Secure Remote Access 모범 사례

코로나바이러스로도 알려진 코로나19 바이러스의 확산으로 인해 전 세계 다양한 산업에서 공급망에 큰 차질이 빚어지고 있습니다. 항공우주 기업인 에어버스와 보잉, 자동차 기업인 테슬라와 GM은 모두 생산 시설을 폐쇄했으며, 애플은 코로나 바이러스로 인해 분기별 매출 실적을 달성하지 못할 수도 있다고 발표했습니다.

코로나19로 인해 기술 기업인 Amazon, Google, Microsoft, Facebook, Twitter를 비롯한 주요 글로벌 고용주들은 직원과 타사 계약업체에 재택근무를 요구하고 있습니다.

평가판 요청하기 자세히 알아보기

안전한 원격 액세스

갤럽의 미국 직장 현황 보고서에 따르면 오늘날 미국 전체 직원의 43%는 적어도 파트타임으로 외부에서 근무하고 있습니다. 또한 연구에 따르면 직원들은 원격 근무가 생산성을 저해하지 않는다고 생각하는 반면, 미국인 대다수는 원격 근무자가 현장 사무실에서 근무하는 직원만큼 생산성이 높다고 생각합니다.

코로나바이러스의 위협으로 인해 기업들이 원격 근무를 대대적으로 도입하면서 온라인 보안은 생물학적 바이러스뿐만 아니라 사이버 범죄자로부터 직원, 제3자 및 계약업체, 디지털 자산, 고객 데이터를 보호해야 하는 중요한 이슈가 되었습니다.

비즈니스 연속성, 재해 복구 및 코로나 바이러스

코로나 바이러스와 같은 위기에 대응하기 위해 조직은 비즈니스 연속성 계획과 동시에 개발된 IT 재해 복구 계획을 마련해야 합니다. 여기에는 비즈니스 영향 분석과 함께 IT 리소스에 대한 비즈니스 우선순위 및 복구 시간 목표가 포함됩니다. 또한 운영 중단 시 비즈니스 복구에 필요한 시간 내에 하드웨어, 애플리케이션, 데이터를 복원할 수 있는 기술 복구 전략을 개발해야 합니다.

안전한 원격 액세스는 재해 복구와 비즈니스 연속성을 고려할 때에도 중요한 역할을 하는데, 조직은 외부의 중단에도 불구하고 직원 대다수가 원격 근무를 할 수 있을 만큼 유연하면서도 정상적인 업무 생산성을 유지할 수 있어야 하기 때문입니다.

파괴적인 생물학적 사건인 코로나바이러스로 인해 조직은 직원과 IT 리소스를 재택근무 또는 안전한 장소에서 근무할 수 있도록 전환해야 했습니다.

은행과 금융 기관은 직원 격리를 통해 신종 코로나바이러스 감염을 늦추고 막기 위해 증권사 트레이더의 자택에 스크린을 설치했습니다. 투자 은행가, 엔지니어, IT 직원, 인사 담당자, 고위 경영진은 재택근무가 가능하지만, 규제 요건을 충족해야 하는 트레이더나 영업 사원과 같은 직원은 해결해야 할 기술적 한계에 직면해 있습니다.

골드만삭스, JP모건체이스, 모건스탠리, 바클레이스의 비즈니스 연속성 계획은 모두 코로나19 발생 진원지인 아시아 국가에 있는 직원들을 격리하고 보호할 것을 촉구했습니다.

미국의 한 대형 은행의 고위 임원은 "우리는 연습 중"이라고 말했습니다. "아침에 일어나서 미국에 50만 명의 확진자가 발생했는데 누군가가 모든 사람을 집으로 돌려보내라고 말하는 것을 보고 싶지는 않을 것입니다."

파이낸셜 타임즈에 따르면 현재 금융 기관들은 코로나19로 인해 은행 직원들이 전 세계적으로 격리되는 것을 방지하기 위해 본사와 본사와 동일한 기술 역량을 갖춘 재해 복구 현장 사이에 인력을 분산 배치하는 방안을 검토하고 있습니다.

보안 원격 액세스를 구현하는 방법

많은 조직에서 직원, 계약자, 비즈니스 파트너, 공급업체가 엔터프라이즈 원격 액세스 기술을 사용하여 데이터 유출 및 도난으로부터 보호해야 하는 조직 소유의 BYOD(Bring Your Own Device) 클라이언트 디바이스를 사용하여 원격으로 업무를 수행하도록 허용합니다. 보안 문제에는 물리적 보안 제어의 부재, 보안되지 않은 네트워크 사용, 감염된 디바이스의 내부 네트워크 연결, 외부 호스트에 대한 내부 리소스의 가용성 등이 있습니다.

또한 디바이스 보안에 관한 타사와의 보안 정책 및 계약을 항상 강제할 수는 없기 때문에 보안이 취약하고 멀웨어에 감염되어 손상된 디바이스가 민감한 조직 리소스에 연결될 가능성이 있습니다.

따라서 원격 액세스 기술을 사용하는 조직을 보호하고 네트워크 리소스에 대한 BYOD 및 타사 제어 액세스 위험을 완화하기 위해 미국 국립표준기술연구소(NIST)는 조직에 다음과 같은 제어 기능을 구현할 것을 권장합니다:

외부 환경에 적대적인 위협이 있다는 가정 하에 원격 근무 관련 보안 정책 및 제어를 계획하세요.

  • 조직은 직원과 제3자가 외부 위치에서 사용하는 클라이언트 디바이스가 분실 또는 도난에 취약하고 악의적인 공격자가 데이터에 액세스하거나 디바이스를 사용하여 조직 네트워크 액세스 권한을 획득하는 데 사용할 수 있다는 점을 고려해야 합니다.
  • 클라이언트 디바이스 분실 또는 도난을 완화하려면 디바이스 스토리지와 저장된 민감한 데이터를 암호화하고 클라이언트 디바이스에 민감한 데이터를 아예 저장하지 않는 것이 좋습니다. 디바이스 재사용 위협을 완화하려면 강력한 다중 인증을 사용하세요.

재택근무, 원격 액세스 및 BYOD 요건을 정의하는 원격 근무 보안 정책을 개발하세요.

  • 원격 근무 보안 정책은 원격 액세스 유형, 디바이스, 원격 근무자의 유형 및 액세스 정책을 정의해야 합니다.
  • 정책에는 원격 액세스 서버 관리 방법과 해당 서버의 정책 업데이트 방법도 포함되어야 합니다.
  • 조직은 어떤 유형의 클라이언트 디바이스에서 어떤 수준의 원격 액세스를 허용할지 위험도에 따라 결정해야 합니다.

원격 액세스 서버가 효과적으로 보호되고 원격 근무 보안 정책을 적용하도록 구성되었는지 확인하세요.

  • 원격 액세스 서버의 보안은 외부 호스트가 내부 리소스에 액세스할 수 있는 방법을 제공할 뿐만 아니라 조직에서 발급하고 타사에서 제어하는 BYOD 클라이언트 디바이스를 위한 안전하고 격리된 재택근무 환경을 제공하기 때문에 특히 중요합니다.
  • 손상된 서버는 기업 리소스 및 재택근무 클라이언트 디바이스에 대한 무단 액세스를 허용하는 것 외에도 통신을 도청하고 조작하는 데 사용될 수 있으며, 조직 내 다른 호스트를 공격하기 위한 '출발점'을 제공할 수도 있습니다.

조직에서 제어하는 원격 근무 클라이언트 디바이스를 일반적인 위협으로부터 보호하고 정기적으로 보안을 유지하세요.

  • 원격 근무 클라이언트 기기에는 조직의 비재택근무 클라이언트 기기에 대한 보안 구성 기준에서 사용되는 모든 로컬 보안 제어가 포함되어야 합니다.

조직 시설 내에서 외부 디바이스 사용(예: BYOD, 타사 제어)이 허용되는 경우, 원격 액세스 정책을 통해 이러한 사용을 위한 별도의 외부 전용 네트워크를 구축하는 것을 적극 고려하세요.

  • BYOD 및 타사에서 제어하는 클라이언트 디바이스를 기업 내부 네트워크에 직접 연결하도록 허용하면 이러한 디바이스에는 조직의 자체 디바이스와 동일한 보안 보호 장치가 없기 때문에 위험이 증가합니다.

또한 NIST는 네트워크 경계에 원격 액세스 서버를 배치할 것을 권장하며 4가지 유형의 원격 액세스 방법을 정의합니다:

  • 터널링 서버를 통해 관리자는 네트워크 경계에서 원격 작업자의 액세스를 위한 내부 리소스를 제어할 수 있습니다.
  • 서버 자체에서 애플리케이션 클라이언트 소프트웨어를 실행하는 포털 서버. 원격 액세스 사용자는 네트워크 내부의 서버가 아닌 포털 서버에서만 애플리케이션을 실행하기 때문에 네트워크 경계에 배치합니다.
  • 원격 데스크톱 액세스에는 원격 액세스 서버가 필요하지 않으므로 원격 액세스 서버의 배치에 문제가 없습니다.
  • 직접 애플리케이션 액세스 서버는 서버 자체에서 애플리케이션 서버 소프트웨어를 실행합니다. 네트워크 경계에 배치하면 원격 액세스 사용자가 네트워크 내부의 서버가 아닌 직접 애플리케이션 액세스 서버에서만 애플리케이션을 실행하는 것과 비슷한 효과를 얻을 수 있습니다.

체크포인트의 보안 원격 액세스 솔루션

체크 포인트를 사용하면 조직은 정의된 정책과 상황별 데이터를 기반으로 한 실시간 지능형 신뢰 결정을 통해 내부 리소스에 대한 최소 권한 액세스를 쉽게 관리하면서 NIST 원격 액세스 보안 표준 등을 충족할 수 있습니다. 또한, 체크 포인트의 제로 트러스트 아키텍처는 승인된 리소스에 대한 사용자 액세스를 제한하여 VPN 없이도 적절한 사람이 적절한 리소스에 적시에 액세스할 수 있도록 합니다.

제로 트러스트 솔루션은 사용자 속성 및 디바이스 상태의 동적-상황별 평가를 기반으로 각 리소스에 대한 세분화된 액세스 제어를 통해 사용자 명령 및 데이터베이스 쿼리를 포함하여 모든 사용자, 서버, 기업 데이터 저장소에 적용할 수 있는 다양한 규칙 세트를 제공합니다.

게이트웨이 및 포털 서버와 같은 원격 액세스 서버의 보안은 외부 호스트가 내부 리소스에 액세스할 수 있도록 할 뿐만 아니라 조직에서 발급한 타사 제어 및 BYOD 클라이언트 디바이스를 위한 안전하고 격리된 원격 작업 환경을 제공하므로 중요합니다.

체크 포인트는 VPN 교체, 타사 액세스, 개발자 액세스, 권한 액세스 관리(PAM), 애플리케이션 등 원격 근무자를 위한 여러 가지 안전한 원격 액세스 옵션을 제공합니다. 데이터베이스 및 원격 데스크톱 액세스는 NIST 보안 제어를 충족하거나 초과합니다.

VPN 교체:

기업들은 더 이상 기업 데이터 센터에서 시스템 네트워크를 제공하는 것이 아니라 일반적으로 일부 애플리케이션은 온프레미스에, 일부는 클라우드에 두고 직원들이 거실, 공항 라운지, 호텔 회의실, 동네 카페 등 다양한 디바이스와 여러 장소에서 이러한 애플리케이션에 액세스합니다.

이로 인해 불과 10년 전만 해도 문제가 되지 않았던 보안 문제가 제기되고 있습니다. 기업은 더 이상 좋은 사람을 들여보내고 나쁜 사람을 차단하는 데 초점을 맞춘 경계 기반 보안 모델에 의존할 수 없습니다.

제로 트러스트 액세스 솔루션은 현대 디지털 환경의 복잡성을 고려하여 설계되었습니다. 애플리케이션 계층에서 사용자와 디바이스가 완전히 인증되고 권한이 부여된 경우에만 비공개 회사 웹 애플리케이션에 대한 권한이 부여되므로 네트워크에서 암묵적인 신뢰가 제거됩니다.

제3자 액세스:

프리랜서와 계약직은 오늘날의 인력에서 없어서는 안 될 중요한 부분입니다. 민감한 데이터에 대한 액세스를 대규모로 관리하는 것은 거의 불가능한 일이며, 기업은 잠재적인 보안 위험에 노출됩니다. 경계 기반 솔루션은 사용자 활동에 대한 가시성을 제공하지 않습니다. 기업의 34%만이 타사 공급업체로 인한 개별 로그인 건수를 파악하고 있습니다.

체크 포인트를 사용하면 역할 기반 제어를 통해 관리자가 내부 애플리케이션에 대한 액세스를 쉽게 프로비저닝 및 프로비저닝 해제하고 시간과 범위 모두에서 액세스를 제한할 수 있습니다. 또한 관리자는 모든 타사 활동에 대한 가시성을 제공하는 전체 활동 로그를 받을 수 있습니다. 보안팀은 더 이상 복잡한 워크플로를 설정하고 관리하느라 귀중한 시간을 낭비할 필요가 없습니다.

개발자 액세스:

오늘날의 빠른 개발 및 배포 속도로 인해 접근성에 대한 필요성이 증가함에 따라 데이터베이스에서 중요한 데이터를 손상, 삭제 또는 누락시킬 수 있는 단순한 인적 오류의 위험도 증가합니다. 하지만 기존의 경계 기반 보안 방식은 개발의 민첩성을 제한하는 경우가 많습니다. 그 결과 개발자에게 관리자 권한이 부여되는 경우가 많으며, 공격자는 이를 악용하여 네트워크에서 횡적으로 이동할 수 있습니다.

체크 포인트를 사용하면 개발자에게 이러한 보드 액세스 권한을 부여할 필요가 없습니다. 체크포인트는 기본적으로 데이터베이스 프로토콜과 통합되어 개발자가 터미널을 통해 모든 데이터베이스에 빠르고 안전하게 연결할 수 있습니다. 모든 기본 보안 조치는 탐지할 수 없습니다. 동시에 체크포인트의 역할 기반 액세스 제어를 통해 관리자는 모든 데이터베이스에 대한 액세스 권한을 쉽게 프로비저닝 및 프로비저닝 해제할 수 있으며, 개발자의 역할을 '보기 전용'으로 제한하여 데이터베이스 쓰기, 삭제, 변경 기능을 완전히 차단할 수 있습니다.

권한 있는 액세스 관리(PAM):

서버에 대한 권한 있는 액세스를 보호하는 것은 전통적으로 키 관리에 중점을 두었습니다. 하지만 대규모로 키를 관리, 추적, 회전하는 것은 거의 불가능한 작업입니다. 인증정보 도용은 여전히 가장 효율적이고 효과적인 공격 벡터 중 하나이며, 기업 4곳 중 3곳은 SSH 관리가 잘못되어 루트 수준의 공격에 취약합니다.

체크포인트의 제로 트러스트 아키텍처는 사용자가 정적 자격 증명을 보유할 필요가 없도록 설계된 기본 제공 PAM 솔루션을 통해 서버에 대한 권한 액세스를 보호합니다. 대신, 사용자는 수명이 짧은 토큰 또는 공개-비공개 키 쌍을 사용하여 서버에 인증하며, 이 두 가지 모두 체크포인트를 통해 발급 및 관리됩니다. 키는 주기적으로 교체되며 언제든지 수동으로 취소하여 모든 액세스를 즉시 차단할 수 있습니다.

추가 혜택:

  • 보안 인증서 옵션으로 3분 이내에 배포할 수 있는 에이전트 없는 아키텍처입니다.
  • 사용자 속성 및 디바이스 상태의 동적, 상황별 평가를 기반으로 각 리소스에 대한 세분화된 액세스 제어.
  • 사용자 명령 및 데이터베이스 쿼리를 포함한 모든 사용자, 서버 및 엔터프라이즈 데이터 저장소에 대해 정책을 적용할 수 있습니다.
  • 모니터링, 로깅 및 경고 기능을 통해 모든 애플리케이션, 서버, 데이터베이스 또는 환경에 대한 타사 액세스를 제어할 수 있습니다.
  • SSH용 SSO 키는 중앙의 안전한 위치에 유지되므로 정적 자격 증명을 수동으로 관리할 필요가 없고 키 분실 또는 손상 위험을 줄일 수 있습니다.
  • 권한을 세밀하게 제어하여 데이터베이스 액세스를 관리하고 모니터링합니다.
  • 서버 액세스 실행 명령과 쿼리된 데이터, 완전히 기록된 세션을 포함한 사용자 활동의 감사 추적.
×
  피드백
본 웹 사이트에서는 기능과 분석 및 마케팅 목적으로 쿠키를 사용합니다. 웹 사이트를 계속 이용하면 쿠키 사용에 동의하시게 됩니다. 자세한 내용은 쿠키 공지를 읽어 주십시오.