보안 변혁
에피소드 1: Zero Trust로 이어지는 로드맵
주요 내용 발췌:
Barry Fisher: [00:00:52]
Zero Trust 보안을 사용하려면 회사 네트워크 안팎으로 또는 회사 네트워크 내에서 이동하는 모든 요청을 검사, 인증, 암호화, 기록해야 합니다. 이는 요청이 어디에서 왔는지 어디로 가는지와 관계없이 묵시적으로 신뢰할 수 없다는 생각을 기반으로 합니다. 각 요청의 ID와 컨텍스트를 확인한 후에만 액세스 권한이 부여됩니다...
1단계: 암시적 신뢰 제거
Barry Fisher: [00:04:54]
가장 전형적인 시작 단계는 인바운드 요청 시 강력한 인증으로 사용자 ID를 확인하여 액세스 권한을 부여하기 전에 암묵적인 신뢰를 제거하는 것입니다...사용자가 사용할 모든 종류의 애플리케이션을 포괄하는 정책을 적용할 수 있는 플랫폼입니다...
Barry Fisher: [00:06:01]
먼저 중요 애플리케이션에 멀티 팩터 인증을 시행합니다. 그러면 가상의 공격자가 가장 중요한 데이터에 접근하는 것을 방지할 수 있습니다... ID 공급자를 이미 마련한 조직은 해당 공급자 내에 직접 MFA를 설정할 수 있으므로 일회성 코드나 푸시 알림 앱을 통해 수행할 수 있습니다.
Barry Fisher: [00:07:14]
...피싱 방지 기능이 우수한 MFA 방법일 수록 더 좋습니다. 기본 MFA로 시작한 후 점진적으로 개선하도록 회사에 권하고 있습니다. 애플리케이션 리버스 프록시 서비스의 경우 애플리케이션이 이미 인터넷에 노출되어 있다면 애플리케이션의 DNS와 레코드를 변경할 수 있는 권한만 있으면 됩니다. 비공개 애플리케이션이라면 2단계로 넘어갈 준비가 되어 있습니다.
2단계: Zero Trust 확대
Barry Fisher: [00:08:37]
경계 방화벽에 구멍을 뚫는 대신 비공개 애플리케이션과 액세스가 필요한 사용자 사이에 매우 좁은 범위로 비공개 인터넷 네트워크를 구축합니다... MFA로 ID를 사용자를 확인하는 것 이외에도 사용자와 애플리케이션 사이의 리버스 프록시를 통해 세분화된 최소 권한 정책을 적용합니다.
3단계: 애플리케이션 노출 고려
Barry Fisher: [00:13:10]
사이버 위험을 줄이려면 먼저 네트워크 엔지니어링 팀을 참여시키세요...인바운드 네트워크 포트를 계속 사용해야 하는지 여부가 흔한 공격 벡터이며, 팬데믹 기간 중에 직원 생산성을 유지할 방법을 서둘러 찾아야 했던 조직이 많습니다. RDP와 SSH 프로토콜을 통해 다소 권한이 높은 시스템 액세스를 노출하는 경우도 있습니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
회사가 의미 있는 진전을 보이고 Zero Trust 아키텍처로 나아가기 위해 취할 수 있는 3가지 구체적인 단계
1단계: 묵시적인 신뢰 배제 [00:04:54]
2단계: 비공개 애플리케이션으로 Zero Trust 확대 [00:08:37]
3단계: 인터넷에 노출된 애플리케이션 고려 [00:13:10]