Zero Trust 네트워크 액세스(ZTNA)란?

Zero Trust 네트워크 액세스(ZTNA)는 조직에서 Zero Trust 보안 모델을 구현할 수 있도록 하는 기술입니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • Zero Trust 및 ZTNA 정의
  • ZTNA 아키텍처 작동 방식 설명
  • ZTNA와 VPN의 비교

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

ZTNA란 ?

Zero Trust 네트워크 액세스(ZTNA)는 Zero Trust 보안 모델을 구현할 수 있게 해주는 기술입니다. "Zero Trust"는 위협이 네트워크 내부와 외부 모두에 존재한다고 가정하는 IT 보안 모델입니다. 따라서 Zero Trust는 모든 사용자와 모든 장치에 대해 내부 리소스에 대한 액세스 권한을 부여하기 전에 엄격한 검증을 요구합니다.

Zero Trust 네트워크 액세스 ZTNA: 사용자 및 장치에 대한 다중 보안 검사

ZTNA는 액세스 제어에 대한 소프트웨어 정의 경계(SDP) 접근 방식과 유사합니다. SDP와 마찬가지로 ZTNA에서는 연결된 장치에서 연결된 대상 이외의 네트워크 리소스(애플리케이션, 서버 등)를 인식하지 못합니다.

모든 주민이 해당 도시의 다른 모든 주민의 전화번호가 나와있는 전화번호부를 가지고 있고, 누구나 아무 번호로든 전화를 걸어 다른 모든 사람에게 연락할 수 있는 시나리오를 상상해 보십시오. 이제 모든 사람의 전화번호 목록이 없고 한 주민이 다른 주민의 전화번호를 알아야 해당 주민에게 전화를 걸 수 있는 시나리오를 상상해 보십시오. 이 두 번째 시나리오에는 몇 가지 이점이 있습니다. 원치 않는 전화를 받지 않고, 다른 사람에게서 우발적으로 전화가 걸려오지도 않으며, 파렴치한 사람이 이 도시의 전화번호부를 이용하여 주민들을 속이거나 사기를 칠 위험이 없습니다.

ZTNA는 두 번째 시나리오와 같습니다.그러나 ZTNA는 전화번호 대신 "목록에 없는" IP 주소, 애플리케이션, 서비스를 사용합니다.서로 연락해야 하는 두 사람이 전화번호를 교환할 때와 같이 사용자와 필요한 리소스 간에 일대일 연결을 설정합니다.그러나 두 사람이 번호를 교환하는 것과 달리 ZTNA 연결은 주기적으로 다시 확인하고 다시 만들어야 합니다.

ZTNA와VPN의 비교

가상 사설망(VPN)은 많은 조직에서 ZTNA 대신 액세스를 제어하는 데 사용합니다.사용자가 VPN에 로그인하면 전체 네트워크와 해당 네트워크의 모든 리소스에 액세스할 수 있습니다(이를 종종 성과 해자 모델이라고 함).대신 ZTNA는 요청된 특정 애플리케이션에 대한 액세스 권한만 부여하고 기본적으로 애플리케이션 및 데이터에 대한 액세스를 거부합니다.

기술 수준에서도 ZTNA와 VPN 간에 차이가 있습니다. 이러한 차이점 중 일부는 다음과 같습니다.

  1. OSI 모델 계층: 많은 VPN이 OSI 모델네트워크 계층인 계층 3의 IPsec 프로토콜에서 실행됩니다.ZTNA는 일반적으로 애플리케이션 계층에서 작동합니다.(일부 VPN은 IPsec 대신 암호화를 위해 TLS 프로토콜을 사용하여 애플리케이션 계층에서 실행됩니다. ZTNA는 일반적으로 유사한 접근 방식을 사용합니다.)
  2. 엔드포인트 소프트웨어 설치: IPsec VPN을 사용하려면 모든 사용자 장치에 소프트웨어를 설치해야 합니다.ZTNA의 경우도 때로는 설치해야 하지만, 항상 그런 것은 아닙니다.
  3. 하드웨어: VPN은 종종 사내 VPN 서버를 사용해야 하며 사용자 장치는 일반적으로 조직의 경계 방화벽을 통해 이러한 서버에 연결합니다.ZTNA는 이러한 방식으로 구성할 수 있지만, 대부분 클라우드를 통해 제공되므로 사용자가 네트워크 성능에 영향을 주지 않고 어디서나 연결할 수 있습니다.
  4. 연결 수준: ZTNA는 사용자의 장치와 지정된 애플리케이션 또는 서버 간에 일대일 암호화된 연결을 설정합니다.VPN은 사용자에게 한 번에 전체 LAN에 대한 암호화된 액세스를 제공합니다.사용자의 IP 주소가 네트워크에 연결되면 해당 네트워크의 모든 IP 주소와 연결할 수 있습니다.

마지막으로 VPN은 위치 및 액세스해야 하는 대상과 관계없이 사용자와 장치를 동일하게 취급하므로 부정확합니다. BYOD(Bring Your Own Device) 접근 방식이 점점 보편화되면서 맬웨어에 감염된 엔드포인트가 전체 네트워크를 감염시킬 수 있으므로 이러한 액세스를 허용하는 것은 위험합니다. 이러한 이유로 VPN은 자주 공격 대상이 됩니다.

ZTNA는 어떻게 작동할까요?

ZTNA는 조직 또는 공급업체마다 약간 다르게 구성됩니다. 그러나 ZTNA 아키텍처 전반에 걸쳐 일관되게 유지되는 몇 가지 기본 원칙이 있습니다.

  • 애플리케이션 대 네트워크 액세스: ZTNA는 애플리케이션 액세스를 네트워크 액세스와 별도로 취급합니다.네트워크에 연결한다고 해서 사용자에게 애플리케이션에 액세스할 수 있는 권한이 자동으로 부여되는 것은 아닙니다.
  • 숨겨진 IP 주소: ZTNA는 IP 주소를 네트워크에 노출하지 않습니다.나머지 네트워크는 연결된 애플리케이션이나 서비스를 제외하고는 연결된 장치에서 볼 수 없습니다.
  • 장치 보안: ZTNA는 장치의 위험 및 보안 상태를 액세스 결정의 요소로 통합할 수 있습니다.이는 장치 자체에서 소프트웨어를 실행하거나(아래 "에이전트 기반 ZTNA 대 서비스 기반 ZTNA" 참조) 장치에서 들어오고 나가는 네트워크 트래픽을 분석하여 수행합니다.
  • 추가 요소: 사용자 ID 및 역할을 기반으로만 액세스 권한을 부여하는 기존 액세스 제어와 달리, ZTNA는 사용자 위치, 요청 시기 및 빈도, 요청되는 앱 및 데이터 등의 추가 요소와 관련된 위험을 평가할 수 있습니다.사용자는 네트워크 또는 애플리케이션에 로그인할 수 있지만, 장치를 신뢰할 수 없으면 액세스가 거부됩니다.
  • MPLS 없음: ZTNA는 MPLS 기반 WAN 연결 대신 TLS를 통해 암호화된 인터넷 연결을 사용합니다.기존 기업 네트워크는 사설 MPLS 연결을 기반으로 구축됩니다.ZTNA는 TLS 암호화를 사용하여 네트워크 트래픽을 비공개로 유지하는 대신 공용 인터넷에 구축됩니다.ZTNA는 사용자를 더 큰 네트워크에 연결하는 것과는 대조적으로 사용자와 애플리케이션 간에 암호화된 작은 터널을 설정합니다.
  • IdP 및 SSO: 대부분의 ZTNA 솔루션은 별도의 IdP (ID 공급자), SSO(Single Sign-On) 플랫폼 또는 둘 모두와 통합됩니다.SSO를 사용하면 사용자가 모든 애플리케이션의 ID를 인증할 수 있습니다. IdP는 사용자 ID를 저장하고 관련 사용자 권한을 결정합니다.
  • 에이전트 대 서비스: ZTNA는 엔드포인트 에이전트를 사용하거나 클라우드를 기반으로 할 수 있습니다.차이점은 아래에 설명되어 있습니다.

에이전트 기반 ZTNA와 서비스 기반 ZTNA의 비교

에이전트 기반 ZTNA를 사용하려면 모든 엔드포인트 장치에 "에이전트"라는 소프트웨어 애플리케이션을 설치해야 합니다.

서비스 기반 또는 클라우드 기반 ZTNA는 엔드포인트 애플리케이션이 아닌 클라우드 서비스입니다. 에이전트를 사용하거나 설치할 필요가 없습니다.

Zero Trust 철학을 구현하려는 조직은 어떤 종류의 ZTNA 솔루션이 자체의 요구에 가장 잘 맞는지 고려해야 합니다. 예를 들어 조직에서 관리되는 장치와 관리되지 않는 장치의 혼합이 증가하는 것이 우려되는 경우 에이전트 기반 ZTNA가 효과적인 옵션이 될 수 있습니다. 또는 조직이 주로 특정 웹 기반 앱을 잠그는 데 중점을 두는 경우 서비스 기반 모델을 신속하게 롤아웃할 수 있습니다.

또 다른 고려 사항은 서비스 기반 ZTNA가 클라우드 애플리케이션과 쉽게 통합될 수 있지만 온프레미스 인프라와 쉽게 통합되지 않는다는 것입니다. 모든 네트워크 트래픽이 온프레미스 엔드포인트 장치에서 클라우드로 이동한 다음 다시 온프레미스 인프라로 이동해야 하는 경우 성능과 안정성이 크게 영향을 받을 수 있습니다.

중요한 ZTNA 솔루션 고려 사항으로는 또 무엇이 있을까요?

벤더 전문화: ID 및 액세스 관리(IAM), 네트워크 서비스, 네트워크 보안은 전통적으로 모두 분리되어 있었기 때문에 대부분의 ZTNA 공급업체는 일반적으로 이러한 영역 중 하나를 전문으로 합니다.조직에서는 요구 사항에 맞는 전문 영역을 가진 벤더를 찾거나 이들 세 영역을 모두 하나의 응집력 있는 솔루션으로 결합하는 벤더를 찾아야 합니다.

구현 수준: 일부 조직에서는 이미 Zero Trust 전략을 지원하기 위해 인접 기술에 투자했을 수도 있고(예:IdP 또는 엔드포인트 보호 공급자), 다른 조직에서는 전체 ZTNA 아키텍처를 처음부터 구축해야 할 수도 있습니다.ZTNA 벤더는 조직이 ZTNA 배포를 마무리하거나 전체 ZTNA 아키텍처를 생성하거나 둘 다를 수행하는 데 도움이 되는 포인트 솔루션을 제공할 수 있습니다.

레거시 애플리케이션 지원: 많은 조직에는 여전히 비즈니스에 중요한 사내 레거시 애플리케이션이 있습니다.인터넷에서 실행되기 때문에 ZTNA는 클라우드 애플리케이션을 쉽게 지원하지만, 레거시 애플리케이션을 지원하려면 추가 구성이 필요할 수 있습니다.

IdP 통합: 많은 조직에는 이미 IdP가 있습니다.일부 ZTNA 공급업체는 특정 IdP와만 작업하므로 고객이 서비스를 사용하려면 ID 데이터베이스를 마이그레이션해야 합니다.나머지는 IdP에 구애받지 않으며 모든 IdP와 통합할 수 있습니다.

ZTNA는 제로 트러스트 애플리케이션 액세스(ZTAA)와 어떻게 다른가요?

제로 트러스트 애플리케이션 보안이라고도 하는 제로 트러스트 애플리케이션 액세스(ZTAA)는 네트워크 액세스가 아닌 애플리케이션 액세스에 ZTNA와 동일한 원칙을 적용합니다. ZTAA 솔루션은 IdP 및 SSO 공급자와 통합하고, 연결을 암호화하고, 애플리케이션에 대한 각 접속 요청을 개별적으로 고려하고, 요청별로 차단 또는 허용함으로써 애플리케이션에 대한 사용자 접속을 확인합니다. ZTAA는 브라우저를 통해 에이전트 없이 제공하거나 엔드포인트 에이전트를 사용하여 제공할 수 있습니다.

자세한 내용은 제로 트러스트 보안을 참조하세요.

ZNTA를 시작하는 방법

Cloudflare는 빠른 성능을 위해 Cloudflare 글로벌 에지 네트워크에 구축된 ZTNA 솔루션을 제공합니다.ZTNA 솔루션 페이지를 참조하십시오.

Zero Trust의 철학에 대한 추가 배경 정보는 Zero Trust 보안에 대한 기사를 참조하십시오.