경험 기반 구체화
네트워크 레벨 접근 정책을 직접 관리한 경험은 없습니다. 수업에서 네트워크 접근 정책의 핵심은 "누가 어디에서 어디로 접근할 수 있는가"를 명시적으로 정의하는 것이라고 배웠습니다.
ACL과 방화벽 룰이 기본 수단이고, 인프라가 복잡해질수록 "이 룰이 왜 있는가"를 기록하지 않으면 시간이 지나 레거시 룰이 쌓이면서 전체 정책 파악이 어려워진다는 케이스가 인상적이었습니다.
직접 경험은 없지만, 접근 정책 관리에서 중요한 건 정책을 만드는 것보다 정기적으로 검토하고 정리하는 것이라고 봅니다. "지금 이 룰이 아직 유효한가"를 주기적으로 확인하는 거버넌스 프로세스가 장기적인 보안 수준을 유지하는 방법이라고 생각합니다. 불필요한 룰이 축적되면 실제 허용 범위를 파악하기 어려워지고, 결국 보안 감사에서도 문제가 된다는 케이스를 배웠습니다.