제로 트러스트 네트워크 액세스(ZTNA)란?

ZTNA(제로 트러스트 네트워크 액세스)는 위협이 네트워크 내에서 나타날 수 있다고 가정하여 기존 경계 기반 보안 모델에 대응하기 위한 보안 프레임워크입니다. 초기에 신뢰가 부여된 다음 사용자 역할에 따라 제한되는 기존 접근 방식과 달리 ZTNA는 "신뢰하지 않고 항상 확인"하는 개념입니다.

ZTNA(제로 트러스트 네트워크 액세스)는 인증된 사용자, 장치 및 애플리케이션에만 조직 내의 다른 사용자, 장치 및 애플리케이션에 대한 액세스 권한이 부여되는 제로 트러스트 보안 아키텍처를 기반으로 합니다. 제로 트러스트가 가장 중요한 프레임워크인 반면, ZTNA는 조직의 애플리케이션에 액세스하는 사용자의 ID 및 액세스 관리를 처리하는 제로 트러스트의 하위 개념입니다.

John Kindervag 는 2010년 Forrester Research의 부사장 겸 수석 분석가로 재직하면서 ZTNA 개념을 창안한 공로를 인정받았습니다 . 이 개념은 시간이 지남에 따라 시장내 인지도가 급상승했습니다. 예를 들어, 2010년 Google 및 기타 대규모 실리콘 밸리 조직에 대한 공격 이후 Google은 Google BeyondCorp라는 ZTNA 기술이 된 다른 유형의 보안 경계 아키텍처 개발을 시작했습니다. 2019년 리서치 분석 회사인 Gartner는 새로운 개념의 SASE(Secure Access Service Edge) 를 위한 핵심 기술로 ZTNA를 포함시켰습니다 . 

ZTNA(제로 트러스트 네트워크 액세스)의 '제로 트러스트' 부분

제로 트러스트 개념의 가장 중요한 측면은 자주 인용되는 “절대 신뢰하지 말고 항상 확인하라”는 문구로 요약할 수 있습니다. 기본적으로 관리자와 시스템은 악성 콘텐츠를 확인하지 않고 장치, 애플리케이션 또는 네트워크를 보거나 액세스하도록 허용해서는 안 됩니다. 이는 이러한 요소의 콘텐츠가 해커와 악성 프로그램으로부터 숨겨져 있음을 의미합니다.

이전에는 네트워크 보안이 경계 기반 보안 모델이었습니다. 즉, 조직 경계 내부의 모든 항목은 "신뢰할 수 있는" 것으로 간주되고 경계 외부의 모든 항목은 "신뢰할 수 없는" 것으로 간주되었습니다. 이 모델의 문제는 악의적인 행위자가 침입(예: 백도어 또는 사회 공학 사용 )을 통해 조직의 경계 내부로 침투할 수 있게 되면 모든 시스템, 장치 및 장치에 대한 완전한 액세스 권한을 갖게 된다는 것입니다. 네트워크 내의 데이터베이스.

이미 신뢰를 받고 있는 개인이 그 신뢰를 남용하여 액세스해서는 안 되는 애플리케이션이나 데이터에 액세스할 수 있는 내부자 위협 문제도 계속 발생하고 있습니다 . 이전의 묵시적 신뢰 모델( implicit-trust model )에서 벗어나기 위해 트랜잭션별로 신뢰를 평가하는 제로 트러스트 모델이 만들어졌습니다. 제로 트러스트 모델은 사람이나 장치의 IP 주소를 기반으로 신뢰를 할당하는 대신 신원 확인과 컨텍스트의 조합을 검사하여 사용자나 장치를 네트워크에 허용할지 여부를 결정하고 네트워크 내에서 액세스할 수 있는 항목을 제어합니다.

본질적으로 제로 트러스트란 모든 사용자 및 장치에 대한 보안 상태가 기본적으로 신뢰할 수 없음으로 설정된 다음 최소 권한 원칙에 따라 사용자 또는 장치의 ID 및 컨텍스트를 기반으로 액세스 계층이 추가됨을 의미합니다. 제로 트러스트와 유사하게, 최소 권한 원칙은 사용자에게 업무를 효과적으로 수행하는 데 필요한 만큼만 애플리케이션, 데이터 및 리소스에 대한 액세스 권한을 부여해야 한다는 것입니다 . 제로 트러스트와 최소 권한 원칙은 모두 사용자, 장치, 애플리케이션 ID에 의존합니다. 세 가지 중 하나라도 보안 소프트웨어에 "알려진" 것으로 식별되면 네트워크에 액세스할 수 있는 권한이 부여됩니다.

대부분의 조직에서는 보안 전문가가 역할이나 기능별로 사용자, 장치 및 애플리케이션을 그룹화하고 해당 그룹에 특정 액세스 수준을 할당함으로써 인증 프로세스를 간소화할 수 있는 보안 정책을 사용합니다.

제로 트러스트와 ZTNA의 차이점은 무엇인가?

전반적인 철학과 프레임워크를 제로 트러스트라고 합니다. 제로 트러스트 보안 모델에는 다음 구성 요소가 있습니다.

• ID 및 액세스 관리(IAM) - IAM 솔루션은 사용자 ID, 인증 및 액세스 권한을 관리하여 ZTNA에서 중요한 역할을 합니다.
• 다단계 인증(MFA) - 신원 확인을 강화하기 위해 다중 요소 인증(MFA)이 구현되는 경우가 많습니다.
• 네트워크 세분화(Network Segmentation)
• 엔드포인트 장치 관리(EDM) - ZTNA는 강력한 엔드포인트 보안 솔루션을 사용하여 네트워크에 연결되는 장치의 무결성을 보장합니다.
• 소프트웨어 정의 경계(SDP) - SDP 솔루션은 각 사용자와 장치 주위에 보이지 않는 경계를 생성하여 승인된 엔터티만 특정 리소스에 액세스할 수 있도록 보장합니다. 이는 네트워크 내에서 위협의 수평 이동을 방지하는 데 도움이 됩니다.

ZTNA는 제로 트러스트의 ID 및 액세스 관리 구성 요소에 속합니다. 어떤 전문가는 "제로 트러스트 네트워크 액세스"는 다소 잘못된 명칭이라고 말합니다. ZTNA는 네트워크에 대한 전반적인 액세스보다는 "사용자의 애플리케이션에 대한 중개 액세스"에 더 가깝기 때문입니다. 따라서 이를 제로 트러스트 애플리케이션 액세스라고 부르는 것이 더 명확할 수도 있지만 좋든 나쁘든 그것은 ZTNA입니다.”

ZTNA 아키텍처

두 가지 주요 ZTNA 아키텍처, 즉 엔드포인트 ZTNA와 서비스  ZTNA가 있습니다. 엔드포인트  ZTNA는 사용자 장치에서 에이전트를 사용하는 것이 특징입니다. 서비스  ZTNA는 클라우드 기반이라는 특징이 있습니다.

엔드포인트에서 시작되는 ZTNA

엔드포인트에서 시작되는 ZTNA는 소프트웨어 정의 경계 에 대한 Cloud Security Alliance 의 사양과 유사합니다 . ZTNA는 사용자, 장치 및 애플리케이션 주위에 작은 경계를 생성하고 가상화된다는 점에서 일종의 소프트웨어 정의 경계입니다.

엔드포인트에서 시작된 ZTNA의 정보 전송 프로세스는 다음과 같습니다. 사용자 장치의 에이전트는 사용자의 보안 컨텍스트를 ZTNA 컨트롤러로 보냅니다. 보안 컨텍스트에는 지리적 위치, 시간 또는 날짜가 포함됩니다. 예를 들어 컨텍스트를 통해 ZTNA 컨트롤러에 알 수 있는 것은 사용자가 다른 국가의 데스크톱 PC와 모바일 장치에서 애플리케이션에 액세스하려고 시도하는 경우이며, 이는 해당 장치 중 하나가 손상되었음을 의미합니다. ZTNA 컨트롤러는 또한 사용자와 장치의 신원을 조사하여 인식 여부와 사용자가 액세스 권한이 있는 애플리케이션에 대한 액세스를 요청하는지 확인합니다. 위험 신호가 없으면 사용자와 장치가 인증된 것입니다. 그런 다음 컨트롤러는 여러 보안 정책을 시행할 수 있는 차세대 방화벽(NGFW)이 될 수 있는 게이트웨이에 대한 연결을 허용합니다 . 게이트웨이는 애플리케이션이 인터넷에서 직접 액세스되지 않도록 보호합니다.액세스 권한이 부여되면 트래픽은 엔드투엔드 암호화 연결을 통해 게이트웨이로 향하고 애플리케이션으로 이동할 수 있습니다. 일반화된 ZTNA 아키텍처에서는 게이트웨이가 네트워크 중앙에 표시됩니다.

서비스 기반 ZTNA

서비스 ZTNA는 Google BeyondCorp 기술과 유사합니다. 서비스 기반 아키텍처는 클라우드를 기반으로 하며 사용자 장치에 에이전트를 배포할 필요가 없습니다. 애플리케이션에 대한 액세스를 요청하는 사용자는 클라우드 서비스에 의해 인증된 후 Single Sign-On 도구와 같은 ID 관리 솔루션에 의해 검증됩니다. 이 시점에서 사용자는 이제 애플리케이션의 프록시에 액세스할 수 있게 되어 애플리케이션이 직접 액세스 및 공격당하지 않도록 격리됩니다. 서비스 중심 ZTNA의 장점은 조직이 모든 사용자의 장치에 에이전트를 배포할 필요가 없다는 것입니다.

반응형

ZTNA를 구현하기 전에 고려해야 할 요소

ZTNA를 시작하는 것은 그 자체로 전체 주제이지만, 도약하기 전에 고려해야 할 몇 가지 사항이 있습니다. 가장 중요한 것은 어떤 종류의 공급업체가 ZTNA와 관련하여 도움을 주고 싶습니까?

단일 공급업체와 여러 공급업체에 대해 논쟁이 있지만 실제로는 조직에 따라 다릅니다. 공급업체를 선택하기 전에 비용, 기존 레거시 보안 인프라, CEO 및 이사회의 위험 허용 범위, 기존 공급업체 계약 등을 모두 고려해야 합니다. ZTNA에는 독립형 ZTNA와 서비스형 ZTNA라는 두 가지 제공 모델이 있습니다. 독립형 ZTNA는 말 그대로 조직이 자체 ZTNA 솔루션을 구축, 배포 및 관리하는 것입니다. 이는 클라우드를 싫어하는 조직에 적합한 솔루션이지만 리소스 집약적일 수 있습니다. 다른 옵션인 ZTNA-as-a-service는 조직이 하나 이상의 제3자 공급업체로부터 라이선스 비용을 지불하고 해당 공급업체가 ZTNA 솔루션에 필요한 모든 소프트웨어, 커넥터 및 인프라를 제공하는 클라우드 기반 모델입니다. , 그런 다음 서버에 배포되고 거기에서 조직의 엔드포인트로 배포됩니다. 서비스형 ZTNA의 주기적인 비용은 독립형 ZTNA보다 높을 수 있지만 일반적으로 운영하는 데 필요한 인력은 더 적습니다. 그러나 ZTNA-as-a-service 모델 내에서도 어느 정도 용이성이 있습니다. 일부 공급업체는 모든 작업을 수행하는 풀 서비스 솔루션을 제공하는 반면 다른 공급업체는 서비스를 보다 저렴하게 만들기 위해 더 많은 DIY 시나리오에 추가할 수 있는 추가 서비스를 제공합니다.

ZTNA 이점

1. 향상된 보안 태세:
   • 조직은 "제로 트러스트" 사고방식을 채택함으로써 무단 액세스 및 위협의 측면 이동 위험을 크게 줄입니다.
2. 원격 근무에 대한 적응성:
   • ZTNA는 기존 VPN에 의존하지 않고도 원격 직원과 계약자에게 안전한 액세스를 제공하므로 현대적인 업무 공간에 매우 적합합니다.
3. 규정 준수 및 규제 조정:
   • ZTNA는 엄격한 액세스 제어를 시행하고 정책 준수 여부를 지속적으로 모니터링하여 조직이 규정 준수 요구 사항을 충족하도록 돕습니다.
4. 공격 표면 감소:
   • 마이크로 세분화 및 최소 권한 액세스 원칙은 공격 표면을 최소화하여 공격자가 측면으로 이동하는 것을 어렵게 만듭니다.

제로 트러스트 네트워크 액세스는 진화하는 위협 환경과 기존 보안 모델의 한계를 인정하는 사이버 보안의 패러다임 전환입니다. 지속적인 검증, 동적 정책 시행, 최소 권한 액세스에 중점을 둠으로써 조직은 방어를 강화하고 원격 작업 추세에 적응하며 정교한 사이버 위협보다 앞서 나갈 수 있습니다. ZTNA를 구현하려면 강력한 보안 생태계를 구축하기 위해 ID 관리, 네트워크 보안 제어, 엔드포인트 보호를 포괄하는 전체적인 접근 방식이 필요합니다.