지금까지 대부분의 조직은 경계 기반 보안 모델로 운영되었습니다. 경계 내부의 모든 것은 승인되고 무해한 것으로 간주되는 반면, 위협은 조직 외부에서 오는 것으로 간주되었습니다. 경계를 보호하고 외부 공격자가 내부로 침입하는 것을 막기 위해 보안 솔루션이 배포되었습니다.
보안에 대한 이러한 접근 방식에는 여러 가지 문제가 있었습니다. 하나는 악의적인 내부자의 가능성입니다. 또 다른 문제는 조직이 조직의 네트워크에 액세스할 수 있는 위협에 대한 가시성이 부족하다는 사실입니다. 셋째, 클라우드, 원격 근무, 모바일 기기의 등장은 경계가 해체되고 있음을 의미했습니다.
제로 트러스트는 레거시 보안 전략의 한계를 극복하기 위해 설계된 보안 모델입니다. 내부자를 암묵적으로 신뢰하고 외부인을 불신하는 대신, 제로 트러스트는 보안에 대해 "신뢰하되 확인하는" 접근 방식을 취합니다.
자세히 알아보기 Get the Miercom Zero Trust Platform Assessment 2024
레거시 보안 전략을 사용하면 대부분의 확인이 미리 수행되었을 수 있습니다. 사용자가 자신의 신원을 증명하면 회사 네트워크, 시스템 및 애플리케이션에 대한 제한 없는 액세스 권한이 부여됩니다.
제로 트러스트는 사례별로 액세스 결정을 내리는 방식으로 작동합니다. 각 사용자, 애플리케이션, 컴퓨터 등에는 해당 역할을 수행하는 데 필요한 최소 액세스 및 권한 집합이 할당됩니다. 액세스 요청을 하면 제로 트러스트 시스템은 할당된 권한을 요청을 완료하는 데 필요한 권한과 비교하고 그에 따라 요청을 허용하거나 차단합니다.
제로 트러스트는 조직에 제공하는 수많은 이점으로 인해 보안 전략으로 인기가 높아지고 있습니다. 제로 트러스트 보안 전략 구현의 주요 이점에는 보안, 가시성 및 컴플라이언스에 대한 이점이 포함됩니다.
제로 트러스트 보안 정책은 모든 액세스 요청이 최소 권한 액세스 제어를 기반으로 평가되도록 규정합니다. 이렇게 하면 요청자가 요청된 시스템에 액세스하거나 요청된 작업을 수행하는 데 필요한 권한을 갖도록 할 수 있습니다.
제로 트러스트는 과도한 권한과 공격자가 네트워크를 통해 횡적으로 이동할 수 있는 능력의 잠재적 위험을 줄이기 때문에 조직의 보안을 강화하는 데 도움이 됩니다. 사용자의 권한이 엄격하게 제한되면 사용자가 할 수 있는 피해의 양이 제한됩니다. 또한 최소 권한 액세스 제어를 기반으로 모든 액세스 요청을 평가하도록 의무화하면 공격자가 조직의 시스템을 통해 횡적으로 이동하고 존재가 감지되지 않고 목표를 달성하기가 더 어려워집니다.
기존의 경계 중심 보안 아키텍처에서는 조직의 보안 솔루션이 네트워크 경계에 집중되어 있습니다. 이는 조직에 침입할 수 있는 외부 위협의 수를 제한하는 데 도움이 되지만 회사가 해당 네트워크 경계 내에서 무슨 일이 일어나고 있는지에 대한 가시성이 제한적이라는 의미이기도 합니다. 위협이 네트워크 경계를 넘지 않으면 조직의 보안 장치에 표시되지 않을 수 있습니다.
제로 트러스트 보안 모델은 보안 경계를 이동하여 각 개별 애플리케이션 또는 시스템 주위에 위치합니다. 모든 액세스 요청을 승인하거나 거부해야 하기 때문에 조직은 네트워크 내에서 수행되는 작업을 훨씬 더 심층적으로 파악할 수 있습니다.
이러한 심층적인 가시성은 비즈니스에 많은 영향을 미치며, 이는 보안에 대한 이점에만 국한되지 않습니다. 예를 들어, 요청, API 호출 또는 트래픽 흐름에 대한 심층적인 가시성은 조직의 IT 인프라 설계에 대한 정보를 제공하는 데 도움이 될 수 있습니다. 일반적으로 통신하는 애플리케이션은 대기 시간을 최소화하기 위해 서로 더 가깝게 이동하거나 조직에서 성능 향상을 위해 특정 시스템 및 구성 요소를 업그레이드할 수 있습니다.
기업은 끊임없이 확장되는 컴플라이언스 의무의 적용을 받습니다. 조직은 운영 위치와 수집 및 처리하는 데이터 유형에 따라 GDPR, CCPA 등과 같은 다양한 지역별 법률과 PCI DSS 또는 HIPAA와 같은 특정 유형의 민감한 정보를 보호하도록 설계된 규정의 적용을 받을 수 있습니다.
이러한 규정의 주요 목표는 조직이 특정 유형의 민감한 데이터에 대한 액세스를 적절하게 보호하고 관리하도록 하는 것입니다. 기업은 특정 보안 제어를 구현하고 승인된 사용자만 보호된 데이터에 액세스할 수 있음을 입증하여 컴플라이언스를 입증합니다.
제로 트러스트 보안 정책을 통해 조직은 잠재적으로 민감한 데이터와 관련된 각 액세스 요청에 대한 가시성을 확보할 수 있습니다. 이는 컴플라이언스를 달성하고 입증하는 데 매우 중요할 수 있습니다. 최소 권한 액세스 제어는 이 데이터에 대한 무단 액세스 시도를 감지하고 차단할 수 있으며, 무단 액세스가 발생하지 않았음을 입증하기 위해 필요한 경우 감사자 및 규제 기관에 자세한 액세스 로그를 제공할 수 있습니다.
제로 트러스트 보안 모델은 일련의 핵심 원칙을 중심으로 구축됩니다. 제로 트러스트 보안을 구현하기 위한 몇 가지 기본 원칙과 도구는 다음과 같습니다.
제로 트러스트 아키텍처는 제 로 트러스트 의 원칙을 실천합니다. 다음 기술을 사용하여 액세스 요청이 사례별로 평가되도록 합니다.
기존의 경계 중심 보안 모델에서 제로 트러스트로 전환하는 것은 복잡해 보일 수 있습니다. 그러나 조직은 다음 단계에 따라 전환을 수행할 수 있습니다.
제로 트러스트 보안 전략을 설계한 후 조직은 이를 실행에 옮겨야 합니다. 제로 트러스트를 구현 하기 위한 몇 가지 모범 사례는 다음과 같습니다.
제로 트러스트 보안 모델은 조직이 실제로 적용할 수 있는 경우에만 효과적입니다. 공격자가 최소 권한 액세스 제어를 회피하거나 우회할 수 있는 경우 조직과 IT 자산에 대한 실질적인 보호를 제공하지 않습니다. 다음 단계는 조직의 기존 보안 아키텍처와 효과적인 제로 트러스트 아키텍처 간의 격차를 식별하고 이러한 허점을 메우기 위한 제로 트러스트 솔루션을 식별하는 것입니다.
체크 포인트 소프트웨어에서 제공하는 Infinity Global 사이버 보안 서비스의 조직의 기존 제로 트러스트 성숙도 부분을 식별합니다. 그런 다음 ZTNA에 대한 이 구매자 가이드에서 원격 인력을 위해 이러한 격차를 해소하는 방법을 알아보십시오.