Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
제로 트러스트 세분화

광범위하게 개방된 환경에서 제로 트러스트 보안 모델을 구현하는 방법

Illumio Editorial
Illumio Editorial
3월 18, 2022
23 분 읽기

얼마 전까지만 해도 보안은 경계가 있는 온프레미스 스토리지와 관련이 있었습니다. 조직은 민감한 데이터가 어디에 있는지, 물리적 액세스 권한이 부여된 사람의 수가 제한되어 있는지 알고 있었기 때문에 보호의 강도를 확신할 수 있었습니다.

오늘날 우리가 살고 있는 디지털 세상은 그렇지 않습니다. 요새화된 경계는 원격 환경과 모바일 디바이스의 확산으로 대체되었습니다. 이제 비즈니스 데이터는 전 세계 서버에 있는 가상화된 스토리지에 분산되어 있습니다. 이는 기업에게는 뛰어난 유연성과 확장성을 제공하지만, 보안 허점을 악용하려는 악의적인 공격자에게는 공격 표면을 넓히는 결과를 초래합니다.

이러한 도전에 대응하기 위해 보안 전문가들은 제로 트러스트 보안의 새로운 시대를 열어가고 있습니다. 가장 기본적인 제로 트러스트 접근 방식은 누가, 무엇을, 어디에 있든 모든 리소스 간의 모든 액세스 요청을 확인해야 합니다. 기본적으로 제로 트러스트는 보안 사고방식이자 전략으로, 완벽하게 구현하기는 어려울 수 있습니다.

이 게시물에서는 제로 트러스트 방법론의 기원을 살펴보고, 점점 더 원격화되고 경계가 없는 클라우드 우선 환경에서 조직이 제로 트러스트 보안을 구현하는 방법을 설명합니다.

제로 트러스트의 간략한 역사

제로 트러스트라는 용어는 1990년대에 컴퓨터 보안에 관한 박사 학위 논문에서 처음 논의되었지만, 현재의 의미로 사용되지는 않았습니다. 이 개념은 2010년경 Forrester Research에서 패러다임의 기반이 될 원칙에 대한 토론을 통해 더욱 주목받기 시작했습니다.

포레스터는 조직에서 신뢰할 수 있는 경계라는 개념이 위험하다는 것을 인식했습니다. 자격 증명이 손상될 수 있을 뿐만 아니라 내부자 위협을 방지하는 것에 대한 언급이 없습니다. 따라서 모든 네트워크 트래픽은 달리 입증되지 않는 한 신뢰할 수 없는 것으로 간주해야 합니다.

몇 년이 지난 지금, 점점 더 이동이 잦아지고 있는(그리고 이제는 점점 더 원격으로 근무하는) 인력은 경계에 대한 기본적인 개념조차 재정의하고 있습니다. 클라우드 솔루션의 부상과 함께 자격증명 기반 인증에서 한 단계 더 나아가야 합니다. 이제 제로 트러스트 프레임워크를 사람에 초점을 맞추는 것에서 나아가 데이터에 초점을 맞추도록 확장해야 합니다. 즉, 차세대 보안 도구는 네트워크 활동, 사용자 액세스 및 권한, 데이터 액세스 및 사용을 고려해야 합니다.

이제 제로 트러스트는 단순히 사용자가 누구인지 묻는 것 이상의 것을 요구합니다. 모든 로그인 시도는 다음과 같은 컨텍스트를 요구해야 합니다:

  • 디바이스가 알려진 디바이스로 사용 중인가요?
  • 알려진 위치 또는 네트워크에서 로그인이 이루어지고 있나요?
  • 어떤 데이터 또는 애플리케이션에 액세스하려고 하나요?

물론 점점 더 개방적인 환경에서 이러한 모든 컨텍스트를 요구하고 검증하는 것은 말처럼 쉬운 일이 아닙니다. 보안 전문가는 점점 더 개방적인 디지털 환경의 새로운 트렌드에 대비해야 합니다. 한 걸음 더 나아가 최신 보안 환경에서 제로 트러스트 패러다임을 도입하는 방법을 살펴보겠습니다.

국경 없는 환경에서 제로 트러스트 구현하기

오늘날 데이터 확산과 원격 근무의 특성으로 인해 과거와 같은 방식으로 보안 경계를 강화하는 것은 거의 불가능합니다. 이제 이 전략을 성과로 전환하고 기술 중심의 보안 패러다임으로 전환하기 위한 몇 가지 실행 가능한 단계를 살펴보겠습니다.

보호 표면 정의

조직의 환경을 보호하는 첫 번째 단계는 해당 환경을 정의하는 것입니다. 본질적으로 존재하지 않는 곳에 테두리를 만들려고 하는 것입니다. 이러한 접근 방식에는 모든 사용자, 디바이스, 권한 및 트래픽을 포함한 네트워크와 환경에 대한 전체적인 관점이 필요합니다.

클라우드 기반 서비스를 사용하거나 서버에 공유 호스팅을 사용하는 경우 이는 특히 어려운 문제입니다. 호스팅 데이터의 업계 전문가 알렉스 윌리엄스에 따르면 리소스를 공유할 때마다 보안이 타격을 입을 수 있다고 합니다. 윌리엄스는 "서버의 매우 공동적인 특성으로 인해 바이러스가 서버 사이트 전체에 퍼져 연결된 서버를 감염시킬 수 있습니다."라고 말합니다. "보안을 개인화할 수 있는 방법이 없습니다. 기본적으로 호스팅 팀에 의존하여 사용자를 보호해야 합니다."

특정 설정에 관계없이 최신 공격 표면은 항상 확장되고 있습니다. 다음과 같은 몇 가지 방법이 있습니다. 공격 표면 정의하지만 제로 트러스트에서는 보호해야 하는 대상의 관점에서 구체적으로 접근합니다.

이렇게 하면 비즈니스에 가장 가치 있는 것에 초점을 좁힐 수 있습니다. "보호 표면" 포함:

  • 데이터(개인 식별 정보 또는 결제 카드 정보 등)
  • 애플리케이션(CRM 또는 결제 프로세스 등 데이터에 액세스하는 데 사용되는 애플리케이션)
  • 자산(POS 단말기와 같이 데이터를 처리하는 서버 또는 장비)
  • 서비스(DNS 또는 Active Directory와 같이 데이터에 액세스하는 데 사용되는 비즈니스 크리티컬 서비스)

보호된 표면을 정의하면 사용자 인증과 관련된 기존의 액세스 관리와 더불어 데이터 관리와 자산 관리가 통합됩니다.

제로 트러스트 정책 초안

보호 서페이스를 정의한 후에는 이 정보를 사용하여 조직 전체 정책을 공식화해야 합니다. 제로 트러스트는 누가, 언제, 어디서, 무엇에 액세스할 수 있는지 묻습니다. 특정 리소스에 대한 액세스 요청이 이루어질 때마다 여러 가지 질문을 해야 합니다:

  • 누가 액세스 권한을 가져야 하나요?
  • 어떤 디바이스에 액세스 권한이 있어야 하나요?
  • 사용자는 언제 액세스할 수 있나요?
  • 사용자는 어디에서 액세스할 수 있나요?
  • 리소스는 어떤 용도로 사용할 수 있나요?

이러한 질문은 다양한 자산 또는 서비스의 고유한 요구 사항을 충족할 수 있을 만큼 구체적인 실행 가능한 단계로 전환되어야 합니다. 속성 기반 액세스 제어(ABAC) 모델은 다양한 리소스 그룹의 속성을 대상으로 하는 정책을 만드는 데 유용합니다.

그러나 서비스 유형에 따라 다른 정책이 있다고 해서 회사 전체에 적용되는 정책이 아니라는 의미는 아닙니다. 이 주제를 처음 접하는 경우 제로 트러스트 정책 전략 수립에 도움을 받을 수 있도록 전문가와 상담하는 것이 좋습니다.

"가상" 경계 형성

가상 경계를 강화하는 데 적용할 수 있는 몇 가지 도구와 전술이 있습니다. 개방형 환경에서는 네트워크 흐름을 매핑하고 클라우드 네이티브 리소스에 대한 가시성을 높이는 데 중점을 두어야 합니다.

일부 온프레미스 및 가상 리소스가 있는 하이브리드 클라우드 환경이 있을 수 있습니다. 또한 사내 소프트웨어와 타사 소프트웨어를 다루어야 합니다. ABAC 모델은 규칙을 통합하여 보다 완벽한 가시성을 제공하는 데 도움이 됩니다. 또한 제로 트러스트를 적용하려면 서비스를 세분화해야 합니다.

보호 소스를 세밀하게 제어할 수 있는 마이크로 세분화 도구는 침해 발생 시 공격의 심각성을 줄이는 데 도움이 됩니다. 클라우드 기반 마이크로서비스를 사용하는 경우 세분화는 특히 중요합니다. 가상 벽을 설치하지 않으면 공격자가 단 한 세트의 훔친 자격 증명으로 시스템을 횡적으로 이동할 수 있기 때문입니다. 올바른 도구를 사용하면 시스템 동작에 대한 실시간 가시성을 확보할 수 있어 정책을 시행하는 데 도움이 됩니다.

일관된 모니터링 및 테스트

정책과 실행에 확신이 있더라도 시스템의 취약점 테스트를 중단해서는 안 됩니다. 미리 구축한 정책을 테스트하여 의심스러운 활동을 감지하고 위협 발생 시 긴급 조치를 시행하는 데 사용할 수 있는지 확인하세요. 또한 자체적으로 또는 외부에 의뢰하여 주기적인 공격 테스트를 수행하여 취약점을 파악하고 안일하게 대처하지 않는 것도 도움이 될 수 있습니다.

팀 교육

마지막으로, 조직 전체에서 제로 트러스트 패러다임을 발전시키려면 대상별 교육을 통해 모든 사람이 동참할 수 있도록 해야 합니다. IT 부서부터 최고 경영진까지 모두가 정책 변경이 시행되는 이유와 그 영향에 대해 이해하는 것이 중요합니다.

예를 들어, 액세스 관리와 다단계 인증이 로그인 프로세스를 어떻게 바꾸고 이것이 회사, 직원 및 고객에게 왜 중요한지에 대해 직원들에게 교육하는 것이 좋습니다.

Conclusion

디지털 세상은 끊임없이 변화하고 있으며, 보안 전문가는 이러한 변화에 적응해야 하는 부담을 안고 있습니다. 폐쇄적인 온프레미스 디바이스의 시대는 지났고 하이브리드 클라우드, 엣지 컴퓨팅, 사물 인터넷으로 대체되었습니다.

제로 트러스트는 기업이 다계층의 데이터 중심 보안을 통해 위기를 극복할 수 있도록 지원합니다. 제대로 구현한다면 보안이 불편하게 느껴질 이유가 없습니다. 오히려 책임감과 건전한 사이버 위생을 장려하는 조직 전반의 우선순위 전환이 될 수 있습니다.

제로 트러스트 세그멘테이션의 선구자이자 리더인 Illumio가 어떻게 도움을 줄 수 있는지 알아보세요:

관련 주제

No items found.

관련 문서

제조업체가 제로 트러스트 세분화를 구현해야 하는 9가지 이유
제로 트러스트 세분화

제조업체가 제로 트러스트 세분화를 구현해야 하는 9가지 이유

제조업체가 제로 트러스트 세분화를 사용하여 랜섬웨어 및 침해의 위협으로부터 운영을 보호하는 데 Illumio가 어떻게 도움이 되는지 알아보세요.

Read more
RSAC 2024: 여러분이 놓쳤을지도 모르는 3가지 대화
제로 트러스트 세분화

RSAC 2024: 여러분이 놓쳤을지도 모르는 3가지 대화

올해 RSAC에서 가장 많이 들었던 세 가지 주제를 요약해 보았습니다.

Read more
에너지 사업자가 덴마크의 사상 최대 규모의 중요 인프라 공격에서 배울 수 있는 점
제로 트러스트 세분화

에너지 사업자가 덴마크의 사상 최대 규모의 중요 인프라 공격에서 배울 수 있는 점

이번 공격에 대해 파악한 내용과 제로 트러스트 세분화를 통해 에너지 사업자가 유사한 침해에 선제적으로 대비할 수 있는 방법은 다음과 같습니다.

Read more
No items found.

위반 가정.
영향 최소화.
복원력 향상.

제로 트러스트 세분화에 대해 자세히 알아볼 준비가 되셨나요?

Learn more