디지털 트랜스포메이션은 여정이며 다른 모험과 마찬가지로 약간의 준비가 성공적인 결과를 이끌어내는 데 큰 도움이 될 수 있습니다. 모든 모험을 위한 준비에는 가고 싶은 곳을 결정하고, 그곳에 가는 가장 좋은 방법을 결정하고, 그 과정에서 필요한 장비, 서비스 및 물품을 모으는 것이 포함됩니다.
IT 혁신 여정은 일반적으로 애플리케이션을 데이터 센터에서 클라우드로 이동하는 애플리케이션 전환으로 시작됩니다. 그런 다음 사용자가 허브 앤 스포크 네트워크 아키텍처에서 직접 연결 접근 방식으로 이동하면서 현재 널리 분산된 애플리케이션에 액세스할 수 있도록 네트워크 변환이 필요합니다. 결과적으로 성과 보안 접근 방식에서 보안 방식으로 전환하는 보안 혁신이 필요합니다. 제로 트러스트 아키텍처.
앞서 언급한 순서가 일반적이지만 유사한 결과를 달성하는 몇 가지 다른 방법이 있습니다. 향한 여정을 시작해야 합니다. 제로 트러스트 가장 편안하거나 준비된 곳이면 어디든지. 조직이 앱 변환 전에 보안 변환을 시작하는 것이 더 타당하다면 그렇게 할 수 있습니다.
장비 평가
방화벽, VPN 및 중앙 집중식 보안 어플라이언스를 활용하는 Castle-and-moat 보안 아키텍처는 애플리케이션이 데이터 센터에 상주하고 사용자가 사무실에서 작업할 때 잘 작동했습니다. 당시 작업에 적합한 장비였습니다. 하지만 오늘날에는 인력이 어디에서나 작업하고 애플리케이션이 데이터 센터에서 퍼블릭 클라우드, SaaS 및 인터넷의 다른 부분으로 이동했습니다. 이러한 방화벽, VPN 및 레거시 보안 하드웨어 스택은 오늘날 고도로 분산된 비즈니스의 요구 사항을 충족하도록 설계되지 않았으며 그 유용성이 오래되었습니다.
사용자에게 애플리케이션에 대한 액세스 권한을 부여하려면 VPN 및 방화벽이 사용자를 네트워크에 연결해야 하며 기본적으로 네트워크를 모든 원격 사용자, 장치 및 위치로 확장해야 합니다. 이로 인해 공격자가 사용자, 장치 및 워크로드를 손상시킬 수 있는 더 많은 기회와 고가치 자산에 도달하고 중요한 데이터를 추출하고 비즈니스에 피해를 입힐 수 있는 측면 이동 방법이 더 많아져 조직이 더 큰 위험에 노출됩니다. 고도로 분산된 사용자, 데이터 및 애플리케이션을 보호하려면 새로운 접근 방식, 즉 더 나은 접근 방식이 필요합니다.
최적 경로 매핑
보안 혁신과 관련하여 혁신적인 리더는 제로 트러스트로 전환하고 있습니다. 방화벽과 암시적 신뢰에 의존하고 일단 신뢰가 설정되면 광범위한 액세스를 제공하는 경계 기반 보안 접근 방식과 달리 제로 트러스트는 최소 권한 액세스 원칙과 사용자, 장치 또는 워크로드가 없다는 생각을 기반으로 하는 보안에 대한 전체적인 접근 방식입니다. 본질적으로 신뢰할 수 있어야 합니다. 모든 것이 적대적이라는 가정으로 시작하여 ID와 컨텍스트가 확인되고 정책 확인이 시행된 후에만 액세스 권한을 부여합니다.
진정한 제로 트러스트를 달성하려면 방화벽을 클라우드로 이전하는 것 이상이 필요합니다. 네트워크에 연결하지 않고 사용자, 장치 및 워크로드를 애플리케이션에 안전하게 연결하려면 클라우드에서 태어나 클라우드를 통해 기본적으로 제공되는 새로운 아키텍처가 필요합니다.
중요한 여정과 마찬가지로 궁극적인 목적지를 염두에 두고 경로를 명확하게 정의하는 다양한 다리로 제로 트러스트를 향한 여정을 중단하는 것이 도움이 됩니다. 접근 방식을 고려할 때 XNUMX가지 필수 요소를 통해 동적으로 지속적으로 위험을 평가하고 모든 위치에서 모든 네트워크를 통해 통신을 안전하게 중개할 수 있습니다.
이러한 요소를 사용하여 조직은 진정한 제로 트러스트를 구현하여 공격 표면을 제거하고 위협의 측면 이동을 방지하며 손상 및 데이터 손실로부터 비즈니스를 보호할 수 있습니다.
이러한 요소는 세 가지 섹션으로 그룹화할 수 있습니다.
- 신원 및 컨텍스트 확인
- 콘텐츠 및 액세스 제어
- 정책 시행
좀 더 자세히 살펴 보겠습니다.
신원 및 컨텍스트 확인
연결이 요청되면 모험이 시작됩니다. 제로 트러스트 아키텍처는 연결을 종료하고 ID와 컨텍스트를 확인하는 것으로 시작됩니다. 요청된 연결의 누가, 무엇을, 어디에서 보는지 확인합니다.
1. 누가 연결하고 있습니까?—첫 번째 필수 요소는 사용자/기기, IoT/OT 기기 또는 워크로드 ID를 확인하는 것입니다. 이는 엔터프라이즈 ID 액세스 관리(IAM) 공급자의 일부인 타사 ID 공급자(IdP)와의 통합을 통해 달성됩니다.
2. 액세스 컨텍스트란 무엇입니까?—다음으로 솔루션은 요청의 역할, 책임, 시간, 위치, 장치 유형 및 상황과 같은 세부 정보를 조사하여 연결 요청자의 컨텍스트를 검증해야 합니다.
3. 연결은 어디로 가고 있습니까?—솔루션은 다음으로 ID 소유자가 엔터티-리소스 분할 규칙(제로 트러스트의 초석)을 기반으로 애플리케이션 또는 리소스에 액세스할 권한이 있고 필요한 컨텍스트를 충족하는지 확인해야 합니다.
콘텐츠 및 액세스 제어
신원과 컨텍스트를 확인한 후 제로 트러스트 아키텍처는 요청된 연결과 관련된 위험을 평가하고 사이버 위협 및 민감한 데이터 손실로부터 보호하기 위해 트래픽을 검사합니다.
4. 위험 평가—솔루션은 AI를 사용하여 위험 점수를 동적으로 계산해야 합니다. 위험 점수가 최신 상태로 유지되도록 장치 상태, 위협, 대상, 동작 및 정책을 포함한 요소를 연결 수명 동안 지속적으로 평가해야 합니다.
5. 타협 방지—악성 콘텐츠를 식별 및 차단하고 손상을 방지하기 위해 효과적인 제로 트러스트 아키텍처는 트래픽을 인라인으로 해독하고 엔터티-리소스 트래픽의 심층 콘텐츠 검사를 대규모로 활용해야 합니다.
6. 데이터 손실 방지-인라인 컨트롤을 사용하거나 제어된 환경 내에서 액세스를 격리하여 민감한 데이터를 식별하고 유출을 방지하기 위해 아웃바운드 트래픽을 해독하고 검사해야 합니다.
정책 시행
여정의 끝에 도달하고 궁극적으로 요청된 내부 또는 외부 애플리케이션에 대한 연결을 설정하기 전에 하나의 최종 요소인 정책 시행을 구현해야 합니다.
7. 정책 시행- 이전 요소의 출력을 사용하여 이 요소는 요청된 연결과 관련하여 수행할 작업을 결정합니다. 최종 목표는 단순한 패스/비패스 결정이 아닙니다. 그 대신, 솔루션은 궁극적으로 조건부 허용 또는 조건부 차단 결정을 초래하는 세분화된 제어를 제공하기 위해 위치나 적용 지점에 관계없이 세션별로 지속적이고 균일하게 정책을 적용해야 합니다.
허용 결정에 도달하면 사용자에게 인터넷, SaaS 앱 또는 내부 애플리케이션에 대한 보안 연결이 부여됩니다.
안전하게 목적지에 도달
제로 트러스트를 위해 설계되지 않은 레거시 장비를 사용하여 제로 트러스트를 향한 여정은 위험할 수 있습니다. 진정한 제로 트러스트를 가능하게 하는 솔루션을 찾는 것이 처음에는 어려워 보일 수 있지만 조직에 가장 적합한 곳에서 시작하고 여기에 설명된 XNUMX가지 요소를 지침으로 삼으십시오.
자세히 보기 Zscaler의 파트너 관점.
