된 MAC 어드레스들만 상기 MAC 어드레스 테이블에 등록하여 포워딩되도록 하되, 나머지 MAC 어드레스들은 드롭시키는 제1 화이트리스트 모드를 포함하며, 상기 제1 화이트리스트 모드에서, 상기 MAC 어드레스 러닝이 디스에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 패킷에 대한 상기 제2 포워딩을 수행하며, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있으면 상기 소스 MAC 어드레스를 상기 MAC 어드레스 테이블을 등록하고 상기 패킷에 대한 상기 제2 포워딩을 수행하고, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 차단할 수 있다.In the other embodiment, the processor, in process (I), disables MAC address learning for all MAC addresses, and only whitelists registered MAC addresses are stored in the MAC address table. and a first whitelist mode in which the remaining MAC addresses are registered and forwarded, and in the first whitelist mode, in a state in which the MAC address learning is disabled, (i) the source MAC address is If it is confirmed that the source MAC address is registered in the MAC address table as a result of checking whether it is registered in the MAC address table, the second forwarding is performed for the packet, and (ii) the source MAC address is the MAC address. As a result of checking whether the source MAC address is registered in the table, if it is confirmed that the source MAC address is not registered in the MAC address table, it is checked whether the source MAC address is registered in the white list, and the source MAC address is registered in the white list. If the source MAC address is registered in the MAC address table, the second forwarding for the packet can be performed, and if the source MAC address is not registered in the whitelist, the second forwarding for the packet can be blocked. .

상기 다른 실시예에서, 상기 프로세서는, 상기 (II) 프로세스에서, 상기 특정 서비스 보안 정책은, 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 포워딩하는 제2 블랙리스트 모드, 및 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 드롭시키는 제2 화이트리스트 모드 중 어느 하나의 모드를 포함하며, (i) 상기 특정 서비스 보안 정책이 상기 제2 블랙리스트 모드일 경우에는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하며, (ii) 상기 특정 서비스 보안 정책이 상기 제2 화이트리스트 모드일 경우에는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단할 수 있다.In the other embodiment, the processor, in the process (II), sets the specific service security policy to a second black for forwarding the remaining destination IP addresses or remaining service ports excluding the configured destination IP address or configured service port. Includes any one of a list mode and a second whitelist mode that drops the remaining destination IP addresses or remaining service ports except for the set destination IP address or set service port, and (i) the specific service security policy is In the case of the second blacklist mode, it is checked whether the destination IP address or the service port of the packet for which the third forwarding is performed is registered in the blacklist, and whether the destination IP address or the service port is registered in the blacklist. If it is confirmed that it is registered in the blacklist, the third forwarding for the packet is blocked, and if it is confirmed that the destination IP address or the service port is not registered in the blacklist, the third forwarding for the packet is blocked. Third forwarding is permitted, and (ii) when the specific service security policy is the second whitelist mode, the destination IP address or the service port of the packet for which the third forwarding is performed is registered in the whitelist. If it is confirmed that the destination IP address or the service port is registered in the whitelist, the third forwarding for the packet is allowed, and the destination IP address or the service port is whitelisted. If it is confirmed that it is not registered in the list, the third forwarding for the packet can be blocked.

상기 다른 실시예에서, 상기 프로세서는, 상기 패킷에 대한 상기 제3 포워딩을 차단한 경우, 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 네트워크 컨트롤러로 전송하여 상기 네트워크 컨트롤러로 하여금 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 참조하여 상기 특정 마이크로 세그먼테이션에 대응되는 상기 특정 사용자 보안 정책 및 상기 특정 서비스 보안 정책 중 적어도 하나를 업데이트할 수 있도록 하거나, 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 상기 특정 마이크로 세그먼테이션을 재설정할 수 있도록 할 수 있다.In the other embodiment, when the third forwarding of the packet is blocked, the processor transmits information related to the packet for which the third forwarding has been blocked to the network controller to enable the network controller to block the third forwarding. By referring to the information related to the blocked packet, at least one of the specific user security policy and the specific service security policy corresponding to the specific micro-segmentation can be updated, or the information corresponding to the specific port of the specific access switch can be updated. The specific micro segmentation can be reset.

상기 다른 실시예에서, 상기 프로세서는, 상기 (II) 프로세스에서, 상기 제1 포워딩이 수행되는 상기 패킷이 ARP 패킷일 경우, 상기 패킷에 대한 상기 제3 포워딩을 수행하지 않고, 상기 패킷을 상기 특정 액세스 스위치의 상기 특정 포트를 제외한 나머지 포트들로 플러딩할 수 있다.In the other embodiment, in the process (II), if the packet for which the first forwarding is performed is an ARP packet, the processor does not perform the third forwarding for the packet and forwards the packet to the specific Flooding can be done to the remaining ports of the access switch except for the specific port.

상기 다른 실시예에서, 상기 프로세서는, (III) 상기 제3 포워딩이 수행되는 상기 패킷을 보안모듈로 전송하여 상기 보안모듈로 하여금 상기 패킷을 분석하여 상기 패킷이 비정상 패킷인지 확인하도록 하며, 상기 패킷이 비정상 패킷인 것으로 확인되면, 상기 패킷에 대한 상기 제3 포워딩을 차단하는 프로세스를 더 수행할 수 있다.In the other embodiment, the processor, (III) transmits the packet on which the third forwarding is performed to a security module to have the security module analyze the packet to determine whether the packet is an abnormal packet, and If it is confirmed that this is an abnormal packet, a process of blocking the third forwarding for the packet can be further performed.

이 외에도, 본 발명의 방법을 실행하기 위한 컴퓨터 프로그램을 기록하기 위한 컴퓨터 판독 가능한 기록 매체가 더 제공된다.In addition, a computer-readable recording medium for recording a computer program for executing the method of the present invention is further provided.

본 발명에 의하면, 제로 트러스트 보안을 위한 네트워크의 보안 모델을 저비용으로 빠른 시간 내에 구현할 수 있게 된다.According to the present invention, a network security model for zero trust security can be implemented quickly and at low cost.

본 발명에 의하면, 제로 트러스트 보안을 위한 네트워크의 보안 모델을 보다 간단하게 구현할 수 있게 된다.According to the present invention, it is possible to more simply implement a network security model for zero trust security.

본 발명에 의하면, 제로 트러스트 보안을 위한 네트워크의 보안 모델을 저비용으로 관리할 수 있게 된다.According to the present invention, it is possible to manage a network security model for zero trust security at low cost.

본 발명에 의하면, 제로 트러스트 보안을 위한 네트워크의 보안 모델을 적용함에 따른 사용자의 경험 저하를 방지할 수 있게 된다.According to the present invention, it is possible to prevent deterioration in user experience due to applying a network security model for zero trust security.

본 발명의 실시예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시예들 중 단지 일부일 뿐이며, 본 발명이 속한 기술분야에서 통상의 지식을 가진 자(이하 "통상의 기술자")에게 있어서는 발명적 작업이 이루어짐 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 액세스 스위치를 개략적으로 도시한 것이며,
도 2는 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법을 개략적으로 도시한 것이다.
도 3은 본 발명의 일 실시예에 따라 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 관리하는 네트워크를 개략적으로 도시한 것이다.
The following drawings attached for use in explaining embodiments of the present invention are only some of the embodiments of the present invention, and to those skilled in the art (hereinafter “those skilled in the art”), the invention Other drawings can be obtained based on these drawings without further work being done.
Figure 1 schematically shows an access switch that manages a network using micro-segmentation for zero trust security according to an embodiment of the present invention.
Figure 2 schematically shows a method of managing a network using micro-segmentation for zero trust security according to an embodiment of the present invention.
Figure 3 schematically shows a network managed using micro-segmentation for zero trust security according to an embodiment of the present invention.

후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 본 발명의 정신과 범위를 벗어나지 않으면서 일 실시예로부터 다른 실시예로 변경되어 구현될 수 있다. 또한, 각각의 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신과 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 특허청구범위의 청구항들이 청구하는 범위 및 그와 균등한 모든 범위를 포괄하는 것으로 받아들여져야 한다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 구성요소를 나타낸다.The detailed description of the present invention described below refers to the accompanying drawings, which show by way of example specific embodiments in which the present invention may be practiced. These embodiments are described in sufficient detail to enable those skilled in the art to practice the invention. It should be understood that the various embodiments of the invention are different from one another but are not necessarily mutually exclusive. For example, specific shapes, structures and characteristics described herein may be implemented with changes from one embodiment to another without departing from the spirit and scope of the invention. Additionally, it should be understood that the location or arrangement of individual components within each embodiment may be changed without departing from the spirit and scope of the present invention. Accordingly, the detailed description set forth below is not intended to be taken in a limiting sense, and the scope of the present invention should be taken to encompass the scope claimed by the claims and all equivalents thereof. Like reference numbers in the drawings indicate identical or similar elements throughout various aspects.

이하에서는, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 여러 바람직한 실시예에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.Hereinafter, several preferred embodiments of the present invention will be described in detail with reference to the attached drawings in order to enable those skilled in the art to easily practice the present invention.

도 1은 본 발명의 일 실시예에 따른 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 액세스 스위치를 개략적으로 도시한, 액세스 스위치(1000)는 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하기 위한 인스트럭션들이 저장된 메모리(1100)와, 메모리(1100)에 저장된 인스트럭션들에 따라 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 동작을 수행하는 프로세서(1200)를 포함할 수 있다.1 schematically shows an access switch that manages a network using micro-segmentation for zero trust security according to an embodiment of the present invention. The access switch 1000 manages the network using micro-segmentation for zero trust security. It may include a memory 1100 in which instructions for managing are stored, and a processor 1200 that performs an operation of managing a network using micro-segmentation for zero trust security according to the instructions stored in the memory 1100. .

구체적으로, 액세스 스위치(1000)는 전형적으로 컴퓨팅 장치(예컨대, 컴퓨터 프로세서, 메모리, 스토리지, 입력 장치 및 출력 장치, 기타 기존의 컴퓨팅 장치의 구성요소들을 포함할 수 있는 장치; 라우터, 스위치 등과 같은 전자 통신 장치; 네트워크 부착 스토리지(NAS) 및 스토리지 영역 네트워크(SAN)와 같은 전자 정보 스토리지 시스템)와 컴퓨터 소프트웨어(즉, 컴퓨팅 장치로 하여금 특정의 방식으로 기능하게 하는 인스트럭션들)의 조합을 이용하여 원하는 시스템 성능을 달성하는 것일 수 있으나, 이에 한정되는 것은 아니다.Specifically, access switch 1000 is typically a computing device (e.g., a device that may include a computer processor, memory, storage, input and output devices, and other components of a traditional computing device; electronic devices such as routers, switches, etc. The desired system utilizes a combination of communication devices (electronic information storage systems, such as network attached storage (NAS) and storage area networks (SAN)) and computer software (i.e., instructions that cause a computing device to function in a particular manner). This may be to achieve performance, but is not limited to this.

또한, 컴퓨팅 장치의 프로세서는 MPU(Micro Processing Unit) 또는 CPU(Central Processing Unit), 캐쉬 메모리(Cache Memory), 데이터 버스(Data Bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 컴퓨팅 장치는 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.Additionally, the processor of the computing device may include hardware components such as a Micro Processing Unit (MPU) or Central Processing Unit (CPU), cache memory, and data bus. Additionally, the computing device may further include an operating system and a software component of an application that performs a specific purpose.

그러나, 컴퓨팅 장치가 본 발명을 실시하기 위한 미디엄, 프로세서 및 메모리가 통합된 형태인 integrated 프로세서를 포함하는 경우를 배제하는 것은 아니다.However, this does not exclude the case where the computing device includes an integrated processor in which a medium, processor, and memory are integrated for implementing the present invention.

한편, 액세스 스위치(1000)의 프로세서(1200)는 메모리(1100)에 저장된 인스트럭션들에 따라, 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 패킷의 이더넷 헤드에서, 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 특정 액세스 스위치의 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 소스 MAC 어드레스가 MAC 테이블에 등록되도록 하며, 소스 MAC 어드레스가 MAC 테이블에 등록된 상태에서, 소스 MAC 어드레스가 특정 사용자 보안 정책을 만족하는지 확인하고, 소스 MAC 어드레스가 특정 사용자 보안 정책을 만족하는 경우 패킷에 대한 제2 포워딩을 수행하는 프로세스, 및 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 소스 IP 어드레스가 라우팅 테이블에 등록되어 있지 않은 경우에는 소스 IP 어드레스가 라우팅 테이블에 등록되도록 하고, 소스 IP 어드레스가 라우팅 테이블에 등록된 상태에서 패킷에 대한 제3 포워딩을 수행하며, 패킷의 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 데스티네이션 IP 어드레스 또는 서비스 포트가 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 제3 포워딩이 수행되는 패킷을 필터링하는 프로세스를 수행할 수 있다.Meanwhile, when the processor 1200 of the access switch 1000 performs the first forwarding of the packet transmitted to a specific port among the ports of the access switch according to the instructions stored in the memory 1100, the Ethernet head of the packet , obtain the source MAC address corresponding to the specific network device that transmitted the packet, check whether the source MAC address is registered in the MAC address table, and if the source MAC address is not registered in the MAC address table, the access switch Among the micro-segments in which each port is grouped and classified according to the network security policy for zero trust security, the source MAC address is determined by referring to the specific user security policy set in the specific micro-segmentation corresponding to the specific port of the specific access switch. Registered in the MAC table, and with the source MAC address registered in the MAC table, check whether the source MAC address satisfies a specific user security policy, and if the source MAC address satisfies the specific user security policy, a second A process that performs forwarding, and obtains the source IP address from the IP head of the packet, checks whether the source IP address is registered in the routing table, and if the source IP address is not registered in the routing table, the source IP address is routed. register in the table, perform third forwarding for the packet with the source IP address registered in the routing table, obtain the destination IP address or service port from the IP head of the packet, and obtain the destination IP address or service port A process of filtering packets for which third forwarding is performed can be performed by checking whether the service satisfies a specific service security policy set for a specific micro-segmentation.

이와 같이 구성된 본 발명의 일 실시예에 따른 액세스 스위치를 이용하여 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법을 도 2를 참조하여 설명하면 다음과 같다.A method of managing a network using micro-segmentation for zero trust security using an access switch according to an embodiment of the present invention configured as described above will be described with reference to FIG. 2 as follows.

먼저, 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들을 관리하는 네트워크 컨트롤러는, 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들을 설정할 수 있다. 즉, 네트워크 컨트롤러는 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 액세스 스위치 및 포트의 페어로 구분하여 마이크로 세그먼테이션들을 설정할 수 있으며, 설정된 마이크로 세그먼테이션들 각각에 대하여 제로 트러스트 보안을 위한 각각의 사용자 보안 정책을 설정할 수 있으며, 설정된 마이크로 세그먼테이션 및 사용자 보안 정책은 아래의 표 1과 같이 나타내어질 수 있다.First, the network controller that manages the access switches that allow network devices to communicate with each other within the network sets micro-segments that group each port of the access switches according to a network security policy for zero trust security. You can. In other words, the network controller can set micro-segments by dividing them into pairs of access switches and ports according to the network security policy for zero trust security, and set each user security policy for zero trust security for each of the set micro-segments. The set micro-segmentation and user security policies can be shown in Table 1 below.

마이크로
세그먼테이션
Micro
Segmentation
사용자 보안 정책User Security Policy 스위치switch 포트port 네트워크 디바이스network device
디폴트default 제1 블랙리스트 모드1st blacklist mode 설정되지 않은
스위치들
not set
switches
설정되지 않은
포트들
not set
ports
AA 제1 블랙리스트 모드1st blacklist mode 스위치 S1Switch S1 GE1-10GE1-10 BB 제1 화이트리스트 모드1st whitelist mode 스위치 S2switch S2 GE1-2GE1-2 CC 제1 화이트리스트 모드1st whitelist mode 스위치 S2switch S2 GE3GE3 스위치 S3switch s3 GE1GE1 DD 제1 화이트리스트 모드1st whitelist mode 라우터router GE1-10GE1-10

상기 표 1에 따르면, 스위치 S1의 포트 GE1 내지 포트 GE10는 마이크로 세그먼테이션 A로 설정될 수 있고, 스위치 S2의 포트 GE1 및 포트 GE2는 마이크로 세그먼테이션 B로 설정될 수 있으며, 스위치 S2의 포트 GE3 및 스위치 S3의 포트 GE1는 마이크로 세그먼테이션 C로 설정될 수 있고, 라우터의 포트 GE1 내지 포트 GE10은 마이크로 세그먼테이션 D로 설정될 수 있다. 그리고, 지정되지 않은 스위치 및 포트 페어들은 디폴트로 설정될 수 있다.According to Table 1 above, port GE1 to port GE10 of switch S1 can be set to micro segmentation A, port GE1 and port GE2 of switch S2 can be set to micro segmentation B, and port GE3 of switch S2 and port GE3 of switch S3. Port GE1 of can be set to micro segmentation C, and port GE1 to port GE10 of the router can be set to micro segmentation D. And, unspecified switches and port pairs can be set as default.

그리고, 네트워크 컨트롤러는 마이크로 세그먼테이션들 각각에 대하여 각각의 사용자 보안 정책을 설정할 수 있다.And, the network controller can set each user security policy for each micro segmentation.

일 예로, 상기 표 1에 따르면, 마이크로 세그먼테이션 A에는 제1 블랙리스트 모드가 설정될 수 있고, 마이크로 세그먼테이션 B에는 제1 화이트리스트 모드가 설정될 수 있으며, 마이크로 세그먼테이션 C에는 제1 화이트리스트 모드가 설정될 수 있고, 마이크로 세그먼테이션 D에는 제1 화이트리스트 모드가 설정될 수 있다. 그리고, 디폴트에는 제1 블랙리스트 모드가 설정될 수 있다. 이때, 제1 블랙리스트 모드는 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 인에이블하고, 러닝된 MAC 어드레스들을 포워딩하되, 블랙리스트로 등록된 MAC 어드레스들만 드롭시키는 사용자 보안 정책일 수 있으며, 제1 화이트리스트 모드는 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 디스에이블하고, 화이트리스트로 등록된 MAC 어드레스들만 MAC 어드레스 테이블에 등록하여 포워딩되도록 하되, 나머지 MAC 어드레스들은 드롭시키는 사용자 보안 정책일 수 있다.As an example, according to Table 1 above, the first blacklist mode may be set in micro segmentation A, the first white list mode may be set in micro segmentation B, and the first white list mode may be set in micro segmentation C. It can be, and the first whitelist mode can be set in micro segmentation D. And, the first blacklist mode can be set as default. At this time, the first blacklist mode may be a user security policy that enables MAC address learning for all MAC addresses, forwards learned MAC addresses, and drops only MAC addresses registered as a blacklist, and the first white The list mode may be a user security policy that disables MAC address learning for all MAC addresses, registers only whitelisted MAC addresses in the MAC address table and forwards them, but drops the remaining MAC addresses.

이에 더하여, 네트워크 컨트롤러는 마이크로 세그먼테이션들 각각에 대하여 각각의 서비스 보안 정책을 설정할 수 있다. 일 예로, 마이크로 세그먼테이션들 각각에 서비스 보안 정책을 설정한 상태는 다음의 표 2와 같이 나타내어질 수 있다.In addition, the network controller can set each service security policy for each micro segmentation. As an example, the status of setting the service security policy for each micro segmentation can be shown in Table 2 below.

마이크로
세그먼테이션
Micro
Segmentation
서비스 보안 그룹service security group 서비스 보안 정책Service Security Policy 서비스 IP 또는 포트Service IP or port
디폴트default NoneNone AA IIII 제2 블랙리스트 모드2nd blacklist mode TELENTFTP
SV1-SV5
TELENTFTP
SV1-SV5
BB IIII 제2 블랙리스트 모드2nd blacklist mode TELENTFTP
SV1-SV5
TELENTFTP
SV1-SV5
CC II 제2 화이트리스트 모드Second whitelist mode SV1
SV2 & SSH
SV3 & :8080, SSH
HTTPS
SV1
SV2 & SSH
SV3 & :8080, SSH
HTTPS
DD IIIIII 제2 화이트리스트 모드Second whitelist mode SSH
SFTP
SSH
SFTP

상기 표 2에 따르면, 마이크로 세그먼테이션 A와 마이크로 세그먼테이션 B에는 서비스 보안 정책으로 제2 블랙리스트 모드가 설정되고, 서비스 IP 또는 포트로 TELENT, FTP, SV1-SV5가 등록된 서비스 보안 그룹 II가 설정될 수 있으며, 마이크로 세그먼테이션 C에는 서비스 보안 정책으로 제2 화이트리스트 모드가 설정되고, 서비스 IP 또는 포트로 SV1, “SV2 & SSH”, “SV3 & :8080, SSH”, HTTPS가 등록된 서비스 보안 그룹 I이 설정될 수 있고, 마이크로 세그먼테이션 D에는 서비스 보안 정책으로 제2 화이트리스트 모드가 설정되고, 서비스 IP 또는 포트로 SSH, SFTP가 등록된 서비스 보안 그룹 III가 설정될 수 있다. 이때, 제2 블랙리스트 모드는 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 포워딩하도록 하는 서비스 보안 정책일 수 있으며, 제2 화이트리스트 모드는 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 드롭시키는 서비스 보안 정책일 수 있다.According to Table 2 above, in micro-segmentation A and micro-segmentation B, a second blacklist mode can be set as a service security policy, and service security group II with TELENT, FTP, and SV1-SV5 registered as service IPs or ports can be set. In micro-segmentation C, the second whitelist mode is set as the service security policy, and service security group I has SV1, “SV2 & SSH”, “SV3 & :8080, SSH”, and HTTPS registered as the service IP or port. It can be set, and in micro segmentation D, a second whitelist mode can be set as a service security policy, and service security group III with SSH and SFTP registered as a service IP or port can be set. At this time, the second blacklist mode may be a service security policy that forwards the remaining destination IP addresses or service ports except the set destination IP address or set service port, and the second whitelist mode may be a service security policy that forwards the set destination IP address or the remaining service port. Alternatively, it may be a service security policy that drops the remaining destination IP addresses or remaining service ports except for the set service port.

그리고, 네트워크 컨트롤러는 마이크로 세그먼테이션 별로 설정된 사용자 보안 정책 및 서비스 보안 정책을 각각의 액세스 스위치들로 전송하여 액세스 스위치들 각각으로 하여금 마이크로 세그먼테이션 별로 설정된 사용자 보안 정책 및 서비스 보안 정책에 따라 패킷을 처리할 수 있도록 할 수 있다.Additionally, the network controller transmits the user security policy and service security policy set for each micro-segmentation to each access switch so that each of the access switches can process packets according to the user security policy and service security policy set for each micro-segmentation. can do.

이와 같은 상태에서, 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 각각은, ARP(Address Resolution Protocol) 필터를 통해 자신의 포트들로 송신되는 패킷들에서 ARP 패킷을 필터링하여 각각 자신의 보안모듈로 전송함으로써 액세스 스위치들 각각에서의 각각의 보안모듈들은 ARP 패킷을 분석하여 각각의 포터들에 연결된 네트워크 디바이스들을 검출하고, 검출된 네트워크 디바이스들의 정보를, 액세스 스위치들을 관리하는 네트워크 컨트롤러로 전송하여 줄 수 있다. 그러면, 네트워크 컨트롤러는 네트워크 보안 정책에 따라 액세스 스위치 및 포트의 페어로 구분하여 설정된 마이크로 세그먼테이션들을 참조하여, 네트워크 디바이스들 각각이 결합된 포트들 각각에 대응되는 마이크로 세그먼테이션들 각각에 네트워크 디바이스들을 각각의 사용자 보안 정책에 따라 등록(S100)하여 줄 수 있다.In this state, each of the access switches that allows network devices to communicate with each other within the network filters ARP packets from packets transmitted to its ports through an ARP (Address Resolution Protocol) filter, and each access switch uses its own By transmitting to the security module, each security module in each of the access switches analyzes the ARP packet, detects network devices connected to each port, and transmits the information on the detected network devices to the network controller that manages the access switches. It can be done. Then, the network controller refers to the micro-segments established by dividing into pairs of access switches and ports according to the network security policy, and assigns network devices to each user in each of the micro-segments corresponding to each port to which each of the network devices is connected. It can be registered (S100) according to the security policy.

이에 대하여 도 3을 참조하여 네트워크 컨트롤러가 마이크로 세그먼테이션들을 설정하는 과정을 좀 더 자세히 설명하면 다음과 같다.Regarding this, the process by which the network controller sets up micro-segments is described in more detail with reference to FIG. 3 as follows.

네트워크 내에 위치하는 액세스 스위치들인 무선 허브, 라우터, 스위치 S1, 스위치 S2, 및 스위치 S3 각각의 포트들에 물리적으로 연결된 네트워크 디바이스들은 다음의 표 3과 같이 검출될 수 있다.Network devices physically connected to ports of each of the access switches located within the network, such as a wireless hub, router, switch S1, switch S2, and switch S3, can be detected as shown in Table 3 below.

네트워크 디바이스network device 스위치switch 포트port MAC 어드레스MAC address IP 어드레스IP address W01W01 무선 허브wireless hub 00:00:00:00:00:0100:00:00:00:00:01 192.168.201.1192.168.201.1 W02W02 무선 허브wireless hub 00:00:00:00:00:0200:00:00:00:00:02 192.168.201.2192.168.201.2 M01M01 스위치 S1Switch S1 GE1GE1 00:00:00:00:00:0300:00:00:00:00:03 192.168.202.1192.168.202.1 M02M02 스위치 S1Switch S1 GE2GE2 00:00:00:00:00:0400:00:00:00:00:04 192.168.202.2192.168.202.2 M03M03 스위치 S1Switch S1 GE3GE3 00:00:00:00:00:0500:00:00:00:00:05 192.168.202.3192.168.202.3 M04M04 스위치 S2switch S2 GE1GE1 00:00:00:00:00:0600:00:00:00:00:06 192.168.202.4192.168.202.4 M05M05 스위치 S2switch S2 GE2GE2 00:00:00:00:00:0700:00:00:00:00:07 192.168.202.5192.168.202.5 M06M06 스위치 S2switch S2 GE3GE3 00:00:00:00:00:0800:00:00:00:00:08 192.168.202.6192.168.202.6 M07M07 스위치 S3switch s3 GE1GE1 00:00:00:00:00:0900:00:00:00:00:09 192.168.202.7192.168.202.7 SV1SV1 라우터router GE1GE1 00:00:00:00:00:1000:00:00:00:00:10 192.168.203.1192.168.203.1 SV2SV2 라우터router GE2GE2 00:00:00:00:00:1100:00:00:00:00:11 192.168.203.2192.168.203.2 SV3SV3 라우터router GE3GE3 00:00:00:00:00:1200:00:00:00:00:12 192.168.203.3192.168.203.3 SV4SV4 라우터router GE4GE4 00:00:00:00:00:1300:00:00:00:00:13 192.168.203.4192.168.203.4 SV5SV5 라우터router GE5GE5 00:00:00:00:00:1400:00:00:00:00:14 192.168.203.5192.168.203.5 SV6SV6 라우터router GE6GE6 00:00:00:00:00:1500:00:00:00:00:15 192.168.203.6192.168.203.6

이때, 검출된 네트워크 디바이스들의 정보는, 네트워크 디바이스들 각각이 연결된 해당 액세스 스위치의 해당 포트와, 네트워크 디바이스들 각각에 대한 MAC 어드레스와 IP 어드레스를 포함할 수 있다.At this time, the information on the detected network devices may include the corresponding port of the access switch to which each of the network devices is connected, and the MAC address and IP address for each of the network devices.

그러면, 네트워크 컨트롤러는, 액세스 스위치 및 포트의 페어들을 네트워크 보안 정책에 따라 그룹핑하여 설정한 마이크로 세그먼테이션들에 해당하는 각각의 네트워크들을 각각의 사용자 보안 정책에 따라 등록하여 줄 수 있으며, 예를 들면 다음의 표 4와 같이 나타내어질 수 있다.Then, the network controller can group pairs of access switches and ports according to network security policies and register each network corresponding to the set micro-segments according to each user security policy, for example: It can be expressed as Table 4.

마이크로
세그먼테이션
Micro
Segmentation
사용자 보안 정책User Security Policy 스위치switch 포트port 네트워크 디바이스network device
디폴트default 제1 블랙리스트 모드1st blacklist mode 설정되지 않은
스위치들
not set
switches
설정되지 않은
포트들
not set
ports
AA 제1 블랙리스트 모드1st blacklist mode 스위치 S1Switch S1 GE1-10GE1-10 BB 제1 화이트리스트 모드1st whitelist mode 스위치 S2switch S2 GE1-2GE1-2 M04M04 CC 제1 화이트리스트 모드1st whitelist mode 스위치 S2switch S2 GE3GE3 M06
M07
M06
M07
스위치 S3switch s3 GE1GE1 DD 제1 화이트리스트 모드1st whitelist mode 라우터router GE1-10GE1-10 SV1
SV2
SV3
SV4
SV5
SV1
SV2
SV3
SV4
SV5

즉, 네트워크 컨트롤러는 마이크로 세그먼테이션들 각각에 대하여 각각의 블랙리스트 또는 화이트리스트에 대응되는 네트워크 디바이스들을 등록하여 줄 수 있다.That is, the network controller can register network devices corresponding to each blacklist or whitelist for each micro segmentation.

일 예로, 상기 표 4에 따르면, 마이크로 세그먼테이션 B에는 네트워크 디바이스 M04, 마이크로 세그먼테이션 C에는 네트워크 디바이스 M06 및 M07, 마이크로 세그먼테이션 D에는 네트워크 디바이스 SV1 내지 SV5가 등록된 상태일 수 있으며, 이들 네트워크 디바이스 리스트는 사용자 보안 정책에 대응되어 블랙리스트가 될 수도 있고, 화이트리스트가 될 수도 있다. 즉, 사용자 보안 정책이 제1 블랙리스트 모드일 경우에는 네트워크 디바이스 리스트는 블랙리스트가 될 수 있으며, 사용자 보안 정책이 제1 화이트리스트 모드일 경우에는 네트워크 디바이스 리스트가 화이트리스트가 될 수 있다. 예를 들면, 라우터의 포트 GE1 내지 GE10에 대하여, 제1 화이트리스트 모드로 설정된 마이크로 세그먼테이션 D에서, 라우터의 포트 GE6에 연결된 서버 SV6은 통신이 허용되지 않은 네트워크 디바이스이므로 네트워크 디바이스 리스트에서 제외되었음을 알 수 있다. 또한, 스위치 S2의 포트 GE1과 포트 GE2에 대하여, 제1 화이트리스트 모드로 설정된 마이크로 세그먼테이션 B에서, 스위치 S2의 포트 GE2에 연결된 네트워크 디바이스 M05는 통신이 허용되지 않은 네트워크 디바이스이므로 네트워크 디바이스 리스트에서 제외되었음을 알 수 있다.For example, according to Table 4 above, network device M04 may be registered in micro-segmentation B, network devices M06 and M07 may be registered in micro-segmentation C, and network devices SV1 to SV5 may be registered in micro-segmentation D, and the list of these network devices may be registered by the user. Depending on the security policy, it may be a blacklist or a whitelist. That is, when the user security policy is in the first blacklist mode, the network device list can be a blacklist, and when the user security policy is in the first whitelist mode, the network device list can be a whitelist. For example, for ports GE1 to GE10 of the router, in micro-segmentation D set to the first whitelist mode, it can be seen that server SV6 connected to port GE6 of the router is excluded from the network device list because it is a network device that is not allowed to communicate. there is. In addition, with respect to port GE1 and port GE2 of switch S2, in micro segmentation B set to the first whitelist mode, the network device M05 connected to port GE2 of switch S2 is a network device that is not allowed to communicate and is therefore excluded from the network device list. Able to know.

다시 도 2를 참조하면, 이와 같은 상태에서, 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 중 어느 하나인 특정 액세스 스위치(1000)는 특정 포트에 송신된 패킷의 소스 MAC 어드레스를 확인하고, 특정 포트에 대응하는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책에 따라 MAC 러닝을 수행(S200)할 수 있다. 이는 네트워크 디바이스인 호스트와 직접 연결되어 있는 액세스 스위치를 통해 제로 트러스트 보안을 위한 네트워크의 보안 모델에 따라, 네트워크에 접근하고자 하는 연결 장비에 대한 접근 제어를 수행하는 것일 수 있다.Referring again to FIG. 2, in this state, a specific access switch 1000, which is one of the access switches that allow network devices to communicate with each other within the network, checks the source MAC address of a packet transmitted to a specific port. And, MAC learning can be performed (S200) according to a specific user security policy set in a specific micro-segmentation corresponding to a specific port. This may be to perform access control on connected devices trying to access the network according to the network security model for zero trust security through an access switch directly connected to the host, which is a network device.

즉, 특정 액세스 스위치(1000)는 특정 액세스 스위치(1000)의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 패킷의 이더넷 헤드에서, 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득할 수 있다. 그리고, 특정 액세스 스위치(1000)는 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 특정 액세스 스위치의 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되도록 하며, 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록된 상태에서, 소스 MAC 어드레스가 특정 사용자 보안 정책을 만족하는지 확인하고, 소스 MAC 어드레스가 특정 사용자 보안 정책을 만족하는 경우 패킷에 대한 제2 포워딩을 수행할 수 있다. 즉, 특정 액세스 스위치(1000)는 특정 포트에 대하여 설정된 특정 사용자 보안 정책에 따라 L2 프로세스를 수행할 수 있다.That is, when the first forwarding is performed on a packet transmitted to a specific port among the ports of the specific access switch 1000, the Ethernet head of the packet corresponds to the specific network device that transmitted the packet. , the source MAC address can be obtained. In addition, the specific access switch 1000 checks whether the source MAC address is registered in the MAC address table and, if the source MAC address is not registered in the MAC address table, zero trust security for each port of the access switches. Among the micro-segments grouped and classified according to the network security policy for With the address registered in the MAC address table, it can be checked whether the source MAC address satisfies a specific user security policy, and if the source MAC address satisfies the specific user security policy, second forwarding of the packet can be performed. That is, the specific access switch 1000 can perform the L2 process according to the specific user security policy set for the specific port.

일 예로, 특정 액세스 스위치의 특정 포트에 대한 특정 사용자 보안 정책이 제1 블랙리스트 모드일 경우, 특정 액세스 스위치(1000)는, MAC 어드레스 러닝이 인에이블된 상태에서, 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인할 수 있다. 그리고, 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 특정 액세스 스위치(1000)는 패킷에 대한 제2 포워딩을 차단하며, 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 패킷에 대한 제2 포워딩을 수행할 수 있다.For example, when the specific user security policy for a specific port of a specific access switch is the first blacklist mode, the specific access switch 1000, with MAC address learning enabled, enters the source MAC address in the MAC address table. If it is confirmed that the source MAC address is registered in the MAC address table as a result of checking whether it is registered, it can be confirmed whether the source MAC address is registered in the blacklist. And, if the source MAC address is registered in the blacklist, the specific access switch 1000 blocks the second forwarding of the packet, and if the source MAC address is not registered in the blacklist, the specific access switch 1000 can perform the second forwarding of the packet. there is.

또한, 특정 액세스 스위치(1000)는 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, MAC 어드레스 러닝을 통해 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되도록 하며, 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인할 수 있다. 그리고, 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 특정 액세스 스위치(1000)는, 패킷에 대한 제2 포워딩을 차단하고, 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 패킷에 대한 제2 포워딩을 수행할 수 있다.In addition, the specific access switch 1000 checks whether the source MAC address is registered in the MAC address table. If it is confirmed that the source MAC address is not registered in the MAC address table, the source MAC address is converted to the MAC address through MAC address learning. It is registered in the table, and you can check whether the source MAC address is registered in the blacklist. And, if the source MAC address is registered in the blacklist, the specific access switch 1000 blocks the second forwarding of the packet, and if the source MAC address is not registered in the blacklist, the specific access switch 1000 performs the second forwarding of the packet. You can.

다른 예로, 특정 액세스 스위치의 특정 포트에 대한 특정 사용자 보안 정책이 제1 화이트리스트 모드일 경우, 특정 액세스 스위치(1000)는, MAC 어드레스 러닝이 디스에이블된 상태에서, 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 패킷에 대한 제2 포워딩을 수행할 수 있다.As another example, when the specific user security policy for a specific port of a specific access switch is the first whitelist mode, the specific access switch 1000, with MAC address learning disabled, enters the source MAC address in the MAC address table. If it is confirmed that the source MAC address is registered in the MAC address table as a result of checking whether it is registered, second forwarding of the packet can be performed.

또한, 특정 액세스 스위치(1000)는 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 소스 MAC 어드레스가 화이트리스트에 등록되어 있는지를 확인할 수 있다. 그리고, 소스 MAC 어드레스가 화이트리스트에 등록되어 있으면 특정 액세스 스위치(1000)는 소스 MAC 어드레스를 MAC 어드레스 테이블을 등록하고 패킷에 대한 상기 제2 포워딩을 수행할 수 있으며, 소스 MAC 어드레스가 화이트리스트에 등록되어 있지 않으면 패킷에 대한 제2 포워딩을 차단할 수 있다.In addition, the specific access switch 1000 checks whether the source MAC address is registered in the MAC address table, and if it is determined that the source MAC address is not registered in the MAC address table, it determines whether the source MAC address is registered in the whitelist. You can check it. And, if the source MAC address is registered in the whitelist, the specific access switch 1000 can register the source MAC address in the MAC address table and perform the second forwarding for the packet, and if the source MAC address is registered in the whitelist If not, the second forwarding of the packet may be blocked.

다음으로, 특정 액세스 스위치(1000)는 패킷의 IP 어드레스를 확인하고, 소스 IP 어드레스가 라우팅 테이블에 등록되어 있지 않으면 소스 IP 어드레스를 라우팅 테이블에 등록(S300)할 수 있다.Next, the specific access switch 1000 may check the IP address of the packet and, if the source IP address is not registered in the routing table, register the source IP address in the routing table (S300).

즉, 특정 액세스 스위치(1000)는 제2 포워딩이 수행된 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 소스 IP 어드레스가 라우팅 테이블에 등록되어 있지 않은 경우에는 소스 IP 어드레스가 라우팅 테이블에 등록되도록 하고, 소스 IP 어드레스가 라우팅 테이블에 등록된 상태에서 패킷에 대한 제3 포워딩을 수행할 수 있다.That is, the specific access switch 1000 obtains the source IP address from the IP head of the packet on which the second forwarding was performed, checks whether the source IP address is registered in the routing table, and determines whether the source IP address is registered in the routing table. If not, the source IP address can be registered in the routing table, and third forwarding of the packet can be performed while the source IP address is registered in the routing table.

한편, 특정 액세스 스위치(1000)는 제2 포워딩이 수행된 패킷의 IP 헤드를 분석한 결과, 제2 포워딩이 수행된 패킷이 ARP 패킷인 것으로 확인되면, 패킷에 대한 제3 포워딩을 수행하지 않고, 패킷을 특정 액세스 스위치의 특정 포트를 제외한 나머지 포트들로 플러딩하여 줄 수 있다.Meanwhile, when the specific access switch 1000 analyzes the IP head of the second forwarded packet and determines that the second forwarded packet is an ARP packet, it does not perform third forwarding on the packet. Packets can be flooded to ports other than the specific port of a specific access switch.

다음으로, 특정 액세스 스위치(1000)는 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책에 따라 패킷을 필터링(S400)할 수 있다. 이는 네트워크 디바이스인 호스트와 직접 연결되어 있는 액세스 스위치를 통해 제로 트러스트 보안을 위한 네트워크의 보안 모델에 따라, 연결 장비에 대한 접근 제어가 허용된 호스트에 대한 서비스 접근 제어를 수행하는 것일 수 있다.Next, the specific access switch 1000 may filter packets (S400) according to a specific service security policy set for specific micro-segmentation. This may be to perform service access control on hosts that are allowed to control access to connected equipment according to the network security model for zero trust security through an access switch directly connected to the host, which is a network device.

즉, 특정 액세스 스위치(1000)는 제3 포워딩이 수행되는 패킷의 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 데스티네이션 IP 어드레스 또는 서비스 포트가 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 제3 포워딩이 수행되는 패킷을 필터링할 수 있다.That is, the specific access switch 1000 obtains the destination IP address or service port from the IP head of the packet for which third forwarding is performed, and the destination IP address or service port satisfies the specific service security policy set for the specific micro segmentation. By checking whether 3rd party forwarding is performed, packets on which 3rd forwarding is performed can be filtered.

일 예로, 특정 서비스 보안 정책이 제2 블랙리스트 모드일 경우에는, 특정 액세스 스위치(1000)는, 제3 포워딩이 수행되는 패킷의 데스티네이션 IP 어드레스 또는 서비스 포트가 블랙리스트에 등록되어 있는지를 확인할 수 있다. 그리고, 특정 액세스 스위치(1000)는 데스티네이션 IP 어드레스 또는 서비스 포트가 블랙리스트에 등록되어 있는 것으로 확인되는 경우에는 패킷에 대한 제3 포워딩을 차단하고, 데스티네이션 IP 어드레스 또는 서비스 포트가 블랙리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 패킷에 대한 제3 포워딩을 허여할 수 있다.For example, when the specific service security policy is in the second blacklist mode, the specific access switch 1000 can check whether the destination IP address or service port of the packet for which third forwarding is performed is registered in the blacklist. there is. In addition, if it is confirmed that the destination IP address or service port is registered in the blacklist, the specific access switch 1000 blocks third forwarding for the packet and registers the destination IP address or service port in the blacklist. If it is confirmed that it is not, third forwarding of the packet can be permitted.

다른 예로, 특정 서비스 보안 정책이 제2 화이트리스트 모드일 경우에는, 특정 액세스 스위치(1000)는, 제3 포워딩이 수행되는 패킷의 데스티네이션 IP 어드레스 또는 서비스 포트가 화이트리스트에 등록되어 있는지를 확인할 수 있다. 그리고, 특정 액세스 스위치(1000)는 데스티네이션 IP 어드레스 또는 서비스 포트가 화이트리스트에 등록되어 있는 것으로 확인되는 경우에는 패킷에 대한 제3 포워딩을 허여하고, 데스티네이션 IP 어드레스 또는 서비스 포트가 화이트리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 패킷에 대한 제3 포워딩을 차단할 수 있다.As another example, when the specific service security policy is in the second whitelist mode, the specific access switch 1000 can check whether the destination IP address or service port of the packet for which third forwarding is performed is registered in the whitelist. there is. In addition, when it is confirmed that the destination IP address or service port is registered in the whitelist, the specific access switch 1000 allows third forwarding for the packet, and the destination IP address or service port is registered in the whitelist. If it is confirmed that it is not, third forwarding of the packet can be blocked.

또한, 특정 액세스 스위치(1000)는, 패킷에 대한 제3 포워딩을 차단한 경우, 제3 포워딩이 차단된 패킷과 관련한 정보를 네트워크 컨트롤러로 전송하여 네트워크 컨트롤러로 하여금 제3 포워딩이 차단된 패킷과 관련한 정보를 참조하여 특정 마이크로 세그먼테이션에 대응되는 특정 사용자 보안 정책 및 특정 서비스 보안 정책 중 적어도 하나를 업데이트할 수 있도록 하거나, 특정 액세스 스위치의 특정 포트에 대응되는 특정 마이크로 세그먼테이션을 재설정할 수 있도록 할 수 있다.In addition, when third forwarding for a packet is blocked, the specific access switch 1000 transmits information related to the third forwarding blocked packet to the network controller to enable the network controller to provide information related to the third forwarding blocked packet. By referring to the information, at least one of a specific user security policy and a specific service security policy corresponding to a specific micro-segmentation can be updated, or a specific micro-segmentation corresponding to a specific port of a specific access switch can be reset.

이에 더하여, 특정 액세스 스위치(1000)는 제3 포워딩이 수행되는 패킷을 보안모듈로 전송하여 보안모듈로 하여금 패킷을 분석하여 패킷이 비정상 패킷인지 확인하도록 하며, 패킷이 비정상 패킷인 것으로 확인되면, 패킷에 대한 제3 포워딩을 차단할 수도 있다.In addition, the specific access switch 1000 transmits the third forwarding packet to the security module and causes the security module to analyze the packet to check whether the packet is an abnormal packet. If the packet is confirmed to be an abnormal packet, the packet You can also block third-party forwarding.

상기에서 설명한 바와 같이, 본 발명에 따르면, 네트워크에 연결된 모든 네트워크 디바이스들을 자동으로 검출하고, 검출된 정보는 보안 정책으로 수립되어 제로 트러스트 보안을 위한 접근 통제 등에 이용될 수 있다. 또한, 액세스 스위치에 연결된 모든 네트워크 디바이스는 통신이 시작되는 위치, 즉, 액세스 레이어에서 통신에 대한 통제 관리가 이루어지며, 액세스 레이어에서 리소스 접근에 대한 최소 접근권한을 제공할 수 있으므로, 빠른 시간 내에 저비용으로 제로 트러스트 보안 모델을 구축할 수 있다. 그리고, 본 발명에 따르면, 있다. 또한, 본 발명에 따르면, 네트워크에 연결된 모든 네트워크 디바이스의 이동, 트래픽 상태, 이상 행위를 실시간으로 모니터링하여, 실시간으로 리소스 접근 통제 기능을 제공할 수 있으며, 모든 자산에 대한 보안 상태를 확인할 수 있다. 또한, 본 발명에 따르면, 연결된 모든 네트워크 디바이스에 대하여 관리자 인증을 통해 통신 허용 여부를 결정, 즉, 블랙리스트 또는 화이트리스트로 결정하며, 통신이 허용된 네트워크 디바이스들을 마이크로 세그먼테이션들로 구분하여 최소 접근권한을 제공할 수 있게 된다. 이에 더하여, 본 발명에 따르면, 연결된 모든 네트워크 디바이스들의 연결 상태, 트래픽, 이동, 통신 상태를 데이터화하여, 네트워크 보안정책을 지속적으로 업데이트할 수 있게 된다.As described above, according to the present invention, all network devices connected to the network are automatically detected, and the detected information can be established as a security policy and used for access control for zero trust security. In addition, all network devices connected to the access switch are controlled and managed at the location where communication begins, that is, at the access layer. Since the access layer can provide minimum access rights to access resources, it can be implemented quickly and at low cost. You can build a zero trust security model. And, according to the present invention, there is. In addition, according to the present invention, the movement, traffic status, and abnormal behavior of all network devices connected to the network can be monitored in real time, a resource access control function can be provided in real time, and the security status of all assets can be checked. In addition, according to the present invention, whether to allow communication is determined through administrator authentication for all connected network devices, i.e., blacklist or whitelist, and network devices permitted to communicate are divided into micro-segments to provide minimum access rights. can be provided. In addition, according to the present invention, it is possible to continuously update the network security policy by converting the connection status, traffic, movement, and communication status of all connected network devices into data.

이상 설명된 본 발명에 따른 실시예는 다양한 컴퓨터 구성요소를 통하여 실행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The embodiments according to the present invention described above can be implemented in the form of program instructions that can be executed through various computer components and recorded on a computer-readable recording medium. The computer-readable recording medium may include program instructions, data files, data structures, etc., singly or in combination. The program instructions recorded on the computer-readable recording medium may be specially designed and configured for the present invention or may be known and usable by those skilled in the computer software field. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, and magneto-optical media such as floptical disks. media), and hardware devices specifically configured to store and perform program instructions, such as ROM, RAM, flash memory, etc. Examples of program instructions include not only machine language code such as that created by a compiler, but also high-level language code that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform processing according to the invention and vice versa.

이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.In the above, the present invention has been described with specific details such as specific components and limited embodiments and drawings, but this is only provided to facilitate a more general understanding of the present invention, and the present invention is not limited to the above embodiments. , a person skilled in the art to which the present invention pertains can make various modifications and variations from this description.

따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.Therefore, the spirit of the present invention should not be limited to the above-described embodiments, and the scope of the patent claims described below as well as all modifications equivalent to or equivalent to the scope of the claims fall within the scope of the spirit of the present invention. They will say they do it.

1000: 액세스 스위치,
1100: 메모리,
1200: 프로세서
1000: access switch,
1100: memory,
1200: Processor

Claims (16)

제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법에 있어서,
(a) 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 중 어느 하나인 특정 액세스 스위치가, 상기 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 상기 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 단계; 및
(b) 상기 특정 액세스 스위치가, 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 단계;
를 포함하고,
상기 마이크로 세그먼테이션들은 상기 액세스 스위치들을 관리하는 네트워크 컨트롤러에 의해 설정되며,
상기 네트워크 컨트롤러에 의해, 상기 네트워크 보안 정책에 따라 액세스 스위치 및 포트의 페어로 구분하여 상기 마이크로 세그먼테이션들이 설정되며, 상기 마이크로 세그먼테이션들 각각에 대하여 각각의 사용자 보안 정책이 설정된 상태에서, 상기 액세스 스위치들 각각에서의 상기 제1 포워딩이 수행되는 각각의 패킷들을 필터링하여 획득한 ARP(Address Resolution Protocol) 패킷들을 분석하여 상기 액세스 스위치들 각각의 포트들 각각에 결합된 상기 네트워크 디바이스들 각각이 검출되고, 상기 네트워크 디바이스들 각각이 결합된 상기 포트들 각각에 대응되는 상기 마이크로 세그먼테이션들 각각에 상기 네트워크 디바이스들을 상기 각각의 사용자 보안 정책에 따라 등록한 것인 네트워크 관리 방법.
In a method of managing a network using micro segmentation for zero trust security,
(a) When a specific access switch, which is one of the access switches that allow network devices to communicate with each other within a network, performs first forwarding on a packet transmitted to a specific port among the ports of the specific access switch, From the Ethernet head of the packet, obtain the source MAC address corresponding to the specific network device that transmitted the packet, check whether the source MAC address is registered in the MAC address table, and enter the source MAC address in the MAC address table. If not registered, a specific micro-segment corresponding to the specific port of the specific access switch among micro-segments in which each port of the access switches is grouped and classified according to a network security policy for zero trust security. The source MAC address is registered in the MAC address table by referring to the specific user security policy set in the MAC address table, and with the source MAC address registered in the MAC address table, the source MAC address satisfies the specific user security policy. checking whether the source MAC address satisfies the specific user security policy, and performing a second forwarding of the packet; and
(b) The specific access switch obtains the source IP address from the IP head of the packet, checks whether the source IP address is registered in the routing table, and determines whether the source IP address is registered in the routing table. The source IP address is registered in the routing table, a third forwarding is performed on the packet while the source IP address is registered in the routing table, and a destination IP address or filtering the packet on which the third forwarding is performed by obtaining a service port and checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation;
Including,
The micro-segments are set by a network controller that manages the access switches,
The network controller sets the micro-segments by dividing them into pairs of access switches and ports according to the network security policy, and with each user security policy set for each of the micro-segments, each of the access switches Each of the network devices coupled to each port of the access switches is detected by analyzing ARP (Address Resolution Protocol) packets obtained by filtering each packet for which the first forwarding is performed, and the network A network management method wherein the network devices are registered in each of the micro-segments corresponding to each of the ports to which each device is coupled according to the respective user security policies.
삭제delete 제1항에 있어서,
상기 (a) 단계에서,
상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 인에이블하고, 러닝된 MAC 어드레스들을 포워딩하되, 블랙리스트로 등록된 MAC 어드레스들만 드롭시키는 제1 블랙리스트 모드를 포함하며,
상기 제1 블랙리스트 모드에서, 상기 특정 액세스 스위치는, 상기 MAC 어드레스 러닝이 인에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행하고, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 MAC 어드레스 러닝을 통해 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행하는 네트워크 관리 방법.
According to paragraph 1,
In step (a) above,
The specific user security policy includes a first blacklist mode that enables MAC address learning for all MAC addresses, forwards learned MAC addresses, and drops only MAC addresses registered in the blacklist,
In the first blacklist mode, with the MAC address learning enabled, the specific access switch (i) checks whether the source MAC address is registered in the MAC address table and determines whether the source MAC address is registered in the MAC address table. If it is confirmed that the source MAC address is registered in the MAC address table, check whether the source MAC address is registered in the blacklist, and if the source MAC address is registered in the blacklist, block the second forwarding for the packet, and If the source MAC address is not registered in the blacklist, perform the second forwarding for the packet, and (ii) check whether the source MAC address is registered in the MAC address table. As a result, the source MAC address is the MAC address. If it is confirmed that it is not registered in the table, the source MAC address is registered in the MAC address table through the MAC address learning, it is checked whether the source MAC address is registered in the blacklist, and the source MAC address is registered in the MAC address table. A network management method for blocking the second forwarding of the packet if the source MAC address is registered in the blacklist, and performing the second forwarding of the packet if the source MAC address is not registered in the blacklist.
제1항에 있어서,
상기 (a) 단계에서,
상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 디스에이블하고, 화이트리스트로 등록된 MAC 어드레스들만 상기 MAC 어드레스 테이블에 등록하여 포워딩되도록 하되, 나머지 MAC 어드레스들은 드롭시키는 제1 화이트리스트 모드를 포함하며,
상기 제1 화이트리스트 모드에서, 상기 특정 액세스 스위치는, 상기 MAC 어드레스 러닝이 디스에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 패킷에 대한 상기 제2 포워딩을 수행하며, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있으면 상기 소스 MAC 어드레스를 상기 MAC 어드레스 테이블에 등록하고 상기 패킷에 대한 상기 제2 포워딩을 수행하고, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 차단하는 네트워크 관리 방법.
According to paragraph 1,
In step (a) above,
The specific user security policy is a first white list that disables MAC address learning for all MAC addresses, registers only MAC addresses registered as a whitelist in the MAC address table and forwards, but drops the remaining MAC addresses. Contains modes,
In the first whitelist mode, the specific access switch, with the MAC address learning disabled, (i) checks whether the source MAC address is registered in the MAC address table, and as a result, the source MAC address is If it is confirmed that it is registered in the MAC address table, the second forwarding is performed for the packet, and (ii) as a result of checking whether the source MAC address is registered in the MAC address table, the source MAC address is the MAC address. If it is confirmed that it is not registered in the table, it is checked whether the source MAC address is registered in the whitelist. If the source MAC address is registered in the whitelist, the source MAC address is registered in the MAC address table and the packet A network management method for performing the second forwarding for the packet, and blocking the second forwarding for the packet if the source MAC address is not registered in a whitelist.
제1항에 있어서,
상기 (b) 단계에서,
상기 특정 서비스 보안 정책은, 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 포워딩하는 제2 블랙리스트 모드, 및 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 드롭시키는 제2 화이트리스트 모드 중 어느 하나의 모드를 포함하며,
(i) 상기 특정 서비스 보안 정책이 상기 제2 블랙리스트 모드일 경우에는, 상기 특정 액세스 스위치는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하며,
(ii) 상기 특정 서비스 보안 정책이 상기 제2 화이트리스트 모드일 경우에는, 상기 특정 액세스 스위치는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단하는 네트워크 관리 방법.
According to paragraph 1,
In step (b) above,
The specific service security policy includes a second blacklist mode that forwards the remaining destination IP addresses or remaining service ports except for the set destination IP address or set service port, and the remaining destination IP addresses or set service ports are forwarded. Includes either a nation IP address or a second whitelist mode that drops the remaining service ports,
(i) When the specific service security policy is the second blacklist mode, the specific access switch registers the destination IP address or the service port of the packet for which the third forwarding is performed in the blacklist. If it is confirmed that the destination IP address or the service port is registered in the blacklist, the third forwarding for the packet is blocked, and the destination IP address or the service port is registered in the blacklist. If it is confirmed that it is not registered in , the third forwarding of the packet is permitted,
(ii) When the specific service security policy is the second whitelist mode, the specific access switch registers the destination IP address or the service port of the packet for which the third forwarding is performed in the whitelist. If it is confirmed that the destination IP address or the service port is registered in the whitelist, the third forwarding for the packet is permitted, and the destination IP address or the service port is registered in the whitelist. A network management method for blocking the third forwarding of the packet if it is confirmed that the packet is not registered.
제5항에 있어서,
상기 특정 액세스 스위치는, 상기 패킷에 대한 상기 제3 포워딩을 차단한 경우, 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 네트워크 컨트롤러로 전송하여 상기 네트워크 컨트롤러로 하여금 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 참조하여 상기 특정 마이크로 세그먼테이션에 대응되는 상기 특정 사용자 보안 정책 및 상기 특정 서비스 보안 정책 중 적어도 하나를 업데이트할 수 있도록 하거나, 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 상기 특정 마이크로 세그먼테이션을 재설정할 수 있도록 하는 네트워크 관리 방법.
According to clause 5,
When the specific access switch blocks the third forwarding of the packet, it transmits information related to the packet for which the third forwarding has been blocked to the network controller to tell the network controller that the third forwarding has been blocked. By referring to packet-related information, at least one of the specific user security policy and the specific service security policy corresponding to the specific micro-segment can be updated, or the specific micro-segment corresponding to the specific port of the specific access switch A network management method that allows you to reset .
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법에 있어서,
(a) 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 중 어느 하나인 특정 액세스 스위치가, 상기 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 상기 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 단계; 및
(b) 상기 특정 액세스 스위치가, 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 단계;
를 포함하고,
상기 (b) 단계에서,
상기 제2 포워딩이 수행되는 상기 패킷이 ARP 패킷일 경우, 상기 특정 액세스 스위치는, 상기 패킷에 대한 상기 제3 포워딩을 수행하지 않고, 상기 패킷을 상기 특정 액세스 스위치의 상기 특정 포트를 제외한 나머지 포트들로 플러딩하는 네트워크 관리 방법.
In a method of managing a network using micro segmentation for zero trust security,
(a) When a specific access switch, which is one of the access switches that allow network devices to communicate with each other within a network, performs first forwarding on a packet transmitted to a specific port among the ports of the specific access switch, From the Ethernet head of the packet, obtain the source MAC address corresponding to the specific network device that transmitted the packet, check whether the source MAC address is registered in the MAC address table, and enter the source MAC address in the MAC address table. If not registered, a specific micro-segment corresponding to the specific port of the specific access switch among micro-segments in which each port of the access switches is grouped and classified according to a network security policy for zero trust security. The source MAC address is registered in the MAC address table by referring to the specific user security policy set in the MAC address table, and with the source MAC address registered in the MAC address table, the source MAC address satisfies the specific user security policy. checking whether the source MAC address satisfies the specific user security policy, and performing a second forwarding of the packet; and
(b) The specific access switch obtains the source IP address from the IP head of the packet, checks whether the source IP address is registered in the routing table, and determines whether the source IP address is registered in the routing table. The source IP address is registered in the routing table, a third forwarding is performed on the packet while the source IP address is registered in the routing table, and a destination IP address or filtering the packet on which the third forwarding is performed by obtaining a service port and checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation;
Including,
In step (b) above,
When the packet for which the second forwarding is performed is an ARP packet, the specific access switch does not perform the third forwarding on the packet and forwards the packet to the remaining ports except the specific port of the specific access switch. Network management method for flooding.
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 방법에 있어서,
(a) 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 액세스 스위치들 중 어느 하나인 특정 액세스 스위치가, 상기 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 상기 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 단계; 및
(b) 상기 특정 액세스 스위치가, 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 단계;
를 포함하고,
(c) 상기 특정 액세스 스위치가, 상기 제3 포워딩이 수행되는 상기 패킷을 보안모듈로 전송하여 상기 보안모듈로 하여금 상기 패킷을 분석하여 상기 패킷이 비정상 패킷인지 확인하도록 하며, 상기 패킷이 비정상 패킷인 것으로 확인되면, 상기 패킷에 대한 상기 제3 포워딩을 차단하는 단계;
를 더 포함하는 네트워크 관리 방법.
In a method of managing a network using micro segmentation for zero trust security,
(a) When a specific access switch, which is one of the access switches that allow network devices to communicate with each other within a network, performs first forwarding on a packet transmitted to a specific port among the ports of the specific access switch, From the Ethernet head of the packet, obtain the source MAC address corresponding to the specific network device that transmitted the packet, check whether the source MAC address is registered in the MAC address table, and enter the source MAC address in the MAC address table. If not registered, a specific micro-segment corresponding to the specific port of the specific access switch among micro-segments in which each port of the access switches is grouped and classified according to a network security policy for zero trust security. The source MAC address is registered in the MAC address table by referring to the specific user security policy set in the MAC address table, and with the source MAC address registered in the MAC address table, the source MAC address satisfies the specific user security policy. checking whether the source MAC address satisfies the specific user security policy, and performing a second forwarding of the packet; and
(b) The specific access switch obtains the source IP address from the IP head of the packet, checks whether the source IP address is registered in the routing table, and determines whether the source IP address is registered in the routing table. The source IP address is registered in the routing table, a third forwarding is performed on the packet while the source IP address is registered in the routing table, and a destination IP address or filtering the packet on which the third forwarding is performed by obtaining a service port and checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation;
Including,
(c) The specific access switch transmits the packet on which the third forwarding is performed to the security module to analyze the packet and determine whether the packet is an abnormal packet. if confirmed, blocking the third forwarding for the packet;
A network management method further comprising:
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 액세스 스위치에 있어서,
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하기 위한 인스트럭션들이 저장된 메모리; 및
상기 메모리에 저장된 상기 인스트럭션들에 따라 상기 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 동작을 수행하는 프로세서;
를 포함하며,
상기 프로세서는, (I) 상기 프로세서가 포함된 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 프로세스, 및 (II) 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 프로세스를 수행하고,
상기 마이크로 세그먼테이션들은 네트워크 내에서 네트워크 디바이스들이 서로 통신할 수 있도록 하는 상기 액세스 스위치들을 관리하는 네트워크 컨트롤러에 의해 설정되며,
상기 네트워크 컨트롤러에 의해, 상기 네트워크 보안 정책에 따라 액세스 스위치 및 포트의 페어로 구분하여 상기 마이크로 세그먼테이션들이 설정되며, 상기 마이크로 세그먼테이션들 각각에 대하여 각각의 사용자 보안 정책이 설정된 상태에서, 상기 액세스 스위치들 각각에서의 상기 제1 포워딩이 수행되는 각각의 패킷들을 필터링하여 획득한 ARP(Address Resolution Protocol) 패킷들을 분석하여 상기 액세스 스위치들 각각의 포트들 각각에 결합된 상기 네트워크 디바이스들 각각이 검출되고, 상기 네트워크 디바이스들 각각이 결합된 상기 포트들 각각에 대응되는 상기 마이크로 세그먼테이션들 각각에 상기 네트워크 디바이스들을 상기 각각의 사용자 보안 정책에 따라 등록한 것인 액세스 스위치.
In an access switch that manages a network using micro segmentation for zero trust security,
Memory storing instructions for managing a network using micro-segmentation for zero trust security; and
a processor that performs an operation of managing a network using micro-segmentation for zero trust security according to the instructions stored in the memory;
Includes,
The processor, (I) when the first forwarding is performed for a packet transmitted to a specific port among the ports of a specific access switch including the processor, from the Ethernet head of the packet to the specific network device that transmitted the packet Obtain the corresponding source MAC address, check whether the source MAC address is registered in the MAC address table, and if the source MAC address is not registered in the MAC address table, ports of each of the access switches. Among the micro-segments grouped and classified according to the network security policy for zero trust security, the source MAC address is the MAC address with reference to the specific user security policy set in the specific micro-segmentation corresponding to the specific port of the specific access switch. table, and with the source MAC address registered in the MAC address table, check whether the source MAC address satisfies the specific user security policy, and determine whether the source MAC address satisfies the specific user security policy. (II) a process for performing a second forwarding for the packet, and (II) obtaining a source IP address from the IP head of the packet, and checking whether the source IP address is registered in the routing table to determine whether the source IP address is registered in the routing table. If it is not registered in the routing table, the source IP address is registered in the routing table, third forwarding is performed on the packet while the source IP address is registered in the routing table, and the source IP address is registered in the routing table. Obtaining a destination IP address or service port from an IP head, and filtering the packet for which the third forwarding is performed by checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation. carry out the process,
The micro-segments are established by a network controller that manages the access switches that allow network devices to communicate with each other within the network,
The network controller sets the micro-segments by dividing them into pairs of access switches and ports according to the network security policy, and with each user security policy set for each of the micro-segments, each of the access switches Each of the network devices coupled to each port of the access switches is detected by analyzing ARP (Address Resolution Protocol) packets obtained by filtering each packet for which the first forwarding is performed, and the network An access switch wherein the network devices are registered in each of the micro-segments corresponding to each of the ports to which each of the devices is coupled according to the respective user security policies.
삭제delete 제9항에 있어서,
상기 프로세서는, 상기 (I) 프로세스에서, 상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 인에이블하고, 러닝된 MAC 어드레스들을 포워딩하되, 블랙리스트로 등록된 MAC 어드레스들만 드롭시키는 제1 블랙리스트 모드를 포함하며,
상기 제1 블랙리스트 모드에서, 상기 MAC 어드레스 러닝이 인에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행하고, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 MAC 어드레스 러닝을 통해 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있는지를 확인하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있으면 상기 패킷에 대한 상기 제2 포워딩을 차단하고, 상기 소스 MAC 어드레스가 블랙리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 수행하는 액세스 스위치.
According to clause 9,
The processor, in the (I) process, enables MAC address learning for all MAC addresses, forwards learned MAC addresses, and drops only MAC addresses registered as a blacklist. Includes a first blacklist mode,
In the first blacklist mode, with the MAC address learning enabled, (i) it is checked whether the source MAC address is registered in the MAC address table, and the source MAC address is registered in the MAC address table. If confirmed to be present, it is checked whether the source MAC address is registered in the blacklist, and if the source MAC address is registered in the blacklist, the second forwarding for the packet is blocked, and the source MAC address is registered in the blacklist. If it is not registered, perform the second forwarding for the packet, and (ii) check whether the source MAC address is registered in the MAC address table. As a result, the source MAC address is not registered in the MAC address table. If confirmed, the source MAC address is registered in the MAC address table through MAC address learning, and it is checked whether the source MAC address is registered in the blacklist. If the source MAC address is registered in the blacklist, An access switch that blocks the second forwarding of the packet and performs the second forwarding of the packet if the source MAC address is not registered in a blacklist.
제9항에 있어서,
상기 프로세서는, 상기 (I) 프로세스에서, 상기 특정 사용자 보안 정책은, 모든 MAC 어드레스들에 대한 MAC 어드레스 러닝을 디스에이블하고, 화이트리스트로 등록된 MAC 어드레스들만 상기 MAC 어드레스 테이블에 등록하여 포워딩되도록 하되, 나머지 MAC 어드레스들은 드롭시키는 제1 화이트리스트 모드를 포함하며,
상기 제1 화이트리스트 모드에서, 상기 MAC 어드레스 러닝이 디스에이블된 상태에서, (i) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는 것으로 확인되면, 상기 패킷에 대한 상기 제2 포워딩을 수행하며, (ii) 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있는지를 확인한 결과 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 것으로 확인되면, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있는지를 확인하며, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있으면 상기 소스 MAC 어드레스를 상기 MAC 어드레스 테이블에 등록하고 상기 패킷에 대한 상기 제2 포워딩을 수행하고, 상기 소스 MAC 어드레스가 화이트리스트에 등록되어 있지 않으면 상기 패킷에 대한 상기 제2 포워딩을 차단하는 액세스 스위치.
According to clause 9,
In the process (I), the processor disables MAC address learning for all MAC addresses, and registers only whitelisted MAC addresses in the MAC address table to be forwarded. , including a first whitelist mode that drops the remaining MAC addresses,
In the first whitelist mode, with the MAC address learning disabled, (i) it is checked whether the source MAC address is registered in the MAC address table, and the source MAC address is registered in the MAC address table. If confirmed to be present, perform the second forwarding of the packet, and (ii) check whether the source MAC address is registered in the MAC address table and determine that the source MAC address is not registered in the MAC address table. If confirmed, it is checked whether the source MAC address is registered in the whitelist, and if the source MAC address is registered in the whitelist, the source MAC address is registered in the MAC address table and the second forwarding for the packet is performed. An access switch performs and blocks the second forwarding of the packet if the source MAC address is not registered in a whitelist.
제9항에 있어서,
상기 프로세서는, 상기 (II) 프로세스에서, 상기 특정 서비스 보안 정책은, 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 포워딩하는 제2 블랙리스트 모드, 및 설정된 데스티네이션 IP 어드레스 또는 설정된 서비스 포트를 제외한 나머지 데스티네이션 IP 어드레스 또는 나머지 서비스 포트를 드롭시키는 제2 화이트리스트 모드 중 어느 하나의 모드를 포함하며,
(i) 상기 특정 서비스 보안 정책이 상기 제2 블랙리스트 모드일 경우에는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 블랙리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하며,
(ii) 상기 특정 서비스 보안 정책이 상기 제2 화이트리스트 모드일 경우에는, 상기 제3 포워딩이 수행되는 상기 패킷의 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는지를 확인하며, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있는 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 허여하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 화이트리스트에 등록되어 있지 않은 것으로 확인되는 경우에는 상기 패킷에 대한 상기 제3 포워딩을 차단하는 액세스 스위치.
According to clause 9,
The processor, in the process (II), sets the specific service security policy to a second blacklist mode for forwarding remaining destination IP addresses or remaining service ports excluding the set destination IP address or set service port, and the set destination IP address or set service port. Includes any one of the second whitelist modes that drops the destination IP address or the remaining service ports except for the nation IP address or the set service port,
(i) If the specific service security policy is the second blacklist mode, check whether the destination IP address or the service port of the packet for which the third forwarding is performed is registered in the blacklist, and If it is confirmed that the destination IP address or the service port is registered in the blacklist, the third forwarding of the packet is blocked, and the destination IP address or the service port is not registered in the blacklist. If confirmed, the third forwarding of the packet is permitted,
(ii) If the specific service security policy is the second whitelist mode, check whether the destination IP address or the service port of the packet for which the third forwarding is performed is registered in the whitelist, and If it is confirmed that the destination IP address or the service port is registered in the whitelist, the third forwarding of the packet is permitted, and the destination IP address or the service port is not registered in the whitelist. An access switch that, if confirmed, blocks the third forwarding of the packet.
제13항에 있어서,
상기 프로세서는, 상기 패킷에 대한 상기 제3 포워딩을 차단한 경우, 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 네트워크 컨트롤러로 전송하여 상기 네트워크 컨트롤러로 하여금 상기 제3 포워딩이 차단된 상기 패킷과 관련한 정보를 참조하여 상기 특정 마이크로 세그먼테이션에 대응되는 상기 특정 사용자 보안 정책 및 상기 특정 서비스 보안 정책 중 적어도 하나를 업데이트할 수 있도록 하거나, 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 상기 특정 마이크로 세그먼테이션을 재설정할 수 있도록 하는 액세스 스위치.
According to clause 13,
When the third forwarding of the packet is blocked, the processor transmits information related to the packet for which the third forwarding has been blocked to the network controller to cause the network controller to detect the packet for which the third forwarding has been blocked. By referring to related information, at least one of the specific user security policy and the specific service security policy corresponding to the specific micro-segmentation can be updated, or the specific micro-segmentation corresponding to the specific port of the specific access switch can be reset. An access switch that allows you to do so.
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 액세스 스위치에 있어서,
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하기 위한 인스트럭션들이 저장된 메모리; 및
상기 메모리에 저장된 상기 인스트럭션들에 따라 상기 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 동작을 수행하는 프로세서;
를 포함하며,
상기 프로세서는, (I) 상기 프로세서가 포함된 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 프로세스, 및 (II) 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 프로세스를 수행하고,
상기 프로세서는, 상기 (II) 프로세스에서, 상기 제1 포워딩이 수행되는 상기 패킷이 ARP 패킷일 경우, 상기 패킷에 대한 상기 제3 포워딩을 수행하지 않고, 상기 패킷을 상기 특정 액세스 스위치의 상기 특정 포트를 제외한 나머지 포트들로 플러딩하는 액세스 스위치.
In an access switch that manages a network using micro segmentation for zero trust security,
Memory storing instructions for managing a network using micro-segmentation for zero trust security; and
a processor that performs an operation of managing a network using micro-segmentation for zero trust security according to the instructions stored in the memory;
Includes,
The processor, (I) when the first forwarding is performed for a packet transmitted to a specific port among the ports of a specific access switch including the processor, from the Ethernet head of the packet to the specific network device that transmitted the packet Obtain the corresponding source MAC address, check whether the source MAC address is registered in the MAC address table, and if the source MAC address is not registered in the MAC address table, ports of each of the access switches. Among the micro-segments grouped and classified according to the network security policy for zero trust security, the source MAC address is the MAC address with reference to the specific user security policy set in the specific micro-segmentation corresponding to the specific port of the specific access switch. table, and with the source MAC address registered in the MAC address table, check whether the source MAC address satisfies the specific user security policy, and determine whether the source MAC address satisfies the specific user security policy. a process for performing a second forwarding for the packet, and (II) obtaining a source IP address from the IP head of the packet, and checking whether the source IP address is registered in the routing table to determine whether the source IP address is registered in the routing table. If it is not registered in the routing table, the source IP address is registered in the routing table, third forwarding is performed on the packet while the source IP address is registered in the routing table, and the source IP address is registered in the routing table. Obtaining a destination IP address or service port from an IP head, and filtering the packet for which the third forwarding is performed by checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation. carry out the process,
In the process (II), if the packet for which the first forwarding is performed is an ARP packet, the processor does not perform the third forwarding for the packet and forwards the packet to the specific port of the specific access switch. An access switch that floods the remaining ports except .
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 액세스 스위치에 있어서,
제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하기 위한 인스트럭션들이 저장된 메모리; 및
상기 메모리에 저장된 상기 인스트럭션들에 따라 상기 제로 트러스트 보안을 위한 마이크로 세그먼테이션을 이용하여 네트워크를 관리하는 동작을 수행하는 프로세서;
를 포함하며,
상기 프로세서는, (I) 상기 프로세서가 포함된 특정 액세스 스위치의 포트들 중 특정 포트로 송신된 패킷에 대한 제1 포워딩이 수행되면, 상기 패킷의 이더넷 헤드에서, 상기 패킷을 송신한 특정 네트워크 디바이스에 대응되는, 소스 MAC 어드레스를 획득하고, 상기 소스 MAC 어드레스가 MAC 어드레스 테이블에 등록되어 있는지를 확인하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되어 있지 않은 경우에는, 액세스 스위치들 각각의 포트들 각각을 제로 트러스트 보안을 위한 네트워크 보안 정책에 따라 그룹핑하여 구분한 마이크로 세그먼테이션들 중에서 상기 특정 액세스 스위치의 상기 특정 포트에 대응되는 특정 마이크로 세그먼테이션에 설정된 특정 사용자 보안 정책을 참조하여 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록되도록 하며, 상기 소스 MAC 어드레스가 상기 MAC 어드레스 테이블에 등록된 상태에서, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는지 확인하고, 상기 소스 MAC 어드레스가 상기 특정 사용자 보안 정책을 만족하는 경우 상기 패킷에 대한 제2 포워딩을 수행하는 프로세스, 및 (II) 상기 패킷의 IP 헤드에서 소스 IP 어드레스를 획득하며, 상기 소스 IP 어드레스가 라우팅 테이블에 등록되어 있는지를 확인하여 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되어 있지 않은 경우에는 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록되도록 하고, 상기 소스 IP 어드레스가 상기 라우팅 테이블에 등록된 상태에서 상기 패킷에 대한 제3 포워딩을 수행하며, 상기 패킷의 상기 IP 헤드에서 데스티네이션 IP 어드레스 또는 서비스 포트를 획득하고, 상기 데스티네이션 IP 어드레스 또는 상기 서비스 포트가 상기 특정 마이크로 세그먼테이션에 설정된 특정 서비스 보안 정책을 만족하는지 확인함으로써 상기 제3 포워딩이 수행되는 상기 패킷을 필터링하는 프로세스를 수행하고,
상기 프로세서는, (III) 상기 제3 포워딩이 수행되는 상기 패킷을 보안모듈로 전송하여 상기 보안모듈로 하여금 상기 패킷을 분석하여 상기 패킷이 비정상 패킷인지 확인하도록 하며, 상기 패킷이 비정상 패킷인 것으로 확인되면, 상기 패킷에 대한 상기 제3 포워딩을 차단하는 프로세스를 더 수행하는 액세스 스위치.
In an access switch that manages a network using micro segmentation for zero trust security,
Memory storing instructions for managing a network using micro-segmentation for zero trust security; and
a processor that performs an operation of managing a network using micro-segmentation for zero trust security according to the instructions stored in the memory;
Includes,
The processor, (I) when the first forwarding is performed for a packet transmitted to a specific port among the ports of a specific access switch including the processor, from the Ethernet head of the packet to the specific network device that transmitted the packet Obtain the corresponding source MAC address, check whether the source MAC address is registered in the MAC address table, and if the source MAC address is not registered in the MAC address table, ports of each of the access switches. Among the micro-segments grouped and classified according to the network security policy for zero trust security, the source MAC address is the MAC address with reference to the specific user security policy set in the specific micro-segmentation corresponding to the specific port of the specific access switch. table, and with the source MAC address registered in the MAC address table, check whether the source MAC address satisfies the specific user security policy, and determine whether the source MAC address satisfies the specific user security policy. (II) a process for performing a second forwarding for the packet, and (II) obtaining a source IP address from the IP head of the packet, and checking whether the source IP address is registered in the routing table to determine whether the source IP address is registered in the routing table. If it is not registered in the routing table, the source IP address is registered in the routing table, third forwarding is performed on the packet while the source IP address is registered in the routing table, and the source IP address is registered in the routing table. Obtaining a destination IP address or service port from an IP head, and filtering the packet for which the third forwarding is performed by checking whether the destination IP address or the service port satisfies a specific service security policy set for the specific micro-segmentation. carry out the process,
The processor, (III) transmits the packet on which the third forwarding is performed to a security module to have the security module analyze the packet to determine whether the packet is an abnormal packet, and confirm that the packet is an abnormal packet. If so, the access switch further performs a process of blocking the third forwarding of the packet.
KR1020230136611A 2023-10-13 2023-10-13 Method for managing network using micro-segmentation for zero trust security and access switch using the same KR102666943B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020230136611A KR102666943B1 (en) 2023-10-13 2023-10-13 Method for managing network using micro-segmentation for zero trust security and access switch using the same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020230136611A KR102666943B1 (en) 2023-10-13 2023-10-13 Method for managing network using micro-segmentation for zero trust security and access switch using the same

Publications (1)

Publication Number Publication Date
KR102666943B1 true KR102666943B1 (en) 2024-05-17

Family

ID=91331332

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020230136611A KR102666943B1 (en) 2023-10-13 2023-10-13 Method for managing network using micro-segmentation for zero trust security and access switch using the same

Country Status (1)

Country Link
KR (1) KR102666943B1 (en)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455167B1 (en) * 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
CN112231692A (en) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 Security authentication method, device, equipment and storage medium
KR102576357B1 (en) * 2022-12-22 2023-09-11 건양대학교 산학협력단 Zero Trust Security Authentication System

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101455167B1 (en) * 2013-09-03 2014-10-27 한국전자통신연구원 Network switch based on whitelist
CN112231692A (en) * 2020-10-13 2021-01-15 中移(杭州)信息技术有限公司 Security authentication method, device, equipment and storage medium
KR102576357B1 (en) * 2022-12-22 2023-09-11 건양대학교 산학협력단 Zero Trust Security Authentication System

Similar Documents

Publication Publication Date Title
US11962622B2 (en) Automated enforcement of security policies in cloud and hybrid infrastructure environments
EP4222920B1 (en) Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc)
US7886335B1 (en) Reconciliation of multiple sets of network access control policies
US9723019B1 (en) Infected endpoint containment using aggregated security status information
US10554475B2 (en) Sandbox based internet isolation in an untrusted network
US10992642B2 (en) Document isolation
JP4684802B2 (en) Enable network devices in a virtual network to communicate while network communication is restricted due to security threats
US7827593B2 (en) Methods, apparatuses, and systems for the dynamic evaluation and delegation of network access control
US11240204B2 (en) Score-based dynamic firewall rule enforcement
US11252183B1 (en) System and method for ransomware lateral movement protection in on-prem and cloud data center environments
US9231911B2 (en) Per-user firewall
US7603696B2 (en) Hybrid distributed firewall apparatus, systems, and methods
US9462001B2 (en) Computer network access control
CN113169975A (en) Automatic generation of security rules for network micro-and nano-segments
US20190052604A1 (en) Network isolation
KR101480443B1 (en) Hybrid network partition system and method thereof
EP1742438A1 (en) Network device for secure packet dispatching via port isolation
KR102666943B1 (en) Method for managing network using micro-segmentation for zero trust security and access switch using the same
US9525704B2 (en) Systems, devices, and methods for traffic management
Mutaher et al. OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES.
US11729116B2 (en) Violation detection and isolation of endpoint devices in soft zoning environment
Alabady Design and implementation of a network security model using static VLAN and AAA server
Bindra et al. Is SDN the real solution to security threats in networks? A security update on various SDN models
TW202034658A (en) Ipv6 accessing management system based on software defined network and method thereof
CN115622808B (en) Method for secure isolation, electronic device, computer readable medium

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant