제로 트러스트 보안 모델

Zero trust security model

제로 트러스트 보안 모델(또한 제로 트러스트 아키텍처, 제로 트러스트 네트워크 아키텍처, ZTA, ZTNA)은 경계 없는 보안이라고도 하며, IT 시스템의 설계 및 구현에 대한 접근방식을 설명한다. 제로 트러스트의 주요 개념은 '절대 신뢰, 항상 검증'으로, 기업 LAN과 같은 관리형 기업 네트워크에 연결되어 있고, 이전에 검증되었다고 하더라도 기기가 디폴트로 신뢰되어서는 안 된다는 것을 의미한다. 대부분의 현대 기업 환경에서 기업 네트워크는 많은 상호연결된 세그먼트, 클라우드 기반 서비스와 인프라, 원격 및 모바일 환경으로의 연결, 그리고 IoT 장치와 같은 비전통적인 IT로의 연결로 구성된다. 한때 개념적인 기업 경계 내의 장치나 VPN을 통해 장치에 연결된 장치를 신뢰하는 전통적인 접근 방식은 매우 다양하고 분산된 환경에서는 이치에 맞지 않는다. 그 대신 제로 트러스트 접근방식은 위치와 무관하게 기기의 정체성과 무결성을 확인하고, 사용자 인증과 결합하여 기기 ID 및 기기 상태 등의 신뢰성에 근거한 애플리케이션과 서비스에 대한 접근을 제공하는 등 상호 인증을 옹호한다.[1]

배경

제로 트러스트를 지지하는 개념들 중 많은 것들이 새로운 것이 아니다. 포레스터(re)의 산업분석가 존 킨더백은 '제로 트러스트(zero trust)'라는 용어를 유행시켰으나, 1994년 4월 스티븐 폴 마쉬가 스털링 대학교의 컴퓨터 보안에 관한 박사논문으로 만든 것이다. 마쉬의 작품은 단순한 대립적 현상이나 순전히 인간적인 현상이라기보다는 수학적인 구성으로 설명할 수 있는 유한한 존재로서의 신뢰에 대한 철저한 연구였다. 또한, 마쉬는 신뢰의 개념이 도덕, 윤리, 법치, 정의, 판단과 같은 인간의 요소를 초월한다고 주장했다. 마쉬는 컴퓨터 시스템, 애플리케이션, 네트워크 확보에 있어 제로 신뢰가 불신을 뛰어넘었다고 추측했다.[2]

조직의 IT 시스템에 대한 경계선을 정의하는 과제는 2003년 Jerico Forum에 의해 강조되었으며, 당시 만들어진 탈주파화 추세에 대해 논의하였다. 2009년에 구글비욘드코프라고 불리는 제로 트러스트 아키텍처를 구현했다. 킨더바그의 보고와 분석은 IT 커뮤니티 전반에 걸쳐 제로 트러스트 개념을 구체화하는 데 도움을 주었다. 그러나 제로 트러스트 아키텍처가 보편화되려면 거의 10년이 걸릴 것이며, 부분적으로 모바일 및 클라우드 서비스의 채택 증가에 의해 주도될 것이다.

2014년 중반까지 스위스의 보안 엔지니어인 지앙클로디오 모레시는 새로운 위험한 바이러스(제로 트러스트 네트워크로 제로 데이 보호)로부터 어떤 클라이언트도 보호하기 위해 일련의 방화벽 회로의 원리를 이용하여 최초의 시스템을 설계했다. Untrust-Untrust Network 기반의 새로운 아키텍처는 2015년 2월 20일 스위스 연방지식재산연구소에서 발표되었다.[3]

2019년까지 영국 국가 기술 당국인 NCSC(National Cyber Security Centre)는 네트워크 설계자들에게 새로운 IT 구축, 특히 클라우드 서비스의 중요한 사용이 계획된 경우 제로 트러스트 방식을 고려할 것을 권고하고 있었다.[4] 2020년까지 사이버 보안 제공업체뿐만 아니라 선도적인 IT 플랫폼 공급업체의 대다수가 제로 트러스트 아키텍처 또는 솔루션의 사례를 잘 문서화한다. 이러한 대중화 증가는 결과적으로 제로 트러스트의 정의 범위를 만들어내 NCSC, NIST(National Institute of Standards and Technology)와 같은 인정된 기관에 의한 표준화의 수준을 요구하게 되었다.

원칙 정의

2018년 말부터 NIST와 NCCoE(National Cyber Security Center of Excellence) 사이버 보안 연구원이 미국에서 수행한 작업은 A NIST 특별 간행물(SP) 800-207, Zero Trust Architecture로 이어졌다.[5][6] 이 간행물은 제로 트러스트(ZT)를 절충된 것으로 보이는 네트워크 앞에서 정보시스템과 서비스에서 요청당 정확한 액세스 의사결정을 시행하는 불확실성을 줄이기 위해 고안된 개념과 아이디어의 모음으로 정의한다. 제로 트러스트 아키텍처(ZTA)는 제로 트러스트 개념을 활용하고 구성요소 관계, 워크플로우 계획, 액세스 정책을 포괄하는 기업의 사이버 보안 계획이다. 따라서 제로 트러스트 기업은 제로 트러스트 아키텍처 계획의 산물로서 기업을 위해 시행 중인 네트워크 인프라(물리적 및 가상적)와 운영 정책이다.

제로 트러스트 아키텍처의 핵심 원칙을 식별하기 위해 NCSC는 대안적이지만 일관된 접근방식을 취한다.[4]

  1. 강력한 단일 사용자 ID 소스
  2. 사용자 인증
  3. 컴퓨터 인증
  4. 정책 컴플라이언스 및 장치 상태와 같은 추가 컨텍스트
  5. 응용 프로그램에 액세스하기 위한 권한 부여 정책
  6. 응용 프로그램 내의 액세스 제어 정책

참조

  1. ^ "Mutual TLS: Securing Microservices in Service Mesh". The New Stack. 2021-02-01. Retrieved 2021-02-20.
  2. ^ Stephen Marsh, Google Scholar, 2021-03-03, retrieved 2021-03-03
  3. ^ G.C.Moresi, 클라이언트와 서버 사이의 보안 연결을 위한 아키텍처 (무신뢰) 특허 Nr. CH 710 768 A2, 2015년 2월 20일
  4. ^ a b "Network architectures". www.ncsc.gov.uk. Retrieved 2020-08-25.
  5. ^ "Zero Trust Architecture NCCoE". www.nccoe.nist.gov. Retrieved 2020-08-25.
  6. ^ Rose, Scott; Borchert, Oliver; Mitchell, Stu; Connelly, Sean. "Zero Trust Architecture" (PDF). nvlpubs.nist.gov. NIST. Retrieved 17 October 2020.