Zero Trust 접근 방식으로 전환하는 것이 지나치게 복잡할 필요는 없습니다. 조직에서는 MFA를 구현하고 불필요한 포트를 닫는 등 몇 가지 간단한 단계로 시작할 수 있습니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
Zero Trust는 조직 내에 이미 위협이 존재한다는 가정에 따라 구축된 보안 접근 방식입니다. Zero Trust 접근 방식에서는 사용자, 장치, 앱이 자동으로 '신뢰'되는 것이 아니라 기업 네트워크의 모든 요청에 엄격한 신원 확인이 적용되며, 이는 이미 해당 네트워크에 연결된 사용자 및 장치도 마찬가지입니다.
Zero Trust 보안 아키텍처는 다음 원칙에 따라 구축됩니다.
이들 원칙과 이들 원칙이 서로 결합되고 강화되는 방법에 대해 자세히 알아보려면 Zero Trust 네트워크란 무엇인가요?를 참조하세요.
포괄적인 Zero Trust 보안을 구현하는 데는 상당한 시간이 걸릴 수 있으며 팀 간 협업이 꽤 필요합니다. 조직의 디지털 환경이 복잡할수록, 즉 보호해야 하는 앱, 사용자, 사무실, 클라우드, 데이터 센터의 종류가 다양할수록 이러한 지점을 오가는 모든 요청에 대해 Zero Trust 원칙을 적용하는 데 더 많은 노력이 필요하게 됩니다.
따라서 가장 성공적인 Zero Trust 구현은 노력과 동의가 덜 필요한 간단한 조치부터 시작됩니다. 이러한 조치를 취함으로써 조직에서는 다양한 위협에 대한 노출을 크게 줄이고 더 크고 체계적인 개선을 위한 동의를 얻을 수 있습니다. 이러한 조치를 취함으로써 조직에서는 다양한 위협에 대한 노출을 크게 줄이고 더 크고 체계적인 개선을 위한 동의를 얻을 수 있습니다.
다음은 이러한 5가지 조치입니다.
다단계 인증(MFA)에서는 애플리케이션에 로그인하는 사용자에게 사용자 이름과 비밀번호와 같은 한 가지 인증 요소 대신 두 가지 이상의 인증 요소를 요구합니다. 공격자 입장에서는 함께 묶여 있는 두 가지 요소를 탈취하기가 어려우므로 MFA는 단일 요소 인증보다 훨씬 더 안전합니다.
MFA를 도입하는 것은 중요한 서비스에 대한 보안을 강화하는 동시에 사용자에게 보다 엄격한 보안 접근 방식을 거부감 없이 소개할 수 있는 좋은 방법입니다.
Zero Trust는 ID 외에 기기 활동과 상태를 고려합니다. 모든 애플리케이션에 Zero Trust 정책을 적용하는 것이 최종 목표이지만, 첫 번째 단계는 미션 크리티컬 애플리케이션에 먼저 적용하는 것입니다.
장치와 애플리케이션 사이에 Zero Trust 정책을 설정하는 방법에는 암호화된 터널, 프록시, 싱글 사인온(SSO) 공급자를 이용하는 등 여러 가지가 있습니다. 이 문서에서 구성에 대한 자세한 내용을 확인할 수 있습니다.
이메일은 주요 공격 벡터입니다. 악의적 이메일은 신뢰할 수 있는 출처에서도 발생할 수 있으므로(계정 탈취 또는 이메일 스푸핑을 통해) 이메일 보안 솔루션을 적용하는 것은 Zero Trust를 향한 큰 진전입니다.
오늘날 사용자들은 기존의 자체 호스팅 이메일 애플리케이션, 브라우저 기반 웹 애플리케이션, 모바일 장치 애플리케이션 등을 통해 이메일을 확인합니다. 따라서 이메일 보안 및 피싱 감지는 클라우드로 호스팅할 때 더 효과적이며, 그럴 경우 이메일 트래픽에 대한 트롬본 효과 없이 모든 소스 및 대상의 이메일을 쉽게 필터링할 수 있습니다.
네트워킹에서 포트는 컴퓨터가 인바운드 트래픽을 수신할 수 있는 가상 지점입니다. 열린 포트는 공격자가 네트워크 내부로 침투하는 데 사용할 수 있는 잠금 해제된 문과 같습니다. 수천 개의 포트가 있지만, 대부분 정기적으로 자주 사용되지는 않습니다. 조직에서는 악의적 웹 트래픽으로부터 자체를 보호하기 위해 불필요한 포트를 닫을 수 있습니다.
피싱 웹 사이트부터 드라이브 바이 다운로드까지, 안전하지 않은 웹 애플리케이션은 위협의 주요 원인입니다. DNS 필터링은 신뢰할 수 없는 웹 사이트가 IP 주소로 확인되지 않도록 차단하는 방법으로, 필터 뒤에 있는 사람은 해당 웹 사이트에 전혀 연결되지 않게 됩니다.
이 5단계는 조직에서 완전한 Zero Trust 보안 프레임워크로 나아가는 데 도움이 됩니다. Cloudflare에서는 이들 단계를 더 자세히 설명하는 백서를 제공합니다. 다운로드: "Zero Trust 아키텍처 로드맵.."
Zero Trust 보안은 네트워크 경계 내부에 있든 외부에 있든 관계없이 어떤 사용자나 장치도 자동으로 신뢰해서는 안 된다고 가정하는 보안 모델입니다. 경계 방어에 중점을 둔 기존의 접근 방식과는 달리 Zero Trust 아키텍처는 위치와 관계없이 리소스에 액세스하려는 모든 사람과 모든 것을 확인합니다.
주요 구성 요소에는 ID 확인 시스템, 장치 상태 유효성 검사 도구, 지속적인 모니터링 기능이 포함됩니다. 이들 구성 요소는 리소스 액세스 권한을 부여하기 전에 함께 작동하여 설정된 보안 정책에 대해 각 액세스 요청을 평가합니다.
마이크로세분화는 네트워크를 별도의 액세스 제어가 있는 격리된 세그먼트로 분할하여 침해가 발생할 경우 내부망 이동을 제한합니다. 마이크로세분화는 최소 권한 원칙에 따라 사용자와 장치가 역할에 필요한 특정 리소스에만 액세스할 수 있도록 보장합니다.
Zero Trust 평가는 모든 엔드포인트에 걸쳐 조직의 보안 상태를 평가하는 것입니다. 일회성 평가에서 얻은 인사이트를 통해 조직에서는 Zero Trust 원칙을 채택하여 해결해야 하는 격차와 위험을 식별할 수 있습니다. 또한 평가를 실시간으로 지속해서 수행하여 조직에서 장치 상태 및 규제 준수 검사를 기반으로 조건부 액세스 및 게이트웨이 정책의 시행을 세밀하게 조정할 수 있습니다.