Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
제로 트러스트 세분화

제로 트러스트는 어렵지 않습니다... 실용적이라면요?

Raghu Nandakumara
Vice President, Industry Strategy
Illumio Editorial
3월 25, 2020
23 분 읽기

몇 주 전, Dark Reading의 Rob Lemos는 명백한 보안 이점을 인정하면서도 조직과 보안 실무자가 제로 트러스트 모델 구현을 주저하는 이유에 대해 설명했습니다. 가장 큰 우려는 '브라운필드' 환경은 제로 트러스트 상태를 달성하기 위해 극복해야 할 기술적 부채가 너무 많기 때문에 완전히 새로운 환경(일반적으로 일부 클라우드 마이그레이션의 일부로 '그린필드'라고 부르는)에만 적용할 수 있다는 점입니다. 또한, 조직은 모든 것이 "제로 트러스트화"(실제로 그러한 상태가 존재한다면)되어야만 혜택을 실현할 수 있다고 가정하며, 제로 트러스트로 가는 길에 유익하고 달성 가능한 중간 상태는 존재하지 않는다고 생각합니다. 

이러한 통념은 깨뜨려야 할 필요가 있습니다.

포레스터의 제로 트러스트 프레임워크는 7가지 기둥으로 구성되어 있으며, 이를 결합하면 기업 보안을 위한 종합적인 전략을 제공합니다.

조직이 완전한 제로 트러스트 태세를 달성했다고 간주하려면 다음 사항을 충족해야 합니다:

  1. 모든 워크로드, 네트워크, 사람, 디바이스 및 데이터에 최소 권한을 구현하세요. 
  2. 이러한 제어가 자동화를 통해 완전히 구동되고 유지되는지 확인합니다.
  3. 가시성을 부산물이 아닌 1번과 2번을 위한 원동력으로 활용하세요. 지속적으로 모니터링하고 자동화에 피드백을 제공하여 제로 트러스트 상태의 무결성이 유지되도록 합니다. 

이는 상당한 작업처럼 보이기 때문에 일부 기업이 실행을 미루는 것도 당연합니다. 이는 현재 소셜 미디어에서 떠돌고 있는 수많은 의심스러운 홈메이드 코로나19 치료법과 마찬가지로, 하나의 제품으로 완벽한 '제로 트러스트화'를 제공한다고 주장하는 기술 제품을 선별하기 전의 일입니다. 

하지만 환경에 제로 트러스트 보안을 제공하기 위해 폭포수 접근 방식을 취하는 대신 보다 점진적이고 민첩한 접근 방식을 취한다면 어떨까요? (끝이 없는?) 이 상태에서 혜택을 실현할 수 있을까요? 여정? 그리고 앞으로 더 많은 기능을 통합할 수 있을까요?

당연히 대답은 위의 모든 질문에 '예'라는 대답이 돌아옵니다. 그렇다면 어떻게 해야 할까요? 

제가 추천하는 방법은 다음과 같습니다. 이 접근 방식(다소 단순화됨)을 통해 조직은 제로 트러스트 상태를 달성하기 위한 작고 현실적인 단계를 밟을 수 있습니다. 

  1. 보호할 대상을 식별합니다: 이 단계에서 보호하고자 하는 데이터, 애플리케이션 또는 비즈니스 프로세스를 식별합니다. 
  2. 집중할 제로 트러스트 기둥을 결정합니다: 제로 트러스트 기둥 중 어떤 기둥에 제어 기능을 구축할지 결정합니다. Illumio는 세분화 전문 기업으로, 조직이 주로 가시성, 워크로드, 네트워크에 집중할 수 있도록 지원합니다. 
  3. 정확한 컨트롤을 지정합니다: 이제 이 단계에서 달성하고자 하는 정확한 제어를 지정합니다. 중요한 비즈니스 프로세스를 실행하는 워크로드를 네트워크의 나머지 부분과 구분하고 싶다고 가정해 보겠습니다. 따라서 달성하려는 제로 트러스트 결과는 이 중요한 프로세스를 실행하는 워크로드에 대한 네트워크를 통한 최소 권한 액세스입니다. 
  4. 필요한 데이터를 규정합니다: 이제 결과를 달성할 구체적인 정책을 구축하려면 데이터와 가시성(Illumio의 경우 제공)이 필요합니다. 이는 워크로드 및 관련 종속성을 식별하는 관련 메타데이터와 이러한 종속성의 특성을 파악하는 트래픽 데이터로 구성됩니다.
  5. 정책을 설계하세요: 이러한 데이터 포인트로 무장하면 특정 비즈니스 프로세스에 대한 제로 트러스트 세분화 정책을 수립하고 이를 검증할 수 있습니다. 구현하기 전에 테스트하세요. 그렇지 않으면 아무런 감사도 받지 못할 것입니다. 
  6. 검증, 구현 및 모니터링: 정책이 시행되면 사용 가능한 트래픽 및 변조 모니터링을 통해 사용자 환경의 상태를 지속적으로 모니터링하고 수동 또는 자동화를 통해 모든 변경 사항에 대응할 수 있습니다. 
  7. 헹구고 1~6단계를 반복합니다. 
     

각 단계는 이미 수행된 작업을 기반으로 전반적인 보안 상태를 지속적으로 개선하며, 재개발 환경에서도 제로 트러스트를 채택하고 혜택을 누릴 수 있도록 합니다. 

전체 환경에 대해 한 번에 제로 트러스트를 달성하는 것은 어렵습니다. 즉, ZT MVP를 구축하고 조직을 위한 포괄적인 태세를 갖추기 위해 반복하는 것은 충분히 가능하며, 저희가 도와드리겠습니다.

자세한 내용은 마이크로 세분화를 통해 제로 트러스트 전략을 운영하는 방법에 대한 페이지를 참조하세요.

관련 주제

No items found.

관련 문서

런던에서 열리는 인포시큐리티 유럽 2023에서 일루미오를 만나보세요.
제로 트러스트 세분화

런던에서 열리는 인포시큐리티 유럽 2023에서 일루미오를 만나보세요.

6월 20일부터 22일까지 런던에서 열리는 올해 인포시큐리티 유럽 컨퍼런스에서 일루미오 제로 트러스트 세분화(ZTS) 전문가를 만나보세요.

Read more
사이버 크리에이티브의 힘에 대한 API 보안 CISO 리처드 버드의 이야기
제로 트러스트 세분화

사이버 크리에이티브의 힘에 대한 API 보안 CISO 리처드 버드의 이야기

크리에이티브 스토리텔링의 혁신적 힘과 제로 트러스트 및 API 보안의 통합에 대해 Traceable AI의 CISO인 Richard Bird에게 알아보세요.

Read more
2024년 12월의 주요 사이버 보안 뉴스 기사
제로 트러스트 세분화

2024년 12월의 주요 사이버 보안 뉴스 기사

필수 전략으로서의 제로 트러스트의 진화부터 AI 기반 그래프 기반 보안의 최신 혁신에 이르기까지 2024년의 주요 사이버 보안 사례를 살펴보세요.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more