행정 명령 14028의 제로 트러스트에 대한 세 가지 요점

2021년 5월, 바이든 행정부는 행정 명령 (EO) 14028, 연방 기관에 사이버 보안 강화 임무를 부과하고 구체적으로 다음을 권장합니다. 제로 트러스트 보안 관행.

EO는 공공 및 민간 부문의 많은 조직의 디지털 혁신을 가속화한 COVID-19 팬데믹의 뒤를 이어 이루어졌습니다.거의 하룻밤 사이에 조직은 원격 근무로 전환했고 클라우드 마이그레이션은 보다 즉각적인 요구 사항이 되었습니다.

또한 다음과 같은 여러 세간의 이목을 끄는 사이버 공격이 공급망에 심각한 영향을 미쳤습니다. 태양풍, 콜로니얼 파이프라인, 및 JBS 육류 가공.

EO 14028이 있은 지 1년이 지난 지금, 이행 과정에서 어떤 진전이 있었는지 되돌아볼 수 있습니다. 연방 기관 전반의 제로 트러스트.

일루미오의 페더럴 필드 CTO인 게리 발렛 (Gary Barlet) 은 전 미 공군 및 우주군 CISO였던 니콜라스 엠 채일런과 함께 주최한 웨비나에서 EO 14028의 영향에 대해 논의했습니다. 중요 인프라 기술 연구소 (ICIT).

여기에서 웨비나를 시청하십시오.

토론에서 얻은 세 가지 주요 내용을 알아보려면 계속 읽어 보십시오.

EO 14028은 제로 트러스트 구현을 향상시키는 데 도움이 되었습니다.

Barlet과 Chaillan은 모두 지난 5월 행정 명령 이후 제로 트러스트를 향한 진전이 있었다는 데 동의합니다.이 명령은 연방 기관 및 민간 기관의 보안 팀이 논의를 계속하고 제로 트러스트 이니셔티브를 위한 자금을 확보하는 데 도움이 되었습니다.

Barlet과 Chaillan이 말했듯이, “행정 명령은 결코 해를 끼치지 않습니다.”

가장 중요한 것은 이제 보안 팀이 제로 트러스트 보안 전략에 대한 정부 지원 증거를 확보했다는 것입니다.

Barlet은 “제로 트러스트를 구현하려는 사람들이 가리키고 참고 자료로 사용하는 것이 훨씬 더 도움이 됩니다.” 라고 말했습니다.

그리고 많은 기관에서 행정 명령으로 제로 트러스트에 대한 논의가 시작되었습니다.샬랭에 따르면 이는 제로 트러스트에 대한 사람들의 생각을 바꾸어 공감대를 기존의 사이버 보안 모델에서 현대적 모범 사례로 끌어올리는 데 도움이 되었다고 합니다.

이것은 다음과 같습니다 지난 몇 년간 제로 트러스트의 민간 부문 성공 증가 — 연방 정부와 군대가 사이버 보안에서 얼마나 뒤쳐져 있는지 보여줍니다.

“앞으로 몇 년은 제로 트러스트가 더 많은 성공을 거둘 수 있는 흥미로운 시기가 될 것입니다.성공하기 위해서는 사고방식의 변화가 필요합니다.” 라고 Barlet은 설명했습니다.

연방 기관은 Zero Trust를 사용하여 불가피한 침해로 인한 영향을 최소화합니다.

행정 명령 외에도 제로 트러스트는 실질적인 이점을 제공합니다 오늘날의 정교한 사이버 위협으로부터 조직을 보호하기 위한 것입니다.

레거시 보안 도구 경계에 초점을 맞췄지만 현대 네트워크의 분산되고 초연결 특성으로 인해 경계는 더 이상 예전처럼 존재하지 않습니다.이로 인해 네트워크는 공격에 취약해집니다.

“이야기를 거듭할 때마다, 해마다 사람들이 이 모든 돈을 쓰려고 하는 소리가 들립니다. 막다 위반이지만 어떤 일이 발생하는지에 대한 논의는 없습니다. 후 보안 침해가 발생합니다.” 라고 Barlet은 말했습니다.

A 제로 트러스트 전략은 위반이 발생할 것이라고 가정합니다. 공격이 발생하면 그 영향을 완화할 수 있는 방법을 제공합니다.

하지만 발렛과 샬랭은 어느 정도 있었다는 데 동의합니다. 제로 트러스트가 실제로 무엇을 의미하는지에 대한 혼란 — 그리고 기존 보안 아키텍처에 어떻게 적용되는지.

Barlet은 “제로 트러스트는 보안 침해를 방지하려는 노력을 하지 않을 것임을 암시하는 것 같지만 실제로는 그렇지 않습니다.” 라고 설명했습니다.“보안 침해 방지를 위한 노력을 포기하지는 않을 것이지만, 보안 침해가 침투할 수 있는 한 가지 실수나 취약점에 대비하고 치명적인 공격을 방지할 수 있는 방법도 함께 준비해 두자.”

전반적으로 Barlet과 Challain은 기관들이 네트워크 흐름에 대한 가시성을 확보하고 불필요한 통신을 차단하고 제로 트러스트 세그멘테이션이라고도 하는 제로 트러스트 세그멘테이션을 구현할 것을 권장했습니다. 마이크로세그멘테이션, 보안 침해 확산을 제한하기 위한 것입니다.

연방 기관을 위한 제로 트러스트 세분화: 어딘가에서 시작하기만 하면 됩니다.

Barlet과 Challain은 네트워크를 세분화한다는 아이디어는 수년 전부터 있었지만, 오늘날의 무분별한 네트워크가 IP 주소 또는 VLAN을 사용하는 기존의 세분화 방법을 거의 불가능하게 만드는 방법에 대해 논의했습니다.둘 다 훨씬 작은 규모의 세그멘테이션을 지지합니다.

특히 Barlet은 네트워크에는 다음이 필요하다고 말했습니다. 제로 트러스트 공격자가 침입할 수 있는 취약점을 노출시키는 계속 증가하는 사용자, 애플리케이션 및 환경으로부터 보호하기 위한 세그멘테이션입니다.

제로 트러스트 세그멘테이션에 대한 절박한 필요성에도 불구하고 Barlet과 Challain은 다음과 같이 언급했습니다. 많은 기관들이 이 과정에 어려움을 겪고 있습니다..

“누가, 어디서, 언제 액세스하는지 알아야 합니다.그런 다음 이러한 통신 흐름 중 어떤 것이 불필요하고 차단될 수 있는지 알아야 합니다.이 모든 질문을 전체적으로 받아들이면 정말 벅차죠.” 라고 Barlet은 말했습니다.

전체 제로 트러스트 세그멘테이션 프로젝트를 한 번에 완료할 필요는 없습니다.바렛과 샬랭은 추천한다. 점진적 접근 방식 높은 비용, 혼란 및 잠재적인 관리 부담을 방지하기 위함입니다.

“한 번에 모든 것을 하려고 하지 마세요.그냥 어딘가에서 시작하세요.” 바렛이 말했다.

Barlet과 Challain은 처음에 제로 트러스트 세그멘테이션 프로젝트의 범위를 좁힘으로써 기관이 다음을 수행할 수 있다는 데 동의했습니다.

• 세부 사항에 압도당하지 마십시오.
• 즉시 개선하십시오. 사이버 보안 자세.
• 향후 이니셔티브를 위한 제로 트러스트의 효과를 입증할 기회를 잡으십시오.

“제로 트러스트 여정의 어느 곳으로든 갈 수 있는 유일한 방법은 시작하는 것입니다.성공은 성공을 낳는다고 Barlet은 말했습니다.

Illumio 및 제로 트러스트 세그멘테이션에 대한 자세한 내용을 알아보십시오.

• 방법에 대해 자세히 알아보기 정부 기관 Illumio를 통해 보안 침해 확산을 막을 수 있습니다.
• 포레스터 웨이브 보고서 다운로드Illumio를 제로 트러스트와 두 분야의 리더로 선정 마이크로세그멘테이션.
• ESG의 제로 트러스트 영향 평가에 참여하세요 제로 트러스트 전략을 최대한 활용하는 방법을 알아보십시오.
• 오늘 저희에게 연락하세요상담 및 시연 일정을 잡습니다.