'성과 해자'는 네트워크 내부의 모든 사람이 기본적으로 신뢰받는 네트워크 보안 모델을 말합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
"성과 해자"는 네트워크 외부의 누구도 내부의 데이터에 액세스할 수 없지만 네트워크 내부의 모든 사람은 액세스할 수 있는 네트워크 보안 모델입니다. 조직의 네트워크를 성으로, 네트워크 경계를 해자로 상상해 보십시오. 도개교가 내려지고 누군가 그 다리를 건너면 성 내에서 자유로이 이동할 수 있습니다. 마찬가지로 사용자가 이 모델의 네트워크에 연결하면 해당 네트워크 내의 모든 애플리케이션과 데이터에 액세스할 수 있습니다.
이 모델을 사용하는 조직은 성에서 도개교 근처에 가장 많은 경비를 배치할 수 있는 것처럼 네트워크 경계를 방어하는 데 많은 리소스를 할애합니다.이들 조직에서는 대부분의 외부 공격을 차단하는 방화벽, 침입 지 시스템(IDS), 침입 방지 시스템(IPS), 기타 보안 제품을 배포하지만 내부 공격, 내부자 위협, 데이터 유출을 차단하는 데 효과적이지 않습니다.
"성과 해자"가 반드시 의도적으로 선택된 전략은 아닙니다.이 용어는 기존 네트워크 아키텍처와 Zero Trust 아키텍처를 대비하기 위해 사용되었습니다.
오늘날, 성과 해자 접근 방식은 구식이 되어가고 있습니다. 대부분의 기업에서 데이터는 온프레미스 네트워크 경계 뒤에 남아 있지 않고 여러 클라우드 벤더에 분산되어 있습니다. 비유를 더해보자면, 여왕과 궁정이 시골에 분산되어 있다면 성을 방어하는 데 모든 리소스를 쏟아붓는 것은 합리적이지 않습니다.
오늘날 일부 조직에서는 데이터를 온프레미스 네트워크에 계속 유지하고 다른 조직에서는 클라우드 공급업체에 대한 액세스를 제어하기 위해 중앙 기업 네트워크를 통해 모든 인터넷 바인딩 트래픽을 라우팅합니다. 그러나 이러한 성과 해자 모델의 사용에는 여전히 고유한 보안 결함이 있습니다.
가장 큰 보안 결함은 공격자가 네트워크에 액세스할 수 있는 경우(해자를 건너면) 그 안에 있는 모든 데이터와 시스템에도 액세스할 수 있다는 것입니다.사용자 자격 증명 도용, 보안 취약성 악용, 맬웨어 감염, 소셜 엔지니어링 공격 수행 등을 통해 네트워크를 침해할 수 있습니다.방화벽과 기타 침입 방지 도구는 이러한 공격 중 일부를 막을 수 있지만, 공격이 뚫리면 비용이 많이 듭니다.
Zero Trust 보안은 사용자가 시스템과 데이터에 액세스할 수 있는 방법과 시기에 대한 철학입니다. 성과 해자 모델과 달리 Zero Trust 보안은 보안 위험이 네트워크 내부와 외부 모두에 존재한다고 가정합니다. 네트워크 내부의 어떤 것도 기본적으로 신뢰되지 않으므로 "Zero Trust"라는 이름이 붙습니다.
Zero Trust 보안은 데이터 및 애플리케이션에 대한 액세스 권한을 부여하기 전에 네트워크의 모든 사용자와 장치에 대해 엄격한 검증을 요구합니다.
성과 해자 모델을 사용할 때 조직이 액세스를 제어하는 한 가지 방법은 가상 사설망(VPN)입니다.VPN은 연결된 사용자(종종 원격으로 작업)와 VPN 서버 간에 암호화된 연결을 설정합니다.특정 수준의 액세스를 위해서는 사용자가 하나 이상의 VPN에 연결해야 합니다.연결되면 필요한 리소스에 액세스할 수 있습니다.
같은 회사 내 다른 사용자는 종종 다른 액세스 권한을 필요로 하므로 IT 팀에서는 여러 VPN을 설정합니다. 각 VPN은 서로 다른 수준의 액세스를 제공하는 자체적인 "성"으로 생각할 수 있습니다.
이러한 접근 방식에는 몇 가지 단점이 있습니다.
Zero Trust 아키텍처의 기초가 되는 기본 원칙이 몇 가지 있습니다.
이러한 원칙은 Zero Trust 네트워크란?에서 자세히 설명합니다.
많은 조직에서 성과 해자 모델의 단점을 인식하고 Zero Trust 아키텍처를 채택하고 있습니다. 초기에는 이러한 이동이 상당히 복잡했지만, 오늘날 많은 벤더가 신속하게 켤 수 있는 간소화된 Zero Trust 솔루션을 제공합니다. Cloudflare Zero Trust는 그러한 네트워크 보안 솔루션 중 하나입니다.
그러나 많은 조직에서는 별도의 액세스 관리 솔루션을 채택하는 대신 네트워크 위에 계층화되는 것이 아니라 네트워크에 Zero Trust 보안이 구축되는 것을 원합니다.글로벌 연구 및 자문 회사인 Gartner에서는 이러한 추세를 "보안 액세스 서비스 에지"(SASE)라고 명명했습니다.Cloudflare One은 Zero Trust 보안이 내장된 네트워크의 예입니다.