제로 트러스트

제로 트러스트란?

제로 트러스트란 ID 및 액세스 관리에 대한 접근법으로, 어떤 사용자 또는 소프트웨어도 기본적으로 신뢰할 수 없다고 가정하는 것입니다. 모든 사용자, 장치, 애플리케이션은 리소스에 액세스하기 전에 ID와 인증 수준에 맞춰 액세스 권한을 입증해야 합니다.

제로 트러스트는 전통적인 보안과 어떻게 다릅니까?

기존의 경계 보안 접근법과 달리 현대의 제로 트러스트 보안 아키텍처는 신뢰를 취약점으로 인식하기에 네트워크의 접속을 허용하더라도 사용자가 훼손되었을 수 있으므로 기본적으로 신뢰해서는 안 된다고 가정합니다. 따라서 네트워크 전체에 걸쳐 ID와 장치의 증명과 인증을 요구합니다. 네트워크의 모든 단일 구성요소는 독립적으로 신뢰성을 확립해야 하며 기존의 포인트 보안 조치를 포함하여 상호 작용하는 다른 구성요소를 통해 인증되어야 합니다.

 

관련 HPE 솔루션, 제품 또는 서비스

사용자는 어떻게 신뢰성을 확립할 수 있습니까?

신뢰성을 확립하려면 하드웨어를 포함한 시스템의 각 구성요소가 모두 해당 구성요소이고 공격자에 의해 손상되지 않았으며 시스템에서 전송된 메시지도 손상되지 않았다는 것을 증명해야 합니다.

제로 트러스트 아키텍처의 장점은 무엇입니까?

한 번 인증이 이루어지면 계속해서 신뢰하게 되는 기존 보안 모델은 더 이상 하이브리드 동적 환경에서 운영되는 기업의 요구를 만족시키지 못합니다. 한때 경계 네트워크와 방화벽은 외부 위협으로부터 데이터를 적절히 보호할 수 있다고 여겨졌지만, 엣지 투 클라우드 세계에서는 완전히 신뢰할 수 없고 지속적인 증명이 필요한 클라우드의 서비스와 엣지의 장치가 포함됩니다.

많은 IT 시스템은 공급망, 실리콘, 운영 체제, 하이퍼바이저, 플랫폼 소프트웨어, 애플리케이션 워크로드 계층 사이에 간극이 있으며 사이버 범죄자는 여기에 맬웨어와 기타 공격 위협을 숨길 수 있습니다. 이는 2020년 SolarWinds 해킹에서 겪었던 것처럼 네트워크를 손상에 취약하게 만듭니다. 제로 트러스트 원칙하에서 손상된 업데이트는 제로 트러스트 프레임워크 내에서 완전히 검증될 때까지 설치되지 않았습니다. 이는 신뢰할 수 있는 벤더가 제공했을 때도 마찬가지입니다.

조직은 지속적인 검증과 증명 기능을 갖춘 제로 트러스트 보안 아키텍처를 통해 다양한 유형의 사이버 공격을 신속하게 탐지하고 침입이 발생하기 전에 이를 방지할 수 있습니다. 제로 트러스트 모델은 마이크로 세분화를 지원하며 이를 통해 IT 팀은 잠재적인 위협을 쉽게 억제할 수 있도록 네트워크 리소스를 분리할 수 있습니다. 조직은 역할 기반 액세스로 시행되는 세분화된 정책을 적용하여 중요한 시스템과 데이터를 보호할 수 있습니다.

제로 트러스트는 보안을 강화할 뿐만 아니라 이를 비용 효율적으로 수행하며 조직의 환경에서 필요로 하는 만큼 민첩하고 탄력적으로 만들 수 있습니다. 제로 트러스트는 사용자가 수행하는 작업을 이해하고 해당 작업의 컨텍스트에 따라 적절한 보안 정책을 도입하려는 보안 시스템이므로 사용자 경험도 향상할 수 있습니다.

제로 트러스트와 SASE의 차이점은 무엇입니까?

제로 트러스트와 SASE(안전한 액세스 서비스 엣지로, “새시”라고 읽음)는 원격 근무가 점차 확산되고 인력이 분산되어 공격당할 수 있는 영역이 넓어짐에 따라 보안을 강화하기 위한 두 가지 접근법입니다. 두 가지 접근법의 목표는 비슷하지만 서로 다릅니다.

SASE는 엣지에서 보안 액세스를 제공하는 데 필요한 구성요소의 윤곽을 그립니다. 소프트웨어 정의 WAN(Wide Area Network)을 다른 네트워킹 서비스 및 기능과 결합하여 클라우드 기반 보안 네트워크를 구축합니다. SASE 솔루션은 민감한 데이터를 식별할 수 있어야 하며, 위험과 신뢰 수준을 지속적으로 모니터링하여 콘텐츠를 암호화하고 해독할 수 있어야 합니다. 이 접근법은 원격 사무실과 지사가 여러 곳이고 IoT(사물 인터넷)와 엣지 배포를 구현하며 많은 인력이 분산되어 있는 조직에 특히 유용합니다.

제로 트러스트는 기업 전체의 보안 위험을 줄이고자 하는 모델이자 철학입니다. 보안 액세스뿐만 아니라 조직에 대한 사이버 위협을 모니터링하고 데이터 거버넌스와 컴플라이언스 요건을 충족하며 네트워크 환경을 유지 관리하기도 합니다. 제로 트러스트 아키텍처는 모든 네트워크 통신을 신뢰하지 않으며 통신이 합법적이라는 확신을 얻으려 합니다. SASE는 핵심 구성요소 기술을 통해 이를 달성할 수 있는 수단을 제공합니다. 이렇듯 제로 트러스트와 SASE의 원칙은 중복되는 면이 있지만 SASE 솔루션을 구현한다고 해서 조직이 완전한 제로 트러스트 보안 아키텍처를 실현할 수 있는 것은 아닙니다.

제로 트러스트의 핵심 원칙은 무엇입니까?

미국 국가 안전 보장국은 제로 트러스트 보안 전략에 대한 세 가지 지침 원칙을 간략히 설명했습니다.

절대 신뢰하지 말고 항상 검증하라

모든 사용자, 장치, 애플리케이션, 워크로드, 데이터 흐름을 신뢰할 수 없는 것으로 간주합니다. 동적 보안 정책을 사용하여 필요한 최소한의 권한으로 각각을 인증하고 권한을 명시적으로 승인합니다.

위반을 가정하라

공격자가 이미 환경 내부에 침입했다고 가정하고 리소스를 의식적으로 운용하고 보호합니다. 기본적으로 거부하며 모든 사용자, 장치, 데이터 흐름, 액세스 요청을 세세히 조사합니다. 모든 구성 변경 사항, 리소스 액세스, 네트워크 트래픽에서 의심스러운 활동을 기록하고 검사하며 지속적으로 모니터링합니다.

명시적으로 확인하라

모든 리소스에 대한 액세스는 컨텍스트 리소스 액세스 결정을 위한 신뢰 수준을 도출하기 위해 다양한 속성(동적 및 정적)을 사용하여 일관되고 안전한 방식으로 수행되어야 합니다.

위의 첫 번째 원칙에서 언급한 최소 권한의 원칙(POLP)은 권한을 사용자가 작업을 수행하는 데 필요한 리소스에만 액세스하는 데 필요한 것(읽기, 쓰기 또는 실행)으로 제한하며 이러한 권한은 가능한 최단 시간 동안 부여되어야 한다고 명시하고 있습니다. 이 원칙을 액세스 제어 원칙이라고도 합니다.

권한 부여 시간은 POLP의 핵심 요소입니다. 소프트웨어 개발자는 사용자가 작업을 진행하는데 필요한 것 이상으로 애플리케이션에 점점 더 많은 접근 권한을 추가하려는 경향이 있습니다. 이러한 관행을 “특권 축적”(Privilege Creep)이라고 하며 불필요한 권한 축적으로 데이터 손실 또는 도난이 일어나 사이버 보안 위험이 더 커질 수 있습니다.

HPE는 제로 트러스트 아키텍처를 달성하는 데 어떤 도움을 제공할 수 있습니까?

Project Aurora는 HPE의 엣지 투 클라우드 제로 트러스트 보안 아키텍처로, 오늘날 가장 정교한 맬웨어 공격으로부터 고객을 보호합니다. HPE의 Silicon Root·of·Trust를 기반으로 구축된 Project Aurora는 실행을 위해 활성화되거나 해제되기 전에 모든 것을 측정하고 런타임 동안 지속적으로 측정을 반복합니다.

Project Aurora는 포인트 솔루션이 아니라 실리콘 레벨에서 시작하는 새로운 내장형 통합 보안 솔루션을 통해 엣지 투 클라우드 구축을 위한 엔드 투 엔드 보안을 해결합니다. 자동화된 검증 및 증명과 함께 내장된 보안 기술을 통합하여 가장 낮은 기본 계층인 실리콘에서 시작되는 심층 방어 접근법을 확립합니다.

Project Aurora는 실리콘에서 워크로드에 이르는 신뢰 보안 체인 전체에 걸쳐 보안을 내장하여 조직이 분산된 소프트웨어 시스템을 더 안전하게 보호할 수 있도록 만들어 비용 효율적이고 차별화된 솔루션을 시장에 출시할 수 있도록 지원합니다.

Project Aurora는 HPE GreenLake와 기타 HPE 제품 전반에 걸쳐 더 많은 제로 트러스트 서비스를 제공할 수 있는 기반을 마련할 것입니다. 초기에는 하드웨어, 펌웨어, 운영 체제, 플랫폼 및 워크로드(보안 벤더의 워크로드도 포함)의 무결성을 지속적으로 자동 검증할 수 있도록 HPE GreenLake Lighthouse에 내장됩니다. 따라서 데이터 손실과 귀중한 기업 데이터 및 지적 재산의 무단 암호화 및 손상을 최소화할 수 있습니다.

향후 Project Aurora는 HPE GreenLake 클라우드 서비스에 내장되어 엣지 투 클라우드에서 분산된 제로 트러스트 아키텍처를 정의, 생성 및 배포할 수 있는 다양한 플랫폼 지원 방법을 제공할 예정입니다.