Zero Trust
제로 트러스트는 신뢰 가정을 최소화하고 조직의 네트워크와 데이터 환경 전반에 엄격한 접근 제어와 인증 메커니즘을 구현하는 보안 접근 방식입니다. 이것은 네트워크가 손상되었다고 가정하는 상황에서 정보 시스템과 서비스에서 불확실성을 최소화하고 정확한, 최소 권한, 그리고 요청별 접근 결정을 강제하는 개념과 아이디어의 모음을 제공합니다.
제로 트러스트는 사용자, 자산, 그리고 리소스에 중점을 둔 방어로 정적인, 네트워크 기반의 퍼리미터에서 방어를 이동시킵니다. 이것은 자산이나 사용자 계정이 그들의 물리적 또는 네트워크 위치(즉, 로컬 네트워크 대 인터넷) 또는 자산 소유(기업 또는 개인 소유)에 기반해서 암시적인 신뢰를 부여받지 않는다고 가정합니다. 인증과 권한 부여(주체와 장치 모두)는 기업 리소스에 세션을 설정하기 전에 별도의 기능으로 수행됩니다.
현재 데이터가 다양한 클라우드와 데이터 센터 간에 흐르는 시대에서는 암호화를 사용하여 데이터 계층에서 보안을 적용하는 것이 중요합니다. 암호화는 보안을 데이터의 속성으로 만들어, 데이터가 어디에 있는지와 상관없이 세분화된 접근 제어를 가능하게 합니다
기밀 컴퓨팅은 데이터와 호스트 또는 가상 머신 간의 신뢰의 오류를 효과적으로 해결하는 고급 기술입니다. 어떤 시점에서는 데이터가 호스트의 메모리에서 복호화되어 애플리케이션에 의해 처리되어야 하며, 이 시점에서 취약해집니다. 기밀 컴퓨팅은 하드웨어 기반의 신뢰할 수 있는 실행 환경을 제공하여 사용 중인 데이터를 암호화하며, 호스트가 손상되고 공격자가 악의적인 프로세스를 실행하거나 심지어 메모리를 스크랩할 수 있는 능력이 있더라도 데이터의 기밀성과 무결성을 유지합니다.
The goal of zero trust for data
제로 트러스트는 다음과 같은 주요 목표를 해결합니다.
- 암호화
제로 트러스트(ZT)는 데이터를 저장, 전송, 사용 중에 보호하기 위해 강력한 암호화 기술을 적용합니다. 데이터의 전체 수명주기에 걸쳐 암호화를 하므로, 무단 접근자가 원시 데이터에 접근하더라도 해당 복호화 키 없이는 사용할 수 없습니다. - ZT는 데이터를 더 작고 분리된 컴포넌트 사이에 분리하도록 권장합니다. 이 전략은 무단 사용자의 움직임을 차단하고 데이터 노출 및 침해 위험('블라스트 반경')을 최소화합니다.
- 데이터와의 상호 작용을 통해 사용자와 장치의 신원을 지속적으로 검증하기 위한 특정 메커니즘이 적용됩니다. 이 방법은 사용자 접근이 보안 정책과 일치하는지 확인합니다.
- 이 접근 방식은 비밀번호, 생체 인식, 물리 토큰과 같은 여러 요소를 사용하여 인증을 진행합니다. ZT는 하나의 요소가 침해되더라도 위험성을 줄입니다. MFA는 민감한 데이터에 대한 접근을 허용된 개인만 가능하게 합니다.
- 최소 권한의 원칙
사용자 신원, 장치 건강 상태, 그리고 문맥적 요소를 기반으로 엄격한 접근 제어가 구현됩니다. 이는 사용자와 시스템이 지정된 작업을 수행하기 위해 꼭 필요한 최소한의 접근 수준만을 제공받게 하기 위함입니다.
Zero trust data security maturity model
미국 사이버 보안 및 인프라 보안 기관(CISA)은 빠르게 변화하는 현재 상황에서 조직의 기술 환경을 현대화하기 위한 프레임워크인 제로 트러스트 성숙도 모델(ZTMM)을 발표했습니다. 이는 미국 연방 기관을 특별히 대상으로 하지만, 이 프레임워크에서 제시한 접근법을 채택함으로써 어떤 조직도 사이버 보안 위험을 줄일 수 있습니다.
ZTMM은 5개의 구별되는 기둥에 걸쳐 구현의 진전을 제시하며, 시간이 지남에 따라 최적화를 달성하기 위한 점진적인 개선이 가능합니다. 이러한 기둥은 그림 1에서 보여지며, 신원, 장치, 네트워크, 애플리케이션과 작업 부하, 그리고 데이터를 포함합니다. 각 기둥은 다음과 같은 전체적인 능력에 대한 구체적인 정보를 포함합니다: 가시성과 분석, 자동화와 오케스트레이션, 그리고 거버넌스.
ZTMM 여정은 전통적인 지점에서 시작하여 초기, 고급, 그리고 최적 단계로 진행되며, 제로 트러스트 아키텍처(ZTA)의 구현을 촉진합니다. 각 이후 단계는 성공적인 채택을 위해 더 높은 수준의 보호, 상세성, 그리고 복잡성이 필요합니다. 이 화이트페이퍼는 ZTMM에 따른 데이터 보안을 위한 최적 단계에서 제로 트러스트를 가능케 하는 기능에만 전적으로 중점을 둡니다.
ZTMM에 따르면, 기업은 정부의 요구사항에 따라 디바이스, 앱, 네트워크의 데이터를 보호해야 합니다. 기업은 자신들의 데이터를 추적하고, 분류하고, 라벨을 달아야 합니다. 또한 저장되거나 전송될 때 데이터를 보호하고, 무단 데이터 전송과 유출을 탐지하고 차단하는 방법을 가져야 합니다. 기업은 데이터 관리 정책을 만들고 검토하여 데이터 보안의 모든 측면이 지켜지도록 해야 합니다. 다음은 최적 단계에서의 제로 트러스트 접근법에 대한 데이터 관련 기능입니다. 이는 Visibility와 Analytics, Automation과 Orchestration, 그리고 Governance에 중점을 둡니다.
데이터 인벤토리 관리:
기업 내의 모든 관련 데이터를 지속적으로 추적하고 의심스러운 데이터 전송을 차단하여 데이터 손실을 예방하는 효과적인 전략을 사용합니다.
데이터 분류:
기업 전체의 데이터 분류와 라벨링을 강력한 기술, 명확한 형식, 그리고 모든 데이터 유형을 다룰 수 있는 방법으로 자동화합니다.
데이터 가용성:
사용자와 엔터티의 필요에 기반하여 데이터 가용성을 최적화하기 위한 동적 방법을 사용합니다. 이에는 과거 데이터에 대한 접근도 포함됩니다.
데이터 접근:
동적인 just-in-time 및 just-enough 데이터 접근 제어를 자동화하고 정기적으로 권한을 검토합니다.
데이터 암호화:
데이터가 사용되는 동안 암호화하고, 안전한 키 관리를 위해 최소 권한 원칙을 따르며, 가능한 경우 최신 암호화 표준과 기술을 사용합니다.
Visibility와 analytics 능력:
강인한 분석 포함하여 예측 분석을 통해 기업의 데이터와 보안을 지속적으로 평가할 수 있는 전체 데이터 라이프사이클에 대한 명확한 시야를 가집니다.
Automation & orchestration 능력:
기업 전체의 데이터 라이프사이클과 보안 정책을 자동화합니다.
Governance 능력:
데이터 라이프사이클 정책을 통합하고 기업 전체에서 동적으로 이를 시행합니다.