재밌고 어려운 IT를 이해해보자~!
제로 트러스트 본문
지금까지 IT 업계는 경계 보안 전략 에 따라 사용자 데이터와 지적 재산과 같은 가장 귀중한 리소스를 보호해 왔다.
이러한 보안 전략은 네트워크에 들어오고 네트워크에서 나가는 사용자를 검사 및 확인하기 위해 방화벽 및 기타 네트워크 기반 도구를 사용한다. 그러나 이러한 경계 보안 모델은 기업망에서만 근무하던 환경에서는 적합할 수 있지만 재택근무 확대, 업무환경의 다변화(스마트 워크플레이스 등)로 인해 경계 보안 모델의 한계성과 취약성 이슈가 대두되며, 디지털 혁신과 하이브리드 클라우드 인프라를 향한 이동 때문에 산업들이 사업을 수행하는 방식이 변하고 있습니다. 네트워크 경계에 의존하면 더 이상 충분하지 않다.
제로 트러스트는 일체의 사용자와 프로세스를 신뢰하지 않는다는 원칙 하에 모든 사용자와 디바이스, 애플리케이션과 트랜잭션에 확인을 요구하는 사이버 보안 전략이다.
모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 보안 아키텍처를 설계하는 방식
통신이 방화벽 내부에서 시작되는지 여부에 따라 신뢰성을 결정하던 전통적인 아키텍처와는 대조적이다.
체계적인 사이버 범죄자 조직은 내부자를 모집하여 내부자 위협의 기회를 늘리고, 전통적인 보안 아키텍처 외부를 통과할 수 있는 새로운 방법을 계속해서 찾아 나가기 때문에 모든 위협은 귀중한 데이터가 유출되거나, 비즈니스와 상거래에 지장을 주거나, 인명 피해를 유발할 가능성이 존재한다.
이처럼 새로운 위협 환경에 처한 미국 연방 정부를 대상으로 제로 트러스트 아키텍처를 도입하라는 행정 명령이 발효되었으며, 많은 기업이 이를 도입하는 데 따르는 비용과 이점을 저울질 하는 중이다.
제로 트러스트 모델의 기반
탈경계화: 기업은 더 이상 지리적 경계로 정의되지 않는다.
사용자는 다양한 위치와 엔드포인트에서 활동하고 하나 이상의 운영 환경에서 리소스에 액세스하며, 여기에는 보통 엔터프라이즈 IT 조직이 소유하거나 통제하지 않는 클라우드 및 서비스로서의 소프트웨어(SaaS) 솔루션이 포함됨
탈경계화는 이와 같은 위치와 신뢰의 분리 문제를 해결한다.
최소 권한: 이름 또는 위치를 기준으로 신뢰가 상속되지 않는다면 모든 상호 작용은 의심스러운 것
또한 허용 또는 차단에 따르는 이익과 위험을 반드시 고려해야 하는 상호 작용의 허용 여부를 비즈니스에서 결정하게 된다.
최소 권한은 절대적으로 필요한 리소스에만 액세스 가능하도록 액세스 권한을 제한하는 관행을 말합니다. 즉 활동에 필요한 “최소한의” 권한만 허용하는 것입니다. 각각의 리소스 액세스 요청은 Identity 관리와 위험 기반의 상황 인식 액세스 제어를 사용해 실시간으로 검증되어야 합니다.
제로 트러스트 아키텍처 구현
제로 트러스트 아키텍처를 구현하기 위해 기존 네트워크 전체를 교체하거나 새로운 기술을 대량으로 확보할 필요 X
대신에 기존의 다른 보안 사례와 툴을 프레임워크에서 강화
제로 트러스트 전략을 성공적으로 도입하려면 다음과 같은 중요 구성 요소가 필요
- Identity 및 액세스 관리
- 권한 부여
- 자동화된 정책 결정
- 리소스에 패치 적용
- 지속적 모니터링과 트랜잭션 로깅 및 분석
- 인적 오류가 발생하기 쉬운 반복성 활동을 최대한 자동화
- 행동 분석과 위협 인텔리전스를 사용하여 자산의 보안 강화
참조 *
https://www.ibm.com/kr-ko/topics/zero-trust
https://www.redhat.com/ko/topics/security/what-is-zero-trust
