.png)
ZTNA (제로 트러스트 네트워크 액세스)
제로 트러스트 네트워크 액세스 (ZTNA) 모델은 상황 인식을 기반으로 승인된 사용자 또는 장치에 적응적으로 액세스를 부여합니다.이러한 시스템은 기본적으로 액세스 권한을 거부하도록 설정하며 ID, 시간, 장치 및 기타 구성 가능한 매개변수를 기반으로 승인된 인증된 사용자에게만 네트워크, 데이터 또는 애플리케이션에 대한 액세스 권한이 제공됩니다.액세스는 절대 묵시적으로 부여되지 않으며 사전 승인되고 알아야 하는 경우에만 부여됩니다.
사이버 범죄로 인해 사회는 매년 6조 달러 이상의 손실을 입을 것으로 예상됩니다.오늘날 IT 부서는 훨씬 더 큰 규모의 조직을 관리할 책임이 있습니다.공격 표면그 어느 때보다.잠재적 공격 대상에는 장치와 서버 간의 네트워크 엔드포인트 (네트워크 공격 영역), 네트워크와 장치가 실행하는 코드 (소프트웨어 공격 영역), 공격에 노출된 물리적 장치 (물리적 공격 영역) 가 포함됩니다.
원격 근무가 증가하고 일상 업무에 클라우드 애플리케이션이 사용됨에 따라 작업자에게 필요한 액세스 권한을 제공하는 동시에 악의적인 공격으로부터 조직을 보호하는 것이 어려워질 수 있습니다.바로 이런 경우에 제로 트러스트 네트워크 액세스 (ZTNA) 가 유용합니다.
제로 트러스트 네트워크 액세스 (ZTNA) 작동 방식
ZTNA 모델에서는 ZTNA 서비스에서 사용자를 인증한 후 안전하고 암호화된 터널을 통해 애플리케이션 또는 네트워크 액세스를 제공하는 후에만 액세스가 승인됩니다.이 서비스는 사용자가 액세스 권한이 없는 애플리케이션이나 데이터를 볼 수 없도록 하여 잠재적 공격자의 측면 이동을 미연에 방지합니다.이러한 움직임은 권한이 없는 디바이스나 에이전트가 손상된 엔드포인트 또는 승인된 자격 증명을 사용하여 다른 서비스나 애플리케이션으로 피벗할 수 있다면 가능했을 것입니다.
ZTNA를 사용하면 보호된 애플리케이션도 검색되지 않도록 숨겨지고 ZTNA 서비스 (신뢰 브로커라고도 함) 를 통해 사전 승인된 개체 집합으로 액세스가 제한됩니다.트러스트 브로커는 다음 조건이 충족되는 경우에만 엔티티에 액세스 권한을 부여합니다.
- 엔티티 (사용자, 디바이스 또는 네트워크) 는 브로커에게 올바른 자격 증명을 제공합니다.
- 액세스가 요청된 컨텍스트가 유효합니다.
- 해당 컨텍스트 내에서 액세스에 적용되는 모든 정책을 준수했습니다.
ZTNA에서는 액세스 정책을 사용자 지정할 수 있으며 시스템 요구 사항에 따라 변경할 수 있습니다.예를 들어 위의 요구 사항 외에도 취약하거나 승인되지 않은 장치가 보호된 네트워크에 연결되지 않도록 하는 위치 또는 장치 기반 액세스 제어를 구현할 수 있습니다.
제로 트러스트 네트워크 액세스 (ZTNA) 혜택
첫째, ZTNA 프레임워크에서는 애플리케이션 액세스가 네트워크 액세스로부터 격리되므로 감염된 디바이스에 의한 액세스 또는 감염에 대한 네트워크 노출이 줄어듭니다.
둘째, ZTNA 모델은 아웃바운드 연결만 합니다.이를 통해 승인되지 않았거나 승인되지 않은 사용자가 네트워크 및 애플리케이션 인프라를 볼 수 없게 할 수 있습니다.
셋째, 사용자가 인증을 받으면 애플리케이션 액세스가 일대일로 제공됩니다. 사용자는 완전한 네트워크 액세스를 누리는 대신 명시적으로 액세스 권한이 부여된 애플리케이션에만 액세스할 수 있습니다.
마지막으로, ZTNA는 소프트웨어 정의이므로 장치 및 애플리케이션 관리 오버헤드를 크게 줄일 수 있습니다.
제로 트러스트 네트워크 액세스 (ZTNA) 사용 사례
다음은 ZTNA 보안 모델의 성능을 보여주는 몇 가지 인기 있는 사용 사례입니다.
VPN 교체하기
VPN은 느리고 상대적으로 안전하지 않으며 관리하기 어려울 수 있습니다.ZTNA는 중앙 네트워크에 대한 원격 액세스를 프로비저닝하는 데 VPN을 대체할 수 있는 선호 보안 모델로 급부상하고 있습니다.
타사 및 공급업체 위험 감소
타사 또는 외부 공급업체와의 액세스 권한 및 데이터 전송은 IT 인프라에 내재된 보안 격차입니다.ZTNA를 사용하면 외부 사용자가 승인되지 않는 한 보안 네트워크에 액세스할 수 없도록 하고, 액세스 권한이 있더라도 액세스가 승인된 특정 애플리케이션 또는 데이터베이스에만 액세스할 수 있도록 함으로써 이러한 위험을 줄일 수 있습니다.
제로 트러스트 네트워크 액세스 (ZTNA) 배포
다음과 같이 조직에 ZTNA를 배포할 수 있습니다.
- 게이트웨이 통합을 통해 네트워크 경계를 넘으려는 모든 트래픽이 게이트웨이에 의해 필터링됩니다.
- 각 네트워크 어플라이언스에 내장된 보안 스택을 사용하여 네트워크 액세스를 최적화하고 자동화할 수 있는 보안 소프트웨어 정의 WAN을 통해
- 가상 클라우드 어플라이언스를 통해 소프트웨어 정의 WAN 보안을 제공하는 보안 액세스 서비스 에지 (SASE) 를 통해
ZTNA는 사이버 보안 모범 사례로 인정받고 있습니다.ZTNA의 가장 좋은 점은 배포를 위해 기존 네트워크를 크게 재설계할 필요가 없다는 것입니다.그러나 모든 IT 작업에는 사람과 장치를 온보딩하고 정책을 재정의하며 이해 관계자의 동의를 얻어야 하므로 의사 결정권자는 ZTNA 솔루션 제공업체와 협력하기 전에 다음 사항을 고려해야 합니다.
- 솔루션이 마이크로페리미터로 데이터와 애플리케이션을 보호하는 데 도움이 되나요?
- 전송 중인 데이터를 보호할 수 있습니까?
- 기본 거부 세그멘테이션과 세분화된 정책 설계 및 테스트 기능이 있습니까?
- 기존 인프라와 관계없이 배포할 수 있습니까?
- 위반 경보를 제공하나요?
- 어떤 종류의 워크로드 보안 조항을 사용할 수 있습니까?
- 솔루션이 사용자 기반 세분화, 원격 액세스 제어 및 측면 이동 방지 기능을 제공합니까?
- 기기 수준 세분화, 알 수 없는 기기 탐지, 기기 격리가 있나요?
- 위협이 식별되기도 전에 기본 격리 기능이 있습니까?
- 사용자는 어떤 종류의 가시성을 갖고 있으며 어떤 종류의 감사를 사용할 수 있습니까?
- 어떤 종류의 통합이 포함되나요?다음을 고려해 보세요.
- 셰프, 퍼핏 또는 앤서블을 사용한 오케스트레이션
- Red Hat OpenShift, 쿠버네티스 또는 Docker를 사용한 컨테이너 플랫폼 오케스트레이션
- 스플렁크와 IBM QRadar를 사용한 보안 분석
- Qualys, Tenable 또는 Rapid7과 같은 취약성 관리 도구
- AWS 클라우드 포메이션, AWS GuardDuty, Azure와 같은 퍼블릭 클라우드 도구
- 네트워크 환경을 얼마나 빨리 세분화할 수 있습니까?
- 호스트 방화벽, 스위치 및 로드 밸런서와 같은 기존 투자를 어떻게 활용하여 레거시 및 하이브리드 시스템 전반에서 세그멘테이션을 적용할 수 있습니까?
- 어떤 종류의 REST API 통합이 지원되나요?확인해야 할 중요한 도구로는 OneOps, Chef, Puppet, Jenkins, Docker, OpenStack Heat/Murano가 있습니다.
%20(1).webp)
.webp)
