[Day 130] Zero Trust Model(제로 트러스트)

Zero Trust Model

• 기본적으로 기업 내/외부를 막론하고 적절한 인증 절차 없이는 그 누구도 신뢰해서는 안되며, 시스템에 접속하고자 하는 모든 것에 접속 권한을 부여하기 전 신원 확인 절차를 거쳐야 한다는 것
• 모든 파일이 잠재적 위험 요소라는 전제하에 모든 데이터를 모니터링하고, 모든 데이터에 접근할 때 안전한 경로를 통하도록 하며, 데이터 엑세스 권한은 꼭 필요한 경우에만 허락하는 방식
• 시스템 설계 시 외부에서 내부가 아닌, 내부에서 외부로 설계하며, 언제나 불신을 원칙으로 하여 신원을 확인하고 모든 트래픽을 검사, 로그 리뷰함

 

#제로 트러스트의 구현 방법

• 보호해야 하는 애플리케이션과 시스템은 외부에 노출, 검색되지 않도록 보호하며, 접속하려는 사용자·단말을 인증하고, 인증된 사용자·기기만을 인가된 애플리케이션·시스템 하나에만 접속하도록 하는 것을 원칙으로 한다.
• 다른 애플리케이션이나 시스템에 접속하려면 재 인증을 받도록 해, 사용자로 위장한 공격자가 인증 시스템을 우회해 하나의 애플리케이션 접속에 성공했다 해도 다른 애플리케이션으로 이동하지 못하도록 한다.
• 즉, 내·외부를 막론하고 인증절차 없이는 그 누구도 신뢰하지 않는 것을 바탕으로, 확인된 사용자와 기기만의 접근을 허용하며, 접근 범위를 최소화한다는 것이다.
• 더불어, 네트워크 설계 방향을 내부에서 외부로 설정해 누가, 언제, 무엇을, 어디서 어떻게 접속하는지를 빠짐없이 파악 하고 통제하는 특징이 있다.

--> 출처 : https://concert.or.kr/bbs/board.php?bo_table=concertreport&wr_id=9 

2022 기업 정보보호 이슈 전망 보고서 발간 > CONCERT Report | 한국침해사고대응팀협의회

 

BeyondCorp 개념

• 구글에서 제로 트러스트 보안 개념을 구현한 것
• 엑세스 제어 기능을 네트워크 경계에서 개별 기기로 이전해 VPN을 사용하지 않고도 어디서나 안전하게 업무 수행 지원
• 엑세스는 사용자의 네트워크 위치가 아니라 장치 및 사용자 자격증명에 의존함

 

BeyondCorp 인증 절차

1차 기기 인증

• 디바이스 인증서를 통해 인증된 기기만 사내망에 접속 가능

 

2차 사용자 인증

• MFA로 인증하고, 사용자/그룹 정보에 따라 시스템 접속 허용 여부 결정

 

3차 접근 제어 엔진으로 검증

• 해당 사용자가 대상 시스템에 접근 가능한 그룹인지 확인
• 해당 사용자가 충분한 Trust Level을 소유하고 있는지 권한 확인
• 해당 디바이스가 관리되는 기기인지 확인
• 디바이스가 충분한  Trust Level을 소유하는지 확인
• 위 검증사항 중 하나라도 실패하면 접속 거부

 

※ 출처 : Creative and Smart! LG CNS :: 기업 보안에 대한 새로운 접근 ‘제로 트러스트 보안’

기업 보안에 대한 새로운 접근 ‘제로 트러스트 보안’