.png)
ZTNA(제로 트러스트 네트워크 액세스)
제로 트러스트 네트워크 액세스(ZTNA) 모델은 상황 인식에 따라 권한이 부여된 사용자 또는 디바이스에 적응적으로 액세스 권한을 부여합니다. 이러한 시스템에서는 기본적으로 액세스 권한을 거부하도록 설정하고 신원, 시간, 디바이스 및 기타 구성 가능한 매개변수를 기반으로 승인된 사용자만 네트워크, 데이터 또는 애플리케이션에 액세스할 수 있도록 허용합니다. 액세스 권한은 암시적으로 부여되지 않으며 사전 승인된 필요성에 의해서만 부여됩니다.
사이버 범죄로 인해 연간 6조 달러 이상의 사회적 비용이 발생할 것으로 예상됩니다. 오늘날 IT 부서는 그 어느 때보다 훨씬 더 큰 공격 표면을 관리해야 할 책임이 있습니다. 잠재적인 공격 대상에는 디바이스와 서버 간의 네트워크 엔드포인트(네트워크 공격 표면), 네트워크와 디바이스가 실행하는 코드(소프트웨어 공격 표면), 공격에 노출된 물리적 디바이스(물리적 공격 표면)가 포함됩니다.
원격 근무가 증가하고 일상 업무에 클라우드 애플리케이션이 사용되면서 직원에게 필요한 액세스를 제공하는 동시에 악의적인 공격으로부터 조직을 보호하는 것이 어려울 수 있습니다. 제로 트러스트 네트워크 액세스(ZTNA)가 바로 여기에 있습니다.
제로 트러스트 네트워크 액세스(ZTNA)의 작동 방식
ZTNA 모델에서는 사용자가 보안 및 암호화된 터널을 통해 애플리케이션 또는 네트워크 액세스를 제공하는 ZTNA 서비스에서 인증을 받은 경우에만 액세스가 승인됩니다. 이 서비스는 사용자가 액세스 권한이 없는 애플리케이션이나 데이터를 볼 수 없도록 하여 잠재적 공격자의 측면 이동을 차단합니다. 이러한 종류의 이동은 손상된 엔드포인트 또는 승인되지 않은 디바이스나 에이전트가 다른 서비스나 애플리케이션으로 전환하는 데 승인되지 않은 자격 증명을 사용할 수 있는 경우 발생할 수 있습니다.
ZTNA를 사용하면 보호된 애플리케이션도 검색되지 않도록 숨겨지며, ZTNA 서비스(신뢰 브로커라고도 함)를 통해 사전 승인된 엔터티 집합으로 액세스가 제한됩니다. 트러스트 브로커는 다음 조건이 충족되는 경우에만 엔티티에 대한 액세스 권한을 부여합니다:
- 엔티티(사용자, 디바이스 또는 네트워크)가 브로커에 올바른 자격 증명을 제공합니다.
- 액세스가 요청된 컨텍스트가 유효합니다.
- 해당 컨텍스트 내에서 액세스에 대한 모든 관련 정책을 준수했습니다.
ZTNA에서 액세스 정책은 사용자 지정할 수 있으며 시스템 필요에 따라 변경할 수 있습니다. 예를 들어, 위의 요구 사항 외에도 취약하거나 승인되지 않은 디바이스가 보호된 네트워크에 연결하지 못하도록 하는 위치 또는 디바이스 기반 액세스 제어를 구현할 수 있습니다.
제로 트러스트 네트워크 액세스(ZTNA) 혜택
첫째, ZTNA 프레임워크에서는 애플리케이션 액세스가 네트워크 액세스와 분리되어 있기 때문에 감염된 디바이스에 의한 네트워크 노출이나 액세스가 줄어듭니다.
둘째, ZTNA 모델은 아웃바운드 연결만 합니다. 이를 통해 권한이 없거나 승인되지 않은 사용자가 네트워크 및 애플리케이션 인프라를 볼 수 없도록 할 수 있습니다.
셋째, 사용자에게 권한이 부여되면 애플리케이션 액세스는 일대일 방식으로 프로비저닝되므로 사용자는 전체 네트워크 액세스 권한 대신 명시적으로 액세스 권한이 부여된 애플리케이션에만 액세스할 수 있습니다.
마지막으로, ZTNA는 소프트웨어 정의이므로 디바이스 및 애플리케이션 관리 오버헤드를 크게 줄일 수 있습니다.
제로 트러스트 네트워크 액세스(ZTNA) 사용 사례
다음은 ZTNA 보안 모델의 강력한 성능을 보여주는 몇 가지 인기 있는 사용 사례입니다.
VPN 교체
VPN은 속도가 느리고 상대적으로 안전하지 않으며 관리가 어려울 수 있습니다. ZTNA는 중앙 네트워크에 대한 원격 액세스를 프로비저닝하기 위해 VPN을 대체할 수 있는 보안 모델로 빠르게 자리 잡고 있습니다.
타사 및 공급업체 위험 감소
타사 또는 외부 공급업체와의 액세스 권한 및 데이터 전송은 IT 인프라에 내재된 보안 취약점입니다. ZTNA를 사용하면 외부 사용자가 권한이 없는 한 보안 네트워크에 액세스할 수 없도록 하고, 액세스 권한이 있더라도 액세스가 승인된 특정 애플리케이션이나 데이터베이스에만 액세스할 수 있도록 하여 이러한 위험을 줄일 수 있습니다.
제로 트러스트 네트워크 액세스(ZTNA) 배포하기
다음과 같이 조직에 ZTNA를 배포할 수 있습니다:
- 게이트웨이 통합을 통해 네트워크 경계를 넘으려는 모든 트래픽이 게이트웨이에 의해 필터링됩니다.
- 각 네트워크 어플라이언스에 내장된 보안 스택을 사용하여 네트워크 액세스를 최적화하고 자동화할 수 있는 안전한 소프트웨어 정의 WAN을 사용합니다.
- 가상 클라우드 어플라이언스를 통해 소프트웨어 정의 WAN 보안을 제공하는 보안 액세스 서비스 에지(SASE)를 통해.
ZTNA는 사이버 보안 모범 사례로 인정받고 있습니다. ZTNA의 가장 큰 장점은 배포를 위해 기존 네트워크를 크게 재설계할 필요가 없다는 점입니다. 그러나 모든 IT 노력에는 사람과 디바이스를 온보딩하고 정책을 재정의하며 이해관계자의 동의를 확보해야 하므로 의사 결정자는 ZTNA 솔루션 제공업체와 파트너 관계를 맺기 전에 다음 사항을 고려해야 합니다:
- 이 솔루션이 마이크로페리미터로 데이터와 애플리케이션을 보호하는 데 도움이 되나요?
- 전송 중인 데이터를 보호할 수 있나요?
- 기본 거부 세분화 및 세분화된 정책 설계 및 테스트 기능이 있나요?
- 기존 인프라에 관계없이 배포할 수 있나요?
- 위반 알림을 제공하나요?
- 어떤 종류의 워크로드 보안 조항을 사용할 수 있나요?
- 솔루션이 사용자 기반 세분화, 원격 액세스 제어, 측면 이동 방지 기능을 제공하나요?
- 디바이스 수준 세분화, 알 수 없는 디바이스 감지 및 디바이스 격리가 있나요?
- 위협이 식별되기 전에도 기본 차단 기능이 있나요?
- 사용자에게는 어떤 종류의 가시성이 있으며 어떤 종류의 감사가 가능한가요?
- 어떤 종류의 통합이 포함되나요? 다음 사항을 고려하세요:
- 셰프, 퍼펫 또는 앤서블을 사용한 오케스트레이션
- Red Hat OpenShift, Kubernetes 또는 Docker를 통한 컨테이너 플랫폼 오케스트레이션
- Splunk 및 IBM QRadar를 사용한 보안 분석
- Qualys, Tenable 또는 Rapid7과 같은 취약성 관리 도구
- AWS Cloud Formation, AWS GuardDuty, Azure와 같은 퍼블릭 클라우드 도구
- 네트워크 환경을 얼마나 빨리 세분화할 수 있나요?
- 호스트 방화벽, 스위치, 로드 밸런서와 같은 기존 투자를 활용하여 레거시 및 하이브리드 시스템 전반에서 세분화를 적용하려면 어떻게 해야 하나요?
- 어떤 종류의 REST API 통합이 지원되나요? 확인해야 할 중요한 도구로는 OneOps, Chef, Puppet, Jenkins, Docker 및 OpenStack Heat/Murano가 있습니다.
.webp)
%20(1).webp)
