제로 트러스트 운영 — 1단계: 보호할 대상 파악

이 블로그 시리즈는 최근 게시물에서 소개한 아이디어를 기반으로 합니다.”제로 트러스트는 어렵지 않습니다... 실용적이라면”.

필자는 이전 글에서 제로 트러스트를 달성하기 위한 6가지 단계를 설명했습니다.이 시리즈에서는 크고 작은 조직의 마이크로 세분화 실무자가 프로젝트를 더 성공적으로 수행하는 데 사용할 수 있는 견고한 프레임워크를 제공하기 위해 앞서 설명한 6단계 각각을 살펴보겠습니다.시작하기 전에 각 단계를 시각적으로 표현해 보겠습니다.

1단계: 보호할 대상 식별

업무공간 기술이 보편화되기 전인 초기 단계에 조직은 매우 “강의를 들이는” 접근 방식을 취했습니다.기업 용어로 말하자면 이는 새로운 하드웨어, 운영 체제, 소프트웨어 등 새로운 기능을 도입하기 위한 전술적 접근 방식을 의미했습니다. 일반적인 사용 사례를 해결하기 위해 노력하기보다는 항상 당면한 특정 작업에 가장 적합한 것이 무엇인지에 초점을 맞췄습니다.

기술이 소규모로 배포되었으므로 임시 솔루션은 규모의 경제를 추구하거나 전반적으로 관련이 있을 수 있는 전략적 솔루션을 설계하는 것보다 관리가 용이하고 생산성이 더 높았습니다.

하지만 이제 우리는 조직이 성장함에 따라 어디서나 효과적인 솔루션을 구축하는 데 사용할 수 있는 일반 구성 요소를 활용하는 능력으로 인해 임시 솔루션 실행의 비용 및 효과가 사라지는 전환점이 있다는 것을 알고 있습니다.

보안 기술의 채택 및 배포도 다르지 않습니다. 따라서 완전히 새로운 보안 기능을 도입하는 것은 매우 복잡하고 오래 걸리며 힘든 작업입니다. 특히 예방 차원에서 해당 기능을 도입하려는 경우에는 더욱 그렇습니다.

그렇다면 왜 제가 위의 모든 것을 말씀드리는 것일까요?이러한 맥락은 전략적 (즉, 포괄적이고 장기적이며 복잡한) 이니셔티브를 도입하는 것과 같은 이니셔티브를 통해 신속하고 조기에 진전을 이룰 수 있는 방법을 보여줍니다. 제로 트러스트 사고방식 전술적 (즉, 매우 구체적이고 단기적이며 비교적 간단한) 단계부터 시작합니다.

궁극적으로 우리의 목표는 조직 전체에 제로 트러스트 프레임워크를 도입하는 것이어야 합니다.이러한 장기 목표를 세우는 것은 이러한 진행 상황을 검증하는 데 필수적이며, 각 단계를 밟을 때마다 그 목표에 더 가까이 다가갈 수 있습니다.하지만 완전한 제로 트러스트를 달성하려면 장기간에 걸쳐 이러한 많은 단계가 필요하며, “전부 아니면 전무” 접근 방식으로는 ROI를 보여주기 어려울 수 있습니다.단기적으로 (전월만큼 공격적이지는 않더라도 분기별로) 측정 가능한 진전을 보여주지 못하면 다른 우선 순위가 중심이 되면서 이니셔티브에 대한 지지와 관심이 사라질 수 있습니다.

대신 다음과 같은 애플리케이션 또는 애플리케이션 컬렉션을 대상으로 하여 Zero Trust의 전사적 채택이라는 장기 목표를 달성하는 것이 좋습니다.

• 제로 트러스트 보안 원칙을 채택하기 위한 강력한 추진력을 갖추세요. 이는 이상적으로는 규정 준수 또는 규제 의무이거나 수정이 필요한 감사 결과일 수 있습니다.제로 트러스트를 채택하는 또 다른 강력한 동인은 “사고”에서 비롯됩니다. 누구나 한 번씩은 겪을 수 있으며, 옛말처럼 “절대 위기를 낭비하지 말라”는 말이 있습니다.이를 통해 변화를 받아들이려는 의지 (그리고 필요성) 가 생깁니다.
• 중요 애플리케이션으로 표시됩니다. 프로세스 초기에 크라운 쥬얼 애플리케이션에 초점을 맞추면 최고의 학습 기회를 얻을 수 있지만, 성공하면 기업의 덜 중요한 다른 부분에 기술이 제공하는 이점을 확신할 수 있습니다.이러한 애플리케이션은 주요 의사 결정권자가 가장 잘 알고 있는 애플리케이션이기도 하므로, 진행 상황을 통해 제로 트러스트 이니셔티브의 ROI를 직접 파악할 수 있습니다.
• 기꺼이 기니피그가 되십시오. 이것은 실험이며 관련 위험이 따른다는 것은 의심의 여지가 없습니다.Zero Trust를 도입하면 고객의 일반적인 액세스 모델을 완전히 뒤엎는 셈이며, 이로 인해 골칫거리가 생길 수 있습니다.채택 위험을 잘 알고 있는 애플리케이션 팀과 협력하는 것은 매우 중요합니다.채택률 확대를 모색할 때 이들이 미래의 챔피언이 될 것입니다.

그 SWIFT를 찾거나 PCI-DSS 시스템, 프로덕션 네트워크의 개발 워크로드, 중요 보안 서비스, 패치가 적용되지 않은 애플리케이션 및/또는 수명이 다한 구성 요소는 모두 위의 요구 사항 중 두 가지 이상을 충족하므로 제로 트러스트 세그멘테이션의 초기 채택자가 될 수 있는 훌륭한 후보입니다.이러한 범주에 맞는 애플리케이션은 무엇입니까?

보호하고자 하는 대상을 파악했으면 이제 어떤 제로 트러스트에 중점을 두어야 하는지, 구체적으로 구체적으로 어떤 제어를 적용할지 결정하는 단계로 넘어갈 수 있습니다. 이 두 가지 내용 모두 이 시리즈의 다음 글에서 다루도록 하겠습니다.

다음 포스팅에서 더 많은 정보를 얻을 수 있을 때까지 기다릴 수 없나요? 저희 페이지를 방문하세요 마이크로 세분화를 통해 제로 트러스트 전략을 운영하여 내부 정보를 파악하는 방법에 대해 알아보십시오.