[보안]제로트러스트[Zerotrust] 개념

제로트러스트 : 아무것도 신뢰하지 않고 모든 것을 검증한다
  엄격한 ID확인 프로세스를 기반으로 하는 네트워크 보안 모델

발단

 방화벽을 기준으로 외부에 있는 사람들은 모두 위험하고 내부의 사람들은 모두 신뢰할 수 있다는 것을 받아들여 내부 인력에 대해서는 어떤 의심도 없이 접속권한을 허용했다.

 하지만 원격 근무 및 클라우스 서비스 환경 변화로 다양한 접근경로를 통해서 데이터로 접근하여 네트워크 경계가 물리적 위치에 한정되지 않게 되었다.

 이에 따라, 잘못된 보안설정, 시스템이 갖고 있는 취약점 등으로 불특정 다수가 접근하게 되면 바로 사고가 이어질 수 있는 만큼 내부와 외부에 대응할 수 있는 보안 조치로 제로 트러스트 보안 모델을 사용하기 시작했다.

제로트러스트

제로 트러스트는 기업 내부 외부를 막론하고 그 누구도 신뢰해서는 안 되며, 기업의 리소스(데이터, 시스템, 애플리케이션 등)에 접속하고자 하는 모든 것은 접속권한을 부여하기 전에 신원확인 과정을 거쳐야 하는 것이다. 

네트워크 위치를 기반으로 하는 묵시적 신뢰를 제거하고 트랜잭션 별로 신뢰를 평가하는 데 중점을 둔다.

즉 제로 트러스트는 IP 주소, 네트워크 위치를 더 이상 신뢰하지 않는다는 걸 의미한다. 

 

제로 트러스트 개념

• 내부에서 외부로 설계 : 보호가 필요한 자산 및 데이터 식별부터 필요
• 접속하기 위해 필요한 신원 및 최소한의 접근 권한 설정
• 모든 트래픽을 검사 및 로깅

모든 파일이 잠재적 위험 요소라는 전제하에 모든 데이터를 모니터링한다. 모든 데이터에 접근할 때 안전한 경로를 통하도록 하며, 데이터 엑세스 권한은 꼭 필요한 경우에만 허락받는다.

제로 트러스트 원칙

• 네트워크는 항상 위험하다고 가정
• 외부 및 내부 위혐이 네트워크에 항상 존재한다
• 네트워크의 신뢰 여부를 결정할 때 네트워크의 위치는 충분하지 않음
• 모든 디바이스,사용자,네트워크를 인증하고 권한 확인
• 최대한 많은 데이터소스를 기반으로 자동적인 정책 수립

제로 트러스트 인증방식

•  다중 인증(MFA)로 신뢰할 수 있는 계정인지 확인한다. 아래 표처럼 다른 기반의 두개이상을 결합해서 인증한다.

종류특징예시

지식 기반	인증자와 검증자만 아는 지식을 비교해 인증	아이디/패스워드, PIN
소지 기반	소지한 별도 매체의 고유정보를 제시해 인증	보안토큰, 휴대전화, 스마트카드 등
생체 기반	인증자의 신체적인 특성을 이용해 인증	지문, 음성, 홍채 인식 등

신원확인을 거치고 다중 인증을 거쳐 내부 네트워크의 접근을 허가해준다

제로트러스트 접근과 접근방식

• 사용자 또는 기기가 리소스에 대한 접근을 요청할 때마다 접근 권한이 부여하기 전에 검증해야 한다.
• 기기와 사용자가 검증되면 필요한 적절한 신뢰만 즉 접근 권한을 부여한다. <최소 권한의 원칙>
• 핵심 요소는 신뢰를 지속적으로 재평가한다는 것, 사용자 또는 기기의 중요한 속성이 변경되면 검증을 취소하고 접근 권한을 제거한다.

ZTA ( 네트워크에 있는 사용자와 내용을 파악하고 제어한다 ) - 접근하는 자와  기기를 이해하는 것에 중점

네트워크에 있는 사용자와 장치를 파악하고 제어하는 것이다

이때 역할기반의 접근제어(RAC)는 접근 관리의 중요한 구성 요소다.
사용자 누구인지 확실하게 아는 경우에만 역할에 다라 적절한 수준의 접근 권한을 부여할 수 있기 때문이다.

• ZTA는 관리 제어 및 가시성이 필요한 사용자 엔드포인트를 다룬다.
• 제로 트러스트 모델에 맞춰 사용자에게 최소 수준의 네트워크 접근 권한을 부여한다.
• 네트워크의 다른 부분에 접근하거나 볼 수 있는 모든 기능을 제거하는 최소한의 접근 정책을 구현한다.
• 네트워크에 있는 사용자에만 초점 맞추는 것이 아닌 네트워크에 있는 모든 것에 대한 보안을 아우른다. 예를 들어 IoT기기에 적용해 역할을 수행하는 데 충분한 네트워크 접근 권한을 부여할 수 있다.

ZTNA ( 제로 트러스트 네트워크 접근 )  - 애플리케이션 접근을 중심이며 VPN 사용의 대안으로 논의

애플리케이션에 대한 엑세스 권한이 부여되는 보안 아키택처 

최소 권한 원칙, 소프트웨어 정의 경계, 고급 보안 도구 및 정책의 혼합

• 원격 작업의 증가로 ZTNA는 위치에 관계없이 애플리케이션 접속을 제어하는 방법이다.
• 다른 방법으로 입증되기 전 까지 어떤 사용자나 기기도 접근할 수 있는 신뢰를 부여하지 않는다.
• 제로 트러스트 모델을 네트워크 이상으로 확장하고 인터넷에서 애플리케이션을 숨겨 공격 표면을 줄인다.

 

용어정리

소프트웨어 정의 경계 : SDP는 신원을 기반으로 리소스에 대해 액세스를 제어하는 프레임워크로 네트워크 장치, 단말의 상태, 사용자 ID를 체크하여 권한이 있는 사용자 및 디바이스에 대해서만 액세스 권한을 부여하며 인증 받지 못한 단말기에 대해서는 그 어떠한 서비스 연결 정보도 얻지 못하게 된다. 

엔드포인트 : 보안기술의 일종이다. 데이터 유출 방지(Data Loss Prevention)는 내부 정보 유출 방지를 의미한다. 보통 DLP로 축약하여 부른다.PC, 태블릿PC, 모바일, 서버 등 단말(endpoint)에서 기밀정보나 개인정보 등 내부정보 유출을 통제하는 기술을 엔드포인트 DLP(Enpoint DLP)라고 부른다.