정부 기관을 위한 제로 트러스트에 관한 6가지 전문가 권고

공공 부문은 사이버 보안 접근 방식과 관련하여 큰 문제에 직면하고 있습니다.취약성을 줄이고 보안 침해 확산을 완화하기 위해 할 수 있는 일은 무엇일까요?끊임없이 변화하는 위협 환경에서 사이버 복원력을 강화하기 위한 핵심 전략은 무엇입니까?

이에 대해 알아보기 위해 Illumio의 연방 현장 CTO인 게리 발렛 (Gary Barlet) 은 최근 정부 사이버 보안 전문가인 마크 A. 스탠리 박사 (NASA Zero Trust) 담당 기관 책임자와 국제무역청의 최고 정보 책임자인 제럴드 제럴드 제이 카론 (Gerald J. Caron) 과 함께 GovExec TV를 통해 애플리케이션 세분화와 공공 부문의 제로 트러스트 아키텍처에서의 역할에 대해 논의했습니다.

Zero Trust 및 애플리케이션 세분화 구현에 대한 논의에서 나온 6가지 주요 권장 사항을 알아보려면 계속 읽어 보십시오.

1.지금은 제로 트러스트 이니셔티브가 최우선 과제가 되어야 합니다.

먼저 스탠리 박사는 NASA에서 맡은 역할과 도착 후 발견한 제로 트러스트 정책 환경에 대해 이야기했습니다.

“NASA에 도착했을 때 정말 깜짝 놀랐어요.” 라고 그는 말했습니다.“이 사람들은 행정 명령이 나오기 한참 전부터 이미 제로 트러스트와 우리가 어떻게 거기에 도달할 수 있을지에 대해 생각하고 있었습니다.그들은 이미 경영진의 동의와 엄청난 지원을 받았습니다.”

NASA에서 근무하던 초기에 그는 NASA 제로 트러스트 책임자로 임명되었습니다.그는 제로 트러스트를 NASA의 디지털 혁신의 기본 요소 중 하나로 추가하는 데 도움을 주었습니다.

“우선 순위의 관점에서 볼 때 제로 트러스트를 발전시키기 위해 제가 할 수 있는 모든 일이 우리 사이클의 대부분을 차지했습니다.” 라고 그는 설명했습니다.

2.가시성은 제로 트러스트 전략을 성공적으로 구현하는 데 있어 매우 중요합니다.

Barlet의 답변은 제로 트러스트 전략 및 애플리케이션 세분화와 밀접한 관련이 있는 핵심 사고를 다루었습니다.

“제로 트러스트는 매우 광범위한 용어입니다.보안에 가장 먼저 중요하다고 생각하는 것은 기업 내 정보가 실제로 어떻게 흐르는지 이해하는 것입니다.” 라고 Barlet은 말했습니다.

Barlet은 제로 트러스트를 목표로 하는 조직이 가시성부터 시작하도록 권장했습니다.그리고 이것은 단순한 네트워크 맵이 아닙니다.오늘날의 하이브리드 네트워크는 경계가 없고 분산되어 있습니다.보안팀은 애플리케이션이 상호 작용하는 방식을 세밀하게 추적해야 하며, Barlet은 애플리케이션 통신 흐름을 파악하는 것이 애플리케이션의 작동 방식을 이해하는 데 중요하다고 설명합니다.가시성이 확보되면 보안팀은 애플리케이션을 중심으로 경계를 그어 네트워크를 세분화할 수 있습니다.

“무슨 일이 생기더라도 현실은 문제가 아니에요. 만약 당신은 타협을 당하겠지만 언제.타협이 발생하면 그 다음은 무엇일까요?”바렛이 말했어요.

Illumio의 애플리케이션 종속성 맵이 어떻게 하이브리드 IT 환경 전반에 걸쳐 가시성을 제공하는지 알아보십시오 이리.

3.지금 제로 트러스트에서 일하고 있지 않다면 뒤쳐진 셈입니다.

Barlet은 계속해서 제로 트러스트 도입에 뒤쳐져 있는 기업들이 겪을 수 있는 어려움들에 대해 설명했습니다.

“오늘날 많은 기업들이 활짝 열려 있습니다.” 라고 그는 말했습니다.“공격자는 일단 거점을 확보하면 기업 전체에 퍼질 수 있는 무력한 능력을 갖게 됩니다.”

적들은 측면 움직임을 사용하여 환경의 한 부분에서 다른 부분으로 확산합니다.이러한 환경이 서로 차단되어 있으면 보안 침해가 확산될 수 없습니다.이는 제로 트러스트 세그멘테이션이라고도 하는 세그멘테이션을 통해 가능합니다.

Barlet은 “세분화를 통해 이러한 다양한 구성 요소를 모두 확인하고 애플리케이션별로 링 애플리케이션을 그릴 수 있습니다.” 라고 말했습니다.“따라서 일단 문제가 발생하면 이를 억제할 수 있고 다른 애플리케이션을 감염시킬 수 없습니다.”

4.제로 트러스트 이니셔티브에는 부서 간 협업이 필요합니다

제로 트러스트 채택 조직이 편안하게 받아들일 수 있는 수준에 도달하려면 협력적 사고방식을 채택하는 것이 중요합니다.스탠리 박사는 NASA의 사고방식을 과학적 발견에 대한 그들의 유사한 접근 방식과 비교했습니다. 과학적 발견은 NASA가 인류의 발전을 위해 연구와 발견을 전 세계와 공유한다는 사명을 채택하고 있습니다.

스탠리 박사는 “연방 측에서는 어떻게 협력할 수 있을지 생각하기 시작해야 한다”고 말했다.“저는 사이버 보안이 팀 스포츠라고 굳게 믿고 있습니다.”

Caron은 사이버 보안 협업에 대한 기존 접근 방식의 함정을 설명하면서 스탠리 박사의 감정을 이어갔습니다.

Caron은 이렇게 설명합니다. “이러한 우수성이 고립되어 있지만 진정한 제로 트러스트를 달성하려면 이 모든 그룹이 협력해야 합니다.“예전에는 인시던트가 일어나 라운드 로빈을 하곤 했어요.문제를 찾을 때까지 계속 돌아다녔죠.”

하지만 Barlet에 따르면, “이 작업은 더 이상 수동으로 할 수 없습니다.기술의 확산, 데이터의 확산, 사용자의 확산을 따라잡기란 불가능합니다.기술이야말로 우리가 이러한 추세와 변화에 앞서거나 동급으로 앞서갈 수 있는 유일한 방법입니다.

5.제로 트러스트는 처방이 아니라 전략입니다

웨비나가 이어지면서 세 명의 전문가는 정부 사이버 보안 전략의 또 다른 중요한 측면인 규정 준수에 대해 알아보았습니다.

Caron은 규정 준수와 효율성을 크게 구분하면서 토론을 시작했습니다. “이 두 단어는 서로 다른 의미를 지닌 매우 다른 두 단어입니다.규정 준수는 '시스템이 있으니 인증을 제공해야 한다'와 같은 의미일 수 있습니다.사용자 이름과 암호는 규정을 준수할 수 있지만 효과적이지는 않습니다.”

다시 말해, 규정 준수의 요구 사항이라고 해서 동시에 효율성을 달성한다는 의미는 아닙니다.Caron은 조직이 제로 트러스트를 규정 준수 요구 사항 달성 외에도 더 효과적으로 활용하기 위한 노력으로 여기도록 권장합니다.

Caron은 “업무 효율성이 높아지면 규정 준수가 제대로 이루어질 것”이라고 말했습니다.“제로 트러스트 전략과 제로 트러스트를 언급한 행정 명령에 대해 박수를 보내는 것은 정말 대단한 일입니다.이를 통해 우리는 더 효과적인 방향으로 나아가고 있습니다.처방이 아니라 전략입니다.”

6.제로 트러스트를 향해 점진적인 조치를 취하세요

마지막으로 Barlet과 Stanley 박사는 기업에서의 제로 트러스트 채택의 모범 사례에 대해 이야기했습니다.

Barlet에 따르면, “가장 효과적인 조직은 한 번에 한 단계씩 나아갑니다.”

그는 너무 많은 기관들이 제로 트러스트 집행을 0% 에서 100% 로 끌어올릴 수 있을 것이라고 믿고 있다고 설명했습니다.그러다가 목표를 달성하지 못하면 이니셔티브의 추진력이 떨어지거나 너무 어렵다고 여겨집니다.

게리는 이렇게 말했다. “현실은 절대 100% 에 도달할 수 없을 거예요.“우리가 살고 있는 세상에서 모든 것을 100% 달성하려는 것은 달성할 수 없는 목표입니다.”

대신 Barlet은 조직이 제로 트러스트를 향해 조금씩 노력하도록 권장합니다.기관은 제로 트러스트를 점진적으로 구축함으로써 빠른 성과를 거두고 시간이 지남에 따라 방어, 보안 및 보호를 강화할 수 있습니다.

“보릿은 정말 좋은 사람이었어요.” 스탠리 박사가 끼어들었다.“제로 트러스트의 모든 핵심 요소를 다루어야 합니다.인프라를 점진적으로 개선하더라도 애플리케이션과 데이터에 제공하는 보호 기능을 활용할 수 있어야 합니다.”

Illumio가 정부 기관의 보안을 어떻게 도울 수 있는지 자세히 알아보십시오 이리.

오늘 저희에게 연락하세요 무료 데모 및 상담을 제공합니다.