ZTNA가 보안 공백을 남기는 이유와 ZTS가 이를 메우는 방법

많은 제로 트러스트 공급업체가 믿고 싶어 하는 것처럼 제로 트러스트는 단일 제품이나 기술이 아니라 전체 IT 환경을 위한 전반적인 전략입니다.

제로 트러스트는 이름에서 알 수 있듯이 기본적으로 기업의 디지털 리소스에 대한 액세스를 거부하고 ID 및 리소스 유형에 따라 필요에 따라 필요한 경우에만 권한을 부여하는 모델입니다.

조직의 중요한 워크로드를 보호하기 위해 반드시 필요한 세 가지 제로 트러스트 필수 요소는 다음과 같습니다:

• ID 거버넌스
• 제로 트러스트 세분화(ZTS)
• 제로 트러스트 네트워크 액세스(ZTNA)

대부분의 조직이 이미 ID 거버넌스를 채택하고 있지만, 제로 트러스트의 후자의 두 가지 구성 요소는 함께 사용되며 조직의 인프라를 보호하는 데 중요한 역할을 합니다.

ZTNA란 무엇이며 왜 중요한가요?

ZTNA는 지난 몇 년 동안 조직의 경계와 남북 트래픽을 보호하기 위해 광범위하게 채택되었습니다. ZTNA는 사용자의 신원과 역할을 기반으로 사용자를 인증하여 사용자가 클라우드 또는 데이터 센터의 애플리케이션에 액세스할 수 있는 간단하지만 강력한 메커니즘을 제공합니다.

또한, 사용자에게 액세스 권한이 부여되면 기존 VPN과 달리 사용자에게 필요한 애플리케이션에만 액세스 권한이 제공되고 회사 네트워크 자체에 대한 액세스는 거부됩니다. 이렇게 하면 경계에 노출되는 네트워크 공격 표면이 줄어듭니다.

ZTNA가 하락하는 상위 3가지 영역

ZTNA는 많은 장점이 있는 것으로 입증되었지만, 네트워크에 완벽한 솔루션은 아닙니다.

실제로 침해 사고는 여전히 발생하고 있습니다.

공격의 복잡성이 증가함에 따라 조직의 목표는 내부 공격 표면을 줄이고 가능한 한 적은 리소스로 침해를 억제하는 것이어야 한다는 "침해 가정" 사고방식을 채택하는 것이 절실해졌습니다.

ZTNA는 원격 사용자의 애플리케이션에 대한 외부 액세스를 보호하는 데 탁월한 기능을 제공하지만, ZTNA가 이점을 제공할 수 없는 여러 시나리오가 있습니다. 그렇기 때문에 심층적인 방어 접근 방식이 필수적입니다.

ZTNA가 보호하지 않는 주요 영역은 크게 3가지입니다:

• 측면 이동 엔드포인트 간: ZTNA 솔루션은 원격 사용자부터 애플리케이션까지 리소스 액세스를 제공합니다. 그러나 사용자가 사무실에 있을 때는 다양한 최종 사용자 디바이스로부터의 액세스를 차단하거나 규제하지 않습니다. 기업 환경 내부의 감염된 엔드포인트는 여러 엔드포인트와 서버를 횡적으로 이동하여 민감한 사용자 데이터에 액세스할 수 있으며 동시에 대규모 랜섬웨어 공격에 노출되기 쉽습니다.
• 서버 간 측면 이동: ZTNA는 데이터 센터 내부에서 발생하는 공격 벡터로부터 보호할 수 있는 기능이 없습니다. 좋은 예로 2020년에 발생한 SolarWinds 공급망 공격을 들 수 있는데, 공격자들은 SolarWinds가 배포된 네트워크와 시스템에 액세스했습니다.
• ID 서비스 공급자의 실패: ZTNA 솔루션은 사용자를 환경에 인증하기 위해 ID 서비스 공급자(IDP)를 신뢰합니다. 공격자들은 IDP를 스푸핑하고 MFA를 우회하여 이 점을 악용했습니다. 일단 내부에 침입한 공격자는 자유롭게 혼란을 일으키고 데이터를 유출하며 조직의 중요 자산을 감염시킬 수 있습니다.

ZTNA가 쓰러졌을 때 ZTS는 어떻게 도움이 되나요?

ZTS와 ZTNA는 제로 트러스트 여정의 기본 구성 요소입니다. 조직이 악의적인 공격자로부터 보호하기 위해 ZTNA에만 의존할 수 없다는 것은 분명합니다.

ZTS는 제로 트러스트 여정을 지속하는 데 필요한 네트워크 트래픽에 대한 가시성을 제공하여 ZTNA에 의해 개방된 동서 트래픽을 보호함으로써 그 간극을 메웁니다.

눈에 보이는 것만 보호할 수 있다는 것은 상식입니다. ZTS는 횡방향 트래픽을 보호하는 것 외에도 엔드포인트(원격 및 사무실)에서 데이터 센터 또는 클라우드의 애플리케이션에 이르기까지 엔드투엔드 가시성을 제공합니다. 조직은 다른 제로 트러스트 솔루션을 구현할 때 이러한 가시성을 활용할 수 있습니다.

ZTS를 사용하면 명시적으로 허용되지 않는 한 노드가 서로 통신할 수 없도록 "위반 가정" 접근 방식이 환경 전체에 적용됩니다. 이렇게 하면 침해가 억제되고 전체 네트워크로 확산되지 않습니다.

침해 예방 사고방식에서 침해 억제 사고방식으로의 전환은 2021년에 발표된 백악관의 행정 명령 14028에 의해 입증되었습니다. EO는 연방 기관과 모든 조직이 제로 트러스트 보안 전략으로 나아갈 것을 촉구하며, 특히 제로 트러스트 세분화(마이크로 세분화라고도 함)를 주요 기둥 중 하나로 강조하고 있습니다.

이 문서에서 행정 명령 14028의 주요 내용에 대해 자세히 알아보세요.

ZTNA의 3가지 주요 단점을 해결합니다.

다른 엔드포인트와 통신할 수 있는 엔드포인트는 공격자가 빠르게 확산할 수 있는 선물과도 같습니다. 따라서 기업 네트워크 내부 또는 외부의 엔드포인트는 ZTS를 사용하여 보호해야 합니다. 포트가 열려 있으면 엔드포인트는 매력적인 공격 벡터가 되고 네트워크 내에서 랜섬웨어가 전파되는 주요 원인이 됩니다. 엔드포인트가 감염되면 공격자는 데이터 센터 내의 중요 자산으로 이동할 수 있습니다.

ZTS에서 얻은 가시성을 통해 애플리케이션 서버에 세분화된 정책을 적용할 수 있는 세분화 규칙을 간단히 생성하여 특정 서버만 특정 프로토콜을 통해 서로 통신할 수 있도록 할 수 있습니다. 예를 들어 포트 3306(MySQL)에서 웹 서버와 데이터베이스 서버 간의 통신은 허용하되 데이터베이스가 웹 서버에 액세스하는 것은 제한하고 싶을 수 있습니다.

ZTS는 공격자가 IDP의 인증 메커니즘을 우회하는 경우에 대비한 유용한 안전장치입니다. 공격자가 진입하더라도 환경 전체에서 측면으로 이동할 수 없으므로 공격의 폭발 반경이 줄어듭니다.

대부분의 사이버 공격은 네트워크 검색과 측면 이동에 의존합니다. ZTNA와 더불어 ZTS가 없다면 조직은 이러한 수법이 반복적으로 악용되는 데 취약할 수 있습니다.

일루미오 + 앱게이트: ZTS와 ZTNA를 모두 구현하여 사이버 열반 달성

ZTS와 ZTNA는 최신 인프라를 보호하는 데 중요한 역할을 합니다. 이 두 가지를 결합하는 것이 네트워크를 다시 위대하게 만들고 사이버 열반에 도달하는 방법입니다!

일루미오와 앱게이트는 조직이 효과적이고 효율적인 제로 트러스트 보안 보호를 구현하도록 지원하는 데 앞장서고 있습니다. 일루미오와 앱게이트가 포레스터 웨이브에서 리더로 선정되었습니다: 제로 트러스트 확장형 에코시스템 플랫폼 제공업체 부문 리더로 선정되었습니다.

일루미오와 앱게이트를 사용하면 하이브리드 컴퓨팅 환경 전반에서 제로 트러스트 보안을 신속하게 구축하여 경계 및 내부 트래픽을 모두 보호할 수 있습니다.

이 문서에서 일루미오 + 앱게이트에 대해 자세히 알아보세요. 솔루션 가이드에서 Illumio 및 Appgate로 제로 트러스트 보안을 구현하는 3단계 모범 사례 접근 방식을 확인하세요.