제로 트러스트 네트워크 액세스(ZTNA)란 무엇인가요?

제로 트러스트 모델은 "절대 신뢰하지 않고 항상 검증한다"는 보안 원칙을 설명합니다. 제로 트러스트 네트워크 액세스(ZTNA)는 기업의 액세스 포인트 전반에 걸쳐 이 보안 모델을 구현하는 방법입니다. 실제로, 이는 최소 권한 원칙(PoLP)에 기반하며, 사용자는 일상 업무에 필요한 리소스에만 접근할 수 있어야 한다고 명시합니다.

Forrester Wave 제로 트러스트 보고서 ZTNA 솔루션 개요

제로 트러스트 네트워크 액세스(ZTNA)란 무엇인가요?

ZTNA의 작동 원리

제로 트러스트는 사용자 경험이나 생산성을 저해하지 않는 방식으로 기존의 신뢰를 없애는 것을 목표로 합니다.

이는 사용자가 자신의 역할에 필요한 리소스에만 접근할 수 있도록 허용함으로써 이루어지며, 모든 접근 요청은 엄격하고 반복적으로 검증됩니다. 최소 권한 원칙 (PoLP)은 업무 수행에 필요한 만큼만 사용자 액세스 및 권한이 부여되는 ZTNA의 핵심입니다.

예를 들어, 영업 부서의 원격 사용자는 Salesforce 내 고객 데이터에 대한 읽기 전용 권한을 부여받을 수 있지만 GitHub의 코드베이스와 상호 작용하는 것은 차단됩니다.

Universal PoLP는 DevOps 직원에게 반대의 환경을 요구할 것입니다.

조직 전반에 걸쳐 이를 간소화하려면 각 계정이 필요로 하는 바에 대한 철저한 이해가 필요합니다. 이 원칙은 다음과 같은 비인적 자원에도 적용됩니다:

  • 시스템
  • Applications
  • 디바이스
  • 프로세스

해당 리소스에 권한 있는 활동에 필요한 권한만 할당함으로써 액세스 권한을 효과적으로 최소화하고 제어할 수 있습니다. ZTNA와 VPN의 차이점이기도 합니다.

  • VPN계정 동작 방식과 관계없이 기업의 VPN 서버와 디바이스 내 클라이언트 간에 암호화된 터널을 설정하기만 하면 됩니다 .
  • ZTNA는 개별 리소스에 대한 액세스 권한을 부여하기 전에 디바이스의 보안 상태를 고려합니다.

이것 또한 다릅니다. 연결된 네트워크 전체에 대한 액세스 권한을 부여하는 대신, ZTNA는 요청된 리소스에 대해서만 격리된 액세스 권한을 제공합니다.

제로 트러스트 네트워크 액세스를 구현하는 방법

CISO의 관점에서 볼 때, 높은 수준의 보안 검증과 고객 및 사용자 경험 유지를 균형 있게 유지하는 것이 매우 중요합니다. 제로 트러스트 네트워크 액세스(ZTNA) 보안의 최종 목표는 각 액세스 요청을 설정된 액세스 정책에 따라 신중하게 평가하는 것입니다. 이는 다음과 같은 요소를 확인해야 합니다:

 

  • 사용자의 자격 증명의 현재 상태
  • 디바이스의 보안 상태가 회사의 보안 기준을 충족하는지 여부
  • 요청 중인 특정 애플리케이션 또는 서비스

1단계: 누가 누구인지 이해하기

제로 트러스트를 적용하려면 누가 무엇에 액세스하는지 알아야 합니다. 제로 트러스트 구현의 첫 번째 단계는 기업 네트워크를 구성하는 사용자, 디바이스 및 워크로드의 명확한 그림을 확립 하는 데 중점을 둡니다.

이를 달성하기 위해 많은 조직이 기업 ID 공급업체를 선택합니다. 

이를 통해 모든 직원, 고객, 계약업체를 보안 에코시스템으로 끌어들여 개별적으로 관리할 수 있습니다. 또한 일관된 인증 적용 방법의 토대를 마련합니다. 이 기능은 사용자에게 세부적인 가시성을 제공하지만, 네트워크를 통해 통신하는 모든 서비스에 대한 인벤토리를 제공하는 것은 아닙니다.

이는 자체적으로 또는 제3자 자산 관리 도구를 사용하여 네트워크 스캔 을 통해 달성할 수 있습니다. 이 정도의 세분화를 통해 공격 표면을 식별할 수 있습니다. 다음 단계에서는 가장 가치 있는 디지털 자산의 우선순위를 정하십시오.

아래의 DAAS 접근 방식은 네 단계로 잘 나누어 설명합니다:

  1. 데이터: 무엇을 보호해야 합니까?
  2. 애플리케이션: 어떤 애플리케이션이 민감한 정보를 처리합니까?
  3. 자산: 가장 중요한 자산은 무엇입니까?
  4. 서비스: 악의적인 공격자가 어떤 서비스를 표적으로 삼아 정상적인 IT 운영을 방해할 수 있습니까?

2단계: 보안 네트워크 제어 활용

제로 트러스트 프레임워크는 PoLP에 따라 사용자에게 액세스를 제공합니다. 나머지 모든 사용자는 사실상 그들이 접근할 필요가 전혀 없는 네트워크의 광범위한 영역에서 완전히 차단됩니다.

그렇다면 불필요한 모든 인바운드 액세스를 차단하는 방법은 무엇입니까? 

Check Point SASE achieves this by establishing a secure gateway: all access requests are filtered via this gateway, which first establishes the role of the user and the associated resources they have access to. All unauthorized devices are automatically prevented from gaining access, and the individual nature of each connection means that no device has visibility into other ongoing connections.

이 보안 연결 프로토콜을 구현하는 방법은 보안 대상 애플리케이션에 따라 약간씩 다릅니다. 크게 두 가지 애플리케이션 유형이 있습니다:

  • 셀프 호스팅. SASE 게이트웨이의 제로 트러스트 터널은 애플리케이션과 방화벽의 정책 계층 사이에 설정될 수 있습니다.
  • 서비스형 소프트웨어(SaaS). 서비스형 소프트웨어(SaaS) 액세스는 IP 주소 화이트리스트를 통해 규제할 수 있습니다. 즉, 서비스형 소프트웨어(SaaS) 솔루션은 인증된 SASE 게이트웨이에서 시작된 요청만 수락할 수 있습니다.

3단계: NGFW 보호 구현하기

안전한 액세스 형태가 구축되었으므로, 누가 무엇에 액세스할 수 있는지 결정할 때입니다.

자체 호스팅 방식이든 서비스형 소프트웨어(SaaS) 기반이든 모든 네트워크 요청은 방화벽을 통해 라우팅됩니다. NGFW는 HTTPS 검사 및 TLS 복호화를 사용하여 각 패킷의 데이터를 검사할 수 있습니다. 이와 더불어, 상태 기반 검사를 통해 접근 권한이 부여되기 전에 사용자와 디바이스의 동작을 검사할 수 있습니다.

이러한 도구만 있으면 ZTNA를 달성할 수 있습니다!

그 다음에는 지속적인 개선이 중요합니다. 방화벽 로그를 면밀히 모니터링하면 액세스 정책이 균형 있게 적용되는지 판단하는 데 도움이 됩니다. 외부 위협 인텔리전스 관점을 통해 이를 더욱 정교하게 다듬을 수 있지만, 이는 점점 더 어려운 과제가 되고 있습니다.

이러한 이유로 보안 접근 서비스 엣지(SASE) 솔루션은 ZTNA를 구현하고 조직 내에서 이를 기반으로 혁신을 이루는 가장 효율적인 방법이 될 수 있습니다.

ZTNA의 이점

ZTNA를 통해 조직은 네트워크 에코시스템 내에서 제로 트러스트 보안 모델을 구현할 수 있습니다. 이는 다양한 사용 사례에 적용할 수 있으며 조직의 보안 태세를 개선할 수 있습니다.

  • 안전한 원격 액세스

COVID-19의 여파로 대부분의 조직은 대부분 또는 완전히 원격 인력으로 전환했습니다. 많은 기업에서 이를 지원하기 위해 VPN(가상 사설망)을 사용하고 있습니다. 그러나 VPN에는 확장성 및 통합 보안 부족을 비롯한 여러 가지 제한 사항이 있습니다.

VPN의 가장 큰 문제 중 하나는 인증된 사용자에게 네트워크에 대한 완전한 액세스 권한을 부여하여 회사가 사이버 위협에 노출된다는 것입니다. 소프트웨어 정의 WAN(SD-WAN) 또는 보안 액세스 서비스 엣지(SASE)(SASE) 솔루션의 일부로 구현된 ZTNA는 ZTNA를 원격 액세스 솔루션에 통합할 수 있는 기능을 제공하여 원격 작업자의 네트워크 액세스를 업무에 필요한 것으로만 줄입니다.

  • 안전한 클라우드 액세스

대부분의 조직은 클라우드 컴퓨팅을 수용하고 있으며 많은 기업이 여러 클라우드 플랫폼을 보유하고 있습니다. 공격 표면을 줄이기 위해 조직은 이러한 클라우드 기반 리소스에 대한 액세스를 제한해야 합니다.

ZTNA를 통해 조직은 비즈니스 요구 사항에 따라 클라우드 환경 및 애플리케이션에 대한 액세스를 제한할 수 있습니다. 각 사용자 및 애플리케이션은 조직의 클라우드 기반 인프라와 관련된 적절한 권한 및 권한을 가진 ZTNA 솔루션 내에서 역할을 할당받을 수 있습니다.

  • 계정 도용 위험 최소화

계정 손상은 사이버 범죄자들의 일반적인 목표입니다. 공격자는 사용자의 계정 자격 증명을 훔치거나 추측하여 조직의 시스템에 사용자로 인증하는 데 사용하려고 시도합니다. 이렇게 하면 공격자에게 합법적인 사용자와 동일한 수준의 액세스 권한이 제공됩니다.

ZTNA를 구현하면 이러한 수준의 액세스와 공격자가 손상된 계정을 사용하여 일으킬 수 있는 피해를 최소화하는 데 도움이 됩니다. 조직의 에코시스템을 통해 횡적으로 이동할 수 있는 공격자의 기능은 손상된 사용자 계정에 할당된 권한 및 사용 권한에 의해 제한됩니다.

Choose Full-Enterprise Zero Trust with Check Point SASE

제로 트러스트 원칙을 준수해야 하는 것은 네트워크뿐만이 아닙니다.

통신 채널과 엔드포인트는 모두 지속적이고 끊임없는 보호가 필요하며, 제로 트러스트 원칙은 이 모든 것에 적용될 수 있습니다.

Check Point’s Check Point SASE goes one step further with a full-mesh network architecture that provides zero trust protection across every access point, for every user. Identity-centric security policies combine the real-term resource requirements of every team, with continuous verification to identify and stop suspicious behavior.

Discover how Check Point SASE grants zero-trust protection, in-depth reporting, and high performance with a demo today.