제로 트러스트를 통한 바이든 행정부의 사이버 보안 행정 명령의 운영

지난주, 바이든 행정부는 연방 수준에서, 그리고 실제로 모든 조직에서 필요한 사이버 보안 개선에대해 확고한 입장을 취했습니다. 여러 권장 사항 중에서도 제로 트러스트 전략의 필요성에 대한 강력한 인식이 있었습니다.

제로 트러스트는 내부 또는 외부의 모든 소스에 대한 자동 액세스를 방지하여 암묵적 신뢰를 제거하고, 여러 소스의 실시간 정보를 기반으로 사전 승인 및 지속적인 검증 없이는 내부 네트워크 트래픽을 신뢰할 수 없다고 가정하는 조정된 사이버 보안 접근 방식, 보안 프레임워크 및 아키텍처입니다. 제로 트러스트는 네트워크, 디바이스, 사용자 또는 워크로드 전반에서 과도한 신뢰라는 개념을 없애고 최소 권한에 기반한 세분화된 액세스 제어를 지원하여 공격자의 네트워크 내 범위와 이동을 제한함으로써 공격 표면을 크게 줄입니다.

앤드류 루빈과 저는 모든 규모의 조직이 이러한 사고방식을 쉽게 받아들여 보안을 개선할 수 있도록 돕기 위해 이와 같은 원칙을 염두에 두고 일루미오를 설립했습니다.

이러한 원칙 중 몇 가지를 EO에 인용하여 말씀드리겠습니다.

침해 가정

침해 가정이라는 개념에 대해 알아보겠습니다. " 제로 트러스트 아키텍처 보안 모델은 침해가 불가피하거나 이미 발생했을 가능성이 높다고 가정합니다." 이는 공격자가 이미 기업 경계 안에 있을 가능성이 높다는 다소 불편한 입장을 수용하는 것으로, 조직은 이러한 침입이 대규모의 치명적인 사건으로 이어지지 않도록 보안 제어를 구축해야 합니다. 무엇보다도 조직은 사고방식의 전환을 수용하고 모든 곳에서 최소 권한 모델을 사용할 수 있는 보안 제어를 도입해야 합니다.

허용 목록

EO는 또한 "본질적으로 제로 트러스트 아키텍처는 사용자에게 전체 액세스 권한을 허용하지만 업무 수행에 필요한 최소한의 액세스 권한만 허용합니다."라고 말합니다. "이 데이터 중심 보안 모델을 통해 모든 액세스 결정에 최소 권한 액세스 개념을 적용할 수 있습니다."라고 제안합니다. 고객이 최소 권한 모델을 구축하고 유지하도록 지원하는 것은 Illumio가 하는 일의 핵심이며 제품을 구축하고 설계하는 방법의 핵심입니다. 쉽지 않은 일입니다. 제로 트러스트 모델을 선전하고 거부 목록을 작성하여 잠재적인 나쁜 일이 발생하지 않도록 하는 사람들이 많이 있습니다. 이것은 제로 트러스트가 아닙니다.

제로 트러스트를 수용한다는 것은 최소한의 허용 목록을 구축하는 것을 의미합니다. 이는 사람들이 업무를 수행하기 위해 필요한 액세스 권한을 파악하고 추가 액세스 권한을 제공하지 않는 것을 의미합니다. "제로 트러스트 보안 모델은 하나의 요소, 노드 또는 서비스에 대한 암묵적 신뢰를 제거합니다." 이를 위해서는 네트워크와 환경의 모든 수준에서 암묵적인 신뢰를 최대한 끌어내야 합니다. "제로 트러스트 보안 모델은 하나의 요소, 노드 또는 서비스에 대한 암묵적 신뢰를 제거합니다." 즉, 환경에 대한 전체적인 관점을 가져야 합니다.

통합 가시성

EO에 명시된 대로 "제로 트러스트 아키텍처는 동적 위협 환경 내에서 실시간으로 데이터를 보호하는 데 집중하기 위해 인프라의 모든 측면에 걸쳐 포괄적인 보안 모니터링, 세분화된 위험 기반 액세스 제어, 시스템 보안 자동화를 조화롭게 통합합니다." 조직은 이기종 온프레미스 및 멀티클라우드 환경에서 엔드포인트, 사용자, 워크로드 전반의 커뮤니케이션을 더 큰 맥락에서 보고 이해하기 위해 통합된 가시성을 필요로 합니다.

제로 트러스트 여정

제로 트러스트 네트워크 액세스(ZTNA) 솔루션으로 제로 트러스트 여정을 시작하여 최종 사용자와 애플리케이션 및 시스템 간에 몇 가지 원칙을 적용한 다음 ZTNA 게이트웨이 뒤에 암시적(제로가 아닌) 신뢰 모델을 남겨두는 경우가 많습니다. 이는 제로 트러스트 전략의 일부이지만, ZTNA만으로는 충분하지 않습니다. 최근 발생한 SolarWinds 공격은 워크로드 사이에 침해가 발생했다는 점에서 이를 증명합니다.

제로 트러스트 세분화

퍼즐의 또 다른 핵심 요소는 제로 트러스트 세분화로, 데이터센터와 클라우드의 모든 핵심 애플리케이션에 대해 워크로드 간에 최소 권한 정책을 구축할 수 있습니다. 최근 솔라윈즈와 코드코브에 대한 공급망 공격과 같이 사용자 액세스를 악용하는 것이 아니라 워크로드 간의 암묵적 신뢰를 악용하는 공격이 점점 더 많아지고 있습니다. 제로 트러스트 세분화는 전체적인 제로 트러스트 태세를 달성하기 위한 기본입니다.

제로 트러스트 접근 방식 수립

데이터 센터, 클라우드, 엣지 등 모든 환경에서 제로 트러스트가 작동할 수 있는 포괄적인 접근 방식이 필요합니다.

기존 IT/네트워킹/보안 도구 전반에서 보안 사일로를 제거하여 위험을 줄이고 비용을 절감하며 제로 트러스트 배포 시간을 단축할 수 있는 제로 트러스트 아키텍처를 구현하는 것이 중요합니다.

제로 트러스트 여정에 도움이 되려면 종합적인 제로 트러스트 전략, 아키텍처 및 구현 계획을 수립하고 실행해야 합니다.

백악관의 행정명령 요건을 더 빨리 충족하고 싶으신가요? 여기에서 방법을 알아보거나 연방 기관을 위한 제로 트러스트 아키텍처를 설계하는 방법을 배울 수 있는 워크숍에 참여하세요.