제로 트러스트 보안은 암묵적인 신뢰는 항상 취약점이라는 믿음에서 탄생한 개념입니다. 따라서 보안은 "절대 신뢰하지 말고 항상 확인"하는 전략으로 설계되어야 합니다. 가장 단순한 형태의 제로 트러스트는 엄격하게 시행되는 ID 및 기기 검증 프로세스를 사용하여 IT 리소스에 대한 액세스를 제한합니다.

제로 트러스트 ID(ZTI) 및 제로 트러스트 액세스(ZTA)는 위치와 유형와 관계없이 기본적으로 어떤 기기나 사용자도 신뢰하지 않도록 보장하며, 제로 트러스트 네트워크 액세스(ZTNA)는 검증된 사용자와 기기에 네트워크 전체에 대한 액세스 권한을 부여하는 대신 특정 네트워크 세그먼트에 대한 액세스 권한만 부여합니다.

제로 트러스트는 보호되는 리소스에 대한 액세스를 사용자와 기기에 제공하기 전에 엄격한 보안 제어를 적용합니다. 제로 트러스트 ID 인증 및 권한 부여는 단일 패킷이 전송되기 전에 특정 기능에 필요한 최소한의 권한을 부여하는 최소 권한 원칙(PoLP)을 사용합니다.

이러한 원칙은 네트워크 리소스에 액세스하는 방식의 변화로 인해 필요하게 되었습니다. 네트워크 경계 또는 VPN 전용 액세스의 시대는 지났습니다. 오늘날 모바일 인력과 재택 근무가 점점 증가함에 따라 사용자를 위한 새로운 보안 방법이 필요합니다. 한편 컨테이너 및 마이크로 서비스를 사용하는 컴퓨팅의 분산된 특성으로 인해 기기 간 연결도 증가하고 있습니다.

따라서 제로 트러스트에서는 기기 ID, 기기 상태 및 사용자 인증의 결합된 신뢰도를 기반으로 액세스 권한을 부여하기 위해 위치와 관계없이 기기의 ID 및 무결성을 확인하기 위한 상호 인증이 필요합니다.

제로 트러스트 네트워크 아키텍처는 네트워크 토폴로지 및 사용량의 변화에 따라 발전되어 온 두 가지 취약점을 해결합니다. 기존에 네트워크 보안은 기업 네트워크 '내부'와 '외부' 사이에 명확한 구분 지점이 있는 경계로 정의되었습니다. 이 접근 방식은 주로 네트워크 경계 '내부'에 있는 사용자와 기기에 광범위한 액세스 권한을 부여하여 하나의 네트워크 세그먼트에 있는 기기가 기업 네트워크 경계 내의 다른 모든 네트워크 세그먼트를 볼 수 있도록 했습니다.

오늘날 컴퓨팅 기기와 액세스는 클라우드, 모바일, 엣지, IoT 등에 광범위하게 분산되어 있으며, 이러한 구성 요소로 인해 구분 지점이 흐려져 경계를 방어하기가 점점 더 어려워지고 있습니다. ZTNA는 네트워크 경계 내부 또는 외부에 있는 모든 것을 신뢰할 수 없다고 가정하므로 모든 거래와 연결에서 모든 액세스를 인증합니다. 인증이 완료되면 ZTNA는 액세스가 매우 제한된 마이크로 세분화 네트워크를 생성합니다. 제로 트러스트 ID는 IP 주소가 아니라 가상 머신 이름과 같은 논리적 특성을 기반으로 합니다.

제로 트러스트에는 벤더 및 협력업체와 같은 외부에 있는 제3자의 액세스 제한, IoT 기기 격리, 증가하는 모바일 인력을 위한 원격 보안 연결 제공 등 다양한 사용 사례가 있습니다.

벤더와 협력업체를 위한 제로 트러스트.

악명 높은 Target의 보안 침해 사례와 같이 '신뢰할 수 있는' 제3자에 의한 보안 침해가 많이 발생했습니다. 외부 조직에 광범위한 액세스를 제공하면 큰 문제가 발생할 수 있습니다. 제로 트러스트는 두 가지 방식으로 이 문제를 해결합니다. 첫 번째는 다단계 인증 또는 기타 ID 및 액세스 관리(IAM) 플랫폼을 사용하는 엄격한 인증을 통해 각 외부 당사자에게 네트워크 내 액세스를 정의하는 권한 카테고리를 할당하는 것입니다. 또한 세분화로 작업을 수행하거나 제3자와의 거래를 수행하는 데 필요한 네트워크 부분으로만 액세스를 제한할 수 있습니다.

제로 트러스트 및 IoT.

IoT 기기는 2023년까지 계속해서 약 150억 대로 증가할 전망입니다. 네트워크 리소스에 대한 IoT 액세스를 고려할 때 IoT 기기의 보편성과 종종 제한된 보안 기능으로 인해 제로 트러스트 접근 방식이 필요합니다. 예를 들어 IoT 기기를 이러한 목적을 위해서만 설계된 단일 네트워크 세그먼트로 격리하여 손상된 IoT 기기의 액세스 및 더욱 민감한 다른 네트워크 자산으로의 수평적 확산을 제한할 수 있습니다.

원격 작업자를 위한 제로 트러스트.

회사 정책 또는 팬데믹으로 인해 기존 네트워크 경계 외부에서 근무하는 직원이 증가함에 따라 ZTNA는 VPN 또는 스타벅스의 공공 Wi-Fi를 통해 작업하는 모든 직원이 업무를 수행하는 데 필요한 기업 데이터, 서비스 및 리소스에 안전하게 연결하도록 보장함으로써 보안 직원 액세스를 제공하고 공격 표면을 제한합니다.

제로 트러스트의 기본 원칙은 "절대 신뢰하지 말고 항상 확인"하는 것입니다. 위치, IP 주소 또는 네트워크 액세스 방법과 관계없이 어떤 기기 또는 사용자도 신뢰해서는 안 됩니다. 네트워크의 모든 상호 작용은 소스의 위치와 관계없이 항상 확인이 필요합니다. 또한 원하는 목표를 달성하려면 네트워크 액세스를 가능한 가장 작은 세그먼트로 제한해야 합니다. 대부분의 네트워크는 온프레미스 인프라, 클라우드, 원격 및 모바일 사용자를 포함하여 상호 연결된 영역으로 구성되어 있기 때문입니다.

VMware에 있어 제로 트러스트 보안이란 훨씬 더 강력하고 동적으로 설계된 최신 보안 아키텍처를 구축하여 더욱 심층적이고 포괄적인 기반으로 신뢰를 구축하는 것을 의미합니다.

이렇게 광범위한 제로 트러스트 접근 방식을 구현하기 위해 VMware는 제로 트러스트 아키텍처의 5가지 핵심 요소를 제공합니다.

제로 트러스트의 기본 원칙은 "절대 신뢰하지 말고 항상 확인"하는 것입니다. 위치, IP 주소 또는 네트워크 액세스 방법과 관계없이 어떤 기기 또는 사용자도 신뢰해서는 안 됩니다. 네트워크의 모든 상호 작용은 소스의 위치와 관계없이 항상 확인이 필요합니다. 또한 원하는 목표를 달성하려면 네트워크 액세스를 가능한 가장 작은 세그먼트로 제한해야 합니다. 대부분의 네트워크는 온프레미스 인프라, 클라우드, 원격 및 모바일 사용자를 포함하여 상호 연결된 영역으로 구성되어 있기 때문입니다.

VMware에 있어 제로 트러스트 보안이란 훨씬 더 강력하고 동적으로 설계된 최신 보안 아키텍처를 구축하여 더욱 심층적이고 포괄적인 기반으로 신뢰를 구축하는 것을 의미합니다.
이렇게 광범위한 제로 트러스트 접근 방식을 구현하기 위해 VMware는 제로 트러스트 아키텍처의 5가지 핵심 요소를 제공합니다.

1. 기기 신뢰

조직은 기기 관리, 기기 인벤토리, 기기 규정 준수, 기기 인증과 같은 솔루션을 구현하여 승인되지 않은 사용자가 기기에 대한 액세스 권한을 얻어 악의적인 목적으로 액세스를 활용할 리스크를 크게 제한할 수 있습니다.

2. 사용자 신뢰

사용자 신뢰는 이 사용자가 실제로 승인되고 검증된 사용자인지 여부를 "입증"하기 위한 암호 인증, 다단계 인증, 조건부 액세스, 동적 점수로 구성됩니다.

3. 전송/세션 신뢰

전송/세션 매개 변수는 사용자에 대한 액세스 권한을 제한하고 주어진 작업을 수행하는 데 필요한 최소 권한만 적용함으로써 리소스에 대한 최소 권한 액세스 원칙을 기반으로 구축됩니다.

4. 애플리케이션 신뢰

싱글 사인온(SSO), 격리 및 모든 기기 액세스와 같은 툴을 사용하여 애플리케이션 신뢰 매개 변수를 향상할 수 있습니다.

5. 데이터 신뢰

데이터 신뢰는 VMware 제로 트러스트 모델의 마지막 요소입니다. 데이터 신뢰 전략에는 암호화 또는 불변성, 데이터 무결성(자주 데이터 무결성 확인), DLP(데이터 손실 방지) 및 데이터 분류를 통한 미사용 데이터 보호가 포함됩니다.

이러한 제로 트러스트의 5가지 핵심 요소 각각은 가시성 및 분석과 더불어 자동화 및 조정으로 이루어진 아키텍처 계층을 통해 지원됩니다.

• 분석 및 자동화
  
  제로 트러스트의 5가지 핵심 요소는 함께 분석 및 자동화에 적합한 포괄적인 보안 접근 방식을 제공합니다. 조직은 이 5가지 핵심 접근 방식을 기반으로 분석 및 자동화 솔루션을 계층화하여 조직의 보안 태세와 관련한 통찰력 있는 데이터를 확보할 수 있습니다.
  
  로그 위치, 모든 로그에 대한 중앙 저장소 유지 관리, 모니터링을 위한 대시보드, 문제 해결을 위한 중앙 집중식 콘솔은 모두 제로 트러스트의 5가지 핵심 요소를 준수하는 솔루션에서 가져온 진정한 분석 및 자동화를 지원합니다.
• 자동화 및 조정
  
  보다 안전한 환경을 구현하기 위해 강력한 제로 트러스트 정책의 적용에는 더 많은 프로세스와 정책이 필요합니다. 자동화 및 오케스트레이션을 통해 수동 중복 프로세스를 자동화 및 조정된 접근 방식으로 전환하여 이 프로세스를 더 쉽게 실현할 수 있습니다.
  
  기기의 규정 준수 엔진 유지 관리, 외부 프로그램과의 통합을 위한 API, 자동 치료를 위한 상황별 워크플로우와 같은 전략을 통해 제로 트러스트에 대한 보다 자동화되고 안전한 접근 방식을 구현할 수 있습니다.
  

제로 트러스트의 모범 사례에는 여러 툴과 기술이 수반됩니다. 성공에 가장 중요한 핵심 요소는 다음과 같습니다.

• 아무것도 신뢰하지 않고 모든 것을 인증
  
  모든 기기가 손상되었다고 가정하고 검증되지 않은 기기는 신뢰하지 않습니다. ZTI 툴은 ID 제어를 엔드포인트로 푸시하여 기업 리소스에 대한 액세스 권한을 부여하기 전에 기기를 먼저 등록하도록 합니다. 기기를 등록하면 액세스 권한이 부여된 모든 기기를 간편하게 식별하고 검증할 수 있으며 기기가 ZTNA 보안 요구 사항을 충족하도록 보장할 수 있습니다.


• 네트워크 마이크로 세분화 도입
  
  제로 트러스트 네트워크 아키텍처는 한 번에 네트워크의 작은 세그먼트에만, 또한 각 네트워크 세그먼트에 액세스할 수 있는 권한이 있는 사용자에게만 액세스 권한을 부여합니다. 사용자 및 기기 인증은 마이크로 세그먼트 수준에서 수행됩니다. 각 마이크로 세그먼트에 대한 연결은 필요한 경우에만 알려주는 방식을 따릅니다. DNS 정보, 내부 IP 주소 또는 내부 네트워크 인프라의 가시적인 포트도 전송되지 않습니다.

개별 세그먼트에 액세스하려면 사용자는 엄격한 ID 및 기기 확인 절차를 통과해야 합니다. 모든 세션이 인증, 권한 부여, 설명(AAA) 단계를 거쳐야만 통신 세션을 구축할 수 있습니다.

제로 트러스트 ID를 달성하려면 네트워크 ID가 다단계 인증(MFA), 전송 계층 보안(TLS) 인증서, 애플리케이션 서비스 또는 논리적 레이블/태그 사용과 같은 논리적 특성을 기반으로 해야 합니다.

• 최소 권한 원칙(PoLP)에 따라 액세스 제한
  
  PoLP는 특정 작업을 수행하는 데 필요한 권한 및 액세스를 최소한으로 제한합니다. 사용자에게 읽기 액세스 권한만 필요한 경우 읽기 또는 실행 액세스 권한을 부여하지 마십시오.
  
  PoLP는 사용자와 기기에 동일하게 적용되므로 IoT 기기, 연결된 애플리케이션 및 마이크로 서비스에는 거래를 완료하는 데 필요한 최소한의 권한 수준만 부여해야 합니다.
  
  
• 다단계 인증(MFA) 배포
  
  MFA은 소비자 뱅킹 및 금융 웹사이트에서 인기를 끌게 되었으며 MFA는 제로 트러스트 환경의 일부가 되기에 적합합니다. 일반적으로 MFA는 사용자에게 다음과 같은 두 가지 사항을 제시해야 합니다.


• 알려진 것. 암호, PIN 또는 사용자가 기억하는 문구와 같은 비밀입니다.
• 소유한 것. 스마트폰이나 스마트 카드와 같이 사용자가 소유한 물건 또는 토큰은 알려진 것과 함께 제공될 일회성 사용 코드를 생성하거나 표시할 수 있습니다.
• 인간적인 것. 생체 인식 정보에는 지문, 얼굴 스캔 또는 망막 스캔이 포함될 수 있습니다.

인증은 2가지 이상의 요소가 사용자를 합법적인 것으로 확인한 후에만 수행됩니다.

제로 트러스트 네트워크를 유지 관리하기 위해 IT는 다음을 수행해야 합니다.

• 네트워크에 액세스할 수 있는 모든 사용자 및 기기와 업무 수행에 필요한 액세스 권한을 명확하게 파악합니다.
• 네트워크 보안 정책을 최신 상태로 유지하고 정책 효과를 정기적으로 테스트하여 고지 사항을 벗어난 취약점이 없는지 확인합니다.
• 비정상적이거나 의심스러운 동작에 대한 지속적인 네트워크 트래픽 모니터링을 포함하여 규정 준수 모니터링을 계속합니다.
• 트래픽 흐름 수준과 프로세스 및 데이터 컨텍스트 수준에서 가시성을 확보하여 더 효과적으로 정상적인 트래픽 흐름을 확보하고 불규칙한 통신 패턴에 매핑할 수 있습니다.

VMware 서비스 정의 방화벽을 통해 기업은 단일 창 방식으로 심층적인 가시성과 포괄적인 정책 제어를 확보할 수 있습니다.

제로 트러스트 네트워크 아키텍처의 포괄적인 구현을 위해 VMware는 VMware NSX에 구축된 분산형 수평 확장 내부 방화벽인 VMware 서비스 정의 방화벽을 제공하여 멀티 클라우드 환경 전반에서 횡방향 트래픽을 보호합니다.