제목 | [기술분석] 클라우드를 위한 제로 트러스트 보안 |
---|
분류 | 성장동력산업 | 판매자 | 안소영 | 조회수 | 40 | |
---|---|---|---|---|---|---|
용량 | 1.01MB | 필요한 K-데이터 | 3도토리 |
파일 이름 | 용량 | 잔여일 | 잔여횟수 | 상태 | 다운로드 |
---|---|---|---|---|---|
[기술분석] 클라우드를 위한 제로 트러스트 보안.pdf | 1.01MB | - | - | - | 다운로드 |
데이터날짜 : | 2022-03-25 |
---|---|
출처 : | 한국지능정보사회진흥원 |
페이지 수 : | 25 |
< 목 차 >
01 클라우드를 위한 제로 트러스트 보안
02 클라우드 게이밍의 현황
03 ‘그린’ 클라우드컴퓨팅
01 클라우드를 위한 제로 트러스트 보안│윤대균 아주대학교 교수제로 트러스트(zero trust)는 네트워크 경계와 관계없이 누구도, 그리고 어떤 활동이든 기본적으로 “신뢰하지 않는” 것에 바탕을 둔 보안 개념이다. 전통적인 네트워크 보안은 물리적(또는 논리적) 네트워크 경계를 설정하고, 그 경계를 기준으로 신뢰할 수 있는 영역과 그렇지 않은 영역을 구분하는 것이다. 경계 내에서의 활동은 기본적으로 신뢰할 수 있다는 전제하에 보안 기준이 적용된다. 반면, 제로 트러스트 모델에서는 설정된 네트워크 경계와 관계없이 아무도 신뢰하지 않는 것을 전제로 한다. 그림 1 네트워크 경계 기반의 전통적인 방어 모델 vs. 제로 트러스트 방어 모델(그림 출처: nist.gov) 그림 1에서 보듯이 제로 트러스트에서는 기본적으로 신뢰구간(trust zone)이 없다. 악의를 품은 사용자는 항상 신뢰구간 바깥에 있고, 신뢰구간 안에 있는 사용자는 늘 믿을 수 있다는 기존의 경계 보안 모델과는 완전히 대조된다. 모든 사용자가 신뢰할 수 없다고 간주되기 때문에 제로 트러스트에서는 매우 엄격한 접근 제어 방식이 필요하다. 이를 위한 고도의 IAM(Identity and Access Management) 기능이 요구된다. 예를 들면, 다중 단계 인증, 싱글사인온, 생체인증, 사용자 모니터링 같은 것들이다. 전문 IAM 기업이 제공하는 솔루션을 도입하여 자체적으로 IAM을 구축하거나, 또는 클라우드 기반으로 제공되는 IDaaS(Identity as Service)를 사용할 수 있다VPN, SDP, 제로 트러스트 2020년부터 2년 넘게 이어지고 있는 코로나19 팬데믹은 모든 사람의 일상을 바꿔 놓았다. 특히 재택근무가 보편화되며 이젠 위치와 관계없이 어디서든 회사 시스템에 접근하여 업무를 처리하고 동료들과 협업하는 것이 자연스럽게 되었다. 회사의 물리적 네트워크 경계 안에 있는 시스템에서 안전하게 보호되던 회사의 주요 자산에 접근하기 위해서는 다른 방식의 접근 체계가 필요하다. 이를 위해 가상의 논리적 네트워크 경계를 설정하는 방식이 사용된다. 일반적으로 가장 많이 알려진 방식은 VPN(가상 사설망)을 사용하는 것이다. VPN은 승인된 사용자 장치와 서버 간 암호화 된 연결을 생성하여 마치 자체 사설 네트워크에 있는 것처럼 만든다. VPN을 사용하여 원격에서 근무하는 직원들도 마치 회사 네트워크에 직접 연결된 사무실에 있는 것처럼 사내 시스템을 원격으로 안전하게 사용할 수 있다. 회사에서는 직원들에게 VPN을 배포하여 각자 장치에 설치하여 이를 통해 원격으로 회사 내부 네트워크에 접속할 수 있게 한다. 회사 네트워크 접근이 필요한 모든 기기에 VPN을 설치하면 네트워크 경계를 설정하지 않더라도 안전하게 회사 네트워크 및 자원을 보호할 수 있다. 다만, 최근 다양한 IoT 기기 등 최신 장치들에 대한 지원이 부족하다는 것이 VPN 활용의 단점이 될 수 있다. SDP(Software Defined Perimeter: 소프트웨어 정의 경계)는 논리적 가상 링크로 연결된 네트워크를 덮고 있는 마치 오버레이 네트워크 같은 개념이라고 볼 수 있다. 다르게 설명하면, 인터넷에 연결된 서버, 라우터와 같은 인프라를 숨김으로써, 온프레미스로 제공하든, 클라우드에서 호스팅을 하든 관계없이 외부의 잠재 공격자들이 아예 볼 수 없도록 투명 망토를 덮어 놓은 것 같은 것으로 연상하면 된다. 이름에서 알 수 있듯이 SDP 접근 방식의 궁극적인 목표는 네트워크 경계를 하드웨어가 아닌 소프트웨어로 결정한다는 것이다. 승인된 사용자만 “보이지 않는” 인프라에 접속할 수 있다. 클라우드 보안 얼라이언스에서 SDP 개념을 처음으로 제시했다.2) SDP를 적용하면 장치와 사용자 ID 인증을 통해 권한이 부여되어야만 호스팅을 하는 인프라에 접근할 수 있다. 장치에 대한 인증뿐만 아니라 장치의 상태까지 확인함으로써 인프라 접근을 허용 여부를 결정한다. 예를 들어 장치의 운영체제가 최신 패치까지 적용된 안전한 상태인지, 또는 악성코드(Malware)에 감염된 것은 아닌지 등 인프라에 위협이 될 만한 요소들이 없다고 확인되어야 인프라 접근이 허용된다. 여기에서 접근이 허용되는 인프라는 특정 물리적 네트워크 내에 있는 모든 자원을 말하는 것이 아니다.
※ 본 서비스에서 제공되는 각 저작물의 저작권은 자료제공사에 있으며 각 저작물의 견해와 DATA 365와는 견해가 다를 수 있습니다.