제로 트러스트 엣지란?

제로 트러스트 엣지는 주로 클라우드 기반 보안 및 네트워킹 서비스를 활용하고 제로 트러스트 액세스 원칙을 사용하여 인터넷 트래픽을 원격 사이트에 연결하는 보안 솔루션입니다. 

제로 트러스트 엣지(ZTE) 네트워크는 거의 모든 곳에서 액세스할 수 있기 때문에 ZTE가 연결 시 제로 트러스트 네트워크 액세스(ZTNA)를 통해 사용자와 기기를 인증하여 인터넷 전반에서 보다 안전한 인터넷 온 램프를 제공합니다. 

Gartner는 네트워킹과 사이버 보안의 관련성이 커지고 있다는 점에 주목하면서 클라우드 보안 및 클라우드 네트워킹 서비스의 컨버전스를 일부 포함하는 보안 액세스 서비스 엣지(SASE) 개념을 소개했습니다. SASE 솔루션은 클라우드, 데이터 센터, 지사 네트워크 엣지를 보호하고 다양한 연결에 대해 안전한 SD-WAN 패브릭을 제공하도록 설계되었습니다. 최근에 Forrester는 제로 트러스트 엣지(ZTE)를 정의하는 "보안 및 네트워크 서비스를 위한 제로 트러스트 엣지 모델 소개” 보고서에서 SASE의 새로운 모델을 문서화하여 ‘제로 트러스트’ 구성 요소를 더욱 강조했습니다. 

엔터프라이즈 네트워크 경계는 수십 년 동안 점점 허물어지고 있었지만 전 세계의 코로나19 팬데믹으로 인해 직원이 급하게 원격으로 재택 근무를 하게 되면서 경계는 완전히 사라졌습니다. 재택 근무(WFH) 직원은 새로운 표준이 되었으며 기업은 웹 및 모바일 애플리케이션을 포함하여 고객과 소통하기 위한 새로운 채널을 지속적으로 찾고 있습니다. 

이처럼 사용자 및 기기의 영역이 확장됨에 따라 업무를 수행하거나 비즈니스를 거래하려면 그만큼 엔터프라이즈 리소스에 연결되어야 하므로 보안 전문가는 원격 인력을 안전하게 지원하기 위해 네트워킹에 대한 제로 트러스트 접근 방식을 점점 더 많이 채택하고 있습니다. 

이러한 이유로 초기 ZTE 사용 사례를 보면 대부분의 조직에서는 원격 작업자를 안전하게 보호하면서 동시에 수많은 WFH 근무자로 인해 발생하는 많은 양의 새로운 연결로 과부하가 걸리는 경우가 많은 가상 프라이빗 네트워크(VPN)의 필요성을 제거합니다. 

네트워킹 및 보안의 추가 통합을 촉진하는 주요 요인은 다음과 같습니다. 

• 보안 전문가는 네트워크에서 허용된 트래픽이 엄격한 보안 신뢰 수준을 충족하는지 그리고 트래픽을 모니터링 및 분석하여 정책을 준수하는지를 확인할 수 있어야 합니다.
• 네트워킹 전문가는 기업 네트워크를 오버레이하는 보안 팀이 아닌 ZTE 정책을 도입하고 보안 측면에서 네트워킹을 실행해야 합니다.
• 모든 클라이언트 및 엔드포인트에 대한 안전한 인터넷 액세스 온 램프와 네트워크 경로 어디에나 존재할 수 있는 멀웨어를 차단하거나 우회할 수 있는 기능이 필요합니다.

많은 조직이 소프트웨어 정의 광역 네트워킹(SD-WAN)을 사용하여 네트워크를 가상화했지만 이 접근 방식은 많은 새로운 보안 요구 사항을 해결하지 못합니다. 제로 트러스트 엣지로 클라우드 보안과 네트워킹을 결합하면 ZTE는 다음과 같은 몇 가지 주요 이점을 제공할 수 있습니다. 

리스크 감소. 보안을 네트워크 패브릭에 통합하고 각 연결을 검사 및 보호하므로 IT 전문가는 사용자의 연결 위치, 사용 중인 애플리케이션 또는 사용 중인 암호화 유형(있는 경우)에 대해 걱정할 필요가 없습니다. 각 연결 및 트랜잭션은 매번 인증됩니다. 

비용 절감. ZTE는 일반적으로 자동화된 클라우드 제공 서비스로 제공되므로 ZTE 네트워크는 본질적으로 확장 가능합니다. 이들은 인터넷 패브릭의 일부이기 때문에 기존 아키텍처에 관계없이 조직의 디지털 트랜스포메이션을 지원합니다. 

사용자 경험 향상. 전 세계에서 온 램프를 사용할 수 있으므로 네트워킹 성능 및 처리량이 향상되어 백홀의 필요성이 감소하고 지연 시간이 단축됩니다. 

ZTE 모델은 클라우드 호스팅 또는 엣지 호스팅된 보안 스택으로 설계되었지만 많은 영역에서 대역폭 제한이 있어 스택의 일부 요소가 로컬 인프라에 상주해야 합니다.

현재, 조직에서 활용할 수 있는 세 가지 ZTE 접근 방식이 있습니다.

1. 클라우드 제공 서비스 접근 방식은 ZTE 기능을 사용하는 몇 개에서 수백 개의 접속 위치(POP)를 갖춘 벤더 운영 또는 타사 네트워크를 기반으로 합니다. 이는 SaaS(Software-as-a-Service) 형태로 제공됩니다.
2. WAN 연결 서비스의 일부로 제공하는 방식의 ZTE의 경우, 이동통신사가 ZTE 기능과 아웃소싱된 보안을 제공합니다. Comcast Enterprise와 Akami는 ZTE 기능을 제공하며 많은 SD-WAN 공급 업체는 ZTE 중심의 보안 벤더와 제휴하여 제품을 완성하고 있습니다. 다양한 옵션이 있지만 온프레미스 제품은 클라우드 기반 시스템이 갖춘 대응력이 부족하며 SD-WAN/ZTE 조합은 전반적인 단일 창 방식 솔루션이 부족하여 각 서비스에 대한 정책을 구성해야 합니다.
3. 자체 개발 접근 방식의 경우, POP 및 클라우드 호스팅된 방화벽과 퍼블릭 클라우드에 상주하는 기타 보안 서비스를 위한 클라우드 서비스 공급업체를 활용하여 자체 ZTE 제품을 구축할 수 있는 민첩한 대규모 기업만이 활용할 수 있는 방식입니다. 궁극적으로 유연한 방식이지만, 이러한 제품을 만들고 관리하기 위해서는 진화하는 보안 구성 요소, 클라우드 서비스, IT 기술을 지속적으로 모니터링해야 합니다.

솔루션은 다음 두 가지 주요 클라우드 기반 원칙에 따라 구축되어야 하므로 클라우드 기반 ZTE가 가장 큰 가치를 발휘할 것으로 예상됩니다.

• 기업 전반의 사용자를 위한 단일 정책 세트와 네트워킹, 방화벽 및 기타 SD-WAN 기능을 위한 관리 툴을 제공하는 클라우드 기반의 네트워크 및 보안 관리여야 합니다. 이를 통해 오류를 줄이고 효율성을 높이며 여러 시스템에 대해 유사한 정책을 쉽게 설정할 수 있습니다.
• 네트워킹 및 보안을 연결하는 모니터링, 관리 및 분석 툴을 제공해야 합니다. 이 ZTE 특징은 링크 활용도를 높이고, 보안 문제로 이어질 수 있는 네트워크 이상을 파악하는 데 도움이 되며 피어링 메트로를 포함한 전체 네트워크를 모니터링 버블로 전환합니다. 상당한 양의 데이터를 수집하고 분석하려면 원하는 분석을 수행하기 위해 필요한 스토리지 및 프로세싱에 대한 클라우드 기반 솔루션이 필요합니다.

완전히 배포된 조직은 클라우드 기반이든 원격 위치에서 호스팅하든 관계없이 ZTE 솔루션 내에 상주하는 보안 및 네트워킹 서비스 집합을 중앙에서 관리, 모니터링, 분석할 수 있습니다.

제로 트러스트 엣지 모델로 기존의 보안 및 네트워킹 방식에 지장을 주지 않고 전환할 수 있습니다. 끊임없이 진화하는 사이버 보안 기능이 제로 트러스트 엣지에 빠르게 반영되었습니다.

회사는 원격 작업자 보안 문제의 프록시로 제로 트러스트 엣지를 채택하고 있습니다. 하지만 이 모델의 가능성을 완전히 발휘하려면 먼저 다음과 같은 당면 과제를 해결해야 합니다.

기존 애플리케이션 및 서비스. ID 페더레이션을 지원하는 최신 웹 애플리케이션은 ZTE에서 더 쉽게 구성할 수 있지만, 원격 액세스용 RDP/VDI 및 음성용 SIP/VoIP와 같은 비 웹 프로토콜 기반으로 구축된 애플리케이션은 ZTE 환경에서 활용할 수 있도록 표준화되지 않아 쉽게 통합되지 않습니다.

기존 네트워킹 장비. ZTE에 컴퓨터와 애플리케이션을 구성하고 나면 IT 팀은 수많은 운영 기술(OT) 및 사물 인터넷(IoT) 기기를 고려해야합니다. 조직에 따라 수천 개의 기기가 될 수 있습니다.

용량. ZTE는 원격 작업자의 전술적 액세스 문제를 해결할 수 있지만 현재 데이터 센터 액세스를 제공하는 고용량 네트워크 및 보안 서비스를 대체할 수 있는 역량은 아직 없습니다. 조직은 특정 엔터프라이즈 자산에 대해 ZTE 보호로 전환하기 전에 클라우드 마이그레이션을 수행할 수 있습니다.

Forrester는 ZTE를 기존 SASE 모델을 개선한 모델로 정의하고 해당 모델의 ‘제로 트러스트’ 구성 요소에 더욱 중점을 두었습니다. 인터넷은 보안을 고려하지 않고 설계되었기 때문에 지금까지 수많은 멀웨어가 발생하고 공격 범위가 끈임없이 변화했습니다. ZTE는 안전한 연결을 시도하기 위해 수십 년 동안 적용된 보안 패치 및 미봉책을 무시하는 접근 방식을 취합니다. 그리고 최악의 경우를 가정해서 엔드포인트의 유일한 인터넷 연결을 통해 다른 엔드프인트로 터널링하는 경우에도 ZTE로 모든 연결을 인증하여 퍼블릭 인터넷의 ‘나쁜 지역’으로부터 사용자를 보호합니다.