제로 트러스트 보안 모델

2010년 Forrester Research의 애널리스트 존 킨더바그(John Kindervag)는 '제로 트러스트'라는 이름의 솔루션을 제안했습니다. 

'신뢰하되 검증'하는 방식에서 '신뢰하지 않고 항상 검증'하는 전략으로 전환한 것입니다. 제로 트러스트 모델에서는 ID 및 권한을 검증하기 전까지 어떤 사용자나 디바이스도 신뢰하지 않아 리소스에 접근할 수 없습니다. 일반적으로 이 프로세스는 원격으로 근무하며 기업 컴퓨터를 사용하는 직원이나 전 세계 컨퍼런스에 참여하며 자신의 모바일 디바이스를 사용하는 직원처럼 프라이빗 네트워크를 사용하는 사람들에게 적용됩니다. 또한 해당 네트워크 외부의 모든 사람과 엔드포인트에 적용됩니다. 과거에 이 네트워크에 접속한 적이 있어도, 자주 접속하는 네트워크여도 상관없습니다. 제로 트러스트 보안 모델은 사용자를 신뢰하는 대신 사용자 ID를 다시 검증합니다. 모든 머신, 사용자, 서버는 그 신뢰성이 입증되기 전까지 신뢰해서는 안 됩니다.

과거 성과 해자(Moat-and-Castle) 방식의 사이버 보안 포스처는 잘 작동하는 것처럼 보였습니다. 네트워크 경계의 바깥, 즉 '해자'에 있는 사람들은 '위험'하고 네트워크 안에 있는 사람들은 '안전'하다는 개념이 당연하게 받아들여지던 때가 있었습니다. 성과 해자가 과거의 유물이듯이, 이 개념을 보안에 적용하는 것도 구시대적입니다. 오늘날의 재택 근무 환경을 생각해 보겠습니다. 현재 근무 인력과 장소는 달라졌습니다. 일하는 시간, 방식, 위치가 사무실 벽 바깥으로 이동했습니다. 클라우드의 부상으로 네트워크 경계는 과거의 모습대로 존재하지 않습니다. 사용자 및 애플리케이션은 해자 내부에도 존재하고 외부에도 존재합니다. 따라서 공격자들이 악용할 수 있는 취약점들이 경계 내부에도 존재합니다. 공격자들은 일단 해자 내부에 들어오면 일반적으로 측면 이동이 확인되지 않으므로, 고객 데이터와 같은 리소스 및 핵심 자산에 접속하거나 랜섬웨어 공격을 시작하게 됩니다에 제대로 대응하지 못해 심각한 뇌 손상을 입은 상태로 태어난 아이가 사망했다는 이유로 소송이 일어났습니다..

제로 트러스트 모델은 조금도 방심하지 않는 경비원과 같습니다. 건물에 출입하려고 하는 사람이 이미 아는 사람이더라도 신원을 체계적이고 반복적으로 확인합니다. 그리고 이 검증 절차를 계속합니다. 

제로 트러스트 모델은 프라이빗 네트워크에서 발생하는 모든 디바이스와 사용자의 접속 또는 데이터 전송을 철저하게 인증하고 확인하며, 이러한 디바이스나 사용자가 네트워크 경계의 내부에 있든 외부에 있든 상관하지 않습니다. 또한 이러한 검증 프로세스와 함께 애널리틱스, 필터링 로깅을 통해 정상 행동인지 검증하고 감염의 징후를 끊임없이 확인합니다. 만약 사용자나 디바이스가 이전과는 다른 행동이나 조짐을 보이기 시작한다면, 이를 알아채고 잠재적인 위협으로 간주하며 모니터링합니다. 예를 들어, Acme Co.의 직원인 Marcus는 일반적으로 미국 오하이오주 콜럼버스에서 로그인하지만, 오늘은 독일의 베를린에서 Acme의 인트라넷에 접속하려 하고 있습니다. 비록 Marcus의 아이디와 비밀번호가 정확하게 입력되었지만, 제로 트러스트 접근 방식은 Marcus의 행동에서 특이점을 발견하고 그의 사용자 ID를 검증하기 위한 인증 테스트를 실시합니다. 

이렇게 보안에 관한 기본 관점을 바꿈으로써 많은 보안 위협을 해결할 수 있습니다. 공격자는 '해자를 건너 왔다'는 이유만으로 더 이상 기업 보안 경계의 취약점을 파고들어 민감한 데이터와 애플리케이션을 유출할 수 없게 되었습니다. 왜냐하면, 이제는 해자 자체가 없기 때문입니다. 이제 애플리케이션과 사용자만이 존재하며, 양쪽 모두 서로 인증하고 권한을 확인해야만 접속이 이루어질 수 있습니다. 상호 인증은 양쪽이 동시에 서로를 인증해야 완료됩니다. 예를 들어 사용자가 접속하려는 애플리케이션에 로그인 정보와 비밀번호를 입력하고 애플리케이션은 디지털 인증서를 통해 연결하는 방식입니다.

오늘날의 제로 트러스트 보안 모델은 광범위하게 확장되었습니다. 제로 트러스트 모델은 제로 트러스트 아키텍처, 제로 트러스트 네트워크 접속(ZTNA), 제로 트러스트 보안 웹 게이트웨이(SWG), 마이크로세그멘테이션 등으로 다양하게 구현되었습니다.. 제로 트러스트 보안은 '경계 없는 보안'으로 불리기도 합니다.

제로 트러스트는 별개의 단일 기술이 아닙니다. 제로 트러스트 아키텍처는 예방적 기술을 통해 일반적인 보안 과제를 해결하기 위해 다양한 보안 제어를 활용합니다. 이러한 구성요소는 근무지와 자택의 경계가 사라지고 고도로 분산된 원격 근무 인력이 표준이 되어감에 따라 이에 맞춰 고등 위협 방어를 제공하도록 설계되었습니다.

• 온프레미스, 클라우드 환경 및 IoT 디바이스에 대한 가시성
• 모든 자산 간 네트워크 흐름을 제어
• ID 확인 및 클라우드 접속 권한 부여 기능
• 네트워크 세그멘테이션 및 애플리케이션 레이어 세그멘테이션
• 멀티팩터 인증 방식(MFA)을 포함한 인증과 권한 확인
• 세분화된 접속 정책(애플리케이션 접속 vs 전체 네트워크에 대한 접속)
• 모든 애플리케이션에 대한 최소 권한을 가진 사용자 접속(IaaS, SaaS, 온프레미스 애플리케이션)
• VPN 및 방화벽 사용 최소화
• 서비스 삽입
• 엣지에서의 보안
• 애플리케이션 성능 개선
• 정교한 위협에 대한 향상된 보안 포스처
• 자동화 및 통합 기능

제로 트러스트 아키텍처는 사용 경험을 방해하지 않고 원활하게 작동하며 공격표면을 줄이고, 사이버 공격을 방어하고, 인프라 요구사항을 간소화합니다. 제로 트러스트 아키텍처의 여러 구성요소들은 다음을 실현할 수 있습니다.

IT 팀은 기존의 접근 방식에 복잡성을 가중시키지 않고, 접속 요청이 언제 어디서 이뤄지든 사용자와 디바이스가 인터넷에 안전하게 접속하도록 보장해야 합니다. 또한 멀웨어, 랜섬웨어, 피싱, DNS 데이터 유출, 정교한 제로데이 취약점 등 다양한 표적 위협을 선제적으로 식별,·차단, 방어해야 합니다. 제로 트러스트 보안은 기업의 보안 포스처를 강화하고 멀웨어 리스크를 경감시킵니다.

VPN과 같은 기존의 접속 기술은 오래된 접속 관리 원칙에 의존하며, 특히 데이터 유출로 이어지는 감염된 사용자 인증정보로 인해 취약해질 수 있습니다. IT 팀은 써드파티 사용자를 포함한 모든 사용자에게 빠르고 간편한 접속을 지속적으로 제공하면서 비즈니스 보안을 유지하기 위해 접속 모델과 기술을 재검토해야 합니다. 제로 트러스트 보안은 세분화된 보안 정책을 통해 일관된 사용자 경험을 제공하면서 리스크와 복잡성을 감소시킬 수 있습니다.

엔터프라이즈 접속 및 보안은 복잡하며 계속 변하고 있습니다. 기존의 엔터프라이즈 기술로 변경 사항을 적용하고 배포하려면 수많은 하드웨어와 소프트웨어 구성요소 전반에 걸쳐 작업을 해야 하기 때문에 며칠 동안 귀중한 리소스를 사용해야 합니다. 제로 트러스트 보안 모델은 구조적 복잡성을 줄일 수 있습니다.

고객의 비즈니스 요구사항에 적합한 제로 트러스트 솔루션을 구축하는 데 Akamai의 클라우드 보안 서비스를 통합할 수 있습니다. 클라우드 네이티브 환경에서 안전한 애플리케이션 접속을 실현하면 내부 기업 네트워크는 과거의 유물이 됩니다.

Akamai의 고급 분산 ZTNA 솔루션, 업계를 선도하는 마이크로세그멘테이션, 피싱 방지 MFA, 선제적 보안 웹 게이트웨이를 20년이 넘는 긴 시간 동안 성능을 입증해온 Akamai Connected Cloud솔루션과 함께 사용gkaus 애플리케이션을 단계적으로 도입하고 기업을 보호하고 성장을 촉진하며 경계 없는 보안 모델로 전환할 수 있습니다.