제로 트러스트 정의가 잘못되는 요소 및 올바른 방법

몇 년 전, 저는 최악의 오해의 소지가 있는 마케팅을 나타내는 배지를 단 자동차를 가지고 있었습니다.은색의 3차원 로고에는 부분 무공해 차량의 약자인 PZEV라는 약자가 새겨져 있습니다.

처음 반응이 모순적으로 들린다면 본능이 좋은 것입니다.이 경우에는 설명이 놀라울 정도로 정확합니다.

문제는 이 광고된 기능이 본질적으로 쓸모가 없다는 것입니다.이 오해의 소지가 있는 용어이자 눈에 잘 띄는 배지는 내연 기관이 유일한 추진력이기 때문에 오염 물질을 배출하는 차량을 정확히 설명하지만, 엔진이 꺼지면 오염 물질을 전혀 배출하지 않는다는 것입니다.

좀 더 정직한 배지는 PGG로, 휘발유 증발로 인한 배출을 방지하기 위해 연료 시스템에 Pretty Good Gaskets를 사용했다는 것을 나타냅니다.하지만 기본적인 문제는 부분 영점이 존재하지 않고 모순된다는 것입니다.

여기서 이단자가 되는 건 싫지만 0이 잘 정의되어 있다는 사실을 눈치채지 못할 수 없습니다.

0.1은 0이 아닙니다.

0.0001도 아닙니다.

심지어 0.00000000000000000000000001도 0이 아닙니다.

제로 트러스트와 최소 권한 원칙

이제 자동차와 기본 연산에서 컴퓨터 네트워크 보안으로 전환해 보겠습니다.

제로 트러스트 네트워크 보안의 핵심 원칙 (“테넌트”는 아님) 은 다음을 구현해야 한다는 것입니다. 최소 권한 원칙 여기에는 정의에 초과 권한이 없어야 한다는 내용이 포함됩니다.최소 권한, 즉 트랜잭션이 제대로 작동하는 데 필요한 절대 최소 권한은 필요하고 칭찬할 만하지만 제로 트러스트를 설정하기에는 충분하지 않은 더 적은 권한과는 다릅니다.

여기서 발생하는 문제의 간단한 예로는 IP 주소 w.x.y.z의 포트 80에 웹 페이지를 노출하는 네트워크 리소스와 관련이 있습니다. 포트 80을 제외한 모든 포트에 대한 액세스를 차단하는 것은 올바른 방향으로 나아가는 큰 단계입니다.하지만 이렇게 하면 특정 사용자만 허용해야 하는 경우에도 모든 클라이언트 주소에서 이 포트에 액세스할 수 있습니다.이는 특정 클라이언트 소스 IP 주소만 허용함으로써 과도한 권한을 제거할 수 있다는 의미입니다.

그러나 이는 권한 있는 사용자가 포트 80에 노출된 모든 리소스에 도달하려고 시도할 수 있는 시나리오로 이어지며, 의도한 사용 사례의 일부인 GET 작업과 그렇지 않은 PUT 작업 (예: PUT 작업) 모두에 도달할 수 있습니다.PUT 작업을 방지하고 단일 특정 웹 리소스에만 GET을 허용하도록 액세스를 추가로 제한하는 것이 의도한 사용 사례를 구현하는 데 필요한 최소 권한인 최소 작업 권한 (MWP) 을 얻을 수 있는 최종 제한 사항입니다.

MWP는 특정 사용 사례에 대해 구현되는 최소 권한 구성입니다.위에서 설명한 각 후속 행동 제한은 다음과 같이 감소합니다. 공격 표면 MWP에 더 가까워지지만 마지막 초과 권한이 제거되어야만 구현했다고 이야기할 수 있습니다. 제로 트러스트.

제로 트러스트는 여정이 아닙니다. 하지만 이를 위한 노력은

이는 제로 트러스트가 “여정”이라는 일반적인 주장으로 이어지는데, 이는 부분적인 제로 트러스트의 무의미한 상태를 암시하는 것처럼 보입니다.제로 트러스트의 “수준”에 대해 마치 다양한 제로 트러스트 보안 태세를 거칠 수 있는 것처럼 이야기하는 것을 흔히 들을 수 있습니다.

제로 트러스트는 여정이 아니라 목적지입니다.

사람들이 제로 트러스트 “여정”을 언급할 때 실제로 의미하는 바는 제로 트러스트를 달성하기 위한 작업이 곧 여정이라는 것입니다.이 목표를 향한 발걸음은 유용하고 중요하지만 최종 목표인 제로 트러스트를 달성하는 것과는 차별화되어야 합니다.

과장되고 엉뚱한 용어가 모든 산업의 일부인 것은 사실이지만, 경우에 따라 너무 지나친 오해를 불러일으켜 특히 사이버 보안 분야에서 장기적으로 피해를 줄 수 있습니다.보안에 대한 가장 큰 위험은 벤더 또는 솔루션과의 관계로 이어져 제로 트러스트에 더 가까워질 수 있지만 목적지까지 데려다 줄 계획이나 능력이 없다는 것입니다.

어떤 것도 부분적으로 0으로 만드는 것은 불가능합니다.

제로 트러스트는 자유와 안전에 관한 것입니다.애플리케이션이 제로 트러스트를 구현하는 네트워크 서비스를 사용하는 경우, 해당 애플리케이션은 악의적인 행위자로부터 스스로를 방어하기 위한 복잡하고 취약한 로직을 포함할 필요가 없습니다.이 회사의 제로 트러스트 인프라 플랫폼을 통해 이러한 위험이 제거되었습니다.

제로 트러스트: 가능한 최소한의 공격 표면

예를 들어, 미국 법원에서는 출입하는 모든 사람을 감시하는 자력계가 있는 단일 출입구가 있어 아무도 내부로 악의적인 물건을 가져가지 않았는지 확인할 수 있기 때문에 안전을 보장받을 수 있습니다 (Zero Trust).이러한 보안 조치가 없는 (공격 대상 영역 감소) 다른 출입구가 있는 경우 위협 유무 보장이 뒷받침될 수 없으며 모든 사람이 자신의 안전에 대해 우려할 필요가 있습니다.출입구가 두 개인 이 시나리오에서 대부분의 사람들 (악의적인 요소가 없는 사람들) 이 보안 인터페이스를 통과한다고 해서 안전이 보장되지 않는 것은 아닙니다.

공격 표면 감소와 제로 트러스트 (가능한 최소 공격 영역) 의 차이는 자기 방어에 대해 걱정하지 않아도 되는지 여부입니다.진정한 제로 트러스트만이 애플리케이션 개발자가 애플리케이션의 방어 기능을 배제하여 비용, 복잡성 및 시장 출시 시간을 줄일 수 있도록 할 수 있습니다.

많은 공급업체가 지금보다 더 안전하며 어느 정도 가치가 있는 솔루션을 판매할 것입니다.하지만 제로 트러스트 목적지까지 가는 방법과 목적지로 데려다 줄 수 있는지 이해하는 것이 중요합니다.

Zero Trust는 서비스 이점을 제공하기 위해 일부 네트워크 상호 작용을 허용해야 한다는 점을 감안할 때 우리가 가질 수 있는 최고의 보안 태세라고 생각할 수 있습니다.현재 사용 가능한 일부 보안 솔루션을 통해 제로 트러스트에 대한 이러한 정의를 달성할 수 있습니다.

특정 네트워크 기반 응용 프로그램 및 서비스의 경우 이러한 솔루션을 배포하는 데 드는 비용은 이러한 솔루션을 사용하지 않고 배포하는 데 드는 비용, 즉 보안 침해로 인한 비용보다 훨씬 적습니다.애플리케이션의 최소 작업 권한이 무엇인지 이해하는 것부터 이 분석을 시작하는 것이 좋습니다.

애플리케이션 소유자는 전체 비즈니스 측면에서 제로 트러스트가 얼마나 비용 효율적인지 결정하기 위해 애플리케이션의 보안 요구 사항을 이해해야 합니다.그러나 사이버 보안 환경이 진화하고 더욱 정교해짐에 따라 조직은 제로 트러스트를 사용하지 않을 수 없다는 것을 알게 될 것입니다. 신뢰를 줄이는 것만으로는 충분하지 않기 때문입니다.

Illumio 제로 트러스트 세그멘테이션은 제로 트러스트를 달성하는 데 도움이 됩니다.

제로 트러스트는 특정 제품이나 솔루션이 아닌 보안 전략이지만 포레스터, 제로 트러스트 세그멘테이션 (ZTS) 검증제로 트러스트 아키텍처의 기본적이고 전략적인 기둥으로서 마이크로세그멘테이션이라고도 합니다.ZTS는 완전한 제로 트러스트에 도달하는 데 도움을 주지는 못하지만 제로 트러스트의 중요한 기술입니다.

ZTS는 보안 침해가 불가피하다고 가정하고 네트워크를 세분화하고 최소 권한 액세스를 설정하여 침해에 대비합니다.침해가 발생하면 ZTS는 네트워크 전반의 측면 이동을 차단하여 침해 확산을 억제합니다.

더 일루미오 ZTS 플랫폼 하이브리드 공격 표면 전반에서 보안 침해를 억제하기 위한 업계 최초의 플랫폼입니다.

Illumio ZTS를 사용하면 다음과 같은 작업을 수행할 수 있습니다.

• 위험 확인: 워크로드와 디바이스가 통신하는 방식을 지속적으로 시각화합니다.
• 정책 설정: 원하고 필요한 통신만 허용하는 세분화된 정책을 설정합니다.
• 보안 침해 확산 차단: 사전 예방적으로 또는 공격 중에 측면 이동을 제한하여 보안 침해를 자동으로 격리합니다.

ZTS란 무엇입니까?더 읽어보기 이리.

오늘 저희에게 연락하세요 ZTS에 대해 자세히 알아보고 ZTS가 제로 트러스트 전략에 어떻게 적용되는지 자세히 알아보려면