보안

제로 트러스트 계획에서 IT 전문가가 고려해야 할 주요 요소

Lee Doyle | Network World 2021.01.12
네트워크의 내부적으로 관리/소유/제어되는 측면(인트라넷 등)과 공용 측면(인터넷 등) 간의 보안 인터페이스인 네트워크 경계(Perimeter)에서 기업 네트워크를 보호하기 위한 수단으로 VPN에서 벗어나 제로 트러스트(Zero-Trust) 네트워크 액세스로 전환하려면 신중한 계획이 필요하며, 각각의 기업에 새로운 기술을 구현해야 할 수도 있다. 
 
ⓒ Getty Images Bank

제로 트러스트 네트워크 액세스(Zero-Trust Network Access, ZTNA)는 ID 기반 인증을 사용해 네트워크에 접근하려는 개체와 신뢰를 구축하고 인증된 각 개체가 작업 수행에 필요한 데이터와 애플리케이션에만 접근할 수 있도록 허용한다. 또한 신뢰할 수 있다고 간주되는 개체의 중요한 데이터에 대한 접근을 제어할 수 있는 새로운 도구를 IT 부서에 제공한다. 

ZTNA는 소프트웨어와 하드웨어, 서비스형(as a service) 등 다양한 형태를 취할 수 있으며 수많은 네트워킹과 보안 공급업체가 있다. 


제로 트러스트와 SASE

ZTNA는 보안과 네트워크 기능을 통합 클라우드 서비스로 통합하기 위해 더 광범위한 SASE(Secure Access Service Edge) 아키텍처와 호환된다. SASE는 어떤 사용자나 장치, 애플리케이션이라도 손상될 수 있다는 ZTNA 가정과 일치하므로, ZTNA는 SASE 아키텍처로 마이그레이션하는 데 도움이 되는 기술로 볼 수 있다. 그러나 ZTNA 구현은 간단한 작업이 아니다. 


ZTNA 채택하기 위한 조건 및 고려사항

ZTNA를 채택하려면 엔터프라이즈 IT와 보안 팀의 상당한 조정 작업이 필요하며, 이는 항상 잠재적인 지연의 원인이 되므로 팀은 비즈니스 목표에 집중하고, 접근을 간소화하는 동시에 민감한 데이터를 보호하고 규정 준수를 유지해야 한다. 

첫 번째 단계는 보호해야 할 데이터를 찾고, 네트워크 전체에서 현재 접근 및 데이터 흐름을 식별하는 것이다. 이는 보안의 가능한 약점을 밝혀내고 이를 방어하는 정책을 만드는 데 필요하다. 

성공적인 공격으로 인한 피해를 제한하는 한 가지 방법은 네트워크 세분화(network segmentation)로, 각 인증된 개체가 접근할 수 있는 리소스를 제한한다. 이렇게 하면 공격이 성공하더라도, 공격자는 손상된 네트워크 부문에만 접근할 수 있다. 

이는 ZTNA의 기본 원칙 가운데 하나인 최소 권한(least privilege)을 적용해, 사용자에게 필요한 애플리케이션과 데이터에만 접근할 수 있도록 한다. 

ZTNA는 사용자 위치가 아닌 ID(사용자 신원)를 기반으로 접근을 승인한다. 장치와 위치, 네트워크 행동, 요청되는 데이터를 포함한 여러 요소를 평가하는 동적 정책 엔진(dynamic policy engine)을 통해 데이터에 세분화된 접근 정책을 적용해 인증된 신원을 확인하거나 재 인증을 요청함으로써 위험을 최소화한다. 예를 들어 ZTNA는 한밤중에 알 수 없는 기기로부터 낯선 위치에서 중요한 데이터를 요청하는 사용자 접근을 거부할 수 있다. 

ZTNA의 일부로서, 기업은 접근을 모니터링해 특정 접근 정책을 더 효과적으로 시행할 수 있어야 한다. 또한 자동화와 오케스트레이션을 구현해 정책을 만들고 시행하는 데 필요한 복잡하고 시간이 많이 소요되는 수동 변경을 줄여야 한다. 


ZTNA의 효과 

ZTNA는 BYOD를 사용하는 원격 사용자와 수많은 IoT 장치, 클라우드 애플리케이션의 현재 분산 환경에서 매력적이다. 

ZTNA는 소프트웨어와 하드웨어를 가상화하고 중요한 데이터를 격리하는 세분화를 설정하는 아키텍처를 기반으로 한다. 또한 SaaS 애플리케이션을 포함해 프라이빗과 퍼블릭 클라우드 모두에 대한 접근을 인증하고 승인하는 일관된 방법을 제공한다. 

중앙 집중식 관리를 통해 IT와 보안 팀은 시간, 장치 유형, 위치에 따라 사용자에게 적합한 접근 권한을 사용자 지정할 수 있는 유연성이 생긴다. 그리고 ZTNA는 수많은 IoT 장치에 대한 보안 접근을 제공하며, IT와 OT 보안 격차를 줄일 수 있다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.