연방 OMB 제로 트러스트 메모, 정부 기관에 마감일 통보

2021년 5월, 바이든 행정부는 솔라윈즈 및 콜로니얼 파이프라인 공격 이후 국가의 사이버 보안을 개선하는 행정 명령 14028을 발표했습니다. 이 명령은 정부 기관의 사이버 복원력을 높이고 위험을 줄이는 것을 목표로 합니다. 단 60일 만에 제로 트러스트 아키텍처를 구현하기 위한 계획을 개발하도록 지시했습니다. 이 명령에 대한 답변으로 일루미오 연방 디렉터인 마크 센스비치는 각 기관이 연방 시스템에 아키텍처를 구축하고 구현하기 위한 운영 로드맵이 필요하다고 언급했습니다.

이러한 로드맵은 1월 26일 미국 관리예산처(OMB)에서 발표한 각서 M-22-09에 명시된 것으로, 확정 기한이 명시된 연방 제로 트러스트 아키텍처 전략 지침입니다.

이 메모는 각 기관이 메모 발행일로부터 60일 이내에 FY22-FY24의 이행 계획을 OMB와 CISA에 제출하도록 지시합니다. 이 메모에는 기관이 기술 수준에서 달성해야 할 목표, 언제까지 해야 할 일, 필요한 예산 계획이 명확하게 설명되어 있습니다. 일부 마일스톤의 기간은 12개월, 다른 마일스톤의 기간은 24개월입니다. 이 메모는 2024 회계연도 말까지 기관이 제로 트러스트 측면에서 어떤 위치에 도달할 것으로 예상되는지에 대한 필수 지침을 제공합니다.

이 메모는 OMB가 기관이 구현하기를 기대하는 것과 플랫폼 또는 솔루션이 제공할 수 있는 것 사이에 직접적인 시각을 제공합니다. 정의되지 않은 요구 사항과 공급업체가 제공할 수 있는 것 사이에 비약적인 믿음을 가질 필요는 없습니다.

이 메모의 요구 사항은 야심찬 것이었습니다. 하지만 기관들은 제로 트러스트 태세를 발전시키는 데 거의 3년의 시간이 있으며, 2024년 12월까지 대부분의 기관이 필요한 사항의 상당 부분을 달성했거나 이를 위한 확실한 계획을 가지고 있을 것으로 예상합니다. 그러나 이 메모에는 진행 상황을 측정하고 성공을 측정하는 방법이 명시되어 있지 않으며, 이러한 메트릭의 정의와 추적은 채택을 촉진하는 데 필수적입니다.

CISA의 5가지 제로 트러스트 기둥

이 각서에 명시된 전략적 목표는 사이버 보안 및 인프라 보안국(CISA)의 제로 트러스트 성숙도 모델과 일치하며, 이 모델은 5가지 기둥으로 구성되어 있습니다:

1. 신원
2. 장치
3. 네트워크
4. 애플리케이션 및 워크로드
5. 데이터

마크가 블로그에서 언급했듯이, 기관이 제로 트러스트를 달성하기 위해 구현할 수 있는 기술은 한 가지가 아닙니다. 하지만 일루미오는 각서에서 언급된 많은 목표에 기여하고 직접적으로 지원할 수 있습니다. 예를 들어, 신원 기둥에 따라 연방 정부는 "정부가 승인한 용도로 작동하는 모든 디바이스의 전체 목록을 보유하고 이러한 디바이스에서 발생하는 사고를 예방, 탐지 및 대응할 수 있어야 한다"고 규정하고 있습니다.

Illumio는 컨텍스트에 대한 완벽한 가시성을 제공하여 위험과 디바이스 간의 관계를 이해함으로써 기관의 엔드포인트 탐지 및 대응(EDR) 역량을 강화할 수 있습니다. EDR 도구는 개별 디바이스에서 어떤 일이 일어나고 있는지 알려줍니다. Illumio의 매핑 기능을 사용하면 디바이스 간의 상호 작용과 관계를 확인하고 허용해야 할 것과 허용하지 말아야 할 것을 보다 명확하게 파악할 수 있습니다.

물론 메인프레임과 같은 특정 시스템은 운영 체제에 설치하도록 설계되었기 때문에 EDR 도구와 호환되지 않는 경우도 있습니다. 하지만 Illumio는 이러한 시스템에서 흐름 데이터를 수집하여 동일한 종속성 맵에 해당 시스템과 시스템 간의 상호 작용을 나타낼 수 있습니다. 그리고 이 상세한 실시간 종속성 맵은 제로 트러스트 세분화를 위한 필수적인 첫 단계입니다.

네트워크 및 애플리케이션 워크로드 보호

네트워크와 관련된 각서의 핵심 문구는 "기관은 다양한 애플리케이션과 기업 기능에 대한 가시성 또는 액세스를 향상시킬 수 있는 광범위한 전사적 네트워크를 유지하는 관행에서 벗어나야 한다"고 주장합니다. 네트워크 섹션의 전반적인 목표는 네트워크 경계를 격리된 환경으로 세분화하는 것입니다. 다시 말해, 세분화를 구현하세요.

워크로드 측면에서 이 각서는 기관에 "가상 사설망(VPN) 또는 기타 네트워크 터널에 의존하지 않고 안전한 방식으로 인터넷에 액세스할 수 있는 애플리케이션"을 만들도록 지시합니다. 사내에서 사용할 수 있는 연방 정보 보안 관리법(FISMA) 중등도 애플리케이션을 하나 이상 식별하고 공용 인터넷을 통해 완전히 작동하고 액세스할 수 있도록 해야 합니다.

종합하면 다음과 같은 메시지가 있습니다: 네트워크의 모든 것을 신뢰할 수 있다고 가정해서는 안 되며, 주변의 모든 애플리케이션을 신뢰할 수 없는 것처럼 보호해야 합니다. 대신 네트워크의 모든 리소스가 악의적인 공격자에 의해 손상될 수 있는 침해 사고를 가정해 보세요. 목표 달성이 정말 어렵다면 어떻게 해야 할까요?

바로 이 점이 Illumio와 제로 트러스트 세분화가 필요한 이유입니다. 호스트 기반 마이크로 세분화를 포함하는 제로 트러스트 세분화는 네트워크 전반의 측면 이동을 정밀하게 제어하기 위한 제로 트러스트 아키텍처의 기본입니다.

보안 구축에 호스트 기반 접근 방식을 취하면 메모에서 요구하는 애플리케이션 및 워크로드 수준에서 세분화된 제어가 가능하며, 이는 네트워크 기반 세분화 접근 방식으로는 제공할 수 없는 기능입니다. 일루미오의 제로 트러스트 세분화 기술은 기관이 메모에 명시된 애플리케이션 및 워크로드 보호 요구 사항을 충족할 수 있도록 직접 지원합니다.

인터넷에서 내부 애플리케이션에 안전하게 액세스하기

일반적으로 내부에서 인터넷에서 안전하게 액세스할 수 있는 애플리케이션을 만들면 인증에 성공한 모든 사람이 내부 네트워크에서 애플리케이션에 직접 액세스할 수 있게 됩니다. 하지만 해당 애플리케이션이 손상되었다고 해서 조직 전체가 손상된 것은 아닙니다. 해당 애플리케이션을 중심으로 마이크로 세분화를 도입하여 침해의 영향을 제한해야 합니다. 기본적으로 각 애플리케이션에는 제로 트러스트( ") 영역인 '마이크로 경계'가 필요합니다." 일루미오는 이를 실현하는 데 핵심적인 역할을 할 수 있습니다.

위험 기반 가시성 및 모니터링

물론 가시성과 모니터링은 모든 제로 트러스트 보안 전략의 필수 구성 요소입니다. Illumio의 애플리케이션 종속성 맵을 사용하면 데이터 센터와 클라우드 플랫폼에서 애플리케이션과 워크로드 간의 트래픽 흐름을 실시간으로 관찰하여 종속성과 연결성을 파악하여 적절하게 세분화할 수 있습니다.

Illumio는 모니터링 플랫폼이 네트워크 검사의 오버헤드(종종 과소평가되는 위험) 없이 활용할 수 있는 유용한 정보를 많이 수집합니다. 예를 들어 Illumio는 애플리케이션 종속성 맵에 타사 취약성 데이터를 오버레이하여 위험 기반 접근 방식으로 보안 및 패치 결정의 우선순위를 정하는데, CISA의 제로 트러스트 성숙도 모델을 보면 주로 무엇을 먼저 하느냐에 따라 우선순위가 결정됩니다.

취약성 및 위협 피드 데이터를 통합하면 위험 기반 가시성을 확보할 수 있습니다. Illumio는 사용자가 선호하는 스캐너의 취약점 스캔 데이터를 정책 컴퓨팅 엔진(PCE)으로 수집합니다. 이렇게 하면 워크로드 연결 보기에 오버레이할 수 있는 각 워크로드에 대한 취약성 메타데이터가 제공됩니다. 이를 통해 정량적인 노출 또는 위험 점수를 얻을 수 있으므로 취약점이 얼마나 많은 위험을 발생시키는지, 어떤 애플리케이션이 취약한 포트에 연결되는지 쉽게 파악할 수 있습니다.

일반적으로 취약점 스캐너는 워크로드가 얼마나 노출되어 있는지 알 수 없습니다. 하지만 일루미오가 바로 그런 서비스를 제공합니다. 이 두 가지는 강력한 조합을 이룹니다. 예를 들어 보겠습니다.

Log4j 취약점을 통해 해커는 수백만 대의 서버를 제어할 수 있었고, 널리 사용되는 결함이 있는 코드로 인해 서버를 종료하거나 멀웨어를 강제로 퍼뜨릴 수 있었습니다. Log4j의 CVSS(공통 취약점 점수 시스템) 점수는 10점이었습니다.

하지만 Log4j를 실행하는 워크로드가 하나뿐이고 다른 워크로드와의 연결이 거의 없이 데이터센터 깊숙이 묻혀 있다고 가정해 보겠습니다. 한편, 5점을 받은 또 다른 취약점은 연결성이 높은 10개의 서버에 존재합니다.

이제 취약점 스캐너 데이터만 보면 Log4j 서버를 즉시 패치하는 것이 좋다는 결론을 내릴 수 있습니다. 하지만 실제 노출 현황을 살펴보면, 밀집되어 있는 취약점 5가 있는 10개 서버가 가장 많이 노출되어 있으므로 가장 먼저 패치를 적용해야 합니다.

Illumio의 위험 기반 가시성을 통해 이를 확인할 수 있습니다. 취약점 관리에는 우선순위가 부족한 경우가 많은데, Illumio는 가장 많이 노출되고 악용될 가능성이 높은 취약점의 우선순위를 먼저 지정할 수 있도록 도와줍니다.

일루미오로 제로 트러스트 세분화 계획 수립하기

따라서 OMB 메모에서 요구하는 사항의 관점에서 생각해 보세요. 기관은 60일(3월 말) 이내에 이 메모의 목표를 달성할 방법을 자세히 설명하는 제로 트러스트 아키텍처 구현 계획을 수립해야 합니다. 여기에는 2024 회계연도 말까지 완료해야 하는 계획 목표와 2022 회계연도와 2023 회계연도에 완료해야 하는 목표에 대한 예산이 포함되며, 시간 제약으로 인해 더욱 힘든 작업이 될 것입니다. 가장 좋은 방법은 소규모로 시작하여 3년에 걸쳐 확장하는 것입니다.

60일 계획의 대부분은 기관이 어떻게 적의 측면 이동을 막을 수 있는지 보여줘야 합니다. 이는 우선순위 목록의 맨 위에 있어야 합니다. 제로 트러스트 세분화를 배포하기 전에 실시간 애플리케이션 및 워크로드 종속성 맵이 필요합니다.

세분화할 대상을 확인해야 합니다. 따라서 불필요하게 열려 있는 포트를 잠그는 것과 함께 가시성이 매우 중요합니다. 후자는 Illumio가 '봉쇄 스위치'라고 부르는 특정 포트 주변의 마이크로 세그먼트를 사용하여 수행할 수 있습니다. Illumio는 취약성 데이터를 수집하여 가장 위험한 포트의 우선 순위를 지정하여 공격 벡터를 줄일 수 있습니다. 또한 중요한 애플리케이션이나 워크로드와 같은 고가치 자산(HVA)을 세분화할 수 있는 계획을 제시할 수도 있습니다.

3년간의 출시 계획은 다음과 같습니다:

• FY22: 네트워크 가시성 확보, 취약성 맵, 마이크로 세그먼트 HVA를 갖춘 격리 스위치 배포, SIEM과의 통합
• FY23: 기관의 더 큰 영역을 포함하도록 세분화 노력을 확대하고(예: 프로덕션과 개발 분리), SIEM과 더욱 통합하고, 시행 경계를 추가하고, 기밀 네트워크로 확장합니다.
• FY24: 미분류/분류 네트워크에 대한 마이크로 세분화 롤아웃을 완료하고, 애플리케이션별 적용을 계속하며, 새 서버 빌드에 통합합니다.

일루미오 제로 트러스트 세분화는 이러한 모든 결과를 실현할 수 있습니다. 또한 에이전시의 일부가 3년 동안 동시에 다른 장소에서 롤아웃을 진행할 수도 있습니다. Illumio는 유연성이 뛰어나며 네트워크 아키텍처에서 분리되어 있기 때문에 관리 대상 워크로드 수에 제한 없이 확장할 수 있습니다.

Illumio는 멀웨어와 사이버 공격의 측면 이동을 차단하여 기관이 보다 효과적으로 임무를 수행할 수 있도록 지원합니다. 자세한 내용을 확인하세요:

• 연방 제로 트러스트 전문가와 상담하려면 당사에 문의하세요.
• 연방 솔루션 페이지에서 Illumio가 기관과 사령부가 위험 기반 가시성과 제로 트러스트 세분화를 통해 제로 트러스트 아키텍처를 구축하는 데 어떻게 도움을 주는지 자세히 알아보세요.