Zero Trust로 이어지는 로드맵
Zero Trust 채택을 촉진하는 5가지 간단한 프로젝트
Zero Trust 채택은 복잡하지만, 시작하는 것은 복잡하지 않습니다
Zero Trust 보안을 채택하는 것은 어려운 여정으로 널리 알려져 있습니다. 여러 면에서 이러한 평판은 당연합니다. Zero Trust를 위해서는 기본 허용 정책 및 경계 기반 네트워크 아키텍처 다시 생각하기, 기능적으로 다른 팀 간의 협업, 새로운 보안 서비스에 대한 믿음 등 보안과 IT에서 신중하게 임해야 하는 것이 당연한 여러 작업이 필요합니다. 조직에서는 다음과 같은 다양한 이유로 이러한 전환을 연기할 수 있습니다.
경쟁 프로젝트의 용량 제약
Zero Trust 벤더 제품의 다양성
네트워크에서 다양한 애플리케이션과 리소스가 존재하는 위치에 대한 불확실성
직원 생산성 저하
Zero Trust 프레임워크는 전체적으로 매우 복잡하며, Zero Trust 아키텍처로 이어지는 전체 로드맵은 28개의 포괄적인 프로젝트로 구성됩니다. 그러나 일부 프로젝트에는 시간 제약이 있는 소규모 팀의 경우에도 비교적 적은 노력이 필요합니다.
단편적인 Zero Trust 채택
네트워킹 컨텍스트에서 Zero Trust 보안을 사용하려면 회사 네트워크 안팎으로 또는 회사 네트워크 내에서 이동하는 모든 요청을 검사, 인증, 암호화, 기록해야 합니다. 이는 요청이 어디에서 왔는지 어디로 가는지와 관계없이 묵시적으로 신뢰할 수 없다는 생각을 기반으로 합니다.
Zero Trust를 향한 초기의 진행은 현재 존재하지 않는 곳에서 이러한 기능을 설정하는 것을 의미합니다. 처음부터 시작하는 조직의 경우 이는 종종 기능을 단일 '네트워크 경계' 너머로 확장하는 것을 의미합니다.
다음은 사용자, 앱, 네트워크, 인터넷 트래픽 보안에 중점을 둔 가장 간단한 5가지의 Zero Trust 채택 프로젝트입니다. 이들 프로젝트만으로는 포괄적인 Zero Trust를 달성하지는 못하지만, 즉각적인 이점이 제공되고 더 광범위한 혁신을 위한 초기 추진력이 제공됩��니다.
프로젝트 1
모든 중요 애플리케이션에 다단계 인증 시행
Zero Trust 접근 방식에서 네트워크는 요청이 신뢰할 수 있는 주체에서 온다는 것을 정말 확신할 수 있어야 합니다. 조직에서는 피싱이나 데이터 유출을 통해 도난당하는 사용자 자격 증명에 대한 보호 장치를 설정해야 합니다. 다단계 인증(MFA)은 이러한 자격 증명 도난에 대한 최상의 보호책입니다. 완전한 MFA 롤아웃에는 상당한 시간이 걸릴 수 있는 반면, 가장 중요한 앱에 집중하는 것이 더 간단하면서도 여전히 영향력이 있는 방법입니다.
이미 ID 공급자가 있는 조직에서는 해당 공급자 내에서 직접 MFA를 설정할 수 있습니다(예: 직원 모바일 장치로 전송되는 일회용 코드 또는 푸시 알림 앱을 통해). ID 공급자(IdP)와 직접 통합되지 않은 앱의 경우 앱 앞에 앱 리버스 프록시를 사용하여 MFA를 적용하는 것을 고려하세요.
ID 공급자가 없는 조직에서는 MFA에 대해 다른 접근 방식을 취�할 수 있습니다. Google, LinkedIn, Facebook 등의 소셜 플랫폼이나 일회용 비밀번호(OTP)를 사용하면 사용자 신원을 다시 확인하는 데 도움이 될 수 있습니다. 이는 타사 계약자를 기업 ID 공급자에 추가하지 않고 직접 액세스할 수 있는 일반적인 방법이며, 회사 자체 내에서도 이러한 전략을 적용할 수 있습니다.
프로젝트 2
중요한 애플리케이션에 대한 Zero Trust 정책 시행
Zero Trust를 적용한다는 것은 단순히 사용자 ID를 확인하는 것 이상을 의미합니다. 또한 애플리케이션은 항상 요청을 확인하고, 인증하기 전에 다양한 동작 및 상황별 요소를 고려하며, 활동을 지속적으로 모니터링하는 정책으로 보호되어야 합니다. 프로젝트 1에서와 같이 이러한 정책을 구현하는 것은 중요한 애플리케이션의 초기 목록에 적용될 때 더 간단해집니다.
이 프로세스는 사용 중인 애플리케이션 유형에 따라 달라집니다.
자체 호스팅된 비공개 애플리케이션(기업 네트워크에서만 주소 지정 가능)
자체 호스팅된 공개 애플리케이션(인터넷을 통해 주소 지정 가능)
SaaS 애플리케이션
프로젝트 3
이메일 애플리케이션을 모니터링하고 피싱 시도를 필터링함
이메일은 대부분의 조직에서 소통을 위해 가장 많이 사용하는 SaaS 앱이며, 공격자의 가장 흔한 진입점입니다. 조직에서는 이메일에 Zero Trust 원칙을 적용하여 표준 위협 필터 및 검사를 보완해야 합니다.
또한 보안팀에서는 격리된 브라우저를 사용하여 완전히 차단할 만큼 의심스럽지는 않은 링크를 격리하는 것을 고려해야 합니다.
프로젝트 4
애플리케이션 서비스 목적으로 인터넷에 공개된 모든 인바운드 포트 닫기
공개된 인바운드 네트워크 포트는 일반적인 공격 벡터이며, Zero Trust 보호를 제공하여, 알고 있고, 신뢰할 수 있고, 검증된 소스에서 오는 트래픽만을 허용해야 합니다.
이러한 포트는 스캐닝 기술을 사용하여 찾을 수 있습니다. 그런 다음 Zero Trust 리버스 프록시는 인바운드 포트를 열지 않고도 웹 앱을 공용 인터넷에 안전하게 노출할 수 있습니다. 앱에서 유일하게 공개적으로 볼 수 있는 레코드는 DNS 레코드이며, 이는 Zero Trust 인증 및 로깅 기능으로 보호할 수 있습니다.
추가 보안 계층으로, 내부/개인 DNS는 Zero Trust 네트워크 액세스 솔루션을 사용하여 활용할 수 있습니다.
프로젝트 5
알려진 위협이 있거나 위험할 수 있는 목적지로 향하는 DNS 요청 차단
DNS 필터링은 악의적이라고 알려져 있거나 의심되는 웹 사이트 및 기타 인터넷 리소스에 사용자가 액세스하지 못하도록 하는 방법입니다. 트래픽 검사 또는 로깅이 포함되지 않으므로, DNS 필터링이 Zero Trust 대화에 항상 포함되는 것은 아닙니다. 그러나 DNS 필터링은 궁극적으로 사용자(또는 사용자 그룹)가 데이터를 전송하고 업로드할 수 있는 위치를 제어할 수 있으며, 이는 더 광범위한 Zero Trust 철학과 잘 부합합니다.
DNS 필터링은 라우터 구성을 통해서 적용하거나 사용자 컴퓨터에서 직접 적용할 수 있습니다.
더 광범위한 Zero Trust 그림 이해
이러한 프로젝트를 구현하는 것은 Zero Trust에 비교적 간단하게 진출하는 방법이 될 수 있습니다. 그리고 이러한 프로젝트를 완료하는 모든 조직에서는 더 나은 최신 보안을 향해 상당한 진전을 이룰 수 있습니다.
더 광범위한 Zero Trust 채택은 여전히 복잡합니다.이를 지원하기 위해 우리는 전체 Zero Trust 여정에 대한 벤더 중립적 로드맵을 구축하여 이 5개 프로젝트와 이와 유사한 다른 프로젝트를 포괄합니다.일부 프로젝트는 며칠보다는 훨씬 더 오랜 기간이 소요되지만, 이 로드맵에 따르면 Zero Trust 채택의 의미를 더 명확하게 파악할 수 있습니다.
이러한 모든 서비스는 조직에서 IT 환경을 다시 제어할 수 있도록 설계된 클라우드 네이티브 서비스의 통합 플랫폼인 Cloudflare 클라우드 연결성에 내장되어 있습니다. Cloudflare는 주요 클라우드 연결성 기업입니다. Cloudflare에서 지원하는 조직에서는 복잡성과 비용을 줄이면서 직원, 앱, 네트워크를 어디에서든 더 빠르게 하고 더 안전하게 보호할 수 있습니다. 가장 상호 연결성이 좋은 세계 최대의 네트워크를 기반으로 Cloudflare에서는 고객을 위해 매일 수십억 건의 온라인 위협을 차단합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
Zero Trust 로드맵의 28개 프로젝트
상대적으로 적은 노력을 필요로 하는 5개의 Zero Trust 채택 프로젝트
구현을 가능하게 하는 서비스 유형
조직에 대한 채택 로드맵을 시작하는 방법
관련 자료
이 주제에 관해 자세히 알아보세요.
Zero Trust에 대해 자세히 알아보고 전체적인 가이드 Zero Trust 아키텍처에 대한 로드맵을 통해 조직을 위한 로드맵 계획을 시작하세요.