What is ZTNA?
ZTNA는 애플리케이션별 권한으로 제로 트러스트 보안 원칙을 구현하는 안전한 원격 액세스 솔루션입니다. 회사 자산에 대한 액세스를 요청하는 원격 작업자에게는 IP 주소, 위치, 사용자 그룹 또는 역할, 시간 제한과 같은 역할 기반 액세스 제어 및 상황별 인증 데이터를 고려하여 사례별로 특정 리소스에 대한 액세스 권한이 부여됩니다.
VPN이란 무엇입니까?
VPN은 원격 사용자에게 회사 네트워크에 대한 직접 연결과 유사한 환경을 제공합니다. 엔터프라이즈 네트워크의 VPN 클라이언트 소프트웨어 및 VPN 엔드포인트는 모든 데이터가 대상으로 라우팅되기 전에 전송되는 암호화된 채널을 설정합니다. 이를 통해 도청을 방지하고 소스에 관계없이 경계 기반 보안 솔루션으로 모든 비즈니스 트래픽을 검사할 수 있습니다.
VPN의 한계
VPN은 레거시 경계 기반 보안 모델과 잘 작동하기 때문에 안전한 원격 액세스를 위한 전통적인 선택입니다. 그러나 다음과 같은 몇 가지 제한 사항이 있어 현대 기업의 보안 요구 사항에 적합하지 않습니다.
- 경계 중심 보안: VPN은 인증된 사용자에게 회사 네트워크에 대한 모든 액세스 권한이 부여되기 때문에 기존의 경계 기반 보안 모델을 강화하는 데 도움이 됩니다. 이를 통해 공격자는 손상된 VPN 자격 증명을 통해 액세스 권한을 얻거나 VPN 취약성을 악용한 후 회사 네트워크를 통해 측면으로 이동할 수 있습니다.
- 네트워크 수준 액세스 제어: VPN은 애플리케이션 계층에 대한 가시성이나 제어 없이 네트워크 수준에서 액세스 제어를 구현합니다. 이는 사용자에게 과도하게 허용적인 액세스를 제공하여 서로 다른 애플리케이션 내의 리소스에 대한 읽기, 쓰기 및 실행 액세스 권한을 부여합니다.
- 클라우드 지원 없음: VPN은 일반적으로 회사 네트워크에 대한 보안 원격 액세스를 제공하도록 설계되었습니다. 종종 기존 경계 외부에 있는 클라우드 기반 리소스에 대한 지원이 제한되어 있습니다.
- BYOD 장치에 대한 지원 부족: BYOD 디바이스가 기업 VPN에 액세스할 수 있도록 허용하면 관리되지 않는 비기업 엔드포인트에서 기업 리소스에 액세스할 수 있습니다. 이로 인해 멀웨어 또는 기타 사이버 위협이 회사 네트워크에 직접 액세스할 수 있습니다.
VPN과 제로 트러스트 접근 방식의 부상
VPN은 기존의 경계 중심 보안 전략을 위해 설계되었습니다. 그러나 이 전략에는 VPN의 한계와 결합된 주요 문제가 있어 Forrester가 제로 트러스트 보안 모델을 만드는 데 영감을 주었습니다.
경계 기반 전략과 달리 제로 트러스트는 기존 네트워크 경계 내의 모든 디바이스, 사용자 및 애플리케이션에 암시적 신뢰를 부여하지 않습니다. 대신, 회사 리소스에 대한 액세스 권한은 최소 권한 원칙에 따라 부여되며, 엔터티에는 해당 역할을 수행하는 데 필요한 최소 권한 집합만 할당됩니다.
ZTNA 솔루션이 기업 VPN보다 나은 이유
제로 트러스트 보안 전략으로 인해 VPN은 더 이상 실행 가능한 보안 원격 액세스 솔루션이 아닙니다. ZTNA는 VPN과 비교할 때 다음과 같은 몇 가지 이점이 있는 대안을 제공합니다.
- 논리적 액세스 경계: ZTNA는 물리적 네트워크 경계가 아닌 소프트웨어로 "경계"를 구현합니다. 이를 통해 ZTNA는 마이크로 세그멘테이션 에 사용되고 기존 경계 외부의 자산을 보호할 수 있습니다.
- 요청별 권한 부여: ZTNA는 각 액세스 요청을 개별적으로 승인합니다. 이렇게 하면 사용자에게 자신의 역할에 필요하지 않은 리소스에 대한 액세스 권한이 부여되지 않습니다.
- 외부 디바이스 및 사용자 지원: ZTNA는 클라이언트리스이므로 사용자 디바이스에 소프트웨어를 설치할 필요가 없습니다. 이렇게 하면 외부 파트너와 BYOD 디바이스가 회사 리소스에 더 쉽게 연결할 수 있습니다.
- 어두워진 IT 인프라: ZTNA는 사용자에게 액세스해야 하는 리소스만 표시합니다. 이로 인해 공격자가 네트워크를 통해 측면으로 이동하거나 기업 자산이 DDoS 공격의 표적이 되는 것이 더 어려워집니다.
- 앱 수준 액세스 관리:App-Level Access Management: ZTNA는 애플리케이션 계층에 대한 가시성을 갖추고 있어 조직이 애플리케이션, 쿼리 및 명령 수준에서 정책을 관리할 수 있습니다.
- 사용자 활동에 대한 세분화된 가시성: ZTNA는 각 사용자 요청을 독립적으로 인증함으로써 기업 애플리케이션 및 IT 자산과 사용자의 상호 작용에 대한 보안 정보 및 이벤트 관리(SIEM) 친화적인 감사 로그를 구축할 수 있습니다.
Harmony Connect를 통해 ZTNA로 전환
보안 제한 외에도 VPN은 확장성 및 성능에 문제가 있습니다. 보안 원격 액세스 솔루션을 업그레이드하고 제로 트러스트 아키텍처를 구현하려는 기업에게 ZTNA는 레거시 기업 VPN의 좋은 대안입니다.
ZTNA는 전체 네트워크 보안 스택과 SD-WAN(Software-Defined WAN)과 같은 네트워크 최적화 기능을 결합한 SASE(Security Access Service Ets) 솔루션의 일부로 가장 잘 구축할 수 있습니다. SASE를 구축함으로써 조직은 경계 기반 보안 모델에서 분산된 엔터프라이즈를 위해 구축된 제로 트러스트 아키텍처로 전환할 수 있습니다.
Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.
피드백