제로 트러스트 운영 — 2단계 및 3단계: 중점을 둘 제로 트러스트 요소 결정 및 정확한 제어 지정

이 블로그 시리즈는 제가 3월에 올린 글에서 소개한 아이디어를 확장한 것입니다.”제로 트러스트는 어렵지 않습니다... 실용적이라면”.

이 글에서는 제로 트러스트를 달성하기 위한 6가지 단계를 설명했습니다.여기서는 크고 작은 조직의 마이크로 세분화 실무자가 프로젝트를 더 성공적으로 수행하는 데 사용할 수 있는 견고한 프레임워크를 제공하기 위해 설명된 6단계 중 2단계에 대해 더 자세히 살펴보겠습니다.시작하기 전에 각 단계를 시각적으로 표현해 보겠습니다.

2단계: 어떤 제로 트러스트에 중점을 두어야 하는지 결정

에서 파트 1 이 시리즈에서는 “무엇을 보호해야 하는지 파악”을 살펴보고 장기적인 목표인 제로 트러스트를 전사적으로 채택하려면 소규모로 시작하여 아래 나열된 3가지 기준 중 2개 이상에 이상적으로 부합하는 후보 애플리케이션을 찾아보는 것이 현명하다고 권했습니다.

• 규정 준수 또는 규제 요구 사항, 해결해야 할 감사 결과, 보안 침해에 대한 대응 등 제로 트러스트 보안 원칙을 채택할 강력한 추진력을 갖추십시오.
• 중요 애플리케이션으로 표시됩니다.
• 기꺼이 기니피그가 되십시오.

제가 조직을 돌아다니다가 PCI 데이터를 처리하고 따라서 규정을 준수해야 하는 애플리케이션을 찾았다고 상상해 보십시오. PCI-DSS 요구 사항.또한 저희 고객 결제 시스템의 중요한 구성 요소로 인식되고 있는 '과도한 네트워크 액세스'에 대한 감사 결과도 나왔습니다. 그리고 많은 설득을 얻은 끝에 애플리케이션 팀은 애플리케이션의 적절한 보안을 위해 제로 트러스트 프레임워크를 채택하는 데 저와 협력하기로 합의했습니다.선택 기준 목록을 재빨리 훑어보면 제가 선택한 애플리케이션이 세 가지 요구 사항을 모두 충족한다는 것을 알 수 있습니다.

이제 이 단계에서 어떤 제로 트러스트 기둥에 초점을 맞출지 결정하겠습니다. 핵심 요소는 다음과 같습니다.

이 단계에서 보호할 애플리케이션을 식별할 때 매우 집중적인 접근 방식을 취해야 하는 것과 마찬가지로 제로 트러스트 자체에 접근하는 방법을 결정할 때도 비슷한 태도를 취해야 합니다.모든 요소를 한 번에 해결하려는 시도는 야심차고 비현실적입니다. 다양한 제어 및 기술을 구현해야 할 경우 비교적 빠르고 측정 가능한 진전을 이루겠다는 권장 목표를 저해할 수 있기 때문입니다.

포레스터는 실제로 다음을 제공합니다. 제로 트러스트 성숙도 모델 평가 도구 실무자가 조직의 제로 트러스트 채택과 관련된 격차를 파악하도록 돕고, 이러한 결과를 바탕으로 집중해야 할 특정 제로 트러스트 요소를 식별할 수 있습니다.필자가 선택한 애플리케이션을 대상으로 이 평가를 실행한 결과, 애플리케이션 내에서 중대한 격차가 확인되었다고 가정해 보겠습니다. 워크로드 보호 응용 프로그램을 실행하는 것, 특히 네트워크 전체에서 쉽게 액세스할 수 있다는 점을 강조합니다.이렇게 하면 애플리케이션을 호스팅하는 워크로드를 보호하는 데 이 특정 반복 작업을 집중하여 다음과 같은 이점을 얻을 수 있습니다. 뛰어난 가시성 이 지역에서.

3단계: 정확한 제어 지정

워크로드 보호에는 OS 및 설치된 애플리케이션의 효과적인 보안 및 패치 적용, 안티바이러스, EDR, 파일 무결성 모니터링, 호스트 기반 방화벽 등과 같은 호스트 기반 위협 보호 제어를 포함하되 이에 국한되지 않는 많은 보안 기능이 포함됩니다.

제로 트러스트 성숙도 평가의 2단계에서 네트워크에 대한 과도한 네트워크 액세스를 확인했습니다. 애플리케이션 워크로드 제로 트러스트의 가장 큰 차이점인 만큼 애플리케이션을 제로 트러스트 여정에서 한 단계 더 발전시키기 위해 적용할 보안 제어로서 호스트 기반 방화벽, 더 일반적으로 마이크로 세분화에 초점을 맞추는 것이 좋습니다.

Illumio에 합류하기 전 실무자로서의 개인적인 경험을 통해 마이크로 세분화를 효과적으로 구현하려면 애플리케이션의 업스트림 및 다운스트림 종속성에 대한 뛰어난 가시성이 필요합니다. 그래야 화이트리스트 기반의 최소 권한을 구축하고 검증하는 데 필요한 올바른 정보를 얻을 수 있습니다. 제로 트러스트 정책 그러면 워크로드가 보호됩니다.

따라서 워크로드 보호와 이와 관련된 가시성 및 분석에 초점을 맞추고 마이크로만 구축할 계획임을 더 명확히 했을 때세그멘테이션 제어 이 단계에서는 이제 이 비전을 실현하는 데 필요한 입력 데이터를 식별할 준비가 되었습니다.이것이 바로 이 시리즈의 다음 호에서 중점적으로 다루고자 하는 내용입니다.

다음 포스팅에서 더 많은 정보를 얻을 수 있을 때까지 기다릴 수 없나요? 저희 페이지를 방문하세요 마이크로 세분화를 통해 제로 트러스트 전략을 운영하여 내부 정보를 파악하는 방법에 대해 알아보십시오.