클라우드, 모빌리티, 민첩성에 대한 요구 증가로 인해 IT 및 DevOps 엔지니어의 새로운 현실이 정의되고 있습니다. 이러한 새로운 환경에서 기존의 '경계 기반' 보안 모델은 노후화가 진행 중이며 VPN, 방화벽, 점프 서버와 같은 이원화된 접속 도구는 번거롭고 확장성이 떨어지는 것으로 드러나고 있습니다.
업무 환경은 더 이상 고정된 경계에 의해 통제되지 않습니다. 사용자는 자신의 디바이스에서 작업하고 중요한 회사 데이터는 타사 클라우드 서비스에 저장됩니다. 기업은 더 이상 좋은 사람은 들여보내고 나쁜 사람은 차단하는 데 초점을 맞춘 이분법적 보안 모델에 의존해서는 안 됩니다. 현대 기업의 과제는 설정 및 유지 관리 비용을 절감하고 보안을 유지하면서 사용자에게 필요한 액세스 권한을 부여하는 방법입니다.
제로 트러스트 보안은 제품이 아니라 프로세스입니다. 다음은 제로 트러스트 보안으로 가는 과정에서 조직이 준수해야 할 6가지 모범 사례입니다.
다중 인증(MFA)으로 모든 사용자 확인
제로 트러스트는 "절대 신뢰하지 말고 항상 확인하라"는 원칙에 뿌리를 두고 있다고 흔히들 말합니다. 하지만 제대로 구현된 제로 트러스트는 "절대 신뢰하지 말고, 항상 확인하고 또 확인한다"는 원칙에 뿌리를 두고 있다고 보는 것이 더 정확할까요?
사용자 이름과 비밀번호만으로 사용자의 신원을 확인할 수 있던 시대는 지났습니다. 오늘날 이러한 자격 증명은 다중 인증(MFA)을 사용하여 강화해야 합니다. 추가 인증 요소는 다음 중 하나 이상으로 구성될 수 있습니다:
제로 트러스트 아키텍처를 구현할 때는 네트워크에 액세스하는 모든 사용자(권한 있는 사용자, 최종 사용자, 고객, 파트너 등)의 신원을 여러 가지 요소를 사용하여 확인해야 합니다. 그리고 이러한 요소는 액세스하는 데이터/리소스의 민감도에 따라 조정할 수 있습니다.
사용자 확인은 필요하지만 충분하지 않습니다. 제로 트러스트의 원칙은 엔드포인트 디바이스에도 적용됩니다. 디바이스 인증에는 내부 리소스에 액세스하는 데 사용되는 모든 디바이스가 회사의 보안 요구 사항을 충족하는지 확인하는 것이 포함됩니다. 간편한 사용자 온보딩 및 오프보딩을 통해 모든 디바이스의 상태를 추적하고 시행할 수 있는 솔루션을 찾아보세요.
최소 권한 원칙(PoLP)에 따라 제로 트러스트 환경에서 액세스할 수 있는 항목이 결정됩니다. 이는 특정 사용자에게 특정 작업을 완료할 수 있을 만큼의 권한만 부여해야 한다는 생각에 기반합니다.
예를 들어, 레거시 코드의 라인 업데이트만 담당하는 엔지니어는 재무 기록에 액세스할 필요가 없습니다. PoLP는 보안 침해가 발생할 경우 잠재적인 피해를 최소화하는 데 도움이 됩니다.
최소 권한 액세스는 '적시' 권한 액세스를 포함하도록 확장할 수도 있습니다. 이 유형의 액세스 권한은 필요한 특정 시간에만 권한을 제한합니다. 여기에는 만료되는 권한과 일회용 자격 증명이 포함됩니다.
권한을 인증하고 할당하는 것 외에도 네트워크 전반의 모든 사용자 활동을 모니터링하고 검토해야 합니다. 이렇게 하면 의심스러운 활동을 실시간으로 식별하는 데 도움이 됩니다. 관리 권한이 있는 사용자에게는 접근 권한의 범위가 넓고 접근할 수 있는 데이터의 민감도가 높기 때문에 가시성이 특히 중요합니다.
속성 기반 제어를 사용하여 클라우드 및 온프레미스 애플리케이션, API, 데이터, 인프라 등 보안 스택 전반의 리소스에 대한 액세스 권한을 부여하세요. 이를 통해 관리자는 의심스러운 이벤트를 실시간으로 차단하기 위해 액세스 정책을 쉽게 조정하고 적용할 수 있습니다.
완벽이 선의 적이 되지 않도록 하세요. 최종 사용자가 사용하기 싫어하는 완벽한 제로 트러스트 전략을 구현하는 것은 그다지 좋은 전략이 아닙니다. 최종 사용자는 일하고 싶을 뿐입니다. 팀에게 가장 마찰이 없고 서비스형 소프트웨어(SaaS)와 같은 경험을 제공하는 전략과 제품을 고려하세요.