본문 바로가기
IV. 정보기술학 (IT)/2. App 개발 (App Development)

[IT] 코로나19가 불러온 변화... '절대 신뢰하지 말고 항상 검증하라' 제로트러스트(Zero Trust) 보안 원칙 5가지

by 알 수 없는 사용자 2022. 9. 4.
반응형

‘제로트러스트(ZeroTrust)’가 디지털 전환이 가속화되며 변화하는 환경에서 최적의 사이버보안 원칙이자 보안모델로 부상, 자리매김하고 있습니다.

모바일과 클라우드 확산으로 조직 내·외부 네트워크 경계가 허물어지고 기업의 업무환경도 원격·재택근무를 포함한 하이브리드 방식이 활발히 채택되면서, 제로트러스트는 점점 더 중요성이 강조되고 있습니다. 기업 내에 안전한 경계를 구축해 놓고 내부 네트워크 안에 있는 모든 것은 안전하다고 여겼던 전통적인 보안 방식에 한계가 노출될 수밖에 없는 환경이 됐다는 점에서 IT·보안 업계와 보안 전문가들이 모두 공감하는 상황입니다.

[IT] 코로나19가 불러온 변화... '절대 신뢰하지 말고 항상 검증하라' 제로트러스트(Zero Trust) 보안 원칙 5가지
제로 트러스트란?


제로 트러스트란 IT 보안 접근 방식의 이름으로, 신뢰할 수 있는 네트워크 경계는 존재하지 않으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 한다고 가정합니다.

제로 트러스트는 '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕으로 네트워크 세분화 및 엄격한 액세스 제어와 같은 다른 네트워크 보안 방법론을 활용합니다. 제로 트러스트 네트워크는 중요한 데이터, 자산, 애플리케이션 및 서비스로 구성되는 '보호 범위'를 정의하며, DAAS라고도 합니다. 중요한 자산만 포함되므로 대개 보호 범위는 전체 공격 범위보다 상당히 작습니다.

 

[IT] 코로나19가 불러온 변화... '절대 신뢰하지 말고 항상 검증하라' 제로트러스트(Zero Trust) 보안 원칙 5가지

 

제로 트러스트의 원칙

 

제로 트러스트 모델은 다음과 같은 5가지 원칙을 기반으로 합니다.

  • 네트워크의 모든 사용자는 항상 위험하다고 가정
  • 외부 및 내부 위협이 네트워크에 항상 존재
  • 네트워크의 신뢰 여부를 결정할 때 네트워크의 위치는 충분하지 않음
  • 모든 디바이스, 사용자, 네트워크를 인증하고 권한 확인
  • 최대한 많은 데이터 소스를 기반으로 자동적인 정책 수립

 

명시적으로 확인최소 권한 액세스 사용위반 가정
사용 가능한 모든 데이터 요소에 따라 항상 인증하고 권한을 부여합니다. JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.

이는 제로 트러스트의 핵심입니다. 제로 트러스트 모델은 회사 방화벽 뒤에 있는 모든 항목이 안전하다고 믿는 대신, 위반을 가정하고 각 요청을 제어되지 않은 네트워크에서 시작한 것으로 확인합니다. 요청이 시작되는 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트 모델은 "전혀 신뢰하지 않고 항상 확인"하도록 알려줍니다.

모바일 인력을 수용하고, 어디에 있든 사람, 디바이스, 애플리케이션 및 데이터를 보호하는 현대 환경의 복잡성에 맞게 설계되었습니다.

제로 트러스트 접근 방식은 전체 디지털 자산에서 확장되고, 통합 보안 원칙 및 엔드투엔드 전략으로 사용되어야 합니다. 

 

 

다음과 같은 주요 기술 핵심 요소에 대한 제로 트러스트 접근 방식을 구성할 수 있습니다.

  제로 트러스트를 통한 ID 보호
ID는 사용자, 서비스 또는 IoT 디바이스를 나타내는지 여부에 관계없이 제로 트러스트 컨트롤 플레인을 정의합니다. ID가 리소스에 액세스하려고 할 때 강력한 인증을 사용하여 ID를 확인하고 해당 ID에 대한 액세스가 준수되고 일반적인지 확인합니다. 최소 권한있는 액세스 원칙을 따릅니다.
  제로 트러스트를 통한 엔드포인트 보호
리소스에 대한 액세스 권한이 ID에 부여되면 데이터가 IoT 디바이스에서 스마트폰으로, BYOD에서 파트너 관리 디바이스로 및 온-프레미스 워크로드에서 클라우드 호스팅 서버로의 다양한 엔드포인트로 이동할 수 있습니다. 이 다양성은 대량의 공격 노출 영역을 만듭니다. 보안 액세스를 위해 디바이스 상태 및 규정 준수를 모니터링하고 적용합니다.
  제로 트러스트를 통한 애플리케이션 보호
애플리케이션 및 API는 데이터를 사용하는 인터페이스를 제공합니다. 레거시 온-프레미스 애플리케이션, 클라우드 워크로드로의 리프트 앤 시프트 애플리케이션 또는 최신 SaaS 애플리케이션일 수 있습니다. 제어 및 기술을 적용하여 섀도 IT를 검색하고, 적절한 앱 내 권한을 보장하며, 실시간 분석에 따라 액세스를 제한하고, 비정상 동작을 모니터링하며, 사용자 작업을 제어하고, 보안 구성 옵션의 유효성을 검사합니다.
  제로 트러스트를 통한 데이터 보호
궁극적으로 데이터는 보안 팀에서 보호하고 있습니다. 가능한 경우 데이터는 조직에서 제어하는 디바이스, 앱, 인프라 및 네트워크를 벗어나더라도 안전하게 유지해야 합니다. 데이터를 분류, 레이블 지정 및 암호화하고, 해당 특성에 따라 액세스를 제한합니다.
  제로 트러스트를 통한 인프라 보호
인프라는 온-프레미스 서버, 클라우드 기반 VM, 컨테이너 또는 마이크로서비스인지 여부와 관계없이 중요한 위협 벡터를 나타냅니다. 버전, 구성 및 JIT 액세스를 평가하여 방어를 강화합니다. 원격 분석을 사용하여 공격 및 비정상을 탐지하고, 위험한 동작을 자동으로 차단 및 플래그 지정하며, 보호 작업을 수행합니다.
  제로 트러스트를 통한 네트워크 보호
궁극적으로 모든 데이터는 네트워크 인프라를 통해 액세스됩니다. 네트워킹 제어는 중요한 제어 기능을 제공하여 가시성을 향상시키고 공격자가 네트워크를 통해 측면 이동하지 못하도록 방지할 수 있습니다. 네트워크를 분할(더 심층적인 네트워크 내 마이크로 조각화 수행)하고, 실시간 위협 방지, 엔드투엔드 암호화, 모니터링 및 분석을 배포합니다.
  제로 트러스트를 통한 가시성, 자동화 및 오케스트레이션
제로 트러스트 가이드에서는 ID, 엔드포인트/디바이스, 데이터, 앱, 인프라 및 네트워크에서 엔드투엔드 제로 트러스트 방법론을 구현하는 방법을 정의합니다. 이러한 활동은 가시성을 향상시켜 신뢰를 결정하는 데 도움이 되는 더 나은 데이터를 제공합니다. 이러한 개별 영역 각각에서 고유한 관련 경고를 생성하므로 위협으로부터 더 효율적으로 방어하고 트랜잭션에 대한 신뢰의 유효성을 검사하기 위해 결과적으로 유입되는 데이터를 관리할 수 있는 통합 기능이 필요합니다.
[IT] 코로나19가 불러온 변화... '절대 신뢰하지 말고 항상 검증하라' 제로트러스트(Zero Trust) 보안 원칙 5가지

 

제로트러스트는 그 자체로 기술이 아니고, 하나의 보안 솔루션으로 구현될 수 없습니다. 최신 보안 모델이자 아키텍처라 할 수 있습니다. ‘제로트러스트 네트워크 액세스(ZTNA)’로 제로트러스트 환경을 지원하는 포티넷은 최근 공식 블로그를 통해 이와 관련한 5가지 원칙을 제시합니다.

이에 따르면, 5가지 ZTNA 원칙은 ▲‘절대 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’ ▲‘사용자 식별과 디바이스 검증(Identify users, validate devices)’ ▲‘적절한 정도의 액세스를 통한 보안(Secure just enough access)’ ▲‘지속적인 상태 재평가(Continuous posture re-evaluation)’ ▲‘위치 독립성(Location independent)’입니다.

 

[IT] 코로나19가 불러온 변화... '절대 신뢰하지 말고 항상 검증하라' 제로트러스트(Zero Trust) 보안 원칙 5가지

반응형

댓글