이 문서에서는 잘 알려진 제로 트러스트 프레임워크에 대한 개요를 제공하고 Microsoft 제로 트러스트 채택 모델을 통해 프레임워크 이해에서 대규모 채택으로 전환하는 방법을 보여 줍니다.
제로 트러스트 단일 프레임워크가 아닙니다. 여러 산업 및 정부 표준에 부합하는 보안 모델입니다. 이러한 표준은 경쟁 솔루션이 아닙니다. 각 항목은 핵심 개념 정의, 진행률 평가 또는 조직 전체의 채택 조정과 같은 제로 트러스트 다양한 측면을 다룹니다.
업계 프레임워크는 제로 트러스트 달성해야 하는 것을 정의하는 데 도움이 되지만, 조직은 해당 지침을 솔루션 계획, 디자인 및 배포를 위한 특정 전략 및 아키텍처로 변환하는 방법이 여전히 필요합니다.
Microsoft 제로 트러스트 채택 모델은 그렇게 합니다. 업계 프레임워크에 맞게 조정하고 구축하여 제로 트러스트 채택 및 구현을 가속화하는 참조 전략 및 아키텍처를 제공합니다.
Tip
Microsoft 다양한 보안 채택 워크샵인 SAF(Security Adoption Framework) 워크샵 제공합니다. 당사의 구조화된 채택 모델 지침은 이러한 워크샵에서 제공되는 Microsoft Unified의 전문가 주도 지침에 부합합니다. SAF 워크샵에 대해 자세히 알아보세요.
NIST 제로 트러스트
미국 국립표준기술연구소(NIST) 특별 간행물(SP) 800-207, 제로 트러스트 아키텍처는 업계에서 널리 인정되는 제로 트러스트 아키텍처의 정의를 정립합니다. 특정 공급업체, 제품 또는 배포 로드맵과 관계없이 제로 트러스트 무엇이며 신뢰 결정이 어떻게 이루어지는지 설명합니다.
NIST SP 800-207은 조직이 보안, IT 및 아키텍처 팀 간에 공유할 수 있는 제로 트러스트 개념에 대한 공통적이고 신뢰할 수 있는 정의가 필요한 경우에 가장 유용합니다.
NIST 기능
NIST는 리소스에 대한 액세스를 암시적으로 신뢰할 수 없는 아키텍처로 제로 트러스트 명시적으로 배치합니다.
NIST의 제로 트러스트 원칙은 다음과 같습니다.
- 전체적이고 실용적인 보안 접근 방식을 추진하기 위해 손상(위반)을 가정합니다.
- 자산에 대한 액세스 권한을 부여하기 전에 트러스트를 명시적으로 확인합니다.
- 필요한 최소 권한을 부여하여 폭발 반경을 제한합니다.
주요 아키텍처 개념은 다음을 중점적으로 설명합니다.
- 상황별 신호를 사용하여 액세스 요청의 지속적인 동적 평가
- 조직 정책에 대한 신호를 평가하는 중앙 집중식 정책 결정 논리입니다.
- 보호된 리소스에 가까운 정책 적용 기능은 결정을 적용합니다.
NIST에서 정의한 제로 트러스트 개념 아키텍처는 정책 엔진, 적용 지점 및 상황별 신호를 사용하여 액세스 결정을 평가하고 적용하는 방법에 중점을 둡니다.
다음 사항에 유의하십시오.
- NIST SP 800-270은 ID, 엔드포인트 또는 데이터 보호와 같은 기술 핵심 요소 또는 보안 도메인을 정의하지 않습니다.
- ID, 디바이스 상태, 애플리케이션 및 데이터는 별도의 아키텍처 도메인이 아닌 신뢰 결정을 알리는 컨텍스트의 주체, 리소스 및 원본으로 모델링됩니다.
Microsoft 보안 채택 모델 운영 프레임워크 내에서 원칙과 구성 요소를 적용하여 이 아키텍처를 기반으로 합니다.
NIST는 신뢰 의사 결정을 내리고 적용하는 방법을 정의하지만, 채택 모델은 비즈니스 계획, 소유권, 솔루션 디자인, 구현 및 진행률 추적을 안내하기 위해 보안 분야 및 기술 핵심 요소 간에 이러한 기능을 구성합니다.
Implementation
구현 지침은 NIST SP 1800-35 제로 트러스트 아키텍처 구현 제공됩니다.
이 구현 지침의 경우:
- NIST는 Microsoft 포함한 24개 공급업체와 협력하여 제로 트러스트 대한 사이버 보안 참조 설계를 구현하고자 하는 조직을 위한 실용적인 단계가 포함된 가이드를 개발했습니다.
- Microsoft 제로 트러스트 기능을 구현하는 기술을 제공하는 공급업체 중 하나로 참여했습니다.
- ID 및 액세스 관리.
- 엔드포인트 관리 및 구성.
- 위협 방지 및 모니터링.
- 분산 리소스에 대한 보안 액세스
이 다이어그램은 NIST SP 1800-35 공동 작업의 결과입니다. MCRA(Microsoft 사이버보안 참조 아키텍처에서 다운로드할 수 있습니다. MCRA에 대해 자세히 알아보기
CISA 제로 트러스트 성숙도 모델
CISA(Cybersecurity and Infrastructure Security Agency) 제로 트러스트 완성 모델 채택 및 평가를 중심으로 구성됩니다. 이 완성도 모델은 조직이 현재 상태를 구성 및 평가하고, 개선의 우선 순위를 지정하고, 진행 상황을 추적하는 데 도움이 됩니다.
CISA 기능
NIST와 달리 CISA는 참조 아키텍처를 정의하지 않고 특정 디자인 패턴과 독립적으로 기능을 평가합니다.
- 이 모델은 ID, 디바이스, 네트워크/환경, 애플리케이션/워크로드 및 데이터를 비롯한 핵심 기반 도메인을 사용합니다.
- 또한 가시성 및 분석, 자동화 및 오케스트레이션, 거버넌스의 세 가지 교차 절단 기능을 정의합니다.
- 또한 기존, 초기, 고급 및 최적의 네 가지 완성도 단계를 캡처합니다.
- 거버넌스는 독립 실행형 핵심 요소로 취급되지 않고 모든 도메인에서 비즈니스 맞춤, 명확한 소유권 및 측정 가능한 결과를 보장하는 교차 절단 기능으로 취급됩니다.
Implementation
이 모델은 Microsoft 보안 채택 모델에 부합하고 알리는 한편, Microsoft 아키텍처와 같은 분야를 도입하여 NIST SP 800-207과 같은 개념적 프레임워크를 실제 구현과 연결함으로써 이를 더욱 확장합니다.
| Cisa | 도입 분야/핵심 축 | 세부 정보 |
|---|---|---|
|
정체성 ID는 인증, 권한 부여, ID 위험, 수명 주기를 포함합니다. 앱 및 워크로드는 앱 액세스 제어, 워크로드 ID 및 보안 앱 상호 작용을 다룹니다. |
분야: ID 및 액세스 기술: 신원 |
Microsoft 액세스 제어는 ID 및 애플리케이션 계층에 걸쳐 있으며 CISA는 이를 구분합니다. |
|
거버넌스 엔터프라이즈 차원의 정책, 제어 및 적용. |
분야: 전략, 통합, 거버넌스 보안 아키텍처 기술: 모두. |
CISA의 정책 및 제어 기능은 SecOps 결과에 직접 매핑됩니다. Microsoft 거버넌스의 다른 측면(비즈니스 정렬, 위험 관리, 역할 등)에 더욱 중점을 두고 아키텍처 분야 및 참조 아키텍처에 집중합니다. |
|
디바이스 디바이스 인벤토리, 자세, 규정 준수; 네트워크 세분화, 보안 연결, 환경 제어 비전통적, 제한된 디바이스 및 특수 디바이스를 포함합니다. |
분야: ID 및 액세스, 인프라 보안, OT/IoT 보안 기술: 엔드포인트 |
인프라 신뢰는 디바이스 상태 및 제어된 연결을 통해 설정되며, 폭발 반경 및 횡적 이동을 최소화하기 위해 제로 트러스트 목표에 부합합니다. Microsoft 고유한 소유권 및 위험 관리 이유로 인해 OT/IoT 디바이스를 고유한 분야로 간주합니다. |
|
앱 및 워크로드 앱 및 워크로드에는 애플리케이션 액세스 제어, 워크로드 ID 및 보안 애플리케이션 상호 작용이 적용됩니다. |
분야: 개발 보안 기술: 앱 |
CISA의 워크로드 포커스는 배포 후 작업으로 처리하는 대신 애플리케이션 및 서비스 수명 주기에 보안을 포함시켜 DevSecOps 목표에 부합합니다. |
|
Networks 네트워크 세분화, 보안 연결, 환경 제어. |
분야: ID 및 액세스 기술: 네트워크 |
Microsoft 모든 액세스(ID, 앱 및 네트워크)를 단일 분야로 결합하여 기술 전반에서 명확한 전략, 아키텍처 및 정책 일관성을 촉진합니다. |
|
데이터 네트워크 위치에 관계없이 데이터 분류, 인벤토리, 액세스 제어, 암호화 및 보호. |
분야: 데이터 보안 기술: 데이터 |
두 모델 모두 데이터를 기본 보호 대상으로 지정하고 경계 보안에서 데이터 중심 컨트롤로의 제로 트러스트 전환을 강화합니다. |
|
가시성 및 분석, 자동화 및 오케스트레이션 원격 분석 수집, 연속 모니터링, 검색, 응답 자동화 및 대규모 정책 적용 |
분야: SecOps 기술: 모두 |
CISA의 교차 절단 기능은 위협 감지, 대응 자동화 및 모든 도메인에서 지속적으로 신뢰 재평가를 포함하는 SecOps 결과에 직접 매핑됩니다. |
| 모든 기둥의 완성도 단계 | 보안 상태 | 자세 관리는 CISA 모델의 핵심 목적입니다. 현재 상태를 평가하고, 격차를 식별하고, 개선의 우선 순위를 지정하고, 시간에 따른 제로 트러스트 진행 상황을 추적합니다. |
자세한 내용은 Microsoft 클라우드 서비스로 CISA 제로 트러스트 성숙도 모델 구현을(를) 참조하세요.
열린 그룹 제로 트러스트 참조 모델
The Open Group의 제로 트러스트 참조 모델은 엔터프라이즈 역량 및 통합 관점에서 제로 트러스트에 접근합니다. 특정 구현 단계를 정의하는 대신 조직이 대규모로 제로 트러스트 정의, 통합 및 운영하는 데 필요한 기능 및 거버넌스 구조를 설명합니다.
그룹 기능 열기
기능은 다음과 같습니다.
- 기능 + ABB(아키텍처 구성 요소) 는 지속적인 보안 결과와 이를 가능하게 하는 사람, 프로세스 및 기술을 구동하는 보안 기능을 정의합니다.
- 협업 및 통합 모델은 조직의 전략, 위험 관리, 운영 및 기타 측면과 보안을 통합하는 방법을 보여 줍니다.
기능은 함께 작동하는 사람, 프로세스 및 기술 요소로 구성됩니다.
- 사용자: 오픈 그룹 역할 및 용어집 표준에서 역할로 정의됨
- Process: 동일한 제로 트러스트 참조 모델 표준에서 ABB(아키텍처 구성 요소)로 정의됩니다.
- Technology: 동일한 제로 트러스트 참조 모델 표준에 ABB로 정의됨
이 다이어그램은 다음과 같은 기능을 보여줍니다.
이 다이어그램은 이러한 기능이 NIST CSF(NIST 사이버 보안 프레임워크)의 기능에 어떻게 부합하는지 보여줍니다.
Implementation
이 모델은 당사의 권장 도입 모델에 해당합니다.
| 그룹 열기 | 도입 원칙 | 정렬 |
|---|---|---|
|
제로 트러스트 전략 및 거버넌스 조직이 거버넌스, 위험 관리, 정책 소유권 및 사람, 프로세스 및 기술 조정을 포함하여 비즈니스에 맞는 전략으로 제로 트러스트 설정하는 방법을 정의합니다. |
전략, 통합 및 거버넌스 | 오픈 그룹과 Microsoft 모두 기술 제어 집합이 아닌 엔터프라이즈 전략으로 제로 트러스트 명시적으로 배치합니다. 이는 조직 전체의 임원 맞춤, 소유권 및 통합을 직접 지원합니다. |
|
Capability 기반 제로 트러스트 아키텍처 특정 기술이나 제품을 규정하지 않고 제로 트러스트 아키텍처를 설계하는 아키텍처 구성 요소 및 기능 그룹을 제공합니다. |
보안 아키텍처 | 이렇게 하면 설계자가 제로 트러스트 원칙을 엔터프라이즈 규모 디자인으로 변환할 수 있도록 NIST의 추상 아키텍처와 구현 지침 사이의 공간이 채워집니다. |
|
ID, 인증, 권한 부여 및 정책 적용 기능 ID를 확인하고, 동적으로 신뢰를 평가하고, 환경 간에 일관되게 액세스 결정을 적용하는 데 필요한 기능을 정의합니다. |
ID 및 액세스 | 도입 원칙으로서 액세스 보안과 직접 연결됩니다. 즉, 누가 무엇에 어떤 조건에서 액세스할 수 있는지, 그리고 그 결정이 어떻게 시행되는지를 다룹니다. |
|
데이터 중심 보호 기능 데이터 분류, 보호 및 정책 기반 액세스를 포함하여 위치에 관계없이 정보 보호를 강조합니다. |
데이터 보안 | 제로 트러스트의 경계 보안에서 데이터 중심 보안으로의 전환을 반영하며, 데이터 보호를 도입 영역으로 삼는 방향과 자연스럽게 부합합니다. |
|
가시성, 모니터링, 분석 및 응답 기능 원격 분석 수집, 신뢰 신호 모니터링 및 관찰된 위험에 기반한 정책 조정 기능을 포함합니다. |
SecOps | 대규모 제로 트러스트 운영 및 보안 모니터링의 핵심인 지속적인 평가와 시행을 가능하게 합니다. |
|
애플리케이션 및 서비스 상호 작용 보안 기능 보안 상호 작용, 서비스 ID 및 런타임 적용을 포함하여 애플리케이션 및 서비스가 제로 트러스트 참여하는 방식을 다룹니다. |
개발 보안 | 최신 애플리케이션 수명 주기 및 서비스 간 통신에 제로 트러스트 통합하도록 지원합니다. |
|
플랫폼 및 환경 보안 기능 네트워크를 신뢰 경계로 처리하지 않고 워크로드를 호스트하는 플랫폼, 네트워크 및 환경의 보안 작업을 다룹니다. |
인프라 보안 | 인프라를 적용 가능하지만 본질적으로 신뢰할 수 없는 것으로 처리하여 인프라 보안을 제로 트러스트 원칙에 맞춥니다. |
|
확장 환경 및 비 전통적인 자산 지원 IT/OT/IoT 융합과 제약이 존재하는 이기종 환경 전반에서 제로 트러스트 기능이 필요함을 명시적으로 인식합니다. |
인프라(OT/IoT 보안) | OT/IoT에 고유한 소유권이 필요하지만 엔터프라이즈 제로 트러스트 전략에 맞춰야 하는 채택 현실과 일치합니다. |
|
기능 기반 완성도 및 지속적인 개선 위협과 기술이 발전함에 따라 현재 상태를 평가하고, 개선을 안내하고, 시간에 따라 적응하기 위한 기능 모델을 제공합니다. |
보안 상태 | 제로 트러스트를 일회성 배포가 아닌 지속적인 프로그램으로 정의하여 보안 상태 관리 목표에 직접적으로 부합합니다. |
Microsoft 기술을 모델에 매핑
제로 트러스트 참조 모델에는 제로 트러스트 구성 요소에 대한 전체 요약도 포함되어 있습니다. 이 다이어그램은 Microsoft 기술이 이러한 구성 요소에 매핑되는 방법을 보여 줍니다.
미국 국방부 제로 트러스트 전략
미국 국방부는 국방부 제로 트러스트 전략 및 로드맵을 발표했다.
DoD 제로 트러스트 전략에 대한 Microsoft 클라우드 서비스를 구성하는 방법에 대한 자세한 내용은 DoD 제로 트러스트 전략에 대한 Microsoft 서비스 구성 참조하세요.
다음 단계
비즈니스 시나리오를 선택하고 보안 분야가 시나리오에 매핑되는 방법을 알아봅니다.