미래 네트워크 보안 시스템의 '골격', 제로 트러스트
기업이 제로 트러스트 네트워크를 구현하면 어떤 효과를 얻을 수 있나요? 제로 트러스트 네트워크의 구현은 기업 네트워크 보안 수준, 규정 준수 감사 기능 및 생산 효율성을 향상시킬 수 있으며, 다른 보안 기술을 연결하는 네트워크 보안 시스템의 "골격"으로 사용될 수 있다고 저자는 믿습니다. 개발 동향에 더욱 부합하는 IT 시설 구축입니다.
제로 트러스트 네트워크는 ID, 장치 및 애플리케이션에 대한 동적 신뢰 평가 시스템을 구현하고 신뢰 평가를 사용하여 리소스 액세스 경로에 대한 지속적인 액세스 제어를 수행합니다. 제로 트러스트 기술을 사용하면 네트워크 플랫폼이 계층적이고 일관되며 지속적인 액세스 제어 기능을 가질 수 있습니다.
국경 보호 시스템에서는 네트워크 공격을 차단하기 위한 방어선을 구축하기 위해 네트워크 경계에 보안 제품을 쌓습니다. 인트라넷은 신뢰 영역이 되고, 인트라넷에서는 동서 트래픽이 발생합니다. 가장 기본적인 액세스 제어 기능이 부족합니다. 이 시스템에서 내부 네트워크 컴퓨터가 손상된 후 공격자는 장치의 고유한 신뢰와 사용자에게 부여된 신뢰를 사용하여 추가로 측면 이동하고 리소스에 액세스할 수 있습니다.
제로 트러스트 네트워크는 모든 리소스 액세스 경로에 액세스 제어 지점을 설정하여 리소스 보호를 핵심 요구 사항으로 하는 보호 시스템을 계획합니다. 시간을 포함한 모든 네트워크 공간 요소는 접속 행위의 신뢰성을 판단하는 데 사용되며, 이를 기반으로 네트워크 가시성, 리소스 가시성, 리소스 액세스 권한의 세 가지 수준에서 액세스 제어가 수행됩니다.
일반적인 기업 IT 시스템 구축은 각 시스템이 서로 독립적이기 때문에 기업 구성원은 취약한 비밀번호, 각 시스템의 동일한 비밀번호 등의 문제가 있습니다. 오랫동안 변경되지 않는 비밀번호는 근절할 수 없습니다. 인원이 이동하고 인사 책임이 변경되면 계정 ID 관리의 누락으로 인해 인력 권한이 확대되고 좀비 계정이 많이 발생하는 등의 문제가 발생하는 것은 불가피합니다. 네트워크 공격이 발생하면 이러한 통제 불가능한 ID는 공격자가 기업에 침투하여 리소스를 확보하는 진입점이 됩니다. 기업은 IAM 시스템을 구축하여 통합된 방식으로 ID를 관리하고, 다단계 및 SSO 인증을 설정하고, ID 손실 위험을 완화하고, 인증 강도와 신뢰성을 강화할 수 있습니다. 그러나 IAM 시스템은 애플리케이션 계층을 기반으로 접근 제어를 수행하므로 운영체제, 미들웨어 등에 대한 공격을 방어할 수 없습니다.
제로 트러스트 네트워크는 리소스 주변에 액세스 제어 지점을 설정한 후 신원 중심 액세스 제어 전략을 추가로 구현합니다. 엔지니어링 실무에서 제로 트러스트 아키텍처는 IAM 시스템과 인터페이스하고 기존 ID 및 액세스 관리 기능을 통합하여 본질적으로 IMA의 범위를 확장하고 보호를 애플리케이션 계층에서 네트워크 액세스 계층으로 확장할 수 있습니다.
기업의 사무실 환경은 점점 더 복잡해지고 있습니다. 직원은 회사 지급 자산, 개인 장치 또는 모바일 장치를 사용하여 기업 자산에 액세스할 수 있어야 하며 이는 기업 네트워크 보안에 큰 과제를 안겨줍니다. . 기업 IT 및 보안 담당자는 자신의 사무실 장비를 가져오는 직원 수, 현재 어떤 장비를 사용하고 있는지, 특정 IP를 소유한 사람은 누구인지, 비상 대응 이벤트 발생 시 누구 장비가 나타나는지 빠르게 찾는 방법 등 장비 블랙홀에 직면해야 합니다. 이상. EPP, EDR, CWPP와 같은 호스트 보호 보안 제품은 장치 자산을 관리할 수 있지만 장치 자산을 기업 디지털 ID와 연결하는 기능은 부족합니다.
제로 트러스트 네트워크는 모든 장치에 대한 ID를 설정하고 장치를 사용자 ID와 연결하며 장치 상태를 액세스 제어 정책의 핵심 요소로 사용하고 이를 다양한 장치 유형 및 다양한 신뢰 평가 시스템에 통합합니다. 장치 상태는 다양한 신뢰 수준을 계산하고, 다양한 신뢰 수준은 합리적인 리소스 액세스 권한을 설정합니다. 실제로는 회사 장치 자산에 전용 디지털 인증서를 발급하여 고유한 ID 인증을 부여하고 직원 자신의 장치에 기준 테스트를 위한 클라이언트 소프트웨어를 설치하는 등 장치 관리를 위해 유연한 솔루션을 채택할 수 있습니다.
제로 트러스트 시스템은 기존 보안 제품과 통합되거나 기존 보안 제품을 사용하여 직접 구현할 수 있습니다. NIST의 추상적인 제로 트러스트 아키텍처를 예로 들어 보겠습니다. 정책 결정 지점을 IAM 시스템과 연결하여 신원 정보 획득, 인증 및 승인을 달성할 수 있으며 UEBA, SOC, SIEM 및 기타 장비 자산과 결합하여 지속적인 평가를 구현할 수 있습니다. EDR 클래스를 사용하여 식별하고 보호할 수 있습니다. 제품 및 장비 자산은 DLP 제품과 함께 설치되어 엔드투엔드 리소스 보호를 달성할 수 있습니다.
Class Protection 2.0의 요구 사항을 충족하는 솔루션
Class Protection 2.0은 우리나라의 네트워크 보안 구축 표준을 향상시켰으며, 그것이 제안하는 중앙 삼중 보호 아이디어는 제로 트러스트와 매우 일치합니다. 아이디어. CSA가 발표한 "클래스 보호 2.0 준수를 구현하기 위한 SDP의 기술 지침에 관한 백서"에서 CSA 중국 전문가는 SDP의 적용과 클래스 보호 기술 요구 사항을 정리하여 클래스의 네트워크 아키텍처 및 통신 전송에 사용합니다. Protection 2.0 기술 요구 사항, 경계 보안, 액세스 제어, 보안 감사, 신원 인증 및 기타 요구 사항은 적용 가능성이 높습니다.
기업은 사설 또는 클라우드 데이터센터에 정보시스템과 자원을 배치하고, 직원들은 사무실 내 유선 고정망, 기업 전용 WIFI 등을 통해 네트워크에 접속해 업무에 필요한 자원을 확보한다. 외부 직원, 회사 지점 및 파트너는 일상적인 사무 및 정보 교환을 위해 VPN을 통해 데이터 센터와 연결합니다. 사용자는 다양한 도구를 사용하여 리소스에 액세스합니다.
제로 트러스트 네트워크에서는 직원이 사무실, 공항, 고속열차에 있든, 리소스가 프라이빗 데이터센터나 퍼블릭 클라우드에 있든 상관없이 '신원, 기기, 애플리케이션"은 제로 트러스트 네트워크에서 제공됩니다. 신뢰 체인은 귀하가 액세스할 수 있는 리소스에 액세스합니다.
기업 데이터센터와 지점이 늘어나고, 원격 데이터센터가 많아지고, 핵심 애플리케이션이 클라우드로 이동하고, 타사 SaaS가 많이 사용되면서 사무실 환경은 점점 더 복잡해지고, 직원들은 하나의 작업에 여러 리소스가 필요하므로 리소스를 다양한 물리적 시설에 배포해야 합니다. 작업 중에는 여러 시스템에 로그인하고 서로 다른 VPN 간에 전환해야 하는 경우가 많습니다.
통합 인증 관리를 통해 제로 트러스트 네트워크를 통해 직원은 한 번의 로그인으로 적절한 애플리케이션 액세스 권한을 얻고 동시에 여러 위치에 배포된 애플리케이션을 사용할 수 있어 업무 효율성과 업무 경험이 크게 향상됩니다.