차례:
비디오: ë¤ê°íëë ìì¦ ë¬´ì íê²½ì '3ë í¸ë ë' (십월 2024)
"신뢰하지 말고 항상 확인하십시오." 상식처럼 들리 시죠? 그것은 사이버 보안의 세계에서 인기를 얻고있는 Zero Trust라는 전략의 모토입니다. 액세스 권한을 부여하기 전에 IT 부서에서 모든 사용자를 확인해야합니다. 2018 Verizon Data Breach Investigation Report에 따르면 2017 년 중소 기업 (SMB)의 58 %가 데이터 유출을보고하면서 계정 액세스를 효과적으로 관리하는 것이 그 어느 때보 다 중요합니다.
Zero Trust 개념은 Forrester Research의 전 분석가이자 현재 Palo Alto Networks의 필드 CTO 인 John Kindervag가 설립했습니다. Kindervag는 10 월 30 일 뉴욕시의 SecurIT Zero Trust Summit에서 청중들에게 "실제 전략을 시작해야하는데 이것이 바로 Zero Trust가 가능하게하는 것"이라고 말했다. 그는 제로 트러스트 (Zero Trust)라는 아이디어는 그가 자리에 앉았을 때 시작되었고 실제로 트러스트의 개념을 고려했을 때, 그리고 악의적 인 행위자들이 일반적으로 회사를 신뢰해서는 안되는 당사자들로부터 이익을 얻는 악의적 인 행위자들이 어떻게하는지에 대해 덧붙였다.
체이스 커닝햄 박사는 제로 트러스트 액세스 (Zero Trust Access) 접근 방식을 옹호하며 Forrester의 수석 분석가로서 Kindervag의 후임이되었습니다. 커닝햄은 제로 트러스트는 제로 트러스트 (Zero Trust)에서 PCMag와의 인터뷰에서 "제로 트러스트는 아무 것도 믿지 않고, 비밀번호 관리를 믿지 않으며, 자격 증명을 믿지 않으며, 사용자를 믿지 않으며, 네트워크를 믿지 않는다"는 의미로이 두 단어를 수반한다 정상 회담.
Kindervag는 US Secret Service의 예를 사용하여 조직이 어떻게 보호해야하고 누가 액세스해야 하는지를 추적해야 하는지를 설명했습니다. Kindervag는“그들은 지속적으로 이러한 컨트롤을 모니터링하고 업데이트하여 주어진 시간에 마이크로 주변을 통과하는 것을 제어 할 수있다”고 말했다. "이것은 경영진 보호를위한 제로 트러스트 방법입니다. 우리가 제로 트러스트에서하려는 최선의 시각적 예입니다."
OPM에서 배운 제로 트러스트 레슨
제로 트러스트가 조직에 혜택을주기 위해 어떻게 일할 수 있는지에 대한 완벽한 예는 미국 연방 정부의 전 CIO에서 나왔습니다. 2015 년부터 2017 년까지 미국 CIO 사무실을 역임 한 토니 스캇 박사는 제로 트러스트 서밋 (Zero Trust Summit)에서 2014 년 미국 OPM (Office of Personnel Management)에서 발생한 중대한 데이터 유출에 대해 설명했습니다.이 유출은 해외 스파이 활동으로 인해 발생했습니다. 개인 정보 및 보안 통관 배경 정보가 2, 210 만 명이 도난 당 560 만 명이 지문 데이터를 훔쳤습니다. Scott은 이러한 위반을 막기 위해 디지털 보안과 물리적 보안의 조합뿐만 아니라 Zero Trust 정책을 효과적으로 적용하는 방법을 설명했습니다.
사람들은 OPM에서 일자리를 신청할 때 철저한 표준 양식 (SF) 86 설문지를 작성했으며, 데이터는 무장 경비원과 탱크에 의해 동굴에서 보호 될 것이라고 그는 말했다. "외국인으로서 정보를 훔치려면 펜실베이니아에서이 동굴을 뚫고 무장 경비원을지나 쳐야합니다. 그런 다음 트럭에 종이를 싣거나 Xerox 기계 나 매우 빠른 장비를 가져야합니다. 스캇이 말했다.
그는 "2, 100 만 건의 기록으로 탈출하려고 시도하는 것은 기념비적 일 것"이라고 말했다. "하지만 자동화가 OPM 프로세스에 들어감에 따라 서서히이 파일을 자기 미디어 등의 컴퓨터 파일에 저장하기 시작했습니다. 이로 인해 훔치기가 훨씬 쉬워졌습니다." Scott은 기관이 디지털로 이동할 때 OPM이 무장 경비원과 동등한 유형의 효과적인 보안을 찾지 못했다고 설명했습니다. 이 공격 이후 의회는 향후 이러한 유형의 보안 침해를 보호하기위한 제로 트러스트 전략을 요구하는 보고서를 발표했습니다.
의회 보고서는“연방 정부 IT 네트워크를 손상 시키거나 악용하려는 첨단의 지속적인 위협에 맞서기 위해서는 정보 보안 및 IT 아키텍처의 '제로 트러스트 (Zero Trust)'모델을 향해 나아가 야한다. 당시 감독위원회 회장 인 전 미국 의원 Jason Chaffetz (R- 유타)는 당시 Federal News Radio에서 처음 출판 한 Zero Trust에 대한 게시물을 썼습니다. Chaffetz는“OMB (Office of Management and Budget)는 모든 부서의 네트워크 트래픽을 시각화하고 기록하는 조치와 함께 Zero Trust를 효과적으로 구현하기 위해 경영진 및 대행사를위한 지침을 개발해야합니다.
현실에 대한 무 신뢰
Zero Trust 구현의 실제 예에서 Google은 BeyondCorp라는 이니셔티브를 내부적으로 배포하여 네트워크 경계에서 개별 장치 및 사용자로 액세스 제어를 이동하려고했습니다. 관리자는 BeyondCorp를 사용하여 IP 주소, 기기 보안 상태 및 사용자 ID를 기반으로 Google Cloud Platform 및 Google G Suite에 대한 세부적인 액세스 제어 정책을 만들 수 있습니다. Luminate라는 회사는 BeyondCorp를 기반으로하는 서비스로서 Zero Trust 보안을 제공합니다. Luminate Secure Access Cloud는 사용자를 인증하고 장치를 검증하며 애플리케이션 액세스를 승인하는 위험 점수를 제공하는 엔진을 제공합니다.
"우리의 목표는 엔드 포인트에 에이전트를 배치하거나 VPN (가상 사설망)과 같은 어플라이언스를 배치하지 않고도 호스팅 된 위치, 클라우드 또는 온 프레미스에 상관없이 모든 디바이스에서 모든 기업 리소스에 대한 액세스를 안전하게 제공하는 것입니다. Luminate의 제품 관리 책임자 인 Michael Dubinsky는 NYC의 HIP (Hybrid Identity Protection) Conference 2018 (HIP2018)에서 PCMag에 말했다.
Zero Trust가 빠른 관심을 끌고있는 주요 IT 분야는 ID 관리입니다. "Forrester Wave: Privileged Identity Management, 2016 년 3 분기"보고서에 따르면 80 %의 보안 침해가 권한있는 자격 증명을 잘못 사용하여 발생했기 때문일 수 있습니다. 보다 세분화 된 수준으로 액세스를 제어하는 시스템은 이러한 사고를 방지하는 데 도움이 될 수 있습니다.
ID 관리 공간은 새로운 것이 아니며, 그러한 솔루션을 제공하는 회사가 많으며, 가장 널리 보급 된 Microsoft 및 Active Directory (AD) 플랫폼은 여전히 인기있는 Windows Server 운영 체제 (OS). 그러나 AD보다 더 많은 기능을 제공 할뿐만 아니라 ID 관리를보다 쉽게 구현하고 유지 관리 할 수있는 새로운 플레이어가 많이 있습니다. 이러한 회사에는 Centrify, Idaptive, Okta 및 SailPoint Technologies와 같은 플레이어가 포함됩니다.
또한 Windows Server에 이미 투자 한 사람들은 이미 투자 한 기술에 대해 더 많은 비용을 지불 할 수도 있지만, 더 깊고 더 나은 ID 관리 아키텍처를 통해 침해 및 규정 준수 감사를 크게 배제 할 수 있습니다. 또한 비용이 크게 들지는 않지만 비용은 엄청 나지 않습니다. 예를 들어, Centrify Infrastructure Services는 시스템 당 월 $ 22에서 시작합니다.
제로 트러스트 작동 방식
"제로 트러스트가하는 일 중 하나는 네트워크 세분화를 정의하는 것"이라고 킨더 바그는 말했다. 세분화는 네트워크 관리와 사이버 보안 모두에서 핵심 개념입니다. 여기에는 성능과 보안을 향상시키기 위해 컴퓨터 네트워크를 논리적 또는 물리적으로 서브 네트워크로 분할하는 작업이 포함됩니다.
Zero Trust 아키텍처는 네트워크의 실제 위치를 포괄하는 경계 모델을 뛰어 넘습니다. 커닝햄은“엔터티로 경계선을 밀어 넣는 것”이라고 말했다.
"엔터티는 서버, 사용자, 장치 또는 액세스 포인트 일 수 있습니다." "실제로 높은 벽을 세웠고 안전하다고 생각하기보다는 컨트롤을 마이크로 레벨로 내립니다." Cunningham은 방화벽을 일반적인 경계의 일부로 설명했습니다. "이것은 접근과 전략과 경계의 문제"라고 그는 지적했다. "높은 벽과 하나의 큰 것: 그들은 작동하지 않습니다."
Centrify에서 시작되는 ID 관리 회사 인 Idaptive의 새로운 CEO 인 Danny Kibel에 따르면 네트워크에 액세스하기 위해 보안의 오래된 측면은 라우터를 사용하는 것이 었습니다. 제로 트러스트 이전에 회사는 검증 한 다음 신뢰했습니다. 그러나 Zero Trust를 사용하면 "항상 확인하고 절대 신뢰하지 않습니다"라고 Kibel은 설명했습니다.
Idaptive는 SSO (Single Sign-On), MFA (Adaptive Multifactor Authentication) 및 MDM (Mobile Device Management)을 포함하는 차세대 액세스 플랫폼을 제공합니다. Idaptive와 같은 서비스는 액세스에 대한 세분화 된 제어를 작성하는 방법을 제공합니다. 다양한 애플리케이션에 액세스해야하는 사용자를 기반으로 프로비저닝 또는 프로비저닝 해제를 수행 할 수 있습니다. Kibel은 "이는 조직이 액세스를 제어 할 수있는 세밀한 기능을 제공한다"고 말했다. "그리고 그것은 우리가보고있는 조직에게 매우 중요합니다. 무단 액세스라는 측면에서 많은 문제가 있기 때문입니다."
Kibel은 제로 트러스트에 대한 Idaptive의 접근 방식을 세 단계로 정의했습니다. 사용자 확인, 장치 확인 및 해당 사용자의 응용 프로그램 및 서비스에 대한 액세스 허용. Kibel은 "우리는 사용자의 행동을 평가할 수있는 위치, 지리적 속도, 시간, 요일, 시간, 사용중인 응용 프로그램의 유형 및 경우에 따라 해당 응용 프로그램을 사용하는 방법 등 여러 가지 벡터가 있습니다"라고 Kibel은 말했습니다.. Idaptive는 성공 및 실패한 로그인 시도를 모니터링하여 인증에 다시 도전하거나 사용자를 모두 차단해야하는시기를 확인합니다.
10 월 30 일, Centrify는 기업이 최소 권한 액세스 권한을 부여하고 누가 액세스 권한을 요청하는지 확인하는 Zero Trust Privilege라는 사이버 보안 방식을 도입했습니다. Zero Trust Privilege 프로세스의 네 단계는 사용자 확인, 요청 컨텍스트 조사, 관리 환경 보안 및 필요한 최소 권한 부여를 포함합니다. Centrify의 Zero Trust Privilege 접근 방식에는 위험을 줄이기위한 단계별 접근 방식이 포함됩니다. 또한 기업이 클라우드 스토리지 플랫폼, 빅 데이터 프로젝트 및 비즈니스 급 웹에서 실행되는 고급 사용자 정의 응용 프로그램 개발 프로젝트와 같은 새로운 유형의 환경에 대한 액세스를 제한 할 수있는 소프트웨어 인 레거시 PAM (Privilege Access Management)에서 전환을 가져옵니다. 호스팅 시설.
Centrify의 Tim Steinkopf 사장은 제로 트러스트 모델은 해커가 이미 네트워크에 액세스하고 있다고 가정했다. Steinkopf에 따르면이 위협에 대처하는 전략은 측면 이동을 제한하고 MFA를 어디에나 적용하는 것입니다. Steinkopf는 "누군가가 권한있는 환경에 액세스하려고 할 때마다 올바른 자격 증명과 올바른 액세스 권한이 있어야합니다"라고 PCMag에 말했습니다. "이를 시행하는 방법은 아이덴티티를 통합하는 것이며, 요청의 맥락이 필요합니다. 즉, 누가, 무엇을, 언제, 왜, 어디서 의미합니다." 그 후 Steinkopf에 따르면 필요한 액세스 권한 만 부여하면됩니다.
Dubinsky는 "사용자의 상황을 고려하고 있는데, 이 경우 의사, 간호사 또는 다른 사람이 데이터에 액세스하려고 시도 할 수있다"고 말했다. "작업중인 장치의 컨텍스트를 확인하고 액세스하려는 파일의 컨텍스트를 확인한 다음이를 기반으로 액세스 결정을 내려야합니다."
MFA, 제로 트러스트 및 모범 사례
제로 트러스트 모델의 핵심 측면은 강력한 인증이며 여러 인증 요소를 허용하는 것이 MFA 솔루션을 제공하는 실버 포트의 CEO 겸 공동 창립자 인 Hed Kovetz의 설명입니다. 클라우드 시대에 경계가 없기 때문에 그 어느 때보 다 인증이 필요합니다. 코벳 츠는 HIP2018에서 PCMag에 "MFA를 수행하는 능력은 거의 제로 트러스트의 기본 요구 사항이며, 제로 트러스트는 더 이상 경계가없는 곳에서 나온 아이디어이기 때문에 불가능하다"고 말했다. "아무것도 무엇이든 연결하고 있으며, 실제로는 제어를 적용 할 수있는 게이트웨이가 없습니다."
Forrester의 Cunningham은 기술 구매 결정을 Zero Trust 전략에 매핑하기위한 XTX (Zero Trust eXtended)라는 전략을 개설했습니다. 커닝햄은“실제로 환경을 안전하게 관리하는 데 필요한 7 가지 제어 방법을 살펴 봤다. 일곱 가지 핵심 요소는 자동화 및 오케스트레이션, 가시성 및 분석, 워크로드, 인력, 데이터, 네트워크 및 장치입니다. ZTX 플랫폼이 되려면 시스템이나 기술에는 API (응용 프로그래밍 인터페이스) 기능과 함께이 세 가지 기둥이 있습니다. 보안 솔루션을 제공하는 여러 공급 업체는 다양한 프레임 워크에 적합합니다. Cunningham은 Centrify는 사람과 장치의 보안을 다루는 제품을 제공하고 Palo Alto Networks와 Cisco는 네트워킹 솔루션을 제공하며 IBM의 Security Guardium 솔루션은 데이터 보호에 중점을두고 있다고 지적했습니다.
Steinkopf는 Zero Trust 모델에는 암호화 된 터널, 트래픽 클라우드 및 인증서 기반 암호화도 포함되어야한다고 말했다. 인터넷을 통해 iPad에서 데이터를 전송하는 경우 수신자에게 액세스 권한이 있는지 확인하고 싶다고 그는 설명했다. Steinkopf에 따르면 컨테이너 및 DevOps와 같은 새로운 기술 트렌드를 구현하면 권한있는 자격 증명 남용에 대처할 수 있습니다. 또한 클라우드 컴퓨팅은 제로 트러스트 전략의 최전선에 있다고 설명했습니다.
Luminate의 Dubinsky는 이에 동의합니다. 중소 기업의 경우 ID 관리 또는 MFA를 서비스로 제공하는 클라우드 회사로 전환하면 해당 영역의 전문 회사에 이러한 보안 책임이 오프로드됩니다. 듀빈 스키는“일과 업무를 담당하는 회사와 사람들에게 가능한 한 많은 비용을 지불하고 싶다”고 말했다.
제로 트러스트 프레임 워크의 잠재력
전문가들은 기업이 특히 신원 관리에서 제로 트러스트 모델로 전환하고 있음을 인정했지만, 일부는 제로 트러스트를 채택하기 위해 보안 인프라에서 큰 변화가 필요하지 않다고 생각합니다. IDC 보안 제품 그룹의 프로그램 부사장 인 션 파이크 (San Pike)는“현재 어떤 수준에서든 채택하고 싶은 전략인지 확실하지 않다”고 말했다. "ROI 미적분학이 의미있는 시간 내에 존재한다는 것은 긍정적이지 않습니다. 전략적으로 비용을 엄청나게 만드는 많은 아키텍처 변화와 인력 문제가 있습니다."
그러나 파이크는 통신 및 IDM에서 제로 트러스트의 가능성을보고 있습니다. 파이크 부사장은“오늘날 쉽게 채택 할 수있는 구성 요소가 도매 아키텍처 변경을 필요로하지 않는다고 생각합니다. 파이크 (Pike)는 "제로 트러스트를 향한 전략적 전환이 아니라 사용자가 새로운 방식으로 연결하고 비밀번호 기반 시스템에서 벗어나 액세스 관리를 개선해야하는 필요성을 해결하려는 움직임"이라고 강조했다. 설명했다.
Zero Trust는 네트워크에 대한 참가자를 신뢰하지 않고 사용자를 확인해야하는 등 사이버 보안의 일부 표준 원칙을 반복하는 약간의 마케팅 개념으로 해석 될 수 있지만 전문가에 따르면 게임 계획의 목적을 달성합니다. 포레스터 커닝햄은“저는 제로 트러스트 (Zero Trust)의 독창적이고 전략적인 진언을 향해 나아가고 조직 내에서이를지지한다는 큰 지지자입니다.
보안 교육 및 인증을 제공하는 SANS Institute의 신흥 보안 트렌드 디렉터 인 John Pescatore는 2010 년 Forrester가 2010 년에 도입 한 Zero Trust 아이디어는 사이버 보안 업계에 새로운 아이디어가 아니라고 말합니다. "이것은 사이버 보안의 표준 정의와 거의 같습니다. 모든 것을 안전하게하고, 네트워크를 분할하고, 사용자 권한을 관리하십시오."
페스카토레 (Pescatore)는 제리코 포럼 (Jericho Forum)이라고 불리는 현재 기능이 부족한 보안 조직이 2004 년경 "무경계 보안"에 대해 Forrester와 유사한 아이디어를 도입했으며 신뢰할 수있는 연결 만 허용하는 것이 좋습니다. "이것은 일종의 '범죄자와 완벽한 날씨가없는 곳으로 이사하고 집에 지붕이나 문이 필요하지 않습니다.'"라고 Pescatore는 말했습니다. "제로 트러스트는 최소한 상식적인 분할의 의미로 돌아 왔습니다. 항상 인터넷에서 경계를 기준으로 분할합니다."
- 경계 너머: 계층화 된 보안 문제를 해결하는 방법 경계 너머: 계층화 된 보안 문제를 해결하는 방법
- NYC 벤처, 사이버 보안 혁신을 추구합니다. NYC 벤처, 사이버 보안 혁신을 추구합니다.
- 다음 보안 위반을 준비하는 방법 다음 보안 위반을 준비하는 방법
Zero Trust 모델의 대안으로 Pescatore는 Internet Security의 Critical Security Controls Center를 따르는 것이 좋습니다. 결국, Zero Trust는 과대 광고에도 불구하고 확실히 혜택을 가져올 수 있습니다. 그러나 Pescatore가 언급했듯이 Zero Trust 또는 기타 다른 유형 의이 전략은 여전히 기본적인 제어가 필요합니다.
Pescatore는“비즈니스를 보호하기 위해 기본적인 보안 위생 프로세스와 제어를 개발해야하며 숙련 된 직원이 효과적이고 효율적으로 운영되도록해야한다는 사실을 바꾸지 않습니다. 그것은 대부분의 조직에 대한 금융 투자 그 이상이며, 성공하기 위해서는 한 회사가 집중해야합니다.
