새로운 방식의 데이터 보호

00:03 숀 코넬리

데이터 보안을 새로운 시각으로 바라보고 있지만, 데이터 보안 분야가 가장 취약했고 우리가 해야 할 일이 가장 많았다고 생각합니다.

00:12 라구 난다쿠마라

제로 트러스트 리더십 팟캐스트인 The Segment에 오신 것을 환영합니다.저는 호스트입니다. 제로 트러스트 세그멘테이션 회사인 Illumio의 산업 솔루션 책임자인 라구 난다쿠마라입니다.오늘 에피소드에서는 아주 특별한 게스트로 사이버보안 및 인프라 보안국 (CISA) 의 전 연방 제로 트러스트 아키텍트였던 숀 코놀리 (Sean Connolly) 가 함께 합니다.Sean은 또한 국토안보부 (DHS) 산하 CISA에서 신뢰할 수 있는 인터넷 연결 프로그램 관리자로 활동하기도 했습니다.그는 2013년에 국토 안보부에 입사하여 그 이후로 다양한 역할을 수행했습니다.그는 2017년 대통령에게 제출한 IT 현대화 보고서의 주저자로 활동했으며, 2019년에는 NIST의 제로 트러스트 아키텍처를 향한 특별 간행물을 공동 저술했습니다.저희는 이 에피소드를 지난 2월에 녹화했습니다. 그래서 Sean이 CISA에서 자리를 옮긴 뒤에도 CISA에서 일했을 때 그의 관점에서 이야기를 들려드릴 수 있을 겁니다.네트워크 아키텍처의 진화, 지난 5년간 발생한 사건으로 인해 연방 정부가 사이버 레질리언스, 특히 제로 트러스트에 더욱 초점을 맞출 수 있었던 이유, 그리고 CISA가 새로운 방식으로 데이터를 보호하기 위해 어떻게 생각하고 있는지 살펴봅니다.CISA의 연방 제로 트러스트 아키텍트인 숀 코넬리 (Sean Connelly) 씨, 세그먼트의 이번 에피소드에 오신 것을 진심으로 환영합니다.숀, 반갑습니다.함께 해주셔서 감사합니다.

1:39 숀 코넬리

오, 고마워요.제 편에서는 정말 기뻤어요.더 세그먼트에 오게 되어 정말 기쁩니다.감사합니다.

1:45 라구 난다쿠마라

정말 고마워요.정부 차원에서 제로 트러스트 명령을 직접 만든 사람과 교류할 기회가 흔치 않기 때문에 저희에겐 정말 신나는 일이죠.먼저, 숀, 연방 제로 트러스트 아키텍트가 되기 위해 어떤 경력을 쌓았는지 그리고 어떤 경력을 쌓았는지 설명해 주세요.

2:07 숀 코넬리

그럼요, 고맙습니다.그래서 저는 컴퓨터를 오랫동안 사용해 왔어요.80년대 초반에 저는 보조 프로젝트를 진행하면서 TRS80 모델 3인 RadioShack 컴퓨터를 사용했습니다.과학 경시 대회에 참가해서 사용자 경험에 대해 금방 알게 되었어요.왜냐하면 과학 경연대회에서 저는 사립학교에 다녔는데 80살이 넘은 수녀가 컴퓨터를 사용하려고 했거든요.이 사람은 말 그대로 1800년대에 태어난 사람입니다.그녀에게 컴퓨터를 켜는 방법과 구문 오류가 무엇을 의미하는지 설명하려고 하는 것은 조금 다릅니다.하지만 앞으로는 보안이나 보안을 위한 네트워킹에 더 깊이 빠져들게 되었습니다.90년대에 저는 수많은 Cisco 라우터와 Cisco 스위치를 설치했고, 그때부터 프로토콜에 대해 알게 되었습니다.라우팅을 할 때는 프로토콜을 와이어샤크나 이더의 실제 수준과 거의 비슷하게 이해해야 합니다. 제 자신을 좀 더 노화시킬 수 있으니까요.그리고 당연히 그 네트워크부터 경계선에 대해 걱정하기 시작해야 합니다.그러다가 2000년대 초반에 방화벽이 들어섰습니다.그리고 2004년이나 2005년에 저는 국무부에서 일할 기회가 있었습니다.물론 국무부에는 전 세계에 200개 이상의 대사관과 우체국이 있습니다. 바로 글로벌 네트워크죠.가장 진보된 지속적 위협 중 일부는 국무부에 들어옵니다.연방 정부가 글로벌 네트워크의 작동 방식을 배우는 것에 대해 알게 된 것은 정말 좋은 경험이었어요.그리고 아마도 2013년쯤에 저는 CISA의 옛 이름인 NPPD로 이직할 기회가 있었을 것입니다. 저는 Cisco에서 지난 11년 정도 근무했습니다.사실 그 당시 국무부와 CISA에서 근무했을 때 저는 주로 그 경계, 특히 연방 기관에 초점을 맞췄습니다.얼마나 믿느냐에 따라 다르겠지만, 100개 이상의 연방 민간 기관, 행정부 기관이 있습니다. 우리는 이들 기관과 협력하여 네트워크를 보호하고 경계에서 이러한 AP 유형의 위협을 차단하는 데 도움을 주고 있습니다.물론 제로 트러스트에 대한 새로운 논의가 나왔지만 사실 거의 20년 동안 지속되었습니다.연방 기업과 협력하면서 이전에 생각했던 것과는 다른 방식으로 보안에 도움을 주고 있습니다.

4:16 라구 난다쿠마라

멋지다.그래서, 주변에 대해 말씀하셨잖아요.지난 20년간 네트워크 아키텍처 아키텍처의 진화를 살펴보면 아마도 가장 큰 진화는 경계 개념에 관한 것이라고 생각합니다.그리고 저는 여러분이 TIC 1, TIC 2, 그리고 최근에는 TIC 3에 참여했다는 것을 알고 있습니다.경계의 성격이 어떻게 변했고 그 이유를 청중에게 설명할 수 있다면 보안 요구 사항도 그에 따라 진화해야 합니다.

4:46 숀 코넬리

물론이죠. 좋은 질문이네요.그래서 저희는 TIC 1과 TIC 2에서 시작했던 많은 것들이 있습니다.2000년대 중반에 백악관 예산관리국은 모든 연방 CIO와 연방 CISO에게 아주 간단한 질문을 던졌습니다. “인터넷에 얼마나 많은 연결이 있습니까?이 기관은 파트너 네트워크 또는 인터넷 자체에 얼마나 많은 연결을 가지고 있나요?”다시 돌아온 숫자는 어마어마했습니다.많은 회로가 그렇게 많은 연결로 이루어진다고 생각한 사람은 아무도 없었습니다.4,000개가 넘는 회로가 나눠져 있었는데 이건 민간인 쪽일 뿐이고 국방부 얘기는 하지 않았어요.사실 첫 논의는 트래픽 집계에 관한 것이었습니다.어떻게 하면 4,000개의 인터넷 회로를 없애는 것이 아니라 제한된 수의 데이터 센터, 방화벽 스택, 즉 TIC 액세스 포인트로 알려진 해당 회로의 트래픽 집계라는 작업을 집중적으로 수행할 수 있을까요?그래서 가장 먼저 한 일은 데이터를 집중시키는 것이었습니다.그리고 무엇보다도 제어해야 할 회로와 한정된 수의 TIC 액세스 포인트가 생겼으니 이제 이러한 장치 주변에 표준화된 기준 보안 경계를 설정해 보겠습니다.다시 말씀드리지만, 이 이야기는 2008년, 2012년, 약 2015년으로 거슬러 올라갑니다. 당시 공통 아키텍처는 동서 트래픽보다 남북 트래픽이라고 부르는 것에 더 초점을 맞췄습니다.그리고 그 모든 데이터에 초점을 맞췄습니다. TIC 세금이라고 불렸죠. 중서부나 서부 해안에 지사를 둔 기관들이 많았습니다.하지만 이 기관의 본사에는 동부 해안에 TIC 액세스 포인트가 있었습니다.이제 미국 전역에서도 40/50밀리초의 시간이 걸리고 데이터 센터가 서부 해안에 있다면 어떤 기관은 LA 건너편에서 DC까지 가서 북남부 트래픽으로 트래픽을 전송한 다음 서부 해안을 가로질러 돌아와야 합니다.말 그대로 세금이 붙었죠. 타협안이었죠.그때부터 클라우드에 대한 논의가 진전되기 시작했고, 모바일 분야가 활기를 띠기 시작했기 때문에 우리는 다른 시각으로 바라봐야 했습니다.조달, 경계 모델, 레거시 캐슬, 해자 모델은 다시 얘기해도 이상화되지 않았던 것 같아요.그 당시에도 시스코와 제리코 포럼은 존 킨더바그 (John Kindervag) 의 이야기를 들은 적이 있는데, 어떻게 하면 예리코 포럼을 더 깊이 파고들어야 하는지에 대한 논의가 있었습니다.John은 가끔 Jericho가 TLS 연결, 클라이언트에서 서버로의 암호화된 연결 같은 것에 초점을 맞춘다고 말한 것 같아요. 하지만 Jericho의 원본 문서에는 여러 가지 계명이 있었습니다.그 중 하나가 제가 여기서 의역한 내용인데, “데이터에 보안을 더 많이 적용할수록 더 좋습니다.”말이 되네요, 그렇죠?TIC 1과 TIC 2는 정확히 반대였죠.그 때문에 해당 방화벽 스택을 통해 세션에 대한 데이터 강제 전송이 필요했습니다.연방 기업이 그랬던 것처럼, 2015년이나 2016년에 우리는 이 새로운 여정을 시작했죠.

7:45 라구 난다쿠마라

흥미롭네요.그 점을 말씀하셨는데, 그 중 한 분이 당신이 대통령에게 연방 IT 현대화에 관한 보고서를 작성하는 데 참여했다는 보고서가 있었기 때문입니다.요약에서 정말 흥미로운 점 중 하나는 이러한 조치를 통해 기관이 네트워크 경계 보호 및 레거시 물리적 배포 관리에서 벗어나 연방 데이터 보호 및 클라우드 최적화 배포로 전환할 수 있다는 점을 강조한다는 것입니다.또한 이 보고서는 기관 리소스를 가장 가치 있는 자산에 집중하는 위험 기반 접근 방식을 강조합니다.정말 흥미롭다고 생각해요. 이렇게 하면 조직 전반의 경계에서 벗어나 있는 TIC 3에 거의 직접적으로 초점을 맞출 수 있기 때문이죠.하지만 실제로 통제권을 옮기고 보호하려는 주요 항목의 보안에 초점을 맞추는 것이죠.

8:38 숀 코넬리

네, 보고서를 [언급해 주셔서] 감사합니다.저는 그곳에 있는 수많은 작가 중 한 명이었어요.연방 정부가 여러 관료제나 정책, 명령을 옮기는 데에는 시간이 걸립니다.요점을 말씀드리자면, 이 글은 2017년에 작성되었습니다.2019년에 메모가 발표된 후 TIC 3 지침을 발표하기 시작했을 때 많은 공동 저자들이 우리와 함께했습니다.하지만 몇 년이 걸렸지만, 말씀하신 바로는 그가 어디로 가고 싶은지 알고 있었습니다. 하지만 그러한 변화를 강제하기 시작하는 방식으로 정책을 구체화하는 데에는 아직 시간이 걸립니다. 어떤 것도 강제했다고 말하고 싶지는 않습니다.하지만 다양한 기회와 다양한 가능성을 갖기 시작하세요.하지만 앞서 말씀드린 것처럼 클라우드 최적화, 데이터 보안의 탈피는 더 중요하죠. 네트워크 보안으로부터 직접 벗어나는 것은 아니지만 데이터 보안과 네트워크 보안 간의 균형을 유지하는 것이죠.

09:29 라구 난다쿠마라

네, 동의합니다.제 생각에 이 특정 보고서와 네트워크 현대화 통합, 표현된 방식이 제로 트러스트 접근 방식을 채택하는 방향으로 전환하기 위한 출발점이 되었다고 생각합니다.

09:44 숀 코넬리

아니, 말 그대로 존 케네디였어요.그의 인터뷰에서 그를 100번 언급하겠지만, 2010년이나 2011년에 있었던 일은 츄이 센터 (Chewy Center) 문서에 엄중하게 썼다는 것입니다.그 당시에 저는 국무부에 있었는데 그 안내를 받고 국무부를 돌아다니면서 여기가 우리가 가야 할 곳이라고 말했죠.어떻게 가야 할지 잘 모르겠어요.하지만 이것이 바로 앞으로 나아간 프레임워크입니다.솔직히 그 당시에는 좀 더 기발한 솔루션, 네트워크 접근 제어 방식의 솔루션으로 해석한 것 같아요.공정하게 말하자면 NAC는 보안을 데이터에 가깝게 옮기고 있습니다. 강제 조치처럼 전환하고 싶으면 클라이언트 자체의 에이전트 또는 클라이언트 802.1x가 필요합니다.하지만 그마저도 방정식의 일부에 불과하다고 생각합니다.논의가 발전하기까지는 시간이 좀 걸렸고, 약 10년 전 구글이 보안 침해를 당했을 때 지난 5-10년 동안 무엇을 해왔는지, 비욘드 코어를 어떻게 바라보는지, 암호화된 데이터를 어떻게 다루고 있는지 알게 되었습니다.제 생각에 이 모든 논의는 계속 진행되고 있는 것 같아요.그리고 말씀드렸듯이, 2017년 보고서가 나왔을 때 시기적인 측면에서 볼 때, 정말 제로 트러스트는 다양한 방식으로 정부 주변에 울려 퍼지기 시작했습니다.지금은 코로나 이전인 NIST에서 NIST에서 제로 트러스트에 관한 워크숍을 여러 번 개최하고 있었습니다.매년 연례 모임이 있습니다.NSA, 그들은 그 모임에 많이 참여했었죠.당시 NSA에 있었던 랜디 레스닉은 지금은 국방부 제로 트러스트 포트폴리오 관리 책임자로 재직하고 있습니다.앞서 언급한 IT 현대화 보고서의 주요 작성자 중 일부는 이 컨퍼런스에 참석했습니다.그래서 이 내용이 여기저기 스며들기 시작했는데, 정책 자체에는 없었던 제로 트러스트였죠.동시에 현대화에 대해서도 말씀하셨는데, TIC 메모나 현대화된 TIC가 있었습니다.그래서 저희는 제로 트러스트를 가능한 한 많이 지원하고 연계할 수 있도록 TIC에 세 가지 노력을 기울이려 했습니다.

11:38 라구 난다쿠마라

알겠습니다. IT 현대화에 대한 보고서에서 벗어나기 전에 알아차린 또 다른 사실은 이 보고서가 연방 기관의 퍼블릭 클라우드 채택에도 실제로 걸림돌이 되고 있다는 점이기 때문입니다.지나치게 경계 중심적이고 네트워크 중심적이었던 것에서 보안 측면에서 더 중요한 자산에 초점을 맞추는 방향으로 바뀌는 이유는 무엇일까요?클라우드를 도입하거나 연방 기관의 도입을 가속화하기 위해 클라우드가 필수적이라고 생각한 이유는 무엇입니까?

12:10 숀 코넬리

안타깝게도 평균이 넓은 경계선 기반이라는 것을 보여주는 사례 연구를 많이 해봤습니다.경계에 많은 초점을 맞추고 있지만, 적들은 여전히 취약한 상태입니다.앞서 말씀하신 IT 현대화 노력의 상당수는 실제로 2015년에 있었던 OPM 침해에서 비롯되었습니다.이는 OPM 위반에 대한 대응이었습니다.아마도 지난 몇 년간 벌어지고 있는 사이버 EO와 제로 트러스트에 대해 이야기할 것입니다.그 중 많은 부분이 SolarWinds 보안 침해에 초점을 맞췄습니다.따라서 때때로 이러한 보안 침해가 발생하여 리더십의 관심을 사로잡은 다음 이러한 논의를 새로운 방식으로 강요하는 경우가 있습니다.하지만 요점을 말씀드리자면, 클라우드는 보안 침해가 발생하기 훨씬 전부터 운영되고 있었습니다.물론 GSA의 선두 주자인 FedRAMP, 클라우드 현대화 또는 ATO 프로세스는 약 10년 전부터 존재해 왔습니다. 하지만 한 프로그램이 제대로 자리를 잡고 FedRAMP 프로그램에서 다양한 클라우드 제공업체를 지원받기 시작하기까지는 몇 년이 걸렸습니다.맷 굿리치가 2014년이나 2015년 즈음에 CSP ATO 20을 기념하던 때가 기억납니다.현재 ATO에는 300개가 훨씬 넘는 다양한 패키지가 있는 것 같아요.그래서 가끔 이런 일이 일어나기까지는 시간이 좀 걸립니다.하지만 네, 클라우드 도입이 시작되었습니다.말씀하신 것처럼, 같은 요점입니다.규모가 크거나 빠르며 클라우드를 수용하면서 에이전시들이 실제로 생겨나기 시작했습니다.

13:27 라구 난다쿠마라

이해했습니다.그럼 잠시 후에 클라우드로 돌아오겠습니다.그 중 일부는 2010년대 중반에 있었던 OPM 위반에 대해 직접 말씀하셨는데요.그리고 물론 몇 년 전의 솔라윈즈 (SolarWinds) 가 낙타의 등을 부러 뜨린 것이 빨대였다고 생각해요. 어쩌면 그것이 EO 14028의 출판을 강요했을 수도 있습니다.자, 잠깐 얘기해 주실래요? 이런 것들이 만들어질 때 당신도 거기 있었잖아요, 그렇죠?그 과정에 대해 좀 얘기해 주세요.

13:52 숀 코넬리

물론이죠.그래서 몇 가지 일이 벌어지고 있습니다.그리고 정치적인 얘기는 안 할게요.하지만 행정적 변화도 있었죠.연방 CISO인 크리스 드루샤가 들어왔어요.에릭 밀, 에릭은 IT 현대화 보고서를 작성한 그룹의 일원이었어요.에릭은 오랫동안 그곳에 있었어요.많은 주요 인사들이 정부에 들어서고 있습니다.다시 말씀드리지만, SolarWinds의 손상과 그로 인한 반향 때문에 정부로서 우리는 새로운 표준을 정립할 수 있어야 한다는 것을 알았습니다.네트워크 경계와 기관 내부의 너무 많은 레거시 기술은 잊어버리라고 말하는 사람은 아무도 없습니다.아무도 방화벽을 없애려 하지 않겠지만, 우리에겐 좀 더 포괄적인 아키텍처 솔루션이 필요합니다.사이버 행정 명령에 대해 말씀하셨던 내용으로 돌아가서 말씀드리자면, OMB, GSA, CISA, NIST에 대한 과제가 많았는데, 그 시작은 앞으로 나아갈 방법과 보다 포괄적인 아키텍처 솔루션에 대한 논의로 시작되었습니다.다시 말씀드리지만, 이 사람들 중 상당수는 다양한 그룹에서 배턴을 던지는 것과 같습니다. 하지만 IT 현대화 보고서로 돌아가서 분명한 추진력이나 방향이 정해져 있었습니다.그리고 나서 사이버 행정 명령이 좀 더 구체적으로 구체화될 수 있었습니다. 말씀하신 것처럼 제로 트러스트 자체에 초점을 맞출 수 있었습니다. 그런 기회가 없었던 방식으로, 또는 이전 정책이나 레거시 코드 등에 따라 말이죠.

15:19 라구 난다쿠마라

그래서 솔라윈즈 같은 사고가 없었거나 콜로니얼 파이프라인은 솔라윈즈 이후 몇 달이 안 된 것 같아요.이것들이 EO 14028의 중요성에 초점을 맞추는 데 도움이 되었을까요?아니면 이런 것들이 없었다면 이 주문은 잠재적으로 지연되어 지금까지의 중요성과 초점을 얻지 못했을까요?

15:44 숀 코넬리

네, 확실히, 지도부의 관심이 있었을 거예요. 그게 없었다면 그랬을지 잘 모르겠어요.SolarWinds를 사용하면서 실제로 SolarWinds를 대상으로 한 경고 공격은 마이크로소프트에 초점을 맞췄습니다. 그리고 각 기관들이 다양한 마이크로소프트 클라우드 테넌트에 얼마나 많은 중요 데이터를 보유하고 있었는지에 대한 것이었습니다.그래서 우리는 다시 한 번 더 포괄적인 솔루션을 선점할 수 있어야 했습니다.TIC 3에 갔을 때 한 가지 놓쳤던 것이 있다고 생각합니다. 물론 COVID가 발생했을 때 바로 일어난 일이었죠. 예를 들어 TIC 문서가 공개됐을 때였죠.그리고 첫 번째 사용 사례인 TIC의 클라우드 사용 사례를 공개할 예정이었습니다.에이전시에는 여러 가지 사용 사례가 필요합니다.OMB가 TIC memo 1926을 발표했을 때 많은 사용 사례가 있었는데, 클라우드 사용 사례부터 시작하려고 했는데, 클라우드 사용 사례부터 시작하려고 했던 부분이 가장 컸기 때문입니다.하지만 COVID가 유행하면서 원격 근무에 대한 관심이 집중되자 우리는 어쩔 수 없이 원격 사용자 사용 사례를 변경하여 출시할 수 밖에 없었습니다.원격 사용자를 지사와 클라우드로 보호하기 위해 수행하는 작업 간에는 동일한 기능이 많이 있습니다.몇 가지 유사점이 있긴 하지만 몇 가지 차이점을 말씀드리고 싶습니다.기관들이 메시지를 정말 혼동하고 있는 것 같아요.어떤 사람들은 우리가 한 일을 살펴보더니, 아, 우리는 단지 사용자에게 더 집중하고 있다는 것이었습니다.사실 그런 의도는 아니었죠.그래서 마지막에 클라우드 사용 사례를 공개해야 했지만, 여기서는 TIC에 대한 다양한 사용 사례를 발표하는 내내 OMB, 백악관, 연방 CIO의 클레어 마르토라나 팀, 크리스 드루샤 팀, 연방 CISO와도 협력하여 보다 포괄적인 솔루션 아키텍처를 구축하는 방법에 대해 논의하고 있습니다.자, 사이버 행정명령 내에서, 그리고 그 직후에 OMB의 제로 트러스트 전략 메모 초안으로 기관에 공개되었다는 것을 봅시다.다시 말씀드리지만, 이는 지도부 차원에서 본격적으로 논의를 시작하려는 노력의 일부였습니다.OMB에서는 차관들과 같이 토론을 벌였는데, 보통 사무국장들 자체에서는 두 번째 책임자이기 때문에 비서가 필요 없습니다.그래서 지도부의 관심이 집중되었고, 그가 존 킨더바그의 말을 들었는데, 모두가 이 일이 하향식 조정과 상향식 모두의 관심사가 되어야 한다는 것을 알고 있었습니다.그리고 저는 아래쪽에 더 가까워서 할 수 있을 때 힘을 보태고 있습니다.하지만 우리는 최하향식 리더십이 필요했습니다. 통화 전에 말씀드렸듯이 “기관 여러분, 사이버 보안 아키텍처를 현대화하기 위해 앞으로 나아가야 합니다”라고 명확하게 말할 수 있는 사장이 있다는 것은 모두의 관심을 끄는 데 확실히 도움이 되었습니다.

18:10 라구 난다쿠마라

오, 저기 밖에 서 있잖아.물론이죠.그 결과가 나왔을 때, 그리고 그 이후에 일어난 모든 일들을 생각하면, 사이버 보안 세계에서 정부가 주도하는 방식으로 무언가가 나오면 이보다 더 흥미진진하게 느껴질 것 같지는 않습니다.정부 내부에 들어가서 기분이 어땠나요?음, 지금은 일종의 사이버 보안 역사에서 중요한 순간입니다.그리고 저는 그 중심에 섰습니다.

18:36 숀 코넬리

음, 좋은 질문이네요.그런 식으로 들은 줄은 몰랐어요.배턴을 던지는 것 같은 게 여러 번 있었죠.물론 지금 돌이켜보면 그때가 많은 것들이 출시된 중요한 순간처럼 보일 수도 있습니다.하지만 CISA에서 OMB 및 GSA와 함께 일하면서 전반적으로 많은 노력이 필요했습니다. 그 시점에 도달하기까지 10년이 걸렸습니다.하지만 분명한 것은 Zero Trust에 대한 반응, OPM 및 대화 이후 사이버 보안 이후 정부에 대한 관심, 연방 사이버 보안 태세에 대한 그들의 기대, 우리의 현재 위치에 대한 그들의 기대, 그리고 우리가 일반적으로 여러분과 대화하면서 “이것이 바로 연방 정부가 하고 있는 일이고 우리가 보고 있는 것입니다.” 라고 말할 수 있는 방법이죠.여러분의 의견과는 완전히 다른 개념일 뿐입니다.그 누구도 예상하지 못했던 방식으로 내러티브가 바뀌었습니다. OMB, 백악관, 그리고 그들의 선견지명, 그리고 모두의 관심을 끌 수 있는 방식으로 메모에 건축물을 배치할 수 있다는 것은 다시 한 번 정말 칭찬입니다.

19:33 라구 난다쿠마라

네, 물론이죠.이 작업을 시작하기 전에 오프라인에서 아주 잠깐 이야기를 나눴는데, 특히 제 생각에는 메모에 대해 눈이 휘둥그레질 정도로 흥미로웠습니다.백악관과 대통령 집무실에서 나온 말인가요?세부 사항 중 일부는 예상하지 못했고, 이례적으로 예상하지 못했지만, 매우 환영받기도 합니다. 너무 많이 봐왔고, 너무 높은 수준의 규제가 계속해서 너무 많아서 “좋아, 그럼, 내가 실제로 해야 할 일이 뭐가 있지?”특별히 명확하지는 않습니다.그렇다면 대통령실에서 채택을 촉진하기 위해 거의 같은 수준의 기술적 세분성을 갖추는 것이 왜 그렇게 중요했을까요?

20:19 숀 코넬리

자, 좋은 질문이네요.여기서 조심해야 돼요. 존 킨더백이 숀 코넬리 부두인형에 핀처럼 꽂는 소리가 들렸으니까요.기술에 조금 집중할 수 있긴 하지만, 실제로 중요한 것은 일어나는 문화적 변화에 관한 것입니다.하지만 요점을 말씀드리자면, 새로운 방식으로 데이터를 보호하는 것에 대한 논의가 항상 오가고 있습니다.제 옛 상사인 사라 모슬리는 CiscoCISA에서 최고 기술 책임자로 일했을 때 2015~2016년에 밖에서 “데이터를 보호해야 한다”고 설교했습니다.해킹 디아그 (Hack Diag) 는 워싱턴 DC에 있는 또 다른 유사 싱크 탱크 중 하나입니다. 2018년에 제로 트러스트에 관한 논문을 발표했기 때문에 이미 나왔지만, 중요한 점은 제로 트러스트 메모에 매우 전술적인 내용을 담기 시작하기 전까지는 모든 사람의 관심을 끌었던 사이버 행정 명령입니다.하지만 그때도 우리는 이에 대해 조금 이야기할 수 있었습니다. 에이전시가 온라인에서 ID를 빠르게 옮길 수 있는 것처럼 만들었을 때에도 이런 질문이 있었습니다. 그게 실제로 무엇을 의미할까요?동시에 기술 분야로 돌아가서 기관이 클라우드에 연결하고 원격 사용자, 기업 사용자, 고객 기반 등 사용자와 연결하는 방식을 바꿔야 한다는 것을 알았습니다.그리고 이러한 트래픽을 물리적인 기술 액세스 포인트를 통해 이동하는 것은 현대 인프라에서 앞으로 나아갈 수 있는 방법이 아니었습니다.따라서 우리는 압력을 줄이고 새로운 방법을 제시할 수 있어야 했습니다.따라서 기관들이 이전에는 불가능했던 방식으로 보안 액세스 서비스 에지 (SASE) 또는 보안 서비스 엣지 (SSE) 솔루션을 사용하는 것을 보기 시작했습니다.그래서 거의 말씀하신 것처럼 아주 전술적인 방법이 한 기둥씩 있었습니다.OMB와 그 전략에 대해 조금 더 거슬러 올라가서, 제로 트러스트 성숙도 모델의 출시를 조율했습니다. 전략에 대해 매우 칭찬을 아끼지 않았습니다.그리고 CISA에는 이런 다섯 가지 핵심 요소가 있었습니다. 그렇죠?식별 장치, 데이터, 애플리케이션 네트워크, 그리고 아, 그리고 그의 메모도 그런 식으로 나왔습니다.앞서 말씀드린 것처럼, 기관들이 이 일을 하기 위해 필요한 정체성의 기둥이 있었죠.음, 기기 중심 기관들이 이 일을 해야 합니다.그리고 연방 기업 전반에 걸쳐 보안 태세를 강화하는 방법에 대한 매우 명확한 로드맵을 제공했습니다.하지만 실제로 여기에는 동시에 일어나는 조직적 변화가 매우 중요합니다.

22:29 라구 난다쿠마라

네.저도 동의합니다. 당신이 사용하는 단어들이 정말 좋았던 것 같아요. 문화적 변화나 전략 전환을 강요하는 것에 관한 것이죠.하지만 적어도 어느 정도의 전술적 세부 사항 없이 그 내용을 명시하는 것만으로는 사람들을 정확히 찾아내기가 매우 어렵다는 뜻입니다. 왜냐하면, 뭐, 당신이 한 일을 실제로 보여주기 때문이죠.그리고 전술적 요소들은 그들이 무엇을 했는지 보여주는 데 도움이 되죠.그래서 제로 트러스트 성숙도 모델에 대해 말씀하셨잖아요.제 생각에는 2.0이 작년에 출시된 것 같아요. 1.0은 몇 년 전이었죠.그 얘기 좀 해 주세요.두 번째 버전을 출시하기엔 꽤 빠르고, 뜨거웠어요.그걸 굳이 밀어붙일 필요가 있다고 느낀 이유는 무엇인가요?첫 번째 버전에서 얻은 주요 교훈과 구현, 2.0의 개선 또는 개선 사항에 영향을 준 피드백은 무엇인가요?

23:21 숀 코넬리

네, 좋은 질문이네요.자, 이렇게 시작해볼까요.그래서 2021년 여름에 첫 번째 버전을 출시했습니다.같은 시기에 OMB는 제로 트러스트 전략 초안을 발표했습니다.그리고 실제로, 버전 1을 공개했지만, 제 생각에는 그것이 필수적이라고 생각했기 때문에 사이버 행정 명령에 따라 출시되었습니다.사실 이건 그냥 뭔가를 내놓으려고 하는 드래프트에 가까웠어요.당시 저희가 공개하고 싶었던 이유 중 하나는 기관들이 자신들의 제로 트러스트 구현 계획을 백악관에 제출할 책임이 있었기 때문입니다.CISA와 OMB에서는 기관들이 우리와 대화할 때 공통의 분류 체계와 같은 공통 언어를 사용하기를 바랍니다. 특히 OMB와 우리 회사의 경우 100개 이상의 계획을 읽기가 어려울 것이고 공통점이 없기 때문입니다.그래서 우리는 성숙도 모델을 공개했습니다. 에이전시와 선박 대리점이 우리에게 와서 어떻게 개선되고 있는지 알려주기 위한 것입니다. 하지만 저는 그것을 공개했고, 우리는 두 번째 버전을 만들어야 한다는 것을 알고 있었습니다.그래서 흥미로웠던 점은 해당 기관들이 OMB에 공개해야 했던 구현 계획에 대해 언급했다는 것입니다.그리고 2022년 여름, 봄, 여름이었죠.우리와 OMB, 그리고 몇몇 다른 기관인 SME (주제별 전문가) 로 구성된 타이거 팀이 있었습니다.그리고 기관별로 실행 계획의 수를 살펴봤어요. CFO 대행이 20/25개, 전부 담당 에이전시였고, 소규모 에이전시도 여럿 있었습니다.다시 한 번 팀별로 검토한 다음 각 기관과 논의를 통해 이들이 제로 트러스트 여정에서 어떤 위치에 있는지 파악했습니다.작년 4월에 발표된 메모 버전 2에 모든 내용이 반영되었죠. 다시 말씀드리지만, 대행사와의 100회 이상의 워킹 그룹 회의, 다양한 공급업체 커뮤니티, 그리고 학계 관계자들과의 논의가 정말 잘 반영된 것 같아요.그와 동시에 다른 정부에서도 관심을 보이고 있습니다.그래서 저희와 다른 단체들은 서로 다른 정부들과 이야기를 나누고 있습니다. “연방 정부는 제로 트러스트를 어떻게 발전시키고 있을까요?커넥티드 투 클라우드를 어떻게 지원하고 계신가요?따라서 이러한 모든 유형의 논의가 해당 성숙도 모델에 적합합니다.앞서 말씀드린 한 가지는, 에이전시가 가장 먼저 해야 할 일 중 하나는 온라인 FIDO2 이라는 빠른 정체성으로 전환할 수 있게 하는 것이었습니다.요점을 말씀드리자면, 언어를 정책에 적용하기 전에 대해 말씀하신 겁니다.하지만 여전히 기관들은 “이게 진짜 말이야?” 라고 묻고 싶어하죠.게다가 수십 년 동안 기관들은 종이 CAC 카드로 어떻게 살아왔는지 말이에요. 우리는 연방 정부 직원을 고용하고 있고 그들은 카드를 가지고 있죠.하지만 멀티팩터 피싱 방지 MFA를 발전시킬 수 있는 다른 방법이 필요합니다.따라서 이 정책에서 OMB는 FIDO를 사용할 수 있는 능력을 확보할 수 있는 선견지명을 가지고 있었습니다.하지만 2022년에 있었던 논의에서는 거의 모든 에이전시가 무슨 뜻인지 논의해야 했습니다. 에이전시의 정체성과 존중 측면에서 보면 재미있는 산업 중 하나이기 때문이죠.아이덴티티 변호사가 있는 에이전시도 있고 중소기업이라는 아이덴티티를 가진 에이전시도 있나요?아니면 에이전시에 물어보지도 않았다면 에이전시의 아이덴티티 전략을 주도하는 사람은 누구일까요?액티브 디렉토리 그룹인가요?PKI 그룹인가요?클라우드와 같은 건가요, 아니면 클라우드 계정을 운영하는 사람들 같은 걸까요?그래서 각 팀원들은 온라인에서 패스트 아이덴티티가 사용된다는 것이 무엇을 의미하는지 거의 정면으로 들어가서 설명해야 했습니다. 아니면 전략의 각 요소에서 우리에게 제기되는 몇 가지 질문을 반영하는 것이었죠.

26:39 라구 난다쿠마라

멋지네요.이 모든 계획에서 현재 받고 있는 피드백의 주요 부분을 요약하자면, 성숙도 모델 업데이트에 영향을 준 가장 중요한 피드백은 무엇이었을까요?

26:52 숀 코넬리

버전 2를 말하는 거죠?다른 버전인가요?네, 한 가지 관점을 생각해 보세요.20페이지 분량의 문서이고 모든 작업자를 포함하지도 않았습니다. 방금 9월, 그러니까 2021년에 공개 RFC가 있을 때 얘기한 것 같아요.300개 이상의 댓글, 즉 200개 이상의 페이지, 30개 이상의 댓글과 20페이지 분량의 문서가 있었습니다.그래서 공통된 주제를 정리하는 데 시간이 좀 걸렸습니다.물론 일부 공급업체들은 자신들의 기술을 포지셔닝하기를 원하기 때문에 우리는 텍스트의 성격에서 벗어난 느낌을 없애야 했습니다. 우리는 실제로 우리가 무엇을 하려고 하는지, 우리의 의도가 무엇인지에 대해 이야기하고 있습니다.우선 순위 지정 대행사를 모집할 때예를 들어 기관들은 이런 내용이 흥미롭길 바랐어요. 프로비저닝 해제와 기기 프로비전 해제에 관한 더 많은 정보를 원했죠.많은 내용을 온라인에 소개해 보겠습니다. 프로비전 해제에 대해서는 별로 관심이 없습니다.그래서 우리는 이를 시행하고 싶었죠. 기관들이 어떻게 자료의 제공을 취소해야 하는지 생각하게 하기 시작했죠.피싱에 강한 MFA와 FIDO2 조정에 대한 MFA에 대해 말씀드렸습니다.우리는 이와 v2 모두에 대해 더 강력한 언어를 사용했습니다.네트워크 측면의 또 다른 점은 마이크로 세분화에 더 가깝다는 것이었습니다.흥미로웠죠.다시 말씀드리지만, 문서 커뮤니티는 애플리케이션 세분화에 관한 것이었습니다.애플리케이션 세분화가 애플리케이션의 핵심이 되고 있습니다. 하지만 우리는 다양한 네트워킹 도구를 통해 이를 수행하고 있으며 이를 네트워킹에 적용하기로 결정했습니다.공정하게 말하자면, 모든 모델이 틀립니다.일부 모델은 유용하며, 저희는 이 모델을 출시하려고 합니다.이것이 유일한 관점이라고 말하는 것은 아닙니다.그 때 에이전시들과 이야기를 나눴어요.그가 저와 이야기를 나눴을 때, 기관이 커뮤니티가 CISA가 무엇을 의미하는지 이해하는 데 도움이 됐어요.하지만 우리가 확실히 옳다고 말하는 것은 아닙니다. 우리가 말하는 것은 애플리케이션 보안, 세그멘테이션이 일종의 네트워크 기둥이라는 것입니다.또 다른 하나는 암호화입니다.일부 커뮤니티에서는 암호화가 데이터 기둥에 있어야 한다고 생각했는데, 제 생각에는 네트워크와 애플리케이션 중 하나의 기둥이 있다고 생각합니다.따라서 포지셔닝할 수 있는 다양한 방법이 있을 뿐, 어느 것이 옳았는지 틀렸는지 확실히 말할 수는 없습니다.앞서 말씀드린 것처럼 또 다른 성숙도 모델로는 국방부 (DoD) 이전의 랜디 레스닉 (Randy Resnick) 과 그들의 제로 트러스트가 있습니다.DoD는 훌륭한 정보를 많이 가지고 있고, 레퍼런스 아키텍처를 확보하기 위한 전략을 가지고 있으며, 많은 기능이나 컨트롤에 의존하고 있습니다. 제 생각에는 7명의 플레이어가 참여한다고 생각합니다.앞서 말씀드린 다섯 가지 핵심 요소와 가시성, 자동화, 거버넌스라는 세 가지 교차 기능이 있습니다.솔직히 우리 중 상당수는 단지 미학에 지나지 않습니다.Randy의 강연을 듣고 우리의 말을 들을 때, 우리는 같은 것을 말하고 있습니다. 약간 다른 시각을 주고 사람들이 이해할 수 있도록 도와주세요. 왜냐하면 제가 하는 일 중 하나는 마케팅 배경에서 왔고 여러분이 듣는 것 중 하나는 여러분이 무언가를 일곱 가지 방법으로 설명해야 한다는 것인데, 제가 여기서 하고자 하는 것은 이 의도를 다른 방식으로 설명하도록 돕는 것입니다.존 킨더백이 10여 년 전에 제시했던 것으로 돌아가 보겠습니다.

29:45 라구 난다쿠마라

네, 물론이죠.제 머릿속은 제가 반응할 수 있는 모든 것들과 당신이 방금 말한 모든 것들로 가득 차 있어요.하지만 먼저 마지막 것부터 시작하겠습니다.저는 제로 트러스트 실천가로서 궁극적으로 다양한 방식으로 이를 구성할 수 있는 것이 우리가 원하는 바라고 생각합니다. 기관, 조직 등이 제로 트러스트 전략을 채택하고 전술을 실행하여 그 자세를 성숙시키는 것입니다.어떤 방식으로 이야기를 전달하든 그 방법 중 하나라도 공감할 수 있다면 정말 좋아요.그래서 그것을 전달할 수 있는 여러 가지 방법을 갖는 것이 정말 중요하죠.ZTM 세계에서 성숙을 향해 나아가는 길에 대해 얘기해 봅시다. 제가 그렇게 부를 수 있다면 말이죠.전통적인 초기 단계, 고급 단계, 최적 단계가 있고 각 기둥마다 이러한 지도가 적혀 있습니다.처음에 성숙도 모델을 발표하고 그 다음엔 닷제로 (dot zero) 에 대한 후속 조치를 취했을 때, 처음에 그 조직이 한 축에서 최적의 성숙도를 도출한 다음 다음 기둥으로 넘어가는 것을 보셨나요?2.0이라는 표현에 그 부분이 일부 반영되어 있기 때문입니다.

30:51 숀 코넬리

네, 좋은 지적입니다.그리고 v1과 v2의 차이에 대해서도 언급한 바가 있습니다.V1에는 전통적, 고급형, 최적이 있습니다.v2에는 기존의 초기 최적과 고급 최적이 있습니다.이니셜을 꼭 넣어야 하는 이유는 기존 버전과 고급 버전 간의 거리가 너무 넓기 때문입니다. 그리고 기관이나 조직이 언제 그 여정을 시작하는지 이해할 수 있도록 이니셜을 만들 방법이 필요했기 때문입니다.그래서 거기에 이니셜을 넣는 것이 중요했죠.하지만 말씀하신 대로 말씀드리자면, 우리는 이미 여정을 시작하고 있는 민간 행정부 기관들과는 조금 다른 많은 조직들에 대해 이야기를 나눴습니다.많은 기관들이 아직 전통에 머물러 있고 이제 막 시작했다는 이야기를 나누고 있습니다.따라서 기존 조직에서 초기 조직으로 마이그레이션하는 것만으로도 대규모 조직의 대부분이 그렇습니다.하지만 말씀드리자면, 기둥 자체와 마찬가지로, 우리는 의도적으로 그것을 폭넓게 해석할 수 있는 방식으로 추상화했습니다.하지만 네트워크 기둥에 초점을 맞추려면 먼저 최적의 아이덴티티 기둥에 도달해야 한다는 의견도 있습니다.범주화나 정렬 방식에 관한 우리 모델의 의도는 전혀 그렇지 않습니다.이상적으로는 조직이 평행하게 움직이고 다른 열 자체가 움직여야 합니다.그리고 John Kindervag가 주로 초점을 맞췄는데, 제로 트러스트에서 볼 수 있는 것들 중 일부는 네트워크 측면에서 시작되었다고 생각합니다.따라서 일부 기관이나 조직은 이미 네트워크 측면에서 데이터 기둥에 비해 조금 더 발전했다고 생각합니다.일반적으로 이 대화를 시작했던 이야기로 돌아가서 말씀드리자면, 많은 부분이 새로운 방식의 데이터 보안에 관한 것입니다.하지만 데이터 보안 분야가 가장 취약했고 우리가 해야 할 일이 가장 많았다고 생각합니다.이걸 실현하기 위해 거의 다시 한 번 해봤어요.성숙도 모델을 작성하기 시작했을 때는 데이터를 중심으로 다른 범주, 애플리케이션, 기기 및 네트워크 ID를 두는 것과 거의 비슷했습니다. 지금처럼 대규모 데이터를 처리할 수 없었기 때문입니다.

32:55 라구 난다쿠마라

네, 전적으로 동의합니다.성숙도 모델로 넘어가는 방식도 마찬가지라고 생각해요. 어두운 곳에서 보는 등산 그래픽이 적절하다고 생각해요. IT 현대화 보고서를 다시 생각해보면 위험 기반 접근 방식이기 때문이죠.산 위로 올라가는 길을 생각해 보면, 그것이 바로 제가 다음 단계로 가기 위해 할 수 있는 가장 쉬운 길입니다.그래서 좀 지그재그로 길을 올라가죠. 더 좋을 수도 있고요.정확히 말하자면, 저를 한 기둥에서 다른 기둥으로 데려가세요.왜냐하면 제 위험 평가를 바탕으로 한 다음 눈에 띄는 것은 제가 현재 집중하고 있는 부분과는 다른 기둥에 있기 때문입니다.

33:43 숀 코넬리

네, 그냥 개인적인 메모예요그래서 작년 4월에 성숙도 모델을 출시한 것 같아요.그리고 일주일 만에 케빈 맨디아와 케빈 맨디아가 RSA 컨퍼런스에서 발표를 하게 되었습니다.그리고 그는 성숙도 모델 마운틴을 가져다가 자신의 덱에 넣었습니다. 제가 분명히 논점을 잡아서 모든 사람의 승인을 받을 수 있을 거예요. 정말 기념비적인 일이죠.하지만 그들이 마운틴 덱을 만들 수 있다는 것은 우리에게 큰 도움이 되었습니다.하지만 자세히 설명하자면 존슨은 마치 동료 같았어요. 그는 그 산을 향해 한 명 이상의 노력을 기울였죠.반향을 일으켰습니다.하지만 제가 생각하기에 가장 중요한 것은 정상에 도착했을 때, 그 산은 정말 산맥이고, 뒤에 산이 있을 수도 있다는 것입니다. 하지만 제가 그렇게 말하는 이유는 최적의, 깃발을 옮기고, 골대를 옮길 것이고, 기술이 발전함에 따라 언젠가는 새롭고 새로운 방법을 추가해야 하기 때문입니다.하지만 네, 어떤 이유에서인지 말씀드리자면, 산을 올라가면서 울려 퍼졌는데, 제가 볼 수 없었던 일이죠.

34:48 라구 난다쿠마라

네, 정말 마음에 들어요.그럼 어떻게... 그러니까 우리가 진전을 생각해보면 기관들이 이룩하고 있는 거지, 이걸 어떻게 추적하는 거지?얼마나 자주 추적되고 있나요?그리고 그들은 어떻게 책임을 질 수 있을까요?

35:01 숀 코넬리

네, 제가 좀 더 자세히 설명해 드릴게요.CISA에서는 아키텍트로 일할 수 있다는 사치, 사이버 보안에 초점을 맞추고 있습니다.하지만 공정하게 말씀드리자면, AT는 관리 예산 사무소의 최우선 과제입니다. 우리 팀에는 이러한 질문에 직접 도움을 주고 답하기 위해 대기하고 있습니다.측정이 절실히 필요합니다.연방 제로 트러스트 (Federal Zero Trust) 전략으로 돌아가서 대행업체 수를 측정했습니다. 자체 에코시스템에서 피싱 방지 MFE를 보유한 기업은 얼마나 되는지, 클라우드에 있는 데이터 중 데이터 분류에 사용되는 데이터의 양은 얼마나 되는지를 기준으로 삼았습니다.다행스럽게도 앞서 말씀드린 내용으로 돌아가서 메모 자체를 통해 이를 측정할 수 있는 측정값이 있습니다.이 모든 것이 저에게 있어 교육의 핵심입니다. 저는 어느 기관과 어느 기관이 잘하고 있는지를 자세히 다루고 싶지 않다는 것을 알 수 있었습니다. 하지만 더 중요한 것은 지난 몇 년 동안 연방 정부가 시민이 이러한 네트워크를 안전하게 사용할 수 있도록 도울 수 있는 MFA에 대한 Fisher의 입장을 분명히 볼 수 있다는 것입니다.우리는 기관들이 TIC 1과 TIC 2에서 논의했던 것에서 벗어나는 경향이 뚜렷하게 나타나고 있습니다. 많은 연방 기관들이 상용 TIC 제공자를 이용해야 했습니다.이들은 M TIC 제공업체라고 불립니다.여러 공급업체에서 제공하는 업체가 많지 않은 관리형 서비스이기 때문에 기관들은 수년 동안 M 팁 외에 다른 솔루션을 요구해 왔습니다.TIC 세금에 대해 이야기한 것처럼 비용이 많이 들고 비효율적입니다.보안 인증서 서비스 및 솔루션과 함께 SASE 솔루션을 사용하기 위해 기존 솔루션에서 탈피하기 시작했습니다. 이는 네트워크 효율성을 높이고, 전반적으로 더 나은 보안을 제공할 뿐만 아니라 가시성을 높이기 위한 것입니다.따라서 각 핵심 요소에는 분명한 추세가 있습니다. 원한다면 전략에서 벗어난 다양한 목초지에서 성공을 주장하는 것으로 돌아가 보세요.

36:54 라구 난다쿠마라

멋지네요.메모가 발표되고 기대치가 정해졌을 때, 24회계연도까지 상당한 진전을 볼 필요가 생겼습니다.여러분의 관점에서 볼 때, 각 기관들이 이 목표를 향해 나아가고 있나요?그런 것 같네요.

27:14 숀 코넬리

네, 그래서 OMB는 그 중 일부를 측정하기 위해 기관과 협력하고 있습니다.하지만 다시 말씀드리지만, 피싱으로 돌아가서 MFA를 채택하는 것은 매우 중요합니다.엔드포인트 탐지 및 대응 EDR에 대해 설명하고 실제로 언급할 수 있어야 합니다.특정 유형의 엔드포인트 탐지 대응 에이전트를 지원하는 디바이스가 점점 더 많아지고 있다는 점에서 큰 호응을 얻고 있습니다.네트워크 측면에서는 SASE에 대해 언급했습니다.그래서 우리는 상상했던 것처럼 우리 CISA가 여전히 가시성을 확보할 수 있도록 노력하고 있습니다. 왜냐하면 기관들이 이러한 새로운 플랫폼으로 옮겨감에 따라 우리의 사명에 매우 중요하기 때문입니다.그래서 OMB와 더 힐, 그리고 제 생각에 GAO에서는 다양한 조직들이 책임을 지고 그 조직의 기준을 세우고 새로운 방식을 모색하는 방식에는 여러 가지가 있다고 생각합니다.

38:00 라구 난다쿠마라

그래서, 무슨 일이 있었나요?이제 우리는 24회계연도에 접어들었습니다. 우리는 원하던 진전을 이루었습니다.이제 어떤 일이 일어날까요? 다음 단계의 발전을 위한 원동력을 제공할 수 있는 방법은 무엇일까요?아니면 현재 기관들이 순조롭게 움직이고 계속 나아갈 수 있을 만큼 모멘텀이 충분할까요?

38:21 숀 코넬리

아니요, 좋은 질문이네요. 제 관점에서 볼 때 OMB는 제로 트러스트의 팀 캡틴이라고 말할 수 있습니다. 다른 사람들은 OMB에서 어떤 결과가 나올지 기다려야 할 것입니다.하지만 이사회의 다음 단계가 무엇인지에 대한 논의도 있습니다.

38:34 라구 난다쿠마라

자, 기억나요. 성숙도 모델 1.0의 표면에서 이미 제공된 의견에 대해 말씀하셨는데, 저희 회사를 대신하여 의견을 제시했던 기억이 납니다.하지만 기억나는 게 있는데, 특정 공급업체에 대해 말씀하셨던 부분이 거의 기억나요. 제품 설명서 전체를 그냥 대충 훑어보면서 “이렇게 하면 최대 x까지 배포할 수 있습니다.”그리고 그 버전과 우리가 검토하고 의견을 제시해야 하는 일부 수정 버전을 본 기억이 납니다.그리고 제가 기억하기로는 이런 관점에서 다시 작성했던 것이 기억납니다. 여러분이 도입하려고 하는 일종의 기능이고, 이것이 바로 그 이유 등입니다. 그래서 여러분의 의견을 곰곰이 생각해 보면 제가 논평한 내용을 어느 시점에 알게 되셨을 것입니다.

39:15 숀 코넬리

하지만 그걸 돌리는 다른 방법이 있어요.제가 맡고 있는 직책 중 하나는 제가 기술 현대화 펀드, 기술 현대화 펀드, TMF의 대체 이사회 멤버라는 것입니다. 모두가 알고 계실 수 있도록 말이죠.TMF는 정상적인 경로를 통해 자금을 조달하지 못할 수도 있는 기관들을 위한 해결책입니다. 제 생각에는 2018년에 의회와 백악관이 이를 통해 기관들이 TMF에 제안서를 제출할 수 있는 또 다른 대안적인 방법을 만들 수 있을 것 같습니다.GSA와 OMB, 그리고 CISA에 있는 우리 팀과의 긴밀한 협력은 한계에 다다랐죠.여러 기관이 있지만 기관들이 제안서를 보내고 시스템을 새로운 방식으로 현대화하는 방법을 알려주는 수단이죠.하지만 이런 논의를 할 때 저는 TMF 웹사이트를 많이 살펴봤습니다.첫 페이지에서 바로 읽을 수 있습니다. 농민들이 데이터를 더 빠르게 처리할 수 있도록 농민을 위한 기관의 시스템을 현대화한 방법에 대한 기사들이 있습니다.또 다른 상은 기업이 적절한 항구를 통해 맞춤형 상품을 더 빨리 운송할 수 있게 한 기관에게 수여되는 상이고, 퇴역 군인에게 수여되는 또 다른 상은 재향 군인과 이러한 서비스를 더 빨리 받을 수 있는 서비스 혜택을 더 빨리 받을 수 있는 상입니다.제가 하는 말은 듣지 못하셨겠지만, 해당 기관들이 MFA를 수상했거나 두 기관이 클라우드를 전환하고 데이터 태깅 및 데이터 분류 클라우드를 활용하고 있을 수도 있다는 말은 듣지 못했다는 것입니다.하지만 각각의 어워드에는 제로 트러스트 원칙, 즉 제로 트러스트 임차인이 내재되어 있습니다.이것이 바로 TMF가 사람들에게 서비스, 자금 또는 정보를 더 빨리 제공할 수 있는 이유입니다.그리고 많은 것들이 다시 시작되었죠. 저희는 이상적으로는 제로 트러스트 테넌트와 제품이 잘 녹아 들어오길 바랐죠.벤더들과 이야기하셨듯이, 벤더들이 어떻게 의견과 서비스, 지적 재산권을 가지고 우리를 찾아왔는지에 대해 말씀하셨듯이, 우리는 여전히 허용할 수 있었습니다. 알다시피, 여기서 진짜 의도가 무엇일까요?성숙도 모델에 정보를 제공하는 데 사용할 실제 가치는 어디에 있을까요?

41:11 라구 난다쿠마라

멋지다.그럼, 앞을 내다볼 때 어떤 느낌이 드시나요?기관 전반에서 제로 트러스트가 지속적으로 성숙해가는 것을 생각하시나요?앞으로 예상되는 주요 과제는 무엇이라고 생각하시나요?

41:22 숀 코넬리

네, 그러니까 제 말은, 조금 달라진 후에요. 예를 들어, 최근 잠깐 동안 해결되기 시작한 챌린지가 뭔지 말이죠.솔직히 이건 메모의 전조인 사이버 행정명령 이상의 의미가 있다고 생각합니다. 하지만 각 기관에는 Zero Trust SME, 주제별 전문가가 필요합니다.우리는 이러한 역할이 추상적인 예일 수도 있지만 CIO 사무실에서 제로 트러스트 SME의 모습에서 시작해서 CISO 사무실에서 CTO에게 전달되는 등, 제로 트러스트 원칙을 어떻게 포지셔닝하고 있는지 이해하기 위해 이러한 역할을 일부 기관 내에서 어떻게 활용하는지 지켜보았습니다.그리고 그 아이디어들을 우리는 이렇게 부릅니다. 기관 내부에 규율이 있나요?오해하지 마세요. 완벽한 답은 없습니다.일부 기관들은 제로 트러스트 상담사와 같은 일을 더 많이 했고, 원한다면 다양한 주축에서 중소기업을 데려오기도 했습니다. 예를 들어, 네트워크에 SME라는 정체성이 있는 중소기업을 데려오기도 하죠.다른 기관들은 해당 기관에 거의 한 명이나 한 명의 사무실을 맡기는 곳에서 더 많은 일을 해왔습니다. 그 중 일부는 기관이 클라우드로 이전하면서 조직이 어떻게 변화하고 있는지와 같이 오랜 시간이 흐르면서 기관 자체 내에서 일어나고 있는 조직 변화를 포지셔닝한 것에 불과했습니다. 따라서 이전에는 데이터 센터의 네트워크 운영, 보안 운영, 패킷에 초점을 맞춘 보안 데이터 센터 운영, 이를 확인하는 데 중점을 두었습니다. 우리는 피 캡을 받았고 센터를 운영하기 위한 신분증도 가지고 있습니다.클라우드에서는 이러한 모든 유형의 가시성이 바뀝니다.따라서 조직적 변화도 반영되어 이제 에이전시가 균형을 맞출 수 있는 적절한 유형의 SME를 확보할 수 있게 되었습니다.클라우드 제공업체들이 레거시라고 부르지는 않지만 원초적 서비스 중 일부를 제공해야 하는 경우도 있습니다. 클라우드 제공업체는 여전히 이러한 문제를 겪고 있습니다.그래서 PCAP 여러분, 공급업체들이 돌아가서 지원을 해야 한다는 이야기를 늘 들을 때 말이죠.일반적으로 클라우드 제공업체들은 SoC와 NOC가 원시 패킷 캡처 기능을 갖고 싶어할 것이라고 생각하지 않았던 것 같아요.하지만 제가 단지 연방 정부만을 대변하는 것이 아니라 많은 조직에서 그렇게 말하고 있습니다.제 말은, 일반적으로 많은 조직들이 여전히 패킷 캡처를 기반으로 하는 그런 욕구를 가지고 있고, 도구를 가지고 있거나, 플레이북을 가지고 있다는 것입니다.따라서 다양한 직책에서 다양한 속도로 조직 변화가 일어나고 있습니다. 이것이 바로 클라우드 기반의 수익 창출 솔루션인 제로 트러스트를 활용할 수 있는 핵심이라고 생각합니다.

43:53 라구 난다쿠마라

제 말은, 제 생각엔 개방성이 또 하나의 지렁이를 열어준다는 겁니다. 완전히 다른 팟캐스트 에피소드인데, 현대화하면서 어떻게 하면 기존의 빚을 덜어내고 새로운 기술과 절차를 도입할 수 있느냐는 거죠. 하지만 그건 팟캐스트로 돌아올 때를 위한 거예요, 숀.이에 대한 전체 에피소드를 다루겠습니다.자, 마무리하기 전에 몇 가지만 말씀드리자면, 글로벌 관점에서 살펴보죠.전 세계 정부와 미국의 많은 동맹국들이 제로 트러스트 채택으로 미국, 미국 기관들이 거둔 성공을 살펴보고 보안 현대화를 추진하기 위해 유사한 접근 방식을 채택하려고 노력하고 있을 것입니다.제로 트러스트가 미국 국경 너머로 확산되는 것을 어떻게 바라보고 있는지 상황과 세부 정보를 말씀해 주실 수 있나요?

44:47 숀 코넬리

물론 여기서는 조심하겠습니다. 하지만 정부 기관, 일부 연방 정부와 논의가 있었고 일부 논의는 FedRAMP에 관한 것입니다.FedRAMP라는 프로그램 측면에서 보면, 일부 정부는 여전히 자국 내에서 정부 버전이나 FedRAMP 버전을 지지하려고 노력하고 있습니다.몇몇 국가들은 우리가 TIC 2를 이용해 이런 데이터를 가지고 있는지, 아니면 네트워크 집계가 진행되고 있는지, 유한한 TIC 액세스 포인트로 했던 것과 같은 조치를 취했습니다.이제 정부는 클라우드와 모바일이 있는 곳과 같은 곳에 있습니다.그래서 정부가 우리를 찾아오고 있습니다.보안 액세스 서비스 솔루션 또는 SSE 솔루션을 어떻게 활용할 수 있을까요?그래서 우리는 이러한 유형의 논의를 진행하고 있습니다.또 다른 하나는 피싱 방지 MFA에 관한 것입니다.그것도 또 다른 영역입니다.다시 말씀드리지만, 연방 정부와는 조금 다른 점은 PIV와 CAC 카드가 있었던 것 같아요.하지만 다른 정부들과는 조금 달랐죠.하지만 이제 FIDO2 솔루션에 분명한 관심을 보이고 계실 것입니다.따라서 이러한 논의의 범위는 CISA가 하는 일에 대한 입장에만 국한되지 않습니다.하지만 다시 말씀드리지만, 클라우드 진화와 데이터 주권은 제가 많은 질문을 받는 또 다른 영역입니다.

45:56 라구 난다쿠마라

멋지네요.좋아요.마지막으로 말씀드리자면, 안타깝게도 우리는 이 일을 끝내야 합니다.이제 여러분은 새로운 에이전시와 미팅룸 킥오프를 앞두고 있습니다. 이제 그들은 제로 트러스트 여정을 시작하려고 합니다.그러자 그들은 이렇게 말합니다. “안녕하세요, 연방 제로 트러스트 아키텍트 숀 코넬리, 우리는 제로 트러스트가 무엇인지 전혀 몰라요.우리가 어떤 상황에 처해 있는지 알려주실 수 있나요?어떻게 생각하세요?

46:22 숀 코넬리

흥미롭네요. 연방 정부에는 새로운 기관이 없으니까요. 그렇죠?자, 이 중 많은 부분이 아주 아주 오래된 기술이죠. 가장 오래된 기술도 있잖아요, 그렇죠?NASA처럼 100억 마일 떨어진 보이저 위성에 피싱 MFA를 설치하거나 화성 탐사선 주위에 EDR 요원을 배치해야 한다고 말하는 사람은 아무도 없습니다.따라서 새 조직에 관한 문제는 그다지 중요하지 않습니다.하지만 제가 질문을 하실 때 존 킨더바그에 대해 몇 번 말씀드린 바 있습니다. 저는 몇 년 전에 존과 함께 대통령과는 다른 일을 맡아 일할 수 있어서 기뻤습니다.저는 항상 이런 실수를 해요.국가 안보 통신 자문위원회였던 것 같아요.해당 문서는 CISA 웹사이트에서 확인할 수 있습니다.NSTAC 제로 트러스트를 입력하기만 하면 바로 나타납니다.하지만 이 문서에 있는 내용 중 하나는 John과 협업하면서 얻을 수 있는 좋은 점입니다. 바로 John이 제로 트러스트를 위한 다섯 단계를 설명했다는 것입니다.존은 항상 제로 트러스트는 정말 쉽다고 말하곤 합니다.이 문서에는 다섯 단계가 나와 있습니다.첫 번째 단계는 보호된 표면을 정의하는 것입니다.이것이 첫 번째 단계입니다.이제 TIC Two를 사용했을 때와는 다릅니다. 보호하고자 하는 것이 무엇이든, 메인프레임을 보호하고, 클라우드의 일부를 보호하려고 하고, TIC 뒤에 두는 것이죠.보호 표면에 대한 정의는 없었습니다.제로 트러스트에서는 무엇을 보호하려고 하시나요?이제 첫 단계가 되었다는 것을 아시겠죠. 다음 단계는 거래 흐름을 매핑하는 것입니다.하지만 중요한 것 중 하나는, 방금 전에 트랜잭션 흐름에 대해 말씀드린 바 있습니다. 단지 시스템, 시스템, 클라이언트-서버 등을 의미하는 것이 아니라, 일종의 패킷 캡처 같은 것들도 중요하지만, 회계 팀과 대화하거나 조직 자체와 대화할 때 방화벽을 가지고 있는 사람도 마찬가지입니다.따라서 여기서는 이러한 유형의 흐름이 매우 중요합니다.그런 다음 이 새로운 아키텍처를 구축하기 시작합니다.다시 말씀드리지만, 이상적으로는 보호 대상에 더 가깝게 보안을 적용하려는 것이 데이터 중심 솔루션입니다.핵심 요소 중 하나는 성숙도 모델로 돌아가는 것입니다. 이 새로운 시스템을 구축할 때는 각 요소로부터 서로 다른 신호를 받기 시작하는 것이 좋습니다.네트워크의 핵심은 호스트 디바이스에서 신호를 보내고, 원하는 ID에서 오는 신호가 필요한데, 이 모든 신호는 네 번째 단계인 정책 생성에 반영될 수 있습니다.동적 정책을 의미하죠.그래서 클라이언트로서 제가 서비스를 제공하거나 이용할 수 있는 서비스를 제공할 것입니다. 하지만 다시 말씀드리지만 조직 정책 자체에도 서비스를 제공할 것입니다.그리고 다섯 번째 단계는 이를 명시하고 모니터링하고 유지하는 것입니다.따라서 보호 서비스를 찾는 것부터 시작하는 이 다섯 단계는 흐름을 트랜잭션하고, 아키텍처를 구축하고, 정책을 정의하고, 유지 관리 및 모니터링해야 합니다.이 다섯 단계부터 시작하겠습니다.

49:01 라구 난다쿠마라

멋지네요.숀, 그러니까, 질문이 더 많은데, 다시 돌아와야 할 바쁜 하루가 있다는 거 알아요오늘 이렇게 시간을 내주셔서 정말 고마워요.정말 고마워요.너랑 이야기 나눠서 정말 환상적이었어.

49:13 숀 코넬리

아니요, 훌륭합니다.네트워크 현대화를 분명히 알고 계실 겁니다. 우리가 어디로 나아갈 건지 아실 겁니다.재밌는 대화였어요.정말 고마워요.

49:20 라구 난다쿠마라

정말 고마워요, 숀.이번 주 The Segment 에피소드를 시청해 주셔서 감사합니다.2주 후에 다음 에피소드로 돌아오겠습니다.앞으로 제로 트러스트에 관한 더 많은 자료를 보려면 저희 웹 사이트 www.illumio.com을 방문하여 쇼 노트에 있는 링크를 사용하여 LinkedIn과 X에서 저희를 찾아보세요.오늘은 여기까지입니다.저는 호스트인 라구 난다쿠마라입니다. 곧 더 많은 소식을 전해 드리겠습니다.

‍