이 문서에서는 조직 전체에서 보안 제어를 설계, 구현 및 운영하기 위한 최신 보안 기반으로서의 핵심 제로 트러스트 원칙에 대한 개요를 제공합니다.
제로 트러스트는 간단한 아이디어를 기반으로 한 현대적인 보안 접근 방식입니다: 절대 신뢰하지 말고, 항상 검증하라.
액세스 권한은 다음을 확인한 후에만 부여됩니다.
- 액세스를 요청하는 사람은 누구인가요?
- 어떤 디바이스를 사용하고 있나요?
- 그들의 위치와 동작은 무엇입니까?
- 위험 수준은 무엇인가요?
확인은 한 번만 수행되지 않습니다. 세션 전체에서 신뢰가 유지되도록 지속적으로 유지됩니다.
제로 트러스트 원칙
제로 트러스트 액세스 결정 및 보안 제어를 제어하는 세 가지 원칙을 기반으로 합니다.
| 원칙 | 이행 |
|---|---|
| 명시적으로 확인 | 모든 액세스 요청은 사용 가능한 모든 신호를 사용하여 인증되고 권한이 부여됩니다. |
| 최소 권한 액세스 사용 | 사용자 및 워크로드는 필요한 가장 짧은 시간 동안 필요한 액세스 권한만 얻습니다. |
| 침해 가정 | 보안 제어는 공격자가 환경 내에서 작동할 수 있다는 기대에 따라 설계되었습니다. 컨트롤은 위반 영향을 제한하고 신속한 위협 감지 및 대응을 가능하게 하는 데 중점을 줍니다. |
제로 트러스트 결과
일관되게 적용하면 제로 트러스트 기존의 "기본적으로 신뢰" 모델을 "예외별 신뢰"로 대체하는 명확하고 일관되고 측정 가능한 보안 결과를 가져옵니다.
- 액세스 권한이 명시적으로 부여되고 지속적으로 평가됩니다. 신뢰가 정적이지 않습니다. 조건이 변경되면 모든 요청이 실시간으로 평가됩니다.
- 액세스는 조건부 및 임시입니다. 권한은 필요한 경우에만 부여되며 더 이상 유효하지 않을 때 제거됩니다.
- 사용 권한은 엄격하게 범위가 지정됩니다. 사용자 및 워크로드는 필요한 최소 액세스 권한으로 작동합니다.
- 보안 제어는 일관되게 작동합니다. 컨트롤은 온-프레미스 시스템, 클라우드 플랫폼, SaaS 애플리케이션 및 AI 워크로드를 비롯한 모든 환경에 일관되게 적용됩니다.
- 탐지 및 응답이 기본 제공됩니다. 연속 모니터링은 더 빠른 위협 식별, 포함, 수정 및 응답을 제공합니다.
전통적인 가정에 도전하기
기존 보안 모델은 네트워크 경계를 사용하고, 경계 내의 자산이 외부 자산보다 안전하다고 가정하고, 보안을 보안 팀의 책임으로 간주합니다.
이러한 모델은 네트워크 검색 및 직접 악용과 같은 오래된 위협에 대해 효과적이지만, 최신 공격은 ID 손상, 피싱 및 세션 하이재킹을 사용하며 네트워크 위치에 종속되지 않기 때문에 오늘날에는 충분하지 않습니다.
제로 트러스트 이 모델을 다음으로 대체합니다.
- 원본에 관계없이 모든 액세스 요청을 신뢰할 수 없는 것으로 처리합니다.
- 실시간 컨텍스트를 기반으로 의사 결정을 내립니다.
- 보안 책임 확대.
주요 변화
제로 트러스트 보안으로의 키 이동은 다음을 의미합니다.
- 보호는 자산을 따릅니다. 자산은 본질적으로 자산이 있는 위치에 의해 보호되지 않습니다. 모든 액세스 요청은 명시적으로 유효성을 검사하고, 중요한 리소스에 대한 액세스는 엄격하게 제한되며, 위협은 지속적으로 모니터링됩니다.
- 액세스는 항상 유효성을 검사하고 모니터링합니다. 보안 결정은 현재 조건을 기반으로 합니다.
-
보안은 기술만이 아닙니다. 사람과 프로세스는 위험을 초래합니다.
- 권한 없는 데이터 사용, 자격 증명 공유, 보안 위생 부족 및 기타 보안 바로 가기와 같은 인간의 동작은 공격자가 악용하는 노출을 초래할 수 있습니다.
- 시스템 배포, 데이터 공유 및 보안 제어 적용과 같은 프로세스는 위험에 직접 영향을 줍니다.
-
모든 사람이 책임을 공유합니다. 우리는 보안이 모든 사람의 일임을 인식해야 합니다.
- 지속적인 확인 및 최소 권한은 인적 요인의 영향을 줄이는 데 도움이 됩니다.
- 보안 제어는 실제 사용 및 의사 결정에 부합해야 합니다.
구조화된 채택 경험
제로 트러스트 보안을 채택하는 것은 점진적이고 장기적인 노력입니다.
모든 조직은 보안 완성도, 기존 기술 및 위험 프로필의 영향을 받아 다른 위치에서 여정을 시작합니다.
채택에 대한 구조화된 접근 방식을 사용하면 보안이 성숙함에 따라 제로 트러스트 원칙이 일관되게 적용됩니다. 구조화된 채택 모델은 다음 세 가지 구성 요소에 중점을 둡니다.
- 비즈니스 시나리오 비즈니스 리더가 가장 중요한 위험 영역에 중점을 두고 조직의 보안 결과를 정의하고 우선 순위를 지정하도록 지원합니다.
- 보안 분야 보안의 공통 영역에서 전략, 아키텍처, 프로세스 및 제어를 정의하는 팀을 안내합니다. 각 비즈니스 시나리오는 일반적으로 하나 이상의 보안 분야에 매핑됩니다.
- 기술 핵심 요소 ID, 데이터 및 디바이스와 같은 보안의 특정 영역에 집중합니다. 구현 지침은 특정 비즈니스 시나리오를 대상으로 하거나 특정 기술 핵심 요소에 초점을 맞출 수 있습니다.
다음 단계
- 구조화된 채택을 시작하려면 제로 트러스트 채택 경로 따릅니다.
- 중요한 보안 결과를 살펴보려면 비즈니스 시나리오부터 시작하세요.
- 현재 제로 트러스트 태세 평가를 시작하려면 제로 트러스트 평가를 시작하세요. 구현을 직접 살펴보려면 기술 솔루션 구현을 검토합니다.