제로 트러스트 작동 방식
제로 트러스트의 기본 개념은 달리 입증될 때까지 모든 디바이스와 사용자를 신뢰할 수 없다고 가정하는 것입니다. 사용자 또는 엔터티가 한 번 신뢰할 수 있는 것으로 입증된 후에도 제로 트러스트 모델은 기본적으로 다음에 시스템에서 동일한 사용자 또는 디바이스를 볼 때 이를 신뢰하지 않습니다. 제로 트러스트 모델의 신뢰는 결코 당연한 것으로 간주되지 않으며, 관찰과 정기적인 인증을 기반으로 하여 위험을 제한하는 데 도움이 됩니다.
제로 트러스트의 개념은 소프트웨어 정의 경계(SDP)와 관련이 있는 경우가 많은데, 이는 원래 클라우드 보안 연합(CSA)의 후원하에 개발을 시작하는 노력의 일환입니다.
일반 SDP 모델에는 에이전트가 다양한 리소스에 연결하고 액세스할 수 있는 정책을 정의하는 컨트롤러가 있습니다. 게이트웨이 구성 요소는 트래픽을 올바른 데이터 센터 또는 클라우드 리소스로 전달하는 데 도움이 됩니다. 디바이스 및 서비스는 컨트롤러에서 리소스로 연결하고 액세스를 요청하는 SDP 에이전트를 사용합니다. 그 과정에서 디바이스 상태 확인, 행동 데이터를 포함한 사용자 프로파일링 및 다중 인증 메커니즘이 보안 태세를 검증하기 위해 사용됩니다.
제로 트러스트 모델에 따르면 에이전트 또는 호스트 연결의 모든 단계에서 요청이 인증되고 진행 권한이 있는지 검증하는 보안 경계가 있어야 합니다. 올바른 사용자 이름과 비밀번호 또는 액세스 토큰이 제공된 후 암묵적인 신뢰에 의존하는 것과 달리, 제로 트러스트에서는 정의상 모든 것이 신뢰할 수 없으며 액세스 권한을 제공하기 전에 확인해야 합니다.
제로 트러스트 배포의 과제
제로 트러스트는 조직이 공격 표면을 줄이고 위험을 제한하는 데 도움이 되는 좋은 아이디어이지만 복잡성과 구현 문제가 없는 것은 아닙니다.
일부 SDP 제로 트러스트 구현에 대한 중요한 도전 과제는 디바이스 인증서가 필요하고 포트 기반 네트워크 액세스 제어(NAC)를 위한 802.1x 프로토콜에 대한 지원과 함께 온프레미스 배포 접근 방식을 기반으로 한다는 것입니다.
여러 퍼블릭 클라우드 및 온프레미스 배포에서 엔드 투 엔드로 완벽한 지원을 지원하는 것은 많은 경우 지루하고 시간이 많이 소요되는 작업일 수 있습니다.
잘못된 단어 선택일 수도 있지만, 데이터 암호화 종료 요구 사항이 존재하는 경향이 있기 때문에 조직은 제로 트러스트 솔루션을 신뢰해야 하는 경우가 많습니다.
일반적으로 조직에는 VPN 및 방화벽을 비롯한 다양한 보안 도구가 이미 마련되어 있습니다. 제로 트러스트 솔루션 공급업체가 지뢰밭을 탐색하는 방법은 자주 핵심 과제로 떠오르곤 합니다.
제로 트러스트 솔루션의 배포 여부는 실제로 설정이 얼마나 쉬운지에 따라 결정되는 경우가 많습니다.
제로 트러스트 배포 관련 고려 사항
제로 트러스트 모델은 기존 네트워크 및 애플리케이션 토폴로지 외에도 오버레이로 작동합니다. 따라서 분산 네트워크를 관리할 수 있는 민첩한 데이터 플레인을 보유하는 것이 중요한 고려 사항입니다.
최종 사용자 시스템에 디바이스 인증서와 바이너리를 설치하는 데는 시간과 리소스 요구 사항 등 여러 가지 문제가 복합적으로 작용하는 경우가 많습니다. 에이전트가 없는 솔루션을 사용하는 것은 솔루션 보유 여부와 프로덕션 환경에서 실제로 신속하게 배포할 수 있는 솔루션의 차이를 만들 수 있으므로 핵심적인 고려 사항입니다.
호스트 기반 보안 모델을 사용하는 제로 트러스트 도구를 고려하세요. 현대 사회에서는 많은 애플리케이션이 웹을 통해 제공되며, 호스트 기반 접근 방식을 취하는 것이 이러한 모델에 부합합니다. 제로 트러스트를 위한 호스트 기반 모델에서 시스템은 특정 최종 사용자 시스템이 특정 리소스에 대한 액세스 토큰을 받을 수 있는 적절한 권한이 있는지 확인합니다.
제로 트러스트 모델에서 암호화가 어떻게 작동하는지 이해하는 것도 중요합니다. 한 가지 옵션은 제로 트러스트 배포 전체에 걸쳐 엔드투엔드 암호화를 적용하는 것입니다.
클라우드에 제로 트러스트를 배포하는 방법
기본 SDP 방식은 제로 트러스트 모델을 온프레미스에 배포하기 위해 잘 정의되어 있습니다. 클라우드의 경우 더 복잡해질 수 있습니다. 클라우드 공급업체마다 시스템이 다르기 때문에 모든 유형의 배포에 잠재적인 복잡성이 추가됩니다.
복잡성을 가중시키는 것은 멀티 클라우드 배포에 대한 추세가 증가하고 있다는 것을 의미합니다. 따라서 단일 퍼블릭 클라우드 제공업체에 대한 배포 관련 도전 과제 외에도 여러 퍼블릭 클라우드 제공업체에 배포하고 시행할 수 있는 제로 트러스트 모델을 보유하는 것에 대한 복잡성이 존재합니다.
멀티 클라우드 배포에 제로 트러스트를 배포하는 방법 중 하나는 오픈 소스 Kubernetes 컨테이너 오케스트레이션 플랫폼을 활용하는 것입니다. Kubernetes는 Amazon Web Services(AWS), Microsoft Azure, GCP(Google Cloud Platform)를 포함한 모든 주요 퍼블릭 클라우드 공급업체에서 지원됩니다. Kubernetes에는 Docker 컨테이너에서 실행되는 애플리케이션의 분산 노드를 관리하기 위한 제어 플레인이 있습니다.
제로 트러스트를 사용하도록 설정하기 위해 애플리케이션을 패키징하고 배포하는 방법으로 Docker 컨테이너를 사용하는 것은 복잡성을 더욱 줄이는 접근 방식입니다. 다양한 시스템에 대해 다양한 애플리케이션 바이너리를 필요로 하는 대신, Kubernetes 기반 시스템과 함께 클라우드 네이티브 접근 방식을 사용하면 멀티 클라우드 환경의 근본적인 복잡성을 추상화할 수 있습니다.
또한 클라우드는 모든 퍼블릭 클라우드 제공업체가 전 세계에 여러 지리적 지역과 영역을 가지고 있다는 점에서 균일한 구조가 아닙니다. 다양한 배포의 목적은 리소스를 최종 사용자와 최대한 가깝게 사용할 수 있도록 하는 것입니다. 제로 트러스트 모델을 클라우드에 배포할 때는 네트워크 대기 시간을 최대한 줄일 수 있도록 전 세계에 여러 상호 접속 지점이 있는 솔루션을 선택해야 합니다.
제로 트러스트 배포가 가치 있는 이유
IT 리소스는 항상 제한되어 있으며 필요한 모든 작업을 수행하는 데 필요한 예산이 편성된 조직은 거의 없습니다. 제로 트러스트로 또 다른 보안 계층을 추가하는 것은 IT 부서의 귀중한 리소스에서 추가 시간과 요구가 필요한 또 다른 복잡성으로 간주될 수 있습니다.
그러나 제로 트러스트는 적절하게 배포될 경우 업무가 과중한 IT 직원에 대한 수요를 줄일 수 있는 잠재력이 있습니다.
제로 트러스트 기반이 아닌 네트워크 환경에서는 사용자 이름과 비밀번호가 기본 디렉토리(Active Directory 또는 기타) 기반 ID 및 액세스 관리 기술과 함께 액세스의 주요 게이트키퍼 역할을 하는 경우가 많습니다. 방화벽과 침입 방지 시스템(IPS) 도 일반적으로 배포되어 보안을 강화하는 데 도움이 됩니다.
그러나 이러한 시스템 중 어느 것도 실제로는 주어진 액세스 요청의 상태를 지속적으로 검증하지 않습니다. 문제가 발생하여 자격 증명을 분실하거나 도난당한 경우, IT 담당자가 근본 원인을 찾아서 해결하는 데 추가적인 시간과 노력이 필요합니다.
올바르게 구성 및 배포된 제로 트러스트 환경에서는 모든 액세스의 유효성이 검사됩니다. 즉, 제로 트러스트 네트워크는 IT 직원이 자격 증명이 도용되어 시스템이 침해된 사실을 파악해야 하는 대신 항상 제로 액세스를 가정하고 시작합니다. 유효성 검사를 통해서만 액세스 권한이 부여됩니다. 제로 트러스트는 공격 표면이 줄어드는 것을 의미하며, 이는 일반적으로 위험 감소로 이어집니다.
또한 IT 부서가 계정 유출 여부를 파악하고 로그를 파헤쳐 무슨 일이 일어났는지 파악하는 데 소요되는 시간을 줄일 수 있습니다. 제로 트러스트를 사용하면 손상된 머신에 대한 액세스가 허용되지 않으며, 네트워크를 통한 공격자의 잠재적인 측면 이동이 제한됩니다.
제로 트러스트 배포 체크리스트
제로 트러스트 솔루션을 구현하는 방법을 고려할 때 다음과 같은 간단한 질문을 염두에 두어야 합니다.
- 배포의 용이성: 시스템을 얼마나 빨리 구축하고 실행할 수 있나요? 공급업체가 자사 솔루션에 맞게 환경을 변경하도록 강요하나요? (예: 방화벽에서 포트 열기)
- 멀티 클라우드 지원: 제로 트러스트 솔루션으로 여러 퍼블릭 클라우드 제공업체를 쉽게 지원할 수 있나요? 둘 이상의 클라우드에서 워크로드를 효과적으로 보호할 수 있나요?
- 암호화: 제로 트러스트 솔루션은 암호화를 어떻게 처리하며 데이터를 안전하게 유지하나요? 암호화 키는 어디에 저장되며 키를 직접 가져올 수 있나요?
- 확장성: 제로 트러스트 아키텍처는 얼마나 확장성이 있나요? 워크로드의 요구 사항을 충족하나요?
- 보안: 솔루션 제공업체는 어떤 보안 조치를 시행하고 있나요? 간소화된 보안 주기를 유지하나요? 애플리케이션 액세스 수준에서 DDoS 보호와 같은 추가 보안 계층을 제공할 수 있나요, 아니면 써드파티 메커니즘을 사용해야 하나요?
- 가시성: 솔루션이 콘텐츠, DLP, 악성/비정상 행동에 대한 내부 트래픽 검사를 제공할 수 있나요?
- 서비스 및 지원: 제로 트러스트 솔루션 제공업체가 문제 해결에 도움을 줄 수 있나요?
- 가치: 솔루션이 추가적인 가치를 제공하나요? 제로 트러스트 솔루션이 기존 보안 도구가 제공하는 것 이상의 가치와 기능, 위험 감소를 제공하는 방법과 위치를 파악하세요.
피드백