가장 넓은 관점에서 제로 트러스트 원칙은 시스템 설계, 사용되는 하드웨어 플랫폼, 조달 절차를 포함한 전체 어플리케이션 개발 수명주기에 적용될 수 있습니다.2 그러나 이 백서에서는 런타임에 어플리케이션과 데이터를 보호하기 위한 제로 트러스트 구현의 운영 측면에 대해 설명합니다.
일반적으로 제로 트러스트 보안은 세 가지 목표 중 하나를 달성하기 위해 기술을 사용합니다.
다음 그래픽은 이러한 전체 제로 트러스트 보안 트랜잭션 모델을 보여 주며, 다음 섹션에서는 각 기술 클래스에 대해 자세히 설명합니다.
처음 두 가지 기술인 인증과 액세스 제어는 "누가 무엇을 할 수 있는지"를 시행하는 데 핵심이 되는 기술이기 때문에 밀접하게 관련되어 있으며 "명시적으로 확인"과 "최소 권한"이라는 원칙에 직접적인 동기를 부여합니다. 보다 정교한 인증 구현은 행위자의 지속적인 행동을 관찰하여 "지속적으로 평가"하는 사고방식을 사용합니다.
인증 기술은 거래 당사자라는 검증된 신원에 대한 신뢰를 구축하는 것입니다. 인증 프로세스에는 세 가지 구성 요소가 있습니다.
가장 기본적인 증명 형식을 흔히 "사용자"라고 합니다. 즉, 트랜잭션을 수행하려는 사람 또는 사람을 대신하여 행동하는 에이전트입니다. 그러나 응용프로그램 내에서 제로 트러스트가 사용되는 경우 작업량(예: 프로세스, 서비스 또는 컨테이너)이 행위자일 수 있으므로 일반화된 신원 개념에는 이러한 행위자가 포함되어야 합니다. 다른 경우에, 누가라는 개념은 인간이나 워크로드뿐만 아니라 신원에 대한 추가적인 고려사항이나 차원을 포함합니다. 이러한 관점에서 ID의 추가 차원에는 사용자/워크로드의 장치 또는 플랫폼, 상호 작용 또는 에이전트의 위치에 사용되는 에코시스템 등이 포함될 수 있습니다. 예를 들어, 사용자 "Alice"는 IPv4 주소 10.11.12.13에서 원본으로 제공되는 특정 지문 브라우저 인스턴스를 사용하여 "ABC-0001"로 태그가 지정된 PC에 있을 수 있습니다.
일부 시스템에서는 "게스트" 또는 "익명" 사용자라고도 하는 인증되지 않은 사용자가 제한된 범위의 트랜잭션을 수행할 수 있도록 허용합니다. 이러한 시스템에서는 신원을 증명하는 추가 단계와 시스템에서 판결을 내리는 것은 관련이 없습니다. 그러나 특정 신원이 증명된 경우에는 일반적으로 다음 방법이 해당 증명을 지원하기 위해 사용됩니다.
높은 수준의 신뢰도가 필요한 경우 여러 가지 방법을 사용하는 경우가 많습니다. 이는 Google BeyondCorp 모델에서 확인할 수 있습니다.3 더 높은 가치의 거래를 허용하기 전에 다단계 인증(MFA)이 필요합니다. 더 정교한 인증 솔루션은 각 ID에 '신뢰도'를 연결하고 거래의 가치와 위험에 따라 각 거래 유형에 대한 최소 신뢰도 수준을 지정합니다.
마지막으로, 이러한 방법 중 일부는 정적인 일회성 조치가 아니라 '지속적 평가' 원칙에 따라 진행 중일 수 있으며 진행되어야 합니다. 이러한 경우 신원 증명에 할당된 신뢰 점수는 시간이 지남에 따라 증가하거나 감소할 수 있습니다. 예를 들어, 단일 사용자 세션 내에서 브라우저 지문 또는 IP 주소가 변경되어 의심스러운 것으로 간주되어 신뢰 점수가 감소할 수 있고, 세션에서 행위자의 행동에 대한 데이터가 수집되면 현재 행동이 과거 관찰과 어떻게 비교되는지에 따라 신뢰 점수가 증가하거나 감소할 수도 있습니다.
동적 인증은 고급 시스템에서 액세스 제어와 함께 사용할 수 있습니다. 이러한 상호 작용의 첫 번째 단계로 액세스 제어 정책은 앞서 언급한 것처럼 다양한 트랜잭션 클래스에 대한 최소 신뢰 점수를 지정할 수 있습니다. 다음 단계의 상호 작용을 통해 액세스 제어 하위 시스템은 일반적으로 신뢰 점수를 최소 임계값으로 높이기 위해 추가 인증을 요청하는 등 인증 하위 시스템에 피드백을 제공할 수 있습니다.
인증 기술을 사용하여 트랜잭션의 행위자가 누구인지 확인했다면, 다음 질문은 해당 행위자가 무엇을 할 수 있는지, 그리고 누구에게 허용되는지입니다. 이는 액세스 제어 기술의 영역입니다.
물리적 보안에 비유하자면, 군사 기지를 방문하고 싶다고 가정해 보겠습니다. 경비원이 여러분이 민간인인지, 정치인인지, 군인인지 확실하게 판단한 후, 그 판단을 바탕으로 출입이 허용되는 건물과 출입이 허용될 수 있는 각 건물에 카메라를 가져갈 수 있는지 여부를 결정합니다. 이러한 선택에 적용되는 정책은 매우 포괄적으로 모든 건물에 적용되거나(예: "정치인은 모든 건물 출입 가능") 더 세분화될 수 있습니다(예: "정치인은 및 건물에만 출입할 수 있지만 에는 카메라만 가져올 수 있음").
즉, 최적의 접근 제어 정책은 행위자가 필요로 하는 권한만 정확히 허용하고 그 외의 모든 권한은 허용하지 않는 것입니다. 또한, 이상적인 강력한 정책은 행위자 신원의 진위 여부에 대한 특정 최소 신뢰 수준을 조건으로 하며, 신뢰 임계값은 허용된 각 권한의 세부 수준에서 지정됩니다.
따라서 액세스 제어 솔루션의 가치는 이러한 이상에 얼마나 부합하는지에 따라 판단할 수 있습니다. 특히 제로 트러스트 보안 솔루션에는 접근 제어가 포함되어야 하며, 아래에 설명된 기준에 따라 접근 제어 기술을 평가하고 그 이후에 설명해야 합니다.
"지속적으로 평가하고 재평가한다"는 원칙에 따라 행위자의 신빙성에 대한 믿음은 시간이 지남에 따라 조정되어야 합니다. 간단한 솔루션에서는 단순히 타임아웃을 설정할 수 있지만, 보다 정교한 시스템에서는 시간 경과에 따른 행위자의 행동 관찰에 따라 신뢰도가 달라질 수 있습니다.
인증과 액세스 제어가 "항상 확인"과 "최소 권한"이라는 사고방식의 구현이라면, 가시성과 상황 분석은 "지속적으로 평가"와 "위반 가정"이라는 원칙의 기반입니다.
가시성은 분석의 필수 전제 조건이며, 시스템은 볼 수 없는 것을 완화할 수 없습니다. 따라서 제로 트러스트 보안 솔루션의 효율성은 시스템 운영 및 외부 컨텍스트에서 수집할 수 있는 텔레메트리의 깊이와 폭에 정비례합니다. 그러나 최신 가시성 인프라는 사람의 도움을 받지 않는 합리적인 사람이 적시에 처리할 수 있는 것보다 훨씬 더 유용한 데이터, 메타데이터 및 컨텍스트를 제공할 수 있습니다. 더 많은 데이터와 그 데이터를 더 빠르게 통찰력으로 추출하는 능력에 대한 요구로 인해 인간 운영자를 위한 기계 지원은 핵심 요구 사항으로 자리 잡고 있습니다.
이러한 지원은 일반적으로 규칙 기반 분석에서 통계적 방법, 고급 머신 러닝 알고리즘에 이르기까지 다양한 범위의 자동화된 알고리즘을 사용하여 구현됩니다. 이러한 알고리즘은 원시 데이터의 소방 호스를 인간 운영자가 평가하고 필요한 경우 수정하는 데 사용할 수 있는 소모적이고 운영화된 상황 인식으로 변환하는 역할을 담당합니다. 이러한 이유로 ML 지원 분석은 가시성과 함께 진행됩니다.
원시 데이터(가시성)에서 조치(수정)에 이르는 일반화된 파이프라인은 아래와 같습니다.
가시성은 "지속적으로 평가"하는 제로 트러스트 원칙의 구현, 즉 "방법"입니다. 여기에는 사용 가능한 데이터 입력의 인벤토리 유지(카탈로그), 실시간 텔레메트리 및 과거 데이터 보존(수집)이 포함됩니다.
제로 트러스트 가시성 구현의 성숙도는 다음 네 가지 요소를 고려해야 합니다.
지연 시간은 잠재적 위협에 얼마나 빨리 대응할 수 있는지에 대한 하한선을 제공합니다. 제로 트러스트 솔루션의 지연 시간은 초 단위 이하로 측정되어야 하며, 그렇지 않으면 아무리 정확하더라도 데이터 유출/암호화 또는 리소스 고갈로 인한 사용 불가와 같은 악용의 영향을 막기에는 분석이 너무 늦을 가능성이 큽니다. 보다 정교한 시스템에서는 동기식 및 비동기식 완화를 모두 사용할 수 있습니다. 동기식 완화는 완전한 가시성과 분석이 완료될 때까지 트랜잭션 완료를 억제합니다. 동기식 완화는 트랜잭션에 지연 시간을 추가할 수 있으므로 이 운영 모드는 특히 비정상적이거나 위험한 트랜잭션에 예약하고 다른 모든 트랜잭션은 텔레메트리를 보내고 비동기로 분석할 수 있도록 허용하는 것이 좋습니다.
이 우려는 데이터가 여러 소스 또는 유형의 데이터 센서에서 수신되는 경우(일반적인 시나리오)와 관련이 있습니다. 이 요소는 일반적으로 두 가지 하위 우려로 나뉩니다.
고품질 가시성 솔루션에서 얻을 수 있는 중요한 가치 중 하나는 위반 가능성을 나타내는 지표로서 의심스러운 활동을 발견할 수 있는 능력입니다. 이를 효과적으로 수행하려면 솔루션이 애플리케이션 제공의 모든 관련 "계층"(애플리케이션 자체는 물론 애플리케이션 인프라, 네트워크 인프라, 애플리케이션에 적용되거나 사용되는 모든 서비스, 심지어 클라이언트 디바이스의 이벤트)에 대한 텔레메트리를 받아야 합니다. 예를 들어, 이전에 본 적이 없는 새 장치에서 들어오는 사용자를 식별하는 것 자체가 약간 의심스러울 수 있지만, 네트워크 정보(예: 외국의 GeoIP 매핑)와 결합하면 의심 수준이 더 높아집니다. 이 의심 수준은 사용자의 신원에 대한 낮은 신뢰 점수로 나타납니다. 제로 트러스트 보안 정책의 맥락에서 이 행위자가 고액 거래(예: 외국 계좌로의 자금 이체)를 시도할 때 액세스 제어 솔루션은 낮은 신뢰도를 기반으로 거래를 차단하도록 선택할 수 있습니다.
제로 트러스트 사고방식과 관련하여, 가시성 솔루션이 더 깊고 완벽할수록 시스템이 트랜잭션을 적절히 제한하고 위반을 탐지하는 데 더 효과적일 수 있습니다.
마지막으로, 모든 데이터 수집은 데이터의 보안, 보존 및 사용과 관련된 법적 및 라이선스 요건을 준수해야 합니다. 따라서 강력한 가시성 솔루션은 이러한 각 요구 사항을 해결해야 합니다. 거버넌스에 내포된 데이터 사용에 대한 제약을 제로 트러스트 가시성 솔루션에 고려해야 합니다. 예를 들어, IP가 개인 식별 정보(PII)로 간주되는 경우 분석을 위한 IP 주소의 사용 및 장기 보존은 IP 주소의 허용 가능한 사용에 부합해야 합니다.
가시성 외에도 '지속적인 평가'를 구현하는 데 필요한 다른 기계는 의미 있는 평가를 수행하는 데 필요한 분석 도구, 즉 제로 트러스트 솔루션으로 운영할 수 있는 평가를 갖추는 것입니다.
분석 시 고려해야 할 사항 중 하나는 입력 데이터의 범위와 폭입니다. 분석 알고리즘에 대한 입력은 단일 소스의 단일 데이터 스트림으로 제한되거나 다양한 데이터 소스와 인프라 및 어플리케이션의 모든 계층을 포함한 여러 스트림에 걸쳐 살펴볼 수 있습니다.
제로 트러스트 프레임워크에서 분석의 두 번째로 특히 중요한 측면은 수집되는 데이터의 양과 속도를 다루는 것으로, 이는 사람이 소화할 수 있는 능력을 초과합니다. 따라서 사람이 소화할 수 있는 인사이트를 형성하기 위해서는 일종의 기계 지원이 필요합니다. 다시 한 번, 지원의 정교함은 발전이라고 설명할 수 있습니다.
규칙 기반 접근 방식과 마찬가지로 ML 지원은 탐지 전용일 수도 있고 자동 수정과 연결될 수도 있습니다. 또한 ML 지원은 규칙 기반 시스템과 함께 사용할 수 있으며, 여기서 ML "평결"(또는 의견 또는 신뢰도)을 규칙의 입력으로 사용할 수 있습니다. 예를 들어 과 같습니다.
제로 트러스트 사고방식의 마지막 원칙은 "침해를 가정하는 것"입니다. 명확히 하고 관점을 제시하자면, 적절하게 구현된 인증 및 접속 제어 방법은 압도적으로 많은 악성 거래를 방지하는 데 효과적입니다. 그러나 지나친 편집증으로 인해 인증 및 접속 제어의 시행 메커니즘이 충분한 동기나 운이 좋은 공격자에 의해 패배할 것이라고 가정해야 합니다. 이러한 탈출에 적시에 대응하는 데 필요한 침해를 탐지하려면 가시성과 기계 지원 분석이 필요합니다. 따라서 다른 시행 메커니즘이 때때로 패배하기 때문에 ML 지원 상황 분석을 제공하는 가시성 기술이 위험 기반 치료의 제로 트러스트 보안 백스톱 솔루션에 필수적으로 요구됩니다.
실제 악성 거래가 인증 및 접근 제어를 통과한 "오탐지" 사례의 경우, 자동화된 위험 기반 교정 메커니즘을 백스톱으로 사용해야 합니다. 그러나 이 기술은 이전 시행 검사를 통과한 거래에 대한 백스톱으로 적용되기 때문에, 실제로는 '진짜 탐지'(유효하고 바람직한 트랜잭션)이었던 것을 '오탐지'(악성 트랜잭션로 잘못 플래그 지정)로 잘못 표시할 우려가 높습니다. 이러한 문제를 완화하려면 인증 또는 접근 제어에서 어떻게든 포착되지 않은 악성 가능성이 있다는 믿음으로 트리거된 모든 교정 작업은 다음 3가지 요소를 기반으로 수행해야 합니다.4
제로 트러스트 보안은 심층 방어와 같은 기존 보안 접근 방식에 대한 보다 현대적인 접근 방식으로, 누가 누구에게 무엇을 하려고 하는지에 대한 트랜잭션 중심의 보안 관점을 취함으로써 선행 기술을 확장합니다. 이 접근 방식을 사용하면 어플리케이션에 대한 외부 액세스를 보호할 뿐만 아니라 어플리케이션 내부를 보호하는 데에도 적용할 수 있습니다.5 이러한 기본적인 트랜잭션 관점을 고려할 때 제로 트러스트 보안은 오늘날의 복잡하고 까다로운 환경에서 어플리케이션을 방어하는 데 사용되는 일련의 핵심 원칙에 뿌리를 두고 있으며, 이러한 원칙은 이러한 원칙을 구현하는 일련의 하위 시스템 수준 솔루션 또는 방법에 매핑됩니다. 핵심 원칙과 이러한 원칙이 솔루션 방법에 매핑되는 방식은 아래에 요약되어 있습니다.
1 https://www.f5.com/services/resources/white-papers/why-zero-trust-matters-for-more-than-just-access
2제로 트러스트는 CI/CD 파이프라인의 '왼쪽'에도 적용될 수 있으며, 적용되어야 합니다. 취약성 평가 도구, 정적 분석, CVE 데이터베이스, 오픈 소스 코드 평판 데이터베이스, 공급망 무결성 모니터링 시스템과 같은 도구는 제로 트러스트 사고방식과 일치합니다.
3https://cloud.google.com/beyondcorp-enterprise/docs/quickstart
4상황에 따른 위험 인식 접근 제어와 일반적인 위험 인식 문제 해결 사이의 경계는 모호하며 일부 중복되는 부분이 존재합니다.