ZTNA(제로 트러스트 네트워크 액세스) ZTNA(제로 트러스트 네트워크 액세스)란?
ZTNA(제로 트러스트 네트워크 액세스)는 프라이빗 애플리케이션에 안전하게 액세스할 수 있도록 설계된 일련의 혁신 기술을 의미합니다. SDP(Software-defined perimeter)라고도 하는 ZTNA 기술은 세분된 액세스 정책을 사용하여 기업의 전체 네트워크에 액세스하지 않고도 인증된 사용자를 특정 애플리케이션에 연결하고, VPN 집선기와 달리 애플리케이션 위치를 공용 인터넷에 노출하지 않으면서 네트워크 세분화를 대체할 수 있는 최소 권한의 애플리케이션 수준 세분화를 확립합니다.
- ZTNA 설명
- ZTNA의 주요 개념
- ZTNA의 주요 기능
- ZTNA의 작동 방식
- ZTNA의 이점
- ZTNA 사용 사례
- HPE Aruba Networking ZTNA
ZTNA 설명
ZTNA 도입이 점점 더 보편화되고 있습니다. 어디서나 업무를 수행하려면 모든 사용자, 애플리케이션, 장치가 인터넷을 통해 안전하게 연결되어야 하기 때문입니다. 이는 비즈니스 애플리케이션이 점점 SaaS 기반으로 전환되고 프라이빗 애플리케이션이 계속 하이브리드 또는 멀티 클라우드 환경에서 실행됨에 따라 당연한 결과입니다.
문제는 인터넷이 차단이 아닌 연결을 목적으로 설계되었다는 것입니다. 올바른 IP 주소와 아웃바운드 호출 기능이 있다면 모든 장치에서 인터넷을 통해 통신할 수 있습니다. 공격자들은 적절한 제로 트러스트 전략을 갖추지 않은 조직을 이용합니다.
VPN이나 방화벽과 달리 ZTNA 서비스는 특정 개체를 서로 안전하게 연결하도록 설계되었으며 전체 네트워크에 대한 액세스가 필요하지 않습니다. 대부분의 경우 직원이나 타사 사용자가 집이나 사무실에서 또는 이동 중에 연결합니다. 하지만 사용자에게만 국한되지 않습니다. ZTNA는 마이크로 세분화의 형태로 애플리케이션 간 트래픽에도 적용 가능합니다.
ZTNA의 주요 개념
- 제로 트러스트 기반: ZTNA는 사용자 또는 시스템이 연결하는 위치나 방법과 상관없이 모든 사용자 또는 시스템을 기본적으로 신뢰하지 않는 제로 트러스트 원칙을 바탕으로 합니다. 모든 액세스 요청은 완전한 인증, 승인, 암호화를 거친 후에만 액세스가 허용됩니다.
- 애플리케이션 중심 액세스: 네트워크에 대한 액세스를 허용하는 기존의 네트워크 액세스와 달리 ZTNA는 특정 애플리케이션에 대한 액세스만 허용하도록 보장합니다. 이는 아웃바운드 전용 연결을 통해 구현되며 기업의 네트워크가 인터넷에 노출되지 않아 공격 표면이 감소합니다.
- 최소 권한 액세스: ZTNA는 사용자가 작업을 효과적으로 수행하는 데 필요한 최소한의 액세스를 제공하는 방식으로 최소 권한의 원칙을 적용합니다. 이는 사용자의 위치와 상관없이 조직 전반에서 일관되게 전역적으로 적용되는 세밀한 액세스 정책을 통해 구현됩니다.
- 속도와 확장성을 위한 클라우드 네이티브: 빠르고 안정적인 액세스를 보장하기 위해 ZTNA는 클라우드 인프라를 활용합니다. 이를 통해 우수한 확장성으로 다양한 대역폭 요구 사항을 충족하고 사용자가 보안을 저해하지 않으면서 필요한 애플리케이션에 즉시 연결하도록 보장할 수 있습니다.
ZTNA의 주요 기능
- ID 기반 액세스: ZTNA는 액세스를 허용하기 전에 사용자와 장치의 ID를 확인 및 검증하고 기존 IDP 공급자의 인증 및 권한 부여를 사용하여 합법적인 사용자만 리소스에 액세스할 수 있도록 보장합니다.
- 세분화된 액세스 제어: ZTNA는 네트워크에 대한 일괄적인 액세스 권한을 부여하는 대신 사용자 역할, 장치 상태, 상황적 요인을 바탕으로 특정 애플리케이션이나 서비스에 대한 세분화된 액세스를 적용합니다.
- 최소 권한 원칙: 사용자의 작업 수행에 필요한 것으로만 액세스를 제한하여 공격 표면을 최소화합니다.
- 애플리케이션 세분화: ZTNA는 사용자와 장치가 권한이 있는 특정 리소스에만 액세스하도록 보장함으로써 복잡한 네트워크 세분화가 아닌 제로 트러스트 정책을 적용하여 네트워크에서의 측면 이동을 방지합니다.
- 지속적인 검증: ZTNA는 사용자 활동과 장치 상태를 지속적으로 모니터링하고 검증합니다. 사용자의 세션이 의심스러워지거나 장치의 보안 태세가 변경되면 액세스가 취소될 수 있습니다.
- 원격 및 하이브리드 근무 지원: ZTNA는 원격 또는 하이브리드 근무 환경을 갖춘 조직에 이상적이며, 사용자의 물리적 위치와 관계없이 애플리케이션에 안전하게 액세스할 수 있게 해줍니다.
- 클라우드 네이티브: ZTNA는 클라우드 기반인 경우가 많으며 SaaS 애플리케이션, 퍼블릭 클라우드, 프라이빗 클라우드, 프라이빗 데이터 센터를 포함한 최신 엔터프라이즈 환경과 통합됩니다.
ZTNA의 작동 방식
ZTNA는 사용자의 장치와 사용자가 액세스해야 하는 비공개 애플리케이션 또는 서비스 사이에 안전하고 암호화된 연결을 생성합니다. 일반적으로 포함되는 항목은 다음과 같습니다.
- 인증: 사용자가 자격 증명을 제공하면 MFA(다중 인증) 또는 IdP(ID 공급자)를 통해 ID가 검증됩니다.
- 장치 검증: 해당 장치의 보안 정책(예: OS 버전, 바이러스 백신 상태 등) 준수 여부를 평가합니다.
- 정책 시행: 인증이 완료되면 사용자의 역할, 장치 보안, 위치 및 기타 상황적 요소를 고려하여 사전 정의된 제로 트러스트 정책에 따라 액세스가 허용됩니다.
- 애플리케이션별 액세스: ZTNA는 사용자가 권한이 있는 애플리케이션만 보고 액세스하도록 보장하며 네트워크의 나머지는 보거나 액세스할 수 없습니다.
ZTNA의 이점
- 강화된 보안: ZTNA는 '신뢰하지 않고 항상 검증한다'는 원칙에 따라 운영되어 무단 액세스의 위험이 대폭 감소합니다. ZTNA는 엄격한 ID 검증 및 상황에 따른 액세스 제어를 적용하여 사용자와 장치가 리소스에 액세스하기 전에 지속적으로 인증 및 승인을 받도록 보장합니다. 따라서 공격자가 처음에 액세스 권한을 얻었더라도 네트워크 내에서 측면 이동이 발생할 가능성이 최소화됩니다.
- 공격 표면 감소: ZTNA의 핵심 장점 중 하나는 승인되지 않은 사용자에게 애플리케이션과 서비스를 보이지 않게 만드는 기능입니다. ZTNA는 인증 레이어 뒤에 내부 리소스를 숨기고 검증된 ID에만 노출함으로써 공격자의 잠재적 진입점을 크게 제한합니다. 이러한 '다크 클라우드' 접근 방식은 시스템이 표적이 되더라도 적절한 자격 증명과 컨텍스트 없이는 접근할 수 없도록 보장합니다.
- 향상된 사용자 경험: 수동 연결이 필요하고 성능이 저하될 수 있는 기존 VPN과 달리 ZTNA는 보다 원활하고 투명한 경험을 제공합니다. 사용자는 번거로운 VPN 클라이언트 없이도 위치나 장치와 상관없이 안전하게 애플리케이션에 액세스할 수 있습니다. 이는 액세스 속도 향상 및 중단 감소와 함께 더 직관적인 워크플로로 이어지며 특히 원격 및 하이브리드 근무 환경에 유용합니다.
- 확장성: ZTNA는 역동적이고 분산된 IT 환경을 지원하도록 설계되었습니다. 조직에서 클라우드 영역을 확장하거나 늘어나는 원격 인력을 지원하거나 타사 벤더를 통합하려는 경우 ZTNA를 사용하면 손쉽게 확장할 수 있습니다. 클라우드 네이티브 아키텍처 덕분에 여러 환경에서 쉽게 배포하고 관리할 수 있으며 기존 네트워크 보안 모델의 복잡성을 줄일 수 있습니다.
ZTNA 사용 사례
- 어디서나 작업할 수 있는 VPN의 대안: 원격 사용자를 네트워크에 연결할 때 일반적으로 사용하는 원격 액세스 VPN 대신 ZTNA를 사용하여 더 빠르고 안전한 경험을 제공할 수 있습니다.
- 사무실의 직원 액세스: 온프레미스 사용자를 기본적으로 신뢰하지 않고 최소 권한 액세스를 위해 공개적으로 호스팅된 제로 트러스트 브로커 또는 자체 환경에 배포된 비공개 브로커를 활용하여 간소화된 세분화, 더 빠른 사용자 경험, 간편한 규제 준수 효과를 얻을 수 있습니다.
- 타사 액세스 보안: 에이전트리스 액세스를 사용하여 기업의 전체 네트워크에 대한 액세스를 허용하지 않고도 비즈니스 에코시스템 파트너, 공급업체, 벤더, 고객이 핵심 비즈니스 데이터를 안전하게 이용하도록 지원할 수 있습니다.
- M&A 또는 분할 중에 IT 통합 가속화: ZTNA는 네트워크의 통합(또는 분할), 중복 IP에 대한 NAT(네트워크 주소 변환) 처리 또는 VDI 인프라 구축이 필요하지 않아 각 프로세스를 9~14개월에서 며칠 또는 몇 주로 단축하는 데 도움이 됩니다.
- VDI 대안: 복잡한 가상 환경을 ZTNA로 대체하여 기존 VDI의 높은 비용, 확장성 문제, 지연 시간을 방지할 수 있습니다. ZTNA는 사용자 ID, 장치 상태, 컨텍스트를 기반으로 애플리케이션에 대한 정책 기반 직접 연결을 통해 안전하고 원활한 원격 액세스를 제공합니다.
HPE Aruba Networking ZTNA
HPE Aruba Networking SSE 플랫폼에 포함된 HPE Aruba Networking ZTNA는 제로 트러스트 원칙과 함께 모든 사용자, 장치, 프라이빗 애플리케이션에 대해 안전한 글로벌 연결을 지원하여 기존의 원격 액세스 VPN 솔루션에 대한 현대식 대안을 제공합니다.
앞에서 언급한 대로 ZTNA는 HPE Aruba Networking SSE(Security Service Edge) 플랫폼의 핵심 요소입니다. 중요한 역할을 수행하는 이 플랫폼은 손쉽게 사용 가능한 단일 창을 통해 모든 것을 관리할 수 있는 단일 클라우드 제공 솔루션으로 ZTNA, SWG, CASB 및 디지털 경험 모니터링의 강력한 기능을 제공합니다.