제로 트러스트 정의의 잘못된 점과 이를 바로잡는 방법

몇 년 전, 저는 오해의 소지가 있는 최악의 마케팅을 상징하는 배지를 부착한 자동차를 소유한 적이 있습니다. 은색의 3차원 로고에는 부분 무공해 차량의 약자인 PZEV가 새겨져 있습니다.

첫 반응이 모순적으로 들린다는 것이라면 좋은 본능을 가진 것입니다. 이 경우 설명이 놀라울 정도로 정확합니다.

문제는 이 광고된 기능이 본질적으로 쓸모없다는 것입니다. 이 오해의 소지가 있는 용어와 눈에 잘 띄는 배지가 정확하게 설명하는 것은 내연기관이 추진 동력원일 뿐 시동을 끄면 오염 물질을 배출하지 않는 공해 배출 내연기관 차량입니다.

가솔린 증발로 인한 배기가스를 방지하기 위해 연료 시스템에 프리티 굿 개스킷을 사용했음을 나타내는 PGG 배지가 더 정직한 배지일 것입니다. 하지만 기본적인 문제는 부분 0이 존재하지 않고 모순적이라는 점입니다.

여기서 이단아가 되기는 싫지만 0이 잘 정의되어 있다는 점은 어쩔 수 없습니다:

0.1은 0이 아닙니다.

.0001도 마찬가지입니다.

0.0000000000000000000000000001 도 0이 아닙니다.

제로 트러스트와 최소 권한 원칙

이제 자동차와 기본적인 산술에서 컴퓨터 네트워크 보안으로 전환해 보겠습니다.

제로 트러스트 네트워크 보안의 핵심 원칙은 과도한 권한이 없어야 한다는 최소 권한 원칙을 구현해야 한다는 것이며, 이는 정의에 포함되어 있습니다. 최소 권한 또는 트랜잭션이 올바르게 작동하는 데 필요한 절대 최소 권한은 제로 트러스트를 구축하는 데 필요하고 칭찬할 만하지만 충분하지 않은 적은 권한과 동일하지 않습니다.

여기서 문제의 간단한 예는 IP 주소 w.x.y.z의 포트 80에 웹 페이지를 노출하는 네트워크 리소스와 관련된 것입니다. 포트 80 이외의 모든 포트에 대한 액세스를 차단하는 것은 올바른 방향으로 나아가는 큰 조치입니다. 그러나 특정 사용자만 허용해야 하는 경우에는 모든 클라이언트 주소가 이 포트에 액세스할 수 있습니다. 이는 특정 클라이언트 소스 IP 주소만 허용함으로써 제거할 수 있는 과도한 권한입니다.

그러나 이렇게 하면 권한이 있는 사용자가 포트 80에 노출된 모든 리소스에 접속할 수 있는 시나리오가 발생하며, 의도된 사용 사례의 일부인 GET 작업과 그렇지 않은 PUT 작업 모두에 대해 그렇게 할 수 있습니다. 액세스를 추가로 제한하여 PUT 작업을 방지하고 특정 웹 리소스에 대한 GET만 허용하는 것은 의도한 사용 사례를 구현하는 데 필요한 최소한의 권한인 최소 작업 권한(MWP)을 얻는 최종 제한입니다.

MWP는 주어진 사용 사례에 대해 최소한의 권한만 부여하는 구성입니다. 위에서 설명한 각각의 후속 행동 제한은 공격 표면을 줄이고 MWP에 가까워지지만, 마지막 남은 과도한 권한이 제거되어야만 제로 트러스트를 구현했다고 말할 수 있습니다.

제로 트러스트는 여정이 아니지만, 제로 트러스트에 도달하기 위한 작업은 다음과 같습니다.

그리고 이것은 제로 트러스트가 부분적인 제로 트러스트라는 말도 안 되는 상태를 암시하는 것처럼 보이는 '여정'이라는 일반적인 주장으로 이어집니다. 제로 트러스트의 '수준'에 대한 논의는 마치 제로 트러스트 보안 태세의 스펙트럼이 있는 것처럼 흔히 들을 수 있습니다.

제로 트러스트는 여정이 아니라 목적지입니다.

사람들이 제로 트러스트 '여정'을 언급할 때 실제로 의미하는 것은 제로 트러스트를 달성하기 위한 작업이 여정이라는 것입니다. 이 목표를 향한 단계는 유용하고 중요하지만 제로 트러스트라는 최종 목표를 달성하는 것과는 구별되어야 합니다.

과장이나 모호한 용어가 모든 산업에서 사용되는 것은 사실이지만, 특히 사이버 보안에서는 도가 지나쳐서 장기적으로 피해를 줄 수 있는 방식으로 오해를 불러일으키는 경우도 있습니다. 보안에 있어 가장 큰 위험은 제로 트러스트에 가까워질 수 있는 공급업체나 솔루션과 관계를 맺게 되지만, 목적지까지 갈 수 있는 계획이나 능력이 없다는 것입니다.

부분적으로 0이 되는 것은 불가능합니다.

제로 트러스트는 자유와 안전에 관한 것입니다. 애플리케이션이 제로 트러스트를 구현하는 네트워크 서비스를 사용하는 경우, 해당 애플리케이션은 악의적인 공격자로부터 자신을 방어하기 위해 복잡하고 취약한 로직을 포함할 필요가 없습니다. 제로 트러스트 인프라 플랫폼은 이러한 위험을 제거했습니다.

제로 트러스트: 가능한 최소한의 공격 표면

예를 들어, 미국 법원의 경우 출입구 한 곳에 자기계측기가 있어 출입하는 모든 사람을 스캔하여 아무도 악의적인 물건을 내부로 반입하지 않았는지 확인하기 때문에 안전을 보장할 수 있습니다(제로 트러스트). 이러한 보안 조치(공격 표면 감소)가 없는 다른 입구가 있다면 위협 부족 보장을 지원할 수 없으며 모든 사람이 안전에 대해 우려해야 합니다. 두 개의 입구가 있는 이 시나리오에서 대부분의 사람들(악의가 없는 사람들)이 보안 인터페이스를 통과한다고 해서 안전하지 않다는 의미는 아닙니다.

공격 표면 감소와 제로 트러스트(가능한 최소한의 공격 표면)의 차이점은 자기 방어에 대해 걱정할 필요가 없는 자유를 허용하는지 여부에 있습니다. 진정한 제로 트러스트만이 애플리케이션 개발자가 애플리케이션에서 방어 기능을 제외할 수 있도록 하여 비용, 복잡성, 출시 시간을 단축할 수 있습니다.

많은 공급업체가 지금보다 더 안전하게 만들 수 있고 어느 정도 가치가 있는 솔루션을 판매합니다. 하지만 제로 트러스트 목적지로 이동하는 방법과 해당 목적지로 이동할 수 있는지 여부를 이해하는 것이 중요합니다.

제로 트러스트는 서비스 이점을 제공하기 위해 일부 네트워크 상호 작용을 허용해야 한다는 점을 고려할 때 우리가 가질 수 있는 최선의 보안 태세라고 생각할 수 있습니다. 현재 사용 가능한 일부 보안 솔루션에서 이러한 제로 트러스트의 정의를 달성할 수 있습니다.

특정 네트워크 기반 애플리케이션 및 서비스의 경우, 이러한 솔루션을 배포하는 데 드는 비용이 이러한 솔루션을 배포하지 않는 데 드는 비용, 즉 침해 비용보다 훨씬 적습니다. 이 분석을 시작하려면 애플리케이션의 최소 작업 권한이 무엇인지 이해하는 것이 좋습니다.

애플리케이션 소유자는 애플리케이션의 보안 요구 사항을 이해하여 제로 트러스트가 전반적인 비즈니스 측면에서 얼마나 비용 효율적인지 판단해야 합니다. 그러나 사이버 보안 환경이 진화하고 더욱 정교해짐에 따라 조직은 신뢰를 덜 구현하는 것만으로는 충분하지 않기 때문에 제로 트러스트를 도입하지 않을 수 없게 될 것입니다.

일루미오 제로 트러스트 세분화를 통해 제로 트러스트 달성 지원

제로 트러스트는 특정 제품이나 솔루션이 아닌 보안 전략이지만, 포레스터는 마이크로 세분화라고도 하는 제로 트러스트 세분화(ZTS) 를 모든 제로 트러스트 아키텍처의 기본이자 전략적 축으로 인정합니다. ZTS가 완전한 제로 트러스트에 도달하는 데 도움이 되지는 않지만, 제로 트러스트에 있어 중요한 기술입니다.

ZTS는 침해가 불가피하다고 가정하고 네트워크를 세분화하고 최소 권한 액세스를 설정하여 침해에 대비합니다. 침해가 발생하면 ZTS는 네트워크에서 측면 이동을 차단하여 확산을 억제하는 데 도움을 줍니다.

일루미오 ZTS 플랫폼은 하이브리드 공격 표면에서 침해를 차단하는 업계 최초의 플랫폼입니다.

Illumio ZTS를 사용하면 가능합니다:

• 위험 파악: 워크로드와 디바이스의 통신 방식을 지속적으로 시각화하세요.
• 정책을 설정합니다: 원하는 커뮤니케이션과 필요한 커뮤니케이션만 허용하는 세분화된 정책을 설정하세요.
• 침해 확산을 차단하세요: 사전에 또는 공격이 진행되는 동안 측면 이동을 제한하여 침해를 자동으로 격리합니다.

ZTS란 무엇인가요? 여기에서 자세히 알아보세요.

ZTS에 대해 자세히 알아보고 제로 트러스트 전략에 어떻게 적용할 수 있는지 알아보려면 지금 바로 문의하세요.