제로 트러스트(ZT)는 신뢰가 확립되고 유지될 때까지 모든 트랜잭션, 엔터티 및 ID를 신뢰할 수 없다고 가정하는 네트워크 보안에 대한 아키텍처 방식의 접근법 및 목표입니다. 제로 트러스트 전략은 보안 시스템이 위반을 식별하지 않는 한 네트워크가 안전하다는 기존 관점과 대조됩니다.
새로운 보안 모델
지난 10여 년 동안 기업은 점점 더 디지털화되었습니다. 이제 클라우드 아키텍처가 포함되고, 원격 작업이 더 많이 통합되며, 다른 혁신적 변화 중 서비스형 솔루션이 추가되었습니다. 보안 팀은 이에 따라 네트워크 보안을 확장했으며, 네트워크를 더 작은 영역으로 세분화하여 보안을 강화했습니다.
안타깝게도 이 전략은 공격자들에게 더 많은 기회를 만들어 주었습니다. 공격자가 사용자의 로그인 정보에 액세스하면 네트워크를 통해 좌우로 이동해 랜섬웨어를 퍼뜨리고 이동하면서 권한을 획득할 수 있습니다.
MFA(다중 인증)는 인증 등급을 향상시켰지만 인증 계층을 하나만 추가했습니다. 한 번 접속해도 해커들은 로그아웃하거나 시스템이 로그아웃할 때까지 계속 접속할 수 있습니다.
BYOD(Bring Your Own Device), 원격 작업 및 클라우드 아키텍처를 비롯한 새로운 작업 방식이 새로운 취약점을 추가했습니다. 그러나 향상된 가시성을 갖춘 새로운 사이버 보안 보호는 엔터프라이즈 네트워크의 에지에서 끝납니다.
제로 트러스트 보안 모델
사이버 보안에 대한 제로 트러스트 접근 방식은 기존 패러다임을 뒤집습니다. 사이버 보안은 더 이상 네트워크 세그먼트나 엔터프라이즈 네트워크 경계 내에서 정의되지 않습니다. 신뢰는 연결이나 자산이 기업이나 개인이 소유하는지 여부에 따라 결정되지 않습니다. 또한 물리적 또는 네트워크 위치(인터넷 또는 근거리 통신망)에 기반하여 허가되지 않습니다.
대신 제로 트러스트는 누가 소유하고 어디에 위치하는지에 관계없이 리소스, 사용자 및 자산에 개별적으로 초점을 맞춥니다. 사용자에게 액세스 권한이 부여되기 전에 엔터프라이즈 리소스에 대해 인증이 개별적으로 수행됩니다.
궁극적인 목표는 검증될 때까지 모든 네트워크 요소를 제로 트러스트 상태로 만드는 것입니다.
제로 트러스트 표준
제로 트러스트 인증 및 표준에 대한 정답은 없습니다. 국립표준기술원(National Institute of Standards and Technology, NIST)은 1901년에 설립되어 현재는 미국 상무부의 일부로, 미국에 기술, 측정 및 표준 정보를 제공합니다. NIST의 목표는 기술 경쟁력을 높이는 것입니다.
NIST는 통신, 기술 및 사이버 보안 관행에 대한 표준을 만듭니다. 이 그룹은 아직 제로 트러스트에 대한 표준이나 인증을 만들지 않았지만 제로 트러스트의 아키텍처 목표를 논의하는 특별 간행물(SP)을 만들었습니다.
이 논문의 요약은 제로 트러스트에 대해 다음과 같이 설명합니다. “제로 트러스트는 정적인 네트워크 기반 경계에서 사용자, 자산 및 리소스에 초점을 맞추는 일련의 진화하는 사이버 보안 패러다임을 의미합니다.” 이 문서에서는 제로 트러스트 방식을 심도 있게 설명합니다.
제로 트러스트 혼란
제로 트러스트가 무엇인지에 대해 사이버 보안 업계에서는 약간의 혼란이 있습니다. 일부 공급업체는 혼란을 이용하여 제로 트러스트 제품으로 태그가 지정된 제품을 판매하고 있습니다. 정보가 없는 경우 제로 트러스트가 제품 기반이라는 오해로 이어질 수 있습니다.
제로 트러스트는 특정 제품에 관한 것이 아니지만 새로운 레거시 제품이 제로 트러스트 아키텍처의 빌딩 블록이 될 수 있습니다. 제로 트러스트는 사이버 보안에 대한 혁신적인 접근 방식입니다. 오늘날 기업과 직원들이 연결되고 함께 일하는 방식의 현실에 확고하게 자리잡고 있습니다.
제로 트러스트로의 전환
기업이 인프라를 처음부터 구축하는 경우 필수 워크플로 및 구성 요소를 식별하고 순수한 제로 트러스트 아키텍처를 구축하는 것이 가능할 수 있습니다. 비즈니스 및 인프라가 변경됨에 따라 성장은 장기적으로 제로 트러스트 원칙을 계속 준수할 수 있습니다.
실제로 대부분의 제로 트러스트 구현은 프로세스입니다. 기업은 시간이 지남에 따라 제로 트러스트와 경계 기반 보안의 균형을 유지하면서 점진적으로 현대화 이니셔티브를 구현합니다.
제로 트러스트 아키텍처를 완전히 구축하는 데에는 몇 년이 걸리고 제로 트러스트라는 궁극적인 목표에 도달하기 전에 여러 프로젝트가 포함될 것입니다. 그러나 제로 트러스트에는 ‘도착’이 없습니다. 미래의 비즈니스 및 인프라 변경 사항을 고려하여 시간이 지남에 따라 제로 트러스트 전략을 구현하고 시행하는 것입니다.
조치를 취하기 전에 계획을 수립하면 프로세스를 더 작은 부분으로 나누고 시간이 지남에 따라 성공을 입증할 수 있습니다. 주제, 비즈니스 프로세스, 트래픽 흐름 및 종속성 맵의 철저한 카탈로그로 시작하여 대상 주제, 자산 및 비즈니스 프로세스를 다룰 수 있도록 준비합니다.
제로 트러스트로의 전환
기업이 인프라를 처음부터 구축하는 경우 필수 워크플로 및 구성 요소를 식별하고 순수한 제로 트러스트 아키텍처를 구축하는 것이 가능할 수 있습니다. 비즈니스 및 인프라가 변경됨에 따라 성장은 장기적으로 제로 트러스트 원칙을 계속 준수할 수 있습니다.
실제로 대부분의 제로 트러스트 구현은 프로세스입니다. 기업은 시간이 지남에 따라 제로 트러스트와 경계 기반 보안의 균형을 유지하면서 점진적으로 현대화 이니셔티브를 구현합니다.
제로 트러스트 아키텍처를 완전히 구축하는 데에는 몇 년이 걸리고 제로 트러스트라는 궁극적인 목표에 도달하기 전에 여러 프로젝트가 포함될 것입니다. 그러나 제로 트러스트에는 ‘도착’이 없습니다. 미래의 비즈니스 및 인프라 변경 사항을 고려하여 시간이 지남에 따라 제로 트러스트 전략을 구현하고 시행하는 것입니다.
조치를 취하기 전에 계획을 수립하면 프로세스를 더 작은 부분으로 나누고 시간이 지남에 따라 성공을 입증할 수 있습니다. 주제, 비즈니스 프로세스, 트래픽 흐름 및 종속성 맵의 철저한 카탈로그로 시작하여 대상 주제, 자산 및 비즈니스 프로세스를 다룰 수 있도록 준비합니다.
제로 트러스트 아키텍처는 구현하는데 시간과 주의를 기울여야 하는 목표이자 접근 방식입니다. 배포하고 다음으로 넘어갈 수 있는 일회성 설치가 아닙니다. 네 가지 기본 원칙이 뒷받침하는 사이버 보안 철학입니다. 특정 원칙은 ID를 위한 MFA와 같은 특정 보안 기술에 의존할 수 있지만 시간이 지남에 따라 사용되는 기술은 변경될 수 있습니다.
제로 트러스트 접근 방식의 기초가 되는 세 가지 기본 기능이 있습니다.
제로 트러스트는 점진적으로 구현되고 지속적으로 시행되어야 합니다. 네트워크 수명 동안 제자리에 배치되는 완전한 교체나 일회성 배포가 아닙니다. 이는 네트워크의 여러 측면을 포함하는 다년 및 다중 프로젝트 증분 프로세스이며 작업 습관, 기술 및 위협이 변경됨에 따라 지속적인 평가가 필요합니다.
기업에서 제로 트러스트 접근 방식을 구현하는 방법은 작업에 따라 다릅니다. 가장 가치 있는 자산부터 시작하는 것이 좋습니다.
제로 트러스트 전환 과정에는 네 가지 구성 요소가 포함됩니다.