| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 |
- packet
- write up
- Crypto
- ZTA
- security
- web
- dvwa
- 보안 솔루션
- Web Hack
- 고전 암호
- firewall
- 비즈네르
- Web Hacking
- Zero Trust Model
- Command Injection
- Zerto Trust Architecture
- 보안
- network
- 사설망
- Cross Site Scripting
- SOLUTION
- Steganography
- 가상 사설망
- Cryptography
- It
- hping
- OpenVPN
- hacking
- Web Application Firewall
- MISC
- Today
- Total
어 나 정현욱.
ZERO Trust Architecture ( ZTA ) 본문
ZERO Trust Architecture ?
Never Trust, Always Verify
위 문장이 ZERO Trust Architecture의 기본 개념입니다.
위와 같이 기본적으로 "아무것도 신뢰하지 않는 것"이 바탕이 되는 아키텍처입니다.
ZTA는 2010년, Forest Research의 John Kindervag 애널리스트가 제안한 보안 모델입니다.
기존 보안 모델의 문제점 ( 경계 보안 모델 )
현재 급변하고 있는 근무 형태가 기존 보안 모델의 문제점을 불러왔습니다.
위 그림과 같이, 예전 기업의 IT 시스템에 접근 가능한 방식은
기업이 제공하는 PC처럼 접근 방식이 굉장히 적은 경우의 수로 제한되어 있었습니다.
따라서 큰 울타리, 관문을 하나 세우고 관문을 통과하면 내부 시스템을 자유롭게 사용할 수 있는 방식입니다.
하지만 현재는 기업에서 제공하는 PC, 네트워크 외에도
개인용 PC, 스마트폰, 태블릿 등과 같이 IT 시스템에 접속 가능한 방식이 다양해지고 있습니다.
따라서 사용자와 단말기 각각에 울타리, 관문을 설치해야 하는 상황입니다.
각각의 울타리 크기는 작아졌지만,
울타리의 개수와 전체 면적은 더욱 넓어졌기 때문에 이를 관리하는데 많은 비용과 노력이 들어가게 됩니다.
또한 기업의 보안 관리자가 모든 사용자와 단말기를 감시하고 관리하는 것은 현실적으로 어렵습니다.
ZERO Trust Architecture가 주목받는 이유
위와 같은 문제점을 해결하기 위해 ZTA가 다시 주목을 받고 있습니다.
ZTA를 도입하게 되면, 보안 관리자는 모든 사용자와 단말기에 정책을 적용하는 대신
이들이 모두 "보안 정책을 위반할 것"이라고 가정을 하게 됩니다.
그리고 이들이 기업 IT 시스템 내부 자원(데이터)에 접속할 때 철저한 검증을 통해 접근 권한을 부여합니다.
접근 권한을 부여할 때도 최소한의 영역에만 접근할 수 있도록 권한을 적용합니다.
만약 사용자가 다른 내부 자원에 접근을 하고자 할 때도 마찬가지로 철저한 검증을 통과해야 합니다.
이와 같이 ZTA는 외부로부터의 방어에만 집중했던 기존 보안 모델과는 달리,
외부로부터의 방어와 동등한 레벨로 내부의 보안도 처리한다는 점에서
안전한 보안 패러다임으로 높게 평가되고 있습니다.
ZERO Trust Architecture 구현 예시
ZTA를 적용시킨 보안 시스템을 만들어서 서비스를 제공하는 경우도 있습니다.
대표적으로 Microsoft의 Azure Active Directory가 있습니다.
위 서비스는 계정 하나로 모든 자원에 접근할 수 있는 SSO(Single Signe On) 기능을 제공하여
복잡한 ID와 Password를 외워야 하는 불편함을 줄였습니다.
또한 지문, 얼굴, 보안키 등을 통한 MFA(Multi-Factor Authentication)을 더해 보안성을 높였습니다.
ZERO Trust Architecture 구현 권고사항
John Kindervag은 ZTA의 효과적인 구현을 위해 몇 가지 권고사항을 제시하였습니다.
그 내용은 다음과 같습니다.
1. 민감한 데이터 접근에 대해 가시성을 높여야 한다.
데이터의 위치를 파악하고 누가 얼마나 자주 접근하는지,
어떤 수준으로 보호해야 할지 파악해야 제대로 된 보호가 가능하다는 의미입니다.
2. 각 데이터에 게이트웨이를 두고, 자동화한 컴플라이언스를 게이트웨이에 적용한다.
여기서 말하는 게이트웨이는 제로 트러스트에서 신원 인증을 위한 장치입니다.
사용자가 정말 필요한 만큼만 사용할 수 있도록 권한을 최소화하여야 한다는 의미입니다.
3. 트래픽에 대한 가시성 확보 또한 중요하다.
트래픽을 모니터링하는 과정에서 악성 행위를 찾을 수 있고,
보안 강화가 필요한 부분까지 능동적으로 찾을 수 있기 때문입니다.
따라서 네트워크를 더욱 세분화하고, 각 네트워크에 대한 가시성을 확보해야 합니다.
ZTA는 최근 급변하는 근무 형태로 인해
여러 기업들이 도입하고 있는 보안 패러다임입니다.
이 글이 여러분께서 ZTA를 이해하는데 도움이 되었으면 좋겠습니다. 😉
'Security' 카테고리의 다른 글
| WAF ( Web Application Firewall ) (0) | 2023.08.04 |
|---|---|
| TMS ( Threat Management System ) (2) | 2023.08.03 |
| Steganography 개념 및 실습 (1) | 2023.07.20 |
