ZTNA가 보안 격차를 해소하는 이유와 ZTS가 이를 메우는 방법

많게는 제로 트러스트 공급업체 제로 트러스트는 단일 제품이나 기술이 아니라 전체 IT 환경을 위한 전반적인 전략이라고 믿으실 수 있습니다.

제로 트러스트는 이름에서 알 수 있듯이 기본적으로 기업의 디지털 리소스에 대한 액세스를 거부하고 ID 및 리소스 유형에 따라 필요한 경우에만 권한을 부여하는 모델입니다.

조직의 중요 워크로드를 보호하기 위한 세 가지 중요한 제로 트러스트 필수 요소는 다음과 같습니다.

• ID 거버넌스
• 제로 트러스트 세그멘테이션 (ZTS)
• 제로 트러스트 네트워크 액세스 (ZTNA)

대부분의 조직은 이미 ID 거버넌스를 채택하고 있지만, 후자의 두 구성 요소는 제로 트러스트 함께 협력하여 조직의 인프라를 보호하는 데 중요한 역할을 합니다.

ZTNA란 무엇이며 왜 중요한가요?

ZTNA는 지난 몇 년 동안 조직의 경계와 남북 트래픽을 보호하기 위해 널리 채택되었습니다.ZTNA는 사용자의 ID와 역할을 기반으로 사용자를 인증하여 사용자가 클라우드 또는 데이터 센터의 애플리케이션에 액세스할 수 있는 간단하면서도 강력한 메커니즘을 제공합니다.

또한 기존 VPN과 달리 사용자에게 액세스 권한이 부여되면 사용자에게 필요한 애플리케이션에 대한 액세스 권한만 제공되고 기업 네트워크 자체에 대한 액세스는 거부됩니다.이를 통해 주변에 노출되는 네트워크 공격 표면이 줄어듭니다.

ZTNA가 하락하는 상위 3개 영역

ZTNA는 많은 장점이 있는 것으로 입증되었지만 네트워크에 완벽한 솔루션은 아닙니다.

실제로 보안 침해는 여전히 발생합니다.

공격의 복잡성이 증가함에 따라 채택이 임박했습니다.”위반을 가정하다“조직의 목표가 내부 공격 표면을 줄이고 가능한 적은 리소스로 보안 침해를 억제하는 것이어야 한다는 사고방식입니다.

ZTNA는 원격 사용자의 애플리케이션에 대한 외부 액세스를 보호하는 역할을 훌륭하게 수행하지만 ZTNA가 이점을 제공하지 못하는 여러 시나리오가 있습니다.그렇기 때문에 심층 방어 접근법이 필수적입니다.

ZTNA가 보호 기능을 제공하지 않는 세 가지 주요 영역이 있습니다.

• 측면 이동 엔드포인트 사이: ZTNA 솔루션은 원격 사용자로부터 애플리케이션으로의 리소스 액세스를 제공합니다.그러나 사용자가 사무실에 있을 때는 다양한 최종 사용자 장치의 액세스를 차단하거나 규제하지 않습니다.기업 환경 내부의 감염된 엔드포인트는 여러 엔드포인트와 서버 사이를 가로질러 이동하여 민감한 사용자 데이터에 액세스할 수 있는 동시에 대규모 랜섬웨어 공격이 발생하기 쉽습니다.
• 서버 간 측면 이동: ZTNA에는 데이터 센터 내부에서 발생하는 공격 벡터로부터 보호할 수 있는 기능이 없습니다.좋은 예가 될 수 있는 것은 태양풍 공격자가 SolarWinds가 배포된 네트워크 및 시스템에 대한 액세스 권한을 획득한 2020년의 공급망 공격.
• ID 서비스 제공업체의 실패: ZTNA 솔루션은 ID 서비스 제공업체 (IdP) 를 통해 사용자 환경을 인증하는 데 신뢰를 둡니다.공격자들은 IdP를 스푸핑하고 MFA를 우회하여 이를 악용했습니다.침입한 공격자는 자유롭게 혼란을 일으키고, 데이터를 유출하고, 조직의 중요 자산을 감염시킬 수 있습니다.

ZTNA가 고장날 때 ZTS는 어떻게 도움이 되나요?

ZTS ZTNA는 모든 제로 트러스트 여정의 기본 구성 요소입니다.조직이 악의적인 공격자로부터 보호하기 위해 ZTNA에만 의존할 수는 없다는 것은 분명합니다.

ZTS는 ZTNA가 공개한 동서 트래픽을 보호하여 격차를 해소하고 제로 트러스트 여정을 계속하는 데 필요한 네트워크 트래픽에 대한 가시성을 제공합니다.

눈에 보이는 부분만 보호할 수 있다는 것은 상식입니다.ZTS는 동서 트래픽을 보호하는 것 외에도 엔드포인트 (원격 및 사무실) 에서 데이터 센터 또는 클라우드의 애플리케이션까지 엔드투엔드 가시성을 제공합니다.조직은 다른 솔루션을 구현할 때 이러한 가시성을 활용할 수 있습니다. 제로 트러스트 솔루션.

ZTS에서는 명시적으로 허용되지 않는 한 노드가 서로 통신할 수 없도록 환경 전체에 “침해를 가정하는” 접근 방식을 적용합니다.이를 통해 보안 침해를 억제하고 전체 네트워크로 확산되지 않도록 할 수 있습니다.

보안 침해 예방 사고방식에서 보안 침해 억제 사고방식으로의 전환은 2021년에 발표된 백악관의 행정 명령 14028에 의해 검증되었습니다.EO는 연방 기관 및 모든 조직에 제로 트러스트 보안 전략으로 나아갈 것을 촉구합니다. 이 전략은 특히 제로 트러스트 세그멘테이션 (마이크로세그멘테이션이라고도 함) 을 주요 기둥 중 하나로 강조합니다.

에서 행정 명령 14028의 주요 내용에 대해 자세히 알아보십시오. 이 기사.

ZTS는 ZTNA가 제기하는 3가지 주요 단점을 해결합니다.

다른 엔드포인트와 통신할 수 있는 엔드포인트는 모든 공격자가 빠르게 확산할 수 있는 선물입니다.따라서 ZTS를 사용하여 기업 네트워크 내부 또는 외부의 엔드포인트를 보호해야 합니다.포트가 열려 있는 경우 엔드포인트는 매력적인 공격 벡터가 되고 네트워크 내 랜섬웨어 전파의 주요 원천이 됩니다.엔드포인트가 감염되면 공격자는 데이터 센터 내 중요 자산으로 이동할 수 있습니다.

ZTS에서 확보한 가시성을 통해 애플리케이션 서버에 세분화된 정책을 적용하여 특정 서버만 특정 프로토콜을 통해 서로 통신할 수 있는 세그멘테이션 규칙을 간단히 만들 수 있습니다.예를 들어 포트 3306 (MySQL) 에서 웹 서버와 데이터베이스 서버 간의 통신은 허용하되 데이터베이스가 웹 서버에 액세스하지 못하도록 제한하고 싶을 수 있습니다.

ZTS는 공격자가 IDP의 인증 메커니즘을 우회하는 경우에 유용한 안전 장치임이 입증되었습니다.공격자는 침입하더라도 환경 전체에서 측면으로 이동할 수 없으므로 공격의 폭발 반경이 줄어듭니다.

대부분의 사이버 공격은 네트워크 발견과 측면 이동에 의존합니다.ZTNA 외에 ZTS도 함께 사용하지 않으면 조직은 이러한 전술이 반복적으로 악용될 위험이 있습니다.

일루미오+ 앱게이트: ZTS와 ZTNA를 모두 구현하여 사이버 너바나를 달성하세요

ZTS와 ZTNA는 최신 인프라를 보호하는 데 중요한 역할을 합니다.이 두 가지를 결합하면 네트워크를 다시 멋지게 만들고 사이버 니르바나를 달성할 수 있습니다!

일루미오와 앱게이트 조직이 효과적이고 효율적인 제로 트러스트 보안 보호를 구현하도록 지원하는 데 앞장서고 있습니다.Illumio와 Appgate는 Forrester Wave✓™: 제로 트러스트 확장 에코시스템 플랫폼 제공업체에서 리더로 선정되었습니다.

Illumio와 Appgate를 사용하면 제로 트러스트 보안을 신속하게 구축하여 하이브리드 컴퓨팅 환경 전반에서 경계 및 내부 트래픽을 모두 보호할 수 있습니다.

Illumio+ 앱게이트에 대해 자세히 알아보려면 이 기사.또한 Illumio와 Appgate를 통해 제로 트러스트 보안을 구현하기 위한 3단계 모범 사례 접근 방식을 알아보십시오.솔루션 가이드.