Cloudflare의 theNet

Zero Trust로 이어지는 로드맵

Zero Trust 미래를 향한 5가지 간단한 프로젝트 알아보기

Zero Trust 채택은 복잡하지만, 시작하는 것은 복잡하지 않습니다

Zero Trust 보안을 채택하는 것은 어려운 여정으로 널리 알려져 있습니다.여러 면에서 이러한 평판은 당연합니다.Zero Trust를 위해서는 기본 허용 정책 및 경계 기반 네트워크 아키텍처 다시 생각하기, 기능적으로 다른 팀 간의 협업, 새로운 보안 서비스에 대한 믿음 등 보안과 IT에서 신중하게 임해야 하는 것이 당연한 여러 작업이 필요합니다.조직에서는 다음과 같은 다양한 이유로 이러한 전환을 연기할 수 있습니다.

  • 경쟁 프로젝트의 용량 제약

  • Zero Trust 벤더 제품의 다양성

  • 네트워크에서 다양한 애플리케이션과 리소스가 존재하는 위치에 대한 불확실성

  • 직원 생산성에 대한 중단 가능성

Zero Trust 프레임워크는 전체적으로 매우 복잡하지만(전체 Zero Trust 아키텍처 로드맵은 27단계로 구성됨), 그중 일부는 시간이 제한된 소규모 팀이라 해도 필요한 노력이 비교적 적습니다.


단편적인 Zero Trust 채택

네트워킹 컨텍스트에서 Zero Trust 보안을 사용하려면 회사 네트워크 안팎으로 또는 회사 네트워크 내에서 이동하는 모든 요청을 검사, 인증, 암호화, 기록해야 합니다. 이는 요청이 어디에서 왔는지 어디로 가는지와 관계없이 묵시적으로 신뢰할 수 없다는 생각을 기반으로 합니다.

Zero Trust 를 향한 초기의 진행은 현재 존재하지 않는 곳에서 이러한 기능을 설정하는 것을 의미합니다. 처음부터 시작하는 조직의 경우 이는 종종 이러한 기능을 단일 '네트워크 경계' 너머로 확장하는 것을 의미합니다.

다음은 사용자, 애플리케이션, 네트워크, 인터넷 트래픽 보안에 중점을 둔 가장 간단한 5가지의 Zero Trust 채택 프로젝트입니다. 이들 프로젝트로는 포괄적인 Zero Trust를 단독으로 달성하지는 못하지만, 즉각적인 이점이 제공되고 더 광범위한 혁신을 위한 초기 추진력이 제공됩니다.


프로젝트 1

모든 중요 애플리케이션에 다단계 인증 시행

Zero Trust 접근 방식에서 네트워크는 요청이 요청 대상인 주체에서 온다는 것을 정말 확신할 수 있어야 합니다.이는 피싱이나 데이터 유출을 통해 도난당하는 사용자 자격 증명에 대한 보호 장치를 설정해야 한다는 것을 의미합니다.다단계 인증(MFA)은 이러한 자격 증명 도난에 대한 최상의 보호책입니다.완전한 MFA 롤아웃에는 상당한 시간이 걸릴 수 있는 반면, 가장 중요한 애플리케이션에 집중하는 것이 더 간단하면서도 여전히 영향력이 있는 방법입니다.

이미 ID 공급자가 있는 조직에서는 해당 공급자 내에서 직접 MFA를 설정할 수 있습니다(예: 직원 모바일 장치로 전송되는 일회용 코드 또는 푸시 알림 앱을 통해). IdP와 직접 통합되지 않은 애플리케이션의 경우 애플리케이션 앞에 애플리케이션 역방향 프록시를 사용하여 MFA를 적용하는 것이 좋습니다.

ID 공급자가 없는 조직에서는 MFA에 대해 다른 접근 방식을 취할 수 있습니다. Google, LinkedIn, Facebook 등의 소셜 플랫폼 또는 일회용 비밀번호(OTP)는 사용자 신원을 다시 확인하는 또 다른 방법입니다. 이는 타사 계약자를 회사 ID 공급자에 추가하지 않고 액세스를 부트스트랩하는 일반적인 방법이며 회사 자체 내에서도 적용할 수 있습니다.


프로젝트 2

중요한 애플리케이션에 대한 Zero Trust 정책 시행

Zero Trust를 적용한다는 것은 단순히 사용자 ID를 확인하는 것 이상을 의미합니다. 또한 애플리케이션은 항상 요청을 확인하고, 인증하기 전에 다양한 동작 및 상황별 요소를 고려하며, 활동을 지속적으로 모니터링하는 정책으로 보호되어야 합니다. 프로젝트 1에서와 같이 이러한 정책을 구현하는 것은 중요한 애플리케이션의 초기 목록에 적용될 때 더 간단해집니다.

이 프로세스는 사용 중인 애플리케이션 유형에 따라 달라집니다.

  1. 자체 호스팅된 비공개 애플리케이션(기업 네트워크에서만 주소 지정 가능)

  2. 자체 호스팅된 공개 애플리케이션(인터넷을 통해 주소 지정 가능)

  3. SaaS 애플리케이션


프로젝트 3

이메일 애플리케이션을 모니터링하고 피싱 시도를 필터링함

이메일은 Zero Trust 대화에 항상 포함되는 것은 아닙니다. 그러나 대부분의 조직에서 통신하는 가장 중요한 방법이자 가장 많이 사용되는 SaaS 애플리케이션이며, 공격자가 가장 흔히 사용하는 진입점입니다. 일반적인 위협 필터 및 검사를 보완하기 위해 Zero Trust 원칙을 적용하는 것은 가치가 있습니다.

클라우드 이메일 보안을 배포하는 것은 이를 달성하기 위한 중요한 단계입니다. 또한 보안 팀에서는 완전히 차단할 만큼 의심스럽지 않은 링크를 격리된 브라우저에 격리하는 옵션을 고려해야 합니다.


프로젝트 4

애플리케이션 서비스 목적으로 인터넷에 공개된 모든 인바운드 포트 닫기

열려있는 인바운드 네트워크 포트는 일반적인 공격 벡터이며 Zero Trust로 보호해야 합니다.

이러한 포트는 스캐닝 기술을 사용하여 찾을 수 있으며, 여기에서 Zero Trust 역방향 프록시는 인바운드 포트를 열지 않고도 웹 애플리케이션을 공용 인터넷에 안전하게 노출할 수 있습니다. 애플리케이션에서 유일하게 공개적으로 볼 수 있는 레코드는 DNS 레코드이며, 이는 Zero Trust 인증 및 로깅 기능으로 보호할 수 있습니다.

추가 보안 계층으로, 내부/개인 DNS는 Zero Trust 네트워크 액세스 솔루션을 사용하여 활용할 수 있습니다.


프로젝트 5

알려진 위협이 있거나 위험할 수 있는 목적지로 향하는 DNS 요청 차단

DNS 필터링은 악의적이라고 알려져 있거나 의심되는 웹 사이트 및 기타 인터넷 리소스에 사용자가 액세스하지 못하도록 하는 방법입니다. 트래픽 검사 또는 로깅이 포함되지 않으므로, DNS 필터링이 Zero Trust 대화에 항상 포함되는 것은 아닙니다. 그러나 DNS 필터링은 궁극적으로 사용자(또는 사용자 그룹)가 데이터를 전송하고 업로드할 수 있는 위치를 제어할 수 있으며, 이는 광범위한 Zero Trust 철학과 잘 부합합니다.

DNS 필터링은 라우터 구성을 통해서 적용하거나 사용자 컴퓨터에서 직접 적용할 수 있습니다.


더 광범위한 Zero Trust 그림 이해

이러한 프로젝트를 구현하는 것은 Zero Trust에 비교적 간단하게 진출하는 방법이 될 수 있습니다. 그리고 이를 달성하는 모든 조직은 더 나은 최신 보안을 향해 상당한 진전을 이룰 수 있습니다.

더 광범위한 Zero Trust 채택은 여전히 복잡합니다.이를 지원하기 위해 우리는 전체 Zero Trust 여정에 대한 벤더 중립적 로드맵을 구축하여 이 5개 프로젝트와 이와 유사한 다른 프로젝트를 포괄합니다.일부 프로젝트는 며칠보다는 훨씬 더 오랜 기간이 소요되지만, 이 로드맵에 따르면 Zero Trust 채택의 의미를 더 명확하게 파악할 수 있습니다.

Cloudflare에서는 Cloudflare Zero Trust를 통해 이러한 모든 서비스를 제공합니다. Cloudflare Zero Trust는 모든 네트워크 트래픽을 검증, 필터링, 격리, 검사할 수 있으며, 이 모든 것이 하나의 균일하고 구성 가능한 플랫폼에서 수행되므로 쉽게 설정하고 운영할 수 있습니다. 또한 13,000여 개의 상호 연결이 있는 320+ 개 도시의 전역 네트워크를 사용하는 안전한 가상 백본은 공용 인터넷에 비해 상당한 보안, 성능, 안정성 측면의 이점을 제공합니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.



핵심 사항
  • Zero Trust 로드맵에는 27개의 포괄적인 단계가 있습니다

  • 5개의 Zero Trust 채택 프로젝트에는 상대적으로 적은 노력이 필요합니다

  • 구현을 가능하게 하는 서비스 유형

  • 조직에 대한 채택 로드맵을 시작하는 방법


관련 자료


이 주제에 관해 자세히 알아보세요.

Zero Trust에 대해 자세히 알아보고 전체적인 가이드 "Zero Trust 아키텍처에 대한 로드맵"을 통해 조직을 위한 로드맵 계획을 시작하세요.

Get the guide!

가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!