제로 트러스트 구현 방법 5단계 및 배포 체크리스트
제로 트러스트 구현이란?
제로 트러스트 보안 모델은 기업이 에코시스템에 대한 확장된 가시성을 확보하면서 데이터 및 IT 리소스의 보안을 개선하는 데 도움이 될 수 있습니다. 일반적으로 제로 트러스트 구현에는 네트워크에 미세 세분화 기능을 추가하고 다중 인증을 적용하며 엔드포인트 장치를 검증하는 등 최소 5가지 단계가 필요합니다.
이 글에서는 이러한 구현 단계를 설명하고 제로 트러스트 기술 솔루션을 선택할 때 중요하게 고려해야 할 사항을 알려 드립니다. 마지막으로, 제로 트러스트를 구현할 때 대부분의 조직이 겪는 문제와 이를 극복하는 방법을 소개합니다.
이 글은 제로 트러스트 네트워크 액세스(ZTNA)에 관한 연재물의 일부입니다.
5단계로 제로 트러스트 구현하기
조직에서 제로 트러스트를 구현하는 데 도움이 되는 몇 가지 원칙과 기술을 소개합니다.
1. SASE 배포
SASE(보안 액세스 서비스 에지)로 SD-WAN 및 네트워크 보안 포인트 솔루션을 중앙 집중식 클라우드 네이티브 서비스로 통합할 수 있습니다. 제로 트러스트 전략의 일환으로 SASE를 배포하면 됩니다. SASE 솔루션을 도입하려 한다면 다음 사항을 고려해야 합니다.
- 통합 – 선택한 SASE 솔루션은 기존 네트워크 아키텍처와 문제없이 통합되어야 합니다. 예를 들어, 온프레미스에서 중요한 인프라를 운영하는 조직의 경우 클라우드 리소스 및 레거시 인프라에 안전하게 연결하는 제로 트러스트 구성 요소를 제공하는 SASE 솔루션을 선택해야 합니다.
- 기능 – SASE 솔루션은 잠재 위협을 차단하고 보안 침해로 인한 피해를 방지할 수 있는 기능을 제공해야 합니다. 예를 들어, 솔루션은 미세 세분화, 패치 적용, 샌드박스 등의 기능을 구현할 수 있고 ID 및 액세스 관리를 할 수 있어야 합니다.
- 억제 – 보안 침해를 완벽하게 방지할 수 있는 방법은 없습니다. 선택한 SASE 솔루션은 네트워크를 침해한 모든 공격을 차단하여 전반적인 피해를 줄이는 데 도움이 되어야 합니다.
SASE는 아래에 소개하는 모든 기술을 하나의 관리형 서비스로 묶어 훨씬 쉽게 구현할 수 있게 해 줍니다.
2. 미세 세분화 활용
미세 세분화는 보안 경계를 잘게 나누는 작업이 필요합니다. 네트워크 특정 부분에 별도의 액세스 권한을 부여하는 데 도움이 됩니다. 이러한 분리 작업을 통해 특정 관련 영역에 대한 일부 사용자, 애플리케이션, 서비스 액세스를 허용하면서 다른 영역에 대한 액세스를 제한할 수 있습니다.
3. 다중 인증(MFA) 사용
MFA는 사용자가 다음을 비롯한 두 가지 이상의 인증 요소를 입력하도록 요구합니다.
- 지식 요소 – 패턴, 비밀번호, PIN과 같이 사용자만 아는 정보입니다.
- 소유 요소 – 스마트카드, 휴대전화, ATM 카드와 같이 사용자만 보유한 정보 또는 개체입니다.
- 속성 요소 – 이 요소는 망막 스캔, 안면 스캔, 지문 같은 사용자의 생체 특성을 이용합니다.
시스템은 모든 요소가 검증된 경우에만 사용자를 인증합니다.
4. 최소 권한 원칙(PoLP)
최소 권한 원칙은 사용자가 작업을 수행하는 데 필요한 최소한의 액세스 및 권한만을 허용해야 한다는 의미입니다. 예를 들어, 사용자에게 리소스 및 파일에 한해 최소한의 실행, 읽기, 쓰기 권한을 부여할 수 있습니다.
또한, 최소 권한 원칙은 시스템, 애플리케이션, 장치, 프로세스 같은 비인적 리소스 액세스 권한 제한에도 적용할 수 있습니다. 이 경우 승인된 작업을 수행하는 데 필요한 권한만 이 리소스에 부여하면 됩니다.
5. 모든 엔드포인트 장치 검증
확인되지 않은 장치는 신뢰하지 마십시오. 제로 트러스트 보안으로 엔드포인트를 검증하고 ID 중심 제어를 엔드포인트 수준으로 확대할 수 있습니다. 일반적으로 리소스에 액세스하기 전에 장치가 등록되어 있는지 확인해야 합니다. 장치를 등록하면 각 장치를 식별하고 확인하는 작업이 더 간단해집니다. 장치 확인 기능을 구현하면 리소스에 액세스하려는 엔드포인트 보안 요구 사항의 충족 여부를 확인할 수 있습니다.
제로 트러스트 배포 체크리스트
제로 트러스트 솔루션을 배포할 때 다음과 같은 사항을 고려해야 합니다.
| 배포 용이성 | 신속히 시스템을 가동하여 운영할 수 있습니까?
공급업체가 솔루션에 맞게 기업 환경을 수정하도록 요구합니까? 예를 들어, 방화벽 포트를 열어야 합니까? |
| 멀티 클라우드 지원 | 솔루션으로 쉽고 간단하게 여러 퍼블릭 클라우드 공급업체를 통합할 수 있습니까?
솔루션을 통해 여러 클라우드에서 워크로드를 효과적으로 안전하게 보호할 수 있습니까? |
| 확장성 | 제로 트러스트 아키텍처를 확장할 수 있습니까?
제공된 확장성이 귀사의 워크로드 요구를 충족합니까? |
| 보안 | 솔루션 공급업체가 어떤 보안 조치를 시행합니까?
솔루션이 간소화된 보안 주기를 유지합니까? 솔루션이 침입 탐지 시스템(IPS)을 배포하여 모든 트래픽에서 맬웨어를 검색합니까? |
| 가시성 | 관리자는 솔루션의 중앙 인터페이스에서 리소스에 대한 모든 사용자의 현재 및 과거 액세스 요청을 시각적으로 확인할 수 있습니까?
무엇이 허용되었고 차단되었는지를 보여주는 데이터에 쉽게 액세스하는 기능은 모니터링 및 규정 준수 감사의 핵심입니다. |
| 서비스 및 지원 | 제로 트러스트 솔루션 공급업체가 문제 해결에 도움을 줄 수 있습니까? |
| 가치 | 솔루션이 추가 가치를 창출합니까?
솔루션은 어떻게, 어디에서 기존 보안 도구 가치 이상의 가치, 기능, 위험 완화 수단을 제공합니까? |
제로 트러스트 구현 시 직면하는 문제
기업에서 제로 트러스트를 구현할 때 고려하고 극복해야 할 문제는 다음과 같습니다.
복잡한 인프라
오늘날 기업은 일반적으로 프록시, 서버, 비즈니스 애플리케이션, 데이터베이스, SaaS(서비스형 소프트웨어) 솔루션으로 구성된 인프라를 갖추고 있습니다. 일부 인프라 구성 요소는 온프레미스에서, 다른 구성 요소는 클라우드에서 운영될 수 있습니다.
신구 애플리케이션 및 하드웨어가 혼합된 하이브리드 환경의 요구 사항을 충족하면서 각 네트워크 세그먼트를 보호하는 것은 어려울 수 있습니다. 이러한 복잡한 환경으로 인해 기업은 제로 트러스트를 완전하게 구현하기 어렵습니다.
여러 도구로 제로 트러스트 운영하기
조직에서는 다음과 같은 다양한 도구로 제로 트러스트 모델을 지원할 수 있습니다.
- 제로 트러스트 네트워크 액세스(ZTNA) 또는 소프트웨어 정의 경계(SDP) 도구
- 보안 액세스 서비스 에지(SASE) 또는 VPN 솔루션
- 미세 세분화 도구
- 다중 인증(MFA)
- 통합 사용자 인증(SSO) 솔루션
- 장치 승인 솔루션
- 침입 방지 시스템(IPS)
하지만 이러한 도구의 대부분은 운영 체제, 장치, 클라우드 공급업체에 따라 다릅니다. 동일한 형식의 장치 세트를 지원하지 않는기업도 많습니다. 이러한 조직은 온프레미스 데이터 센터에서 일부 서비스를 제공하고 다른 서비스는 하나 이상의 클라우드에서 운영하면서, Windows, Mac, 네트워크로 연결된 다양한 장치에 사용자를 보유하고 복수의 Linux 배포판 및 여러 Windows Server 버전에서 서버를 실행하기도 합니다.
특히, 대규모 조직에서 제로 트러스트 도구가 모든 도구 및 환경에서 일관되게 작동하지 않을 수 있습니다.
사고방식 전환하기
대규모 조직에서 제로 트러스트 모델을 만들려면 효과적인 교육, 계획, 구현을 위해 이해 관계자의 지지가 필요합니다. 제로 트러스트 프로젝트는 거의 모두에게 영향을 미치므로 모든 리더와 관리자가 접근 방식에 합의해야 합니다. 대부분의 조직은 변화를 구현하는 속도가 느립니다. 사내 정치만으로도 프로젝트의 효율이 떨어질 수 있습니다.
비용 및 노력
조직이 제로 트러스트를 구현하려면 시간, 인력, 재정 자원을 투자해야 합니다. 제로 트러스트 모델을 구현하려면 누가 어느 네트워크 영역에 액세스할 수 있는지 정의하고 적절한 네트워크 세분화를 실시할 필요가 있습니다. 따라서 신중한 계획과 협업이 요구됩니다.
조직은 인력을 고용하거나 배정하여 네트워크 세분화를 구현하고 이를 지속적으로 유지해야 합니다. 제로 트러스트 시스템이 환경과 더 잘 통합될수록 이러한 작업이 더 쉬워질 수 있습니다.