블로그

Zero Trust – 질문할 사항

F5 썸네일
F5
2019년 1월 17일 게시

"제로 트러스트 전략"을 갖는 것은 "클라우드 전략"을 갖는 것과 매우 유사합니다. 달성하려는 것과 현재 위치의 맥락 없이는 거의 의미가 없습니다. 무언가를 믿어야 하기 때문에 이름조차 오해의 소지가 있을 수 있습니다. Zero Trust의 기본 정의는 "네트워크 위치를 기준으로 사용자나 장치를 신뢰하지 않는다"는 것입니다. 하지만 그렇게 간단하다면 우리 모두 이미 구현을 마쳤을 것입니다. F5의 글로벌 솔루션 아키텍트로서 저는 많은 액세스 아키텍처를 살펴볼 기회를 얻었고, 그 중 많은 아키텍처가 야심 차지만, Zero Trust 목표를 달성한 아키텍처는 거의 없습니다.

더 나은 정의는 네트워크 경계 대신 신원, 장치 및 애플리케이션을 포함하도록 신뢰 경계의 범위를 재구성하는 것으로 보입니다. 이것은 확실히 새로운 아이디어는 아니며 많은 고객이 이 방향으로 나아가는 것을 보았지만 공급업체가 자체 개발자 군대가 없는 환경에서 맞춤 솔루션을 구축하기 위해 실제로 작동하도록 하는 핵심 과제를 해결함에 따라 이제 더 많은 추진력을 얻고 있습니다. 혼란을 더하는 것은 프록시, 마이크로 터널, 마이크로 세그먼테이션, 프록시리스와 같이 선택할 수 있는 다양한 모델이 있고, 마이크로 세그먼테이션 및 소프트웨어 정의 경계(SDP)와 같은 경쟁적인 용어와 관련 개념도 있다는 것입니다. 이렇게 모호한 선택지가 많은 상황에서 성공을 어떻게 정의하시나요? 그리고 어디서부터 해결책을 평가하기 시작하시나요? 먼저, 자신의 목표와 요구 사항이 무엇인지 알아야 합니다. 그럼, 저는 이런 질문으로 시작하겠습니다...

어떤 유형의 애플리케이션을 보호하고 싶습니까?

프록시는 웹 애플리케이션을 처리하는 데 적합하고, SSO 기능, 우수한 사용자 경험, 비교적 쉬운 배포 및 관리를 제공합니다. 서버 접근에 대해서도 제로 트러스트를 제공하고 싶으신가요? 일부 솔루션은 SSH 및 RDP 프록시를 제공합니다. 이 세 가지 프로토콜 모두에 대해 애플리케이션 코드나 서버 인증 모듈에 직접 통합되는 프록시리스 솔루션도 있지만, 이는 트래픽이 서버/애플리케이션에 도달하기 전에는 막을 수 없으므로 더 많은 위험을 감수해야 한다는 점을 명심해야 합니다.

애플리케이션 대상에 이러한 것 이상이 포함되는 경우 터널 기반 솔루션으로 확장해야 할 가능성이 높습니다. 모든 터널 솔루션이 동일하게 만들어진 것은 아닙니다. 일부는 기존 VPN을 활용하여 연결을 단일 게이트웨이로 제한합니다. 마이크로 터널은 더 나은 접근 방식으로, 앱이 어디에 있든 액세스 요구 사항을 해결하는 데 도움이 되도록 다양한 엔드포인트에 여러 터널을 설정할 수 있습니다.

어떤 유형의 보호 조치를 구현해야 합니까?

이는 모든 애플리케이션 앞에 다중 인증 요소를 갖추고, 자격 증명 채우기 및 무차별 대입 공격 보호, 봇 보호, 데이터 유출 방지 및 침입 방지 시스템과 같은 보안 서비스를 통합하여 트래픽 가시성을 확보하고, 웹 앱을 위한 웹 앱 방화벽을 구축할 수 있는 좋은 기회입니다. 일관된 액세스 모델을 구현함으로써 이러한 모든 서비스를 삽입할 수 있는 일관된 장소도 만드는 것입니다. 종단간 기밀 유지 솔루션에 주목하세요. 매력적으로 들리지만, 모든 보안 서비스를 우회해야 한다는 것을 깨닫기 전까지는 그렇습니다. Zero Trust는 결코 보안 태세를 약화시켜서는 안 됩니다. 게이트웨이에서 터널을 종료한 다음 가시성 및 보안 어플라이언스를 통해 트래픽을 라우팅하는 것이 좋은 전략입니다.

Single Sign-On(SSO)이 필요하신가요?

터널 솔루션은 일반적으로 애플리케이션에 ID를 제공할 수 없으며 때로는 다른 원활한 인증이 있는 환경에 의존합니다. 원하는 SSO를 제공하려면 프록시나 직접 코드 통합이 필요할 수 있습니다. 이를 실현하는 것은 많은 이해관계자들에게 성공을 가져다주는 열쇠가 될 것입니다. 올바르게 구축된 솔루션은 보안과 동시에 사용자 경험을 향상시킬 수 있습니다.

귀사의 분석 전략은 무엇입니까?

여기서는 높은 기대를 가져야 합니다. 조직 전체에 걸쳐 일관된 액세스 정책 프레임워크를 구축할 때 가장 중요한 이점은 누가 어떤 장치에서 어떤 리소스에 액세스하는지, 언제 어디에서 액세스하는지 이해하는 것입니다. 이러한 데이터 수집은 다른 보안 도구에서 수집된 데이터와 함께 사용 및 분석되어 위협을 식별하고 완화하는 데 사용되어야 합니다. 이는 가시성, 위협 식별, 완화를 포함한 모든 단계에서 킬체인을 강화하여 조직 내 위험을 해결할 수 있는 기회입니다. 이 분야의 공급업체는 아직 완전한 패키지를 제공하지 않으므로 타사의 분석을 솔루션에 통합하여 개선할 수 있는 방법을 찾아야 합니다. 단일 플랫폼에서 모든 것을 제공하려고 하기보다는 자체 솔루션 외에도 파트너 통합에 중점을 두는 공급업체를 찾는 것이 좋은 전략입니다.

어떤 유형의 사용자 경험을 기대해야 하나요?

프록시는 브라우저에서 사용자의 동작을 변경할 필요가 없고 클라이언트 측에서 필요한 구성 요소가 적기 때문에 웹 애플리케이션에 뛰어난 사용자 경험을 제공하는 경향이 있습니다. 하지만 다른 솔루션에는 터널 클라이언트가 필요할 수 있습니다. 최종 사용자가 터널에 대해 전혀 또는 거의 전혀 알지 못한다고 기대하는 것은 합리적입니다. 기존 VPN은 마이크로 터널에 비해 사용자 경험이 좋지 않고, 위에서 설명한 대로 다른 한계도 있습니다.

어떤 플랫폼을 지원해야 합니까?

일부 솔루션은 데스크톱에는 훌륭한 플랫폼을 제공하지만 모바일 기기에는 그렇지 않습니다. 솔루션을 평가하여 주요 데스크톱 OS, 모바일 기기, 기본 모바일 앱에서 사용자의 요구를 충족할 수 있는지 확인하고, 일관된 사용자 경험과 기능 세트가 있는지 확인하세요.

다음 단계

목표를 정의하세요. 여기에는 사용자 경험 개선, 보안 서비스 통합 개선, 모든 측면의 다중 요소 적용, 분석 통합 전략 등이 포함되어야 합니다. 이는 심층적인 평가를 위해 시간을 투자할 만한 공급업체와 아키텍처를 결정하는 데 도움이 됩니다. 다음으로, 좋은 파트너십 전략을 갖춘 공급업체에 집중하세요. 어떤 단일 공급업체도 이 아키텍처에서 기대하는 모든 것을 제공할 수는 없으므로, 이를 기반으로 구축할 수 있는 플랫폼이 필요합니다. 장기적으로 보면 더 행복해질 거예요. 믿으세요 !