정부 기관을 위한 제로 트러스트에 대한 6가지 전문가 권장 사항

공공 부문은 사이버 보안 접근 방식과 관련하여 큰 문제에 직면해 있습니다. 취약성을 줄이고 침해 확산을 완화하기 위해 무엇을 할 수 있을까요? 끊임없이 변화하는 위협 환경 속에서 사이버 복원력을 강화하기 위한 전략에는 어떤 것이 있을까요?  

이를 알아보기 위해 최근 일루미오의 연방 현장 CTO인 게리 바렛은 정부 사이버 보안 전문가인 마크 스탠리 박사(NASA의 제로 트러스트 기관 책임자), 제럴드 카론(국제무역청의 최고 정보 책임자)과 함께 GovExec TV에서 애플리케이션 세분화와 공공 부문을 위한 제로 트러스트 아키텍처에서의 역할에 대해 논의했습니다.

제로 트러스트 및 애플리케이션 세분화 구현에 대한 토론에서 나온 6가지 주요 권장 사항을 계속 읽어보세요.  

1. 제로 트러스트 이니셔티브는 지금 당장 우선순위가 되어야 합니다.

먼저 스탠리 박사는 NASA에서 자신의 역할과 그가 도착하자마자 발견한 제로 트러스트 정책의 환경에 대해 이야기했습니다.

"NASA에 도착했을 때 완전히 놀랐습니다."라고 그는 말했습니다. "이 사람들은 이미 행정 명령이 나오기 훨씬 전부터 제로 트러스트에 대해 생각하고 있었고, 어떻게 제로 트러스트에 도달할지 고민하고 있었습니다. 이미 경영진의 동의와 많은 지원을 받았습니다."  

NASA 재직 초기에 그는 NASA 제로 트러스트 책임자로 임명되었습니다. 그는 제로 트러스트를 NASA의 디지털 트랜스포메이션을 위한 기본 요소 중 하나로 추가하는 데 기여했습니다.  

"우선순위의 관점에서 제로 트러스트를 발전시키기 위해 제가 할 수 있는 모든 일이 저희 주기의 대부분을 차지했습니다."라고 그는 설명했습니다.

2. 제로 트러스트 전략을 성공적으로 구현하기 위해서는 가시성이 중요합니다.

Barlet의 답변은 제로 트러스트 전략 및 애플리케이션 세분화와 함께 진행되는 핵심적인 사고에 대해 다루었습니다.

"제로 트러스트는 매우 광범위한 용어입니다. 보안을 위해 가장 먼저 중요한 것은 기업에서 정보가 실제로 어떻게 흘러가는지 이해하는 것입니다."라고 Barlet은 말합니다.

Barlet은 제로 트러스트를 지향하는 조직에게 가시성 확보부터 시작할 것을 권장합니다. 그리고 이것은 단순한 네트워크 맵이 아닙니다. 오늘날의 하이브리드 네트워크는 경계가 없고 흩어져 있습니다. 보안팀은 애플리케이션이 세분화된 수준에서 상호 작용하는 방식을 추적해야 하며, 애플리케이션 통신 흐름에 대한 가시성을 확보하는 것이 애플리케이션의 작동 방식을 이해하는 데 매우 중요하다고 Barlet은 설명합니다. 가시성이 확보되면 보안팀은 해당 애플리케이션에 경계를 설정하여 네트워크를 세분화할 수 있습니다.  

"어떤 일이 발생한다면, 현실은 유출 여부가 아니라 언제 유출되느냐의 문제입니다. 그런 타협이 발생하면 다음은 어떻게 될까요?" 바렛이 말했습니다.

여기에서 Illumio의 애플리케이션 종속성 맵이 하이브리드 IT 환경 전반에 걸쳐 가시성을 제공하는 방법을 알아보세요.

3. 지금 제로 트러스트를 사용하고 있지 않다면 뒤처진 것입니다.

Barlet은 이어서 제로 트러스트 도입이 늦은 기업이 직면할 수 있는 함정에 대해 설명했습니다.

"오늘날 많은 기업이 활짝 열려 있습니다."라고 그는 말합니다. "공격자가 일단 발판을 마련하면 기업 전체로 자유롭게 확산할 수 있습니다."

적들은 환경의 한 부분에서 다른 부분으로 확산하기 위해 측면 이동을 사용합니다. 이러한 환경이 서로 차단되어 있으면 침해가 확산될 수 없습니다. 이는 제로 트러스트 세분화라고도 하는 세그먼테이션을 통해 달성할 수 있습니다.

"세분화를 사용하면 이러한 다양한 구성 요소를 모두 확인하고 애플리케이션별로 링 애플리케이션을 그릴 수 있습니다."라고 Barlet은 말합니다. "따라서 일단 손상되면 봉쇄할 수 있고 다른 애플리케이션을 감염시킬 수 없습니다."

4. 제로 트러스트 이니셔티브에는 부서 간 협업이 필요합니다.

조직이 편안하게 받아들일 수 있는 수준의 제로 트러스트 도입에 도달하려면 협업적인 사고방식을 채택하는 것이 중요합니다. 스탠리 박사는 NASA의 사고방식을 인류의 발전을 위해 연구와 발견을 전 세계와 공유해야 한다는 사명감을 가지고 있는 NASA의 과학적 발견에 대한 접근 방식과 비교했습니다.

스탠리 박사는 "연방 정부 측에서는 어떻게 함께 일할 수 있을지 고민해야 합니다."라고 말했습니다. "저는 사이버 보안이 팀 스포츠라고 굳게 믿습니다."

카론은 스탠리 박사의 의견을 이어받아 사이버 보안에서 협업에 대한 기존 접근 방식의 함정을 설명했습니다.  

카론은 "이러한 우수성을 가진 사일로가 있지만 진정한 제로 트러스트를 달성하려면 이러한 모든 그룹이 협력해야 합니다."라고 설명합니다. "예전에는 인시던트가 발생하면 라운드 로빈을 진행했습니다. 문제를 찾을 때까지 계속 돌고 도는 것이죠."

하지만 Barlet에 따르면 "더 이상 수동으로 이 작업을 수행할 수 없습니다. 기술의 확산, 데이터의 확산, 사용자의 확산을 따라잡는다는 것은 불가능합니다. 기술이야말로 우리가 이러한 변화의 흐름에 앞서거나 그 흐름과 동등해질 수 있는 유일한 방법입니다.  

5. 제로 트러스트는 처방이 아닌 전략입니다.

웨비나를 계속 진행하면서 세 명의 전문가는 정부 사이버 보안 전략의 또 다른 중요한 측면인 규정 준수에 대해 살펴봤습니다.  

카론은 규정 준수와 효과를 구분하며 토론의 서두를 열었습니다: "이 두 단어는 서로 다른 의미를 가진 매우 다른 두 단어입니다. 규정 준수는 '나는 시스템을 갖추고 있으므로 인증을 제공해야 한다'와 같은 의미일 수 있습니다. 사용자 아이디와 비밀번호는 규정을 준수할 수 있지만 효과적이지 않습니다."

즉, 규정 준수를 위한 요건이라고 해서 그것이 동시에 효과를 달성한다는 것을 의미하지는 않습니다. Caron은 조직이 제로 트러스트를 규정 준수 요건을 충족하는 것 외에도 더 효과적으로 운영하기 위한 노력으로 인식할 것을 권장합니다.  

카론은 "컴플라이언스는 여러분이 효과적이 되면 제자리를 잡을 것입니다."라고 말합니다. "제로 트러스트 전략과 제로 트러스트를 언급하는 행정명령에 대해 박수를 보내는 것은 바로 이 점입니다. 더 효과적인 방향으로 나아가고 있습니다. 이는 처방이 아니라 전략입니다."

6. 제로 트러스트를 향한 점진적 단계 수행

마지막으로 Barlet과 스탠리 박사는 기업에서 제로 트러스트를 도입하기 위한 모범 사례에 대해 이야기했습니다.

Barlet은 "가장 효과적인 조직은 한 번에 한 걸음씩 나아갑니다."라고 말합니다.

그는 너무 많은 기관이 제로 트러스트를 100% 적용할 수 있다고 가정하고 있다고 설명했습니다. 그런 다음 목표를 달성하지 못하면 이니셔티브는 활기를 잃거나 너무 어렵다고 간주됩니다.

"현실적으로 100%에 도달할 수는 없습니다."라고 Gary는 말합니다. "우리가 살고 있는 세상에서 100%를 달성한다는 것은 달성할 수 없는 목표입니다."

대신 Barlet은 조직이 부분적으로 제로 트러스트를 향해 노력할 것을 권장합니다. 제로 트러스트를 점진적으로 구축함으로써 기관은 빠른 성과를 달성하고 시간이 지남에 따라 방어, 보안 및 보호 기능을 강화할 수 있습니다.

"Barlet은 정말 정확했습니다." 스탠리 박사의 말입니다. "제로 트러스트의 모든 기둥을 해결해야 합니다. 인프라를 점진적으로 개선하는 동안에도 애플리케이션과 데이터에 제공되는 보호 기능을 활용할 수 있어야 합니다."

Illumio가 정부 기관의 보안을 유지하는 데 어떻게 도움이 되는지 여기에서 자세히 알아보세요.

무료 데모와 상담을 원하시면 지금 바로 문의하세요.