ZTNA란?
제로 트러스트 네트워크 액세스(ZTNA)는 명확하게 정의된 액세스 제어 정책을 기반으로 조직의 애플리케이션, 데이터 및 서비스에 대한 보안 원격 액세스를 제공하는 IT 보안 솔루션입니다. ZTNA는 VPN이 전체 네트워크에 대한 액세스 권한을 부여하는 특정 서비스 또는 애플리케이션에만 액세스 권한을 부여한다는 점에서 가상 프라이빗 네트워크(VPN)와 다릅니다. 자택 등에서 리소스에 액세스하는 사용자가 증가함에 따라 ZTNA 솔루션은 다른 보안 원격 액세스 기술 및 방법의 격차를 제거하는 데 도움이 될 수 있습니다.
현재 상황에서 제로 트러스트로 나아가는 방법
제로 트러스트 여정 간소화
ZTNA는 어떻게 작동합니까?
ZTNA가 사용 중일 때는 사용자가 ZTNA 서비스에 대해 인증된 후에만 특정 응용 프로그램이나 리소스에 대한 액세스 권한이 부여됩니다. 인증이 완료되면 ZTNA는 안전하고 암호화된 터널을 사용하여 사용자에게 특정 애플리케이션에 대한 액세스 권한을 부여합니다. 이 터널은 다른 방법으로 볼 수 있는 IP 주소로부터 애플리케이션과 서비스를 보호하여 추가 보안 보호 계층을 제공합니다.
이러한 방식으로 ZTNA는 소프트웨어 정의 경계(SDP)와 매우 유사하게 작동하며 동일한 ‘다크 클라우드’ 개념에 의존하여 사용자가 액세스 권한이 없는 다른 애플리케이션 및 서비스에 대한 가시성을 확보하지 못하도록 합니다. 또한 공격자가 액세스 권한을 얻더라도 다른 서비스를 찾기 위해 검사할 수 없기 때문에 측면 공격에 대한 보호를 제공합니다.
ZTNA의 사용 사례에는 어떤 것이 있습니까?
인증 및 액세스 – ZTNA의 일차적인 용도는 사용자의 ID를 기반으로 매우 세분화된 액세스 메커니즘을 제공하는 것입니다. IP 기반 VPN 액세스는 권한 부여 후에 네트워크에 대한 광범위한 액세스를 제공하는 반면, ZTNA는 특정 애플리케이션 및 리소스에 대한 제한적이고 세분화된 액세스를 제공합니다. ZTNA는 위치 또는 장치별 액세스 제어 정책을 통해 더 높은 수준의 보안을 제공할 수 있으며, 이를 통해 원치 않거나 손상된 기기가 조직의 리소스에 액세스하지 못하도록 할 수 있습니다. 이 액세스는 직원 소유 기기에 온프레미스 관리자에게 부여된 것과 동일한 액세스 권한을 제공하는 일부 VPN과 대조될 수 있습니다.
전체적인 제어 및 가시성 – ZTNA는 인증 후 사용자 트래픽을 검사하지 않기 때문에 악의적인 직원이 악의적인 의도로 액세스를 사용하거나 사용자의 자격 증명을 분실하거나 도난당하는 경우 문제가 발생할 수 있습니다. ZTNA를 Secure Access Service Edge(SASE) 솔루션에 통합함으로써 조직은 보안 원격 액세스에 필요한 보안, 확장성 및 네트워크 기능뿐만 아니라 연결 후 모니터링을 통해 데이터 손실, 악의적인 작업 또는 사용자 자격 증명의 손상을 방지할 수 있습니다.
ZTNA의 이점
ZTNA는 조직의 네트워크에 상주하지 않는 사용자, 애플리케이션 및 데이터에 연결하는 방법을 제공합니다. 이 시나리오는 마이크로 서비스 기반 애플리케이션이 여러 클라우드나 온프레미스에 상주할 수 있는 오늘날의 멀티 클라우드 환경에서 점점 일반화되고 있습니다. 오늘날의 조직은 분산된 사용자 기반에 의해 언제 어디서나 모든 기기에서 디지털 자산을 사용할 수 있어야 합니다.
ZTNA는 가능한 공격자에게 다른 서비스를 노출할 필요 없이 비즈니스 크리티컬 애플리케이션에 대한 세부적이고 상황 인식적인 액세스를 제공함으로써 이러한 요구를 충족합니다.
ZTNA 모델은 매우 제한된 액세스만 필요한 고용주, 협력업체 및 기타 사용자에게 과도한 신뢰를 부여하는 것을 방지하기 위해 Gartner에서 개발했습니다. 이 모델은 어떠한 것도 신뢰가 입증될 때까지는 신뢰할 수 없다는 개념을 표현하고, 더 중요하게는 무엇이든 연결 관련 사항(위치, 컨텍스트, IP 주소 등)이 변경될 때마다 신뢰를 다시 인증해야 한다는 개념을표현합니다.
VPN과 ZTNA는 어떤 차이가 있습니까?
VPN과 ZTNA에는 몇 가지 차이점이 있습니다. 주로 VPN은 네트워크 전반에 걸친 액세스를 제공하도록 설계된 반면, ZTNA는 특정 리소스에 대한 액세스 권한을 부여하고 자주 재인증을 요구합니다.
ZTNA와 비교할 때 VPN의 몇 가지 단점은 다음과 같습니다.
리소스 활용도 – 원격 사용자 수가 증가함에 따라 VPN의 부하로 인해 예상치 않게 긴 지연 시간이 발생할 수 있으며 증가하는 수요 또는 최대 사용 시간을 충족하기 위해 VPN에 새로운 리소스를 추가해야 할 수 있습니다. 이는 또한 IT 조직의 인력에 부담이 될 수 있습니다.
유연성 및 대응력 – VPN은 ZTNA의 세분화를 제공하지 않습니다. 또한 엔터프라이즈 리소스에 연결해야 하는 모든 최종 사용자 기기에 VPN 소프트웨어를 설치하고 구성하는 것이 어려울 수 있는 반면, 즉각적인 비즈니스 요구에 따라 보안 정책 및 사용자 권한을 추가하거나 제거하는 것은 훨씬 간단합니다. ZTNA의 ABAC(속성 기반 액세스 제어)와 RBAC(역할 기반 액세스 제어)로 이 작업을 간소화할 수 있습니다.
세분화 – VPN 경계 내에 있는 사용자는 전체 시스템에 액세스할 수 있게 됩니다. ZTNA는 정반대의 접근 방식을 취하여 애플리케이션, 데이터 또는 서비스와 같은 자산이 해당 사용자에게 특별히 승인되지 않는 한 전혀 액세스 권한을 부여하지 않습니다. VPN과 달리 ZTNA는 ID 인증을 기반으로 지속적인 ID 검증을 제공합니다. 각 사용자와 각 장치는 특정 애플리케이션, 시스템 또는 기타 자산에 대한 액세스 권한이 부여되기 전에 확인 및 인증을 거칩니다. VPN과 ZTNA를 서로 결합하여 사용할 수 있습니다. 예를 들어 VPN이 손상될 경우 추가 보안 계층을 제공하여 특히 중요한 네트워크 세그먼트의 보안을 강화해야 할 때 그렇게 결합하여 사용할 수 있습니다.
ZTNA를 어떻게 구현합니까?
ZTNA 구현에는 엔드포인트 시작 및 서비스 시작의 두 가지 접근 방식이 있습니다. 명칭에서 알 수 있듯이, 엔드포인트 시작 제로 트러스트 네트워크 아키텍처에서는 사용자가 SDP와 유사하게, 엔드포인트에 연결된 장치에서 애플리케이션에 대한 액세스를 시작합니다. 기기에 설치된 에이전트는 인증을 제공하고 원하는 서비스에 연결하는 ZTNA 컨트롤러와 통신합니다.
반면, 서비스 시작 ZTNA에서는 애플리케이션과 사용자 간의 브로커에 의해 연결이 시작됩니다. 이를 위해서는 클라우드 공급업체의 온프레미스에 위치한 비즈니스용 애플리케이션 앞에 배치할 경량 ZTNA 커넥터가 필요합니다. 요청된 애플리케이션의 아웃바운드 연결이 사용자나 다른 애플리케이션을 인증한 후에는 트래픽이 ZTNA Service Provider를 통해 흐름으로써 프록시를 통한 직접 액세스로부터 애플리케이션을 격리합니다. 이때의 장점은 최종 사용자 기기에 에이전트가 필요하지 않으므로 컨설턴트 또는 파트너 액세스를 위한 비관리형 기기 또는 BYOD 기기에 더 매력적이라는 점입니다.
제로 트러스트 네트워크 액세스를 위한 두 가지 제공 모델로서 독립 실행형 ZTNA와 ZTNA as a service도 있습니다. 주요 차이점은 다음과 같습니다.
독립 실행형 ZTNA를 사용하려면 보안 연결을 브로커링하는 환경(클라우드 또는 데이터 센터)의 엣지에 있는 ZTNA의 모든 요소를 조직에서 배포하고 관리해야 합니다. 이는 클라우드를 꺼리는 조직에 적합하지만 배포, 관리 및 유지 보수 등 추가 부담이 있습니다.
클라우드 호스팅 서비스인 ZTNA를 통해 조직은 배포에서 정책 시행을 아우르는 모든 작업에서 클라우드 공급업체의 인프라를 활용할 수 있습니다. 이 경우 조직은 단순히 사용자 라이센스를 획득하고 안전한 애플리케이션 앞에 커넥터를 배포하고 클라우드 공급업체/ZTNA 벤더가 연결, 용량 및 인프라를 제공하도록 합니다. 이를 통해 관리 및 배포가 간소화되고 클라우드 제공 ZTNA는 모든 사용자의 지연 시간을 최소화하기 위해 최적의 트래픽 경로를 선택할 수 있습니다.
Gartner는 조직의 90% 이상이 ZTNA as a service를 구현하고 있는 것으로 추정합니다.
