미국에서 연방 기관, 제로 트러스트에 적합한 시기입니다

특히 모바일 및 클라우드 기반 작업 환경 시대에 중요 데이터를 보호하는 과제가 점점 커지면서 점점 더 많은 연방 기관이 디지털로 강력한 이 세상에서 자사의 요구를 더 잘 충족하는 Zero Trust 보안 모델을 선택하고 있습니다.

최근 조사 에 따르면, 연방 정부 IT 임원의 절반 가까이가 자사 기관이 디지털 리소스를 보호하기 위해 ID 중심 또는 Zero Trust 보안 전략으로 전환하고 있다고 보고했습니다. FedScoop이 제작하고 Duo Security가 후원한 이 연구에 따르면 연방 기관은 기존의 네트워크 경계 방어 전술에서 벗어나 신원 및 인증 도구를 기본 액세스 수단으로 사용하는 경계 없는 데이터 환경에 점점 더 개방적인 것으로 나타났습니다.

Zero Trust의 가속화된 추진력과 그에 따른 도입에 대해 가장 잘 말해주는 것은 최근 사이버 보안 행정 명령 으로, 이 명령의 중요성을 강조하고 있습니다. 특히, 백악관은 최근 Zero Trust 아키텍처 전략의 최종 버전을 공개하여 향후 몇 년 내에 정부 기관 시스템의 사이버 보안을 크게 개선할 계획입니다. 이러한 변화는 멀티 클라우드 환경과 원격 근무자의 급격한 증가와 맞물려 일어났는데, 이 둘은 현대적 업무 환경의 두 가지 구성 요소로서 Zero Trust 모델이 아주 잘 다루고 있습니다.

연방 기관과 기업 세계 전체에서 Zero Trust 모델의 사용이 가속화되면서 네트워크 경계를 보호하는 기존 방법으로는 더 이상 충분하지 않다는 인식이 커지고 있습니다. 정의된 경계 내에 더 이상 신뢰할 수 있는 네트워크가 없기 때문에 "신뢰하지만 확인" 접근 방식은 더 이상 유효하지 않습니다. 대신, 연방 보안팀은 세 가지 더 효과적인 원칙을 준수해야 합니다.

• 결코 믿지 마세요. 사용자와 엔드포인트가 실제로 신뢰를 얻을 수 있는 경우를 제외하고는요.
  
  
• 항상 확인하세요. 이는 위험 기반 접근 방식을 도출하는 데 필요한 컨텍스트, 애플리케이션, 위치 동작 분석 및 기타 구성 요소에 적용되는 지침입니다. 이는 엔드포인트 활동에 적합합니다.
  
  
• 지속적으로 모니터링합니다. 단 한 번만 인증하는 것으로는 충분하지 않으며 그 시점부터는 위험이 낮을 것이라고 가정합니다. 지속적인 인증만이 지속적인 보안을 보장합니다.

F5는 최근 NIST의 NCCoE와 협력하여 Zero Trust 아키텍처 구현 프로젝트 에 참여하는 18개 공급업체 중 하나로 선정되어 Zero Trust 아키텍처를 설계하고 구축하는 데 필요한 실용적이고 상호 운용 가능한 접근 방식을 개발합니다. Zero Trust 도입의 최전선에 있는 주요 연방 기관과 협력해 얻은 깊은 전문 지식은 이러한 중요한 문제를 해결하는 데 도움이 됩니다. F5의 광범위한 애플리케이션 보안 포트폴리오는 아래에 설명된 대로 Zero Trust 아키텍처 내의 4가지 핵심 제어 지점을 포함합니다.

엔드포인트: 신뢰할 수 있는 앱 액세스

F5 Labs 에 따르면 2020년 액세스 관련 침해가 알려진 침해 원인 중 가장 큰 비중을 차지한 것은 34%였습니다. 액세스 관련 침해가 증가하는 시대에는 신뢰할 수 있는 애플리케이션 액세스 솔루션이 필수적입니다.

F5 BIG-IP Access Policy Manager(APM)는 모든 앱에 대한 최신 인증을 제공하여 사용자와 앱의 위치에 관계없이 앱, API 및 데이터에 대한 액세스를 간소화하고 중앙화합니다. 앱이 온프레미스에 있든 클라우드에 있든 SSO를 통해 더 나은 사용자 경험을 제공하고 Zero Trust 아키텍처를 사용하여 보다 안전한 환경에서 공통된 사용자 경험을 제공합니다.

APM은 IAP(Identity Aware Proxy)를 통해 모든 앱 액세스 요청을 보호하는 Zero Trust 모델 검증을 배포합니다. 연방 기관에서 권한이 있는 사용자를 인증하는 프로세스는 APM에 미국이 표시되는 것으로 시작됩니다. 인증을 진행하기 전에 동의를 요구하는 정부 경고 배너가 사용자에게 표시됩니다. APM은 다양한 옵션을 사용하여 사용자에게 강력한 자격 증명을 요청합니다. 예를 들어, 자격 증명을 인증서 해지 목록이나 온라인 인증서 상태 프로토콜 서버와 비교하여 자격 증명이 해지되지 않았는지 확인합니다.

권한이 있는 사용자에게 시스템 액세스가 허용되면 APM은 추가 속성을 쿼리하여 사용자가 액세스할 수 있는 리소스를 확인합니다. 또한 클라이언트가 정부 제공 장비(GFE)를 사용하고 있는지, 호스트 기반 보안 시스템(HBSS)을 준수하고 있는지, 지원되는 운영 체제를 실행하고 있는지 확인하는 등 클라이언트의 무결성을 보장하기 위한 여러 가지 고급 기능도 있습니다.

네트워크 인프라: 애플리케이션 보안

Zero Trust를 달성하려면 앱이 안전하고 사용 가능한지 확인하는 네트워크 인프라가 필요합니다. F5 Labs 연구에 따르면, 페이지 로드의 약 90%가 SSL/TLS로 암호화되어 있으며, 이는 암호화가 요즘에는 표준이 되었음을 의미합니다. 그럼에도 불구하고 암호화된 위협은 계속 존재합니다. 실제로 공격자가 암호화를 사용해 악성 페이로드를 숨기고 보안 제어를 우회하는 경우가 많습니다.

중앙 집중식 암호화 제어를 통해 인바운드 및 아웃바운드 SSL/TLS 트래픽에 대한 강력한 복호화/암호화를 제공하여 위협을 제거하는 SSL 가시성 솔루션을 고려하세요. 이 솔루션은 사각지대를 없애기 위해 정책 기반 오케스트레이션을 제공하고, 모든 네트워크 토폴로지, 장치 또는 애플리케이션에 대한 전체 보안 체인에서 비용 효율적인 가시성을 제공하는 정책 기반 오케스트레이션을 제공해야 합니다.

응용 프로그램: 기관 보호를 위한 애플리케이션 계층 보안

F5 랩 조사에 따르면, 조직에서는 평균적으로 765개의 앱을 배포하는 것으로 나타났습니다. 사이버 공격자는 잠재적으로 많은 표적을 갖고 있기 때문에 기관에서는 Zero Trust 전략의 일환으로 이러한 앱을 보호하는 데 항상 주의를 기울여야 합니다.

애플리케이션 계층 보안 솔루션(앱이 클라우드, 온프레미스, SaaS 기반 또는 완전 관리형인지 여부)은 애플리케이션에서 또는 애플리케이션 근처에서 보안을 제공하고 Zero Trust 아키텍처에서 애플리케이션 스택을 보호해야 합니다.

연방 WAF 솔루션은 앱의 상태를 지속적으로 모니터링하는 행동 분석을 통해 7계층 DoS 공격으로부터도 보호해야 합니다. 기타 기능으로는 사용자 계정에 대한 무단 액세스를 방지하고 API 공격으로부터 앱을 보호하는 자격 증명 보호 기능이 포함되어야 합니다.

신원 서비스: 파트너십

Microsoft , Okta , Ping 과 같은 조직과 긴밀한 파트너십을 맺은 공급업체의 솔루션을 구축하는 것을 고려하세요. 신뢰할 수 있는 앱 액세스 솔루션을 이러한 IDaaS(Identity-as-a-Service) 공급자와 통합하면 클라우드 기반, SaaS, 미션 크리티컬 및 맞춤형 애플리케이션 간의 ID 격차를 해소하여 사용자에게 통합되고 안전한 액세스 환경을 제공할 수 있습니다.

연방 기관 역시 성공적인 Zero Trust 구축을 보장하기 위해 강력한 파트너십을 구축해야 합니다. 전문 지식과 필요한 솔루션을 원하시면 저희에게 문의해 주시기 바랍니다. 당사의 목표는 귀사가 가능한 한 원활하게 Zero Trust로 전환하여 귀사의 기관 발전을 위한 혜택을 누릴 수 있도록 돕는 것입니다.

빌 처치
최고기술책임자 – F5 US Federal Solutions

(이 콘텐츠의 이전 버전은 2020년 후반에 게시되었습니다. (2022년 초에 업데이트되었습니다.)