[공통보안] zero trust 가이드라인

과학기술정보통신부와 한국인터넷진흥원은 산·학·연 전문가들과 함께 국내·외 최신 동향, 도입 사례를 분석하고 수요·공급기관 대상 의견 수렴을 거쳐 국내 기업들이 철통 인증(제로트러스트) 보안 모형을 도입하는데 참조할 수 있는 「철통 인증 지침(제로트러스트 가이드라인) 2
InfoBay
InfoBay0 mins read



1. 정의

  • 신뢰하지 말고 항상 검증하라
    • What/Who : subject( ID, endpoint, application )
    • When/Where : object(resource)에 접근할 때, 경계가 아닌 Object 앞단에서
    • How : ZT 아키텍처를 사용하여
    • Why : 재택 및 원격근무 확대, 클라우드 기술 등장, 비인각 개체의 증가(ex. 솔라윈스), 협력사와 협업 환경 변화 등 subject의 네트워크 상의 위치가 다양해지고 경계가 불분명해져서. 공격자의 내부 침투가 성공한 경우 무방비 노출되서
  • 다른 접근제어 모델과 가장 큰 차이점
    • subject(접근주체)의 접근시도 과정에서 신뢰도 평가(인증 등)가 이루어지기 전에는 비신뢰를 가정한다는 점
    • 경계(ex. 방화벽)가 아닌 object(resource) 접근 과정에서 개별적인 제어를 통해 접근 승인여부를 결정할 수 있어야 함

2. ZT 아키텍처 보안 모델

  • ZT 개념 모델
    • NIST SP 800-207에서는 제로트러스트 관점에서의 접근에 대해 아래과 같은 개념 모델을 제시
    • subject(접근주체)의 접근시도 과정에서 신뢰도 평가(인증 등)가 이루어지기 전에는 비신뢰를 가정

  • 기본 원리
    • ZT 최종 목표 : 기업망, 내부 리소스
  • ZT 아키텍처 보안 모델
    • 논리 구성 요소

3. ZT 성숙도 모델 2.0

  • 성숙도 모델은 특정 프로세스·기술에 대한 조직의 수준 분석 및 측정을 정량적으로 수행위한 도구
  • 도입 절차

  • ZT 아키텍처 적용 대상(핵심 요소)

  • 적용 대상은 아래 2가지 교차 기능이 구현되어야 함

  • 4단계 성숙도 모델

4. 주요 용어

  • 비인간개체(NPE, Non-Person Entity) : 기업망에서 사용자가 아닌 기기, 서버, 애플리케이션, 서비스 등으로 특정 리소스에 접근을 하는 접근 주체 역할을 수행할 수 있으며, 이 경우 신원 확인 및 권한 검증, 신뢰도 확인 등이 이루어져야 함
  • 워크로드(Workload) : 기업망에서 시스템, 애플리케이션 등이 처리해야 하는 작업 혹은 일련의 작업 리스트 등을 의미하며, 제로트러스트 관점에서는 온프레미스 혹은 클라우드에 위치한 리소스에 접근하는 모든 서비스, 애플리케이션 및 솔루션 등을 포괄
  • 정책결정지점(PDP, Policy Decision Point) : 접근 주체가 리소스에 접근할 수 있는지를 최종적으로 결정하여 이를 정책시행지점(PEP)에게 명령하는 논리적 개체로, 정책 엔진(PE)과 정책 관리자(PA)로 구성
  • 정책시행지점(PEP, Policy Enforcement Point) : 접근 주체와 리소스 사이를 연결하고 모니터링하며 최종적으로 연결을 종료하는 논리적 개체로, PDP의 정책 관리자에게 접근 요청을 전달하고 접근 승인 여부를 전달받아 현재 접근 세션에 직접 반영
  • 정책정보지점(PIP, Policy Information Point) : 정책결정지점이 정책 결정을 내리는 데 활용하기 위해서 수집한 사용자, 기기 관련 정보 및 기타 정책 관련 정보를 제공하는 논리적 개체로, 이러한 정보에는 기업이 생성하거나 제어하지 않는 외부 데이터와 기업 내부적으로 생성되는 내부 데이터로 분류할 수 있으며 규제·내부규정, 데이터 접근 정책, 보안 이벤트, 위협 인텔리전스, 사용자 및 기기 인증 정보, 네트워크 및 시스템 상의 행위 로그 등을 포함할 수 있음
  • 제로트러스트(Zero Trust) : 위협이 언제 어디서든 발생 가능하다는 인식하에 기업 내부의 네트워크, 시스템 혹은 리소스에 접근하고자 하는 어떤 사용자·기기에 대해서도 지속 인증, 세밀한 접근제어를 통한 최소 권한 부여 등 적극적인 신뢰도 평가 없이 접근을 허용하지 않는 보안 모델 및 이를 구현·실체화하기 위한 아이디어의 집합을 의미 영어 원문을 발음대로 쓴 표현으로 두 단어의 결합인 점을 고려하면 제로 트러스트라고 표현할 수 있으나, 이 문구가 제로()’트러스트(신뢰)’의 단순 단어 결합이 아닌 새로운 보안 모델로서의 의미를 담고 있음을 고려하고 독자들이 해당 의미를 받아들이는 데 도움이 될 수 있도록 본 가이드라인에서는 두 단어를 붙인 형태의 새로운 단어로 표현하고 있음
  • 제로트러스트 아키텍처 (Zero Trust Architecture) : 제로트러스트의 개념을 활용하여 기업 내부의 네트워크, 시스템 및 리소스를 보호할 수 있는 추상적인 보안 구조이며 해당 목적을 달성하기 위한 기업망의 구성 요소, 구성 요소 간 인터페이스 정의와 인증, 접근제어, 보안 모니터링 및 가시화 등 보안 정책을 포함



키워드 : 제로 트러스트, Zero Trust, 





Related Posts