제로 트러스트 사고방식을 보안에 적용하면 온라인 위협이 사용자에게 도달하는 것을 방지할 수 있습니다.그 결과 걱정할 필요가 전혀 없습니다.
제로 트러스트는 해결책이 아니라는 점에 유의하는 것이 중요합니다.이건 도구가 아니에요.박스로 구입하거나 네트워크에 다운로드하여 배포할 수 있는 것이 아닙니다.제로 트러스트는 마음의 상태입니다.제로 트러스트 보안 전략에서는 신뢰할 수 있는 출처에서 발생했는지 여부에 관계없이 모든 트래픽을 신뢰할 수 없다고 가정합니다.따라서 웹 사이트, 웹 앱, SaaS (Software-as-a-Service) 플랫폼, 심지어 이메일 콘텐츠까지도 악의적인 것으로 취급해야 합니다.그런 다음 네트워크상의 사용자, 장치 또는 애플리케이션과 상호 작용할 때마다 이를 지속적으로 인증해야 합니다.
제로 트러스트는 사이버 보안에 대한 기존의 탐지 및 치료 접근 방식을 완전히 뒤집습니다.제로 트러스트는 알려진 위협을 제외한 모든 것을 신뢰하는 대신, 신뢰할 수 있는 출처에서 발생했는지 여부에 관계없이 모든 트래픽을 신뢰할 수 없는 것으로 간주합니다.이로 인해 웹 사이트, 웹 앱, SaaS (Software-as-a-Service) 플랫폼, 심지어 이메일 콘텐츠까지도 악의적인 것으로 취급될 수밖에 없습니다.그런 다음 네트워크상의 사용자, 장치 또는 애플리케이션과 상호 작용할 때마다 이를 지속적으로 인증해야 합니다.
기존의 보안 전략은 네트워크 경계에서 개체 (사용자, 장치 또는 애플리케이션) 를 한 번 인증한 다음 네트워크 내부의 모든 항목에 대한 액세스 권한을 부여하는 방식으로 구축되었습니다.이는 엔터프라이즈 네트워크를 이동성이 거의 없는 허브 앤 스포크 모델로 설정했을 때 잘 작동했습니다.사용자는 데이터 센터에서 들어오고 나가는 트래픽을 제어할 수 있는 강력한 방화벽을 통해 본사에서 로그인하는 경향이 있었습니다.
그러나 오늘날의 네트워크는 고도로 분산되고 이동성이 뛰어납니다.사용자, 장치, 앱 및 데이터는 프라이빗 및 퍼블릭 클라우드 인프라 전반에 분산되어 있으며 필요에 따라 스핀업 및 다운됩니다.이러한 분산형 아키텍처는 경계를 크게 없애지 않고 원격 사무실, 홈 오피스, 고객 사이트, 이동 중 등 사용자가 비즈니스를 수행하는 모든 곳으로 확장했습니다.경계는 어디에나 있기 때문에 보안 침해를 막을 수 없습니다.반면 제로 트러스트는 경계와 네트워크 내부의 개체를 지속적으로 인증하여 어떤 것도 뚫지 못하도록 합니다.
제로 트러스트 보안 전략은 기본적으로 액세스 권한 없는 상태에서 시작됩니다.위치나 상태에 관계없이 어떤 사용자, 장치 또는 애플리케이션도 액세스 권한을 부여받고 먼저 인증을 받지 않으면 어떤 것에도 액세스할 수 없습니다.거기서부터는 지속적인 인증을 통해 액세스 권한을 획득해야 합니다.이렇게 하면 악의적인 공격자가 최종 장치에 액세스한 다음 네트워크를 통해 확산되어 더 중요한 대상을 찾는 것을 방지할 수 있습니다.
가속화된 디지털 혁신으로 모든 것이 네트워크 엣지 밖으로 밀려났습니다.최신 애플리케이션은 더 이상 단일 데이터 센터의 모놀리식 스택이 아닙니다.이제는 여러 클라우드 인프라에 분산되어 있는 수천 개의 마이크로서비스로 분할되었습니다.이로 인해 애플리케이션 경험이 향상되고 비즈니스 민첩성이 향상되지만, 정적 인프라에 보안이 연결되는 허브 및 스포크 모델을 위해 구축된 기존 보안 전략은 근본적으로 무너졌습니다.새롭고 현대적인 작업 방식에는 현대적인 보안 접근 방식이 필요합니다. 제로 트러스트는 멀티 클라우드 환경에서 사용자, 장치, 애플리케이션 및 데이터를 보호하는 데 이상적입니다.
둘째, 위협 환경은 지난 몇 년 동안 엄청나게 진화하고 성장했습니다.기업은 인터넷을 통해 사용자 이름, 암호 및 다중 요소 인증 토큰을 전송하고 있습니다. 이를 통해 공격자는 이러한 자격 증명을 가로채고 도용할 수 있는 기회가 더 많아지고 있습니다.또한 기업은 일반 대중, 즉 악의적인 행위자와도 리소스를 공유하고 있습니다.포춘 50대 기업의 CEO는 마이크로소프트 365, 구글 생산성 스위트 또는 박스 계정을 가지고 있을 가능성이 높습니다.모든 해커들도 마찬가지입니다.합법적으로 보이는 이메일 통신을 만들어 사용자를 속여 자격 증명을 알려주기는 매우 쉽습니다.제로 트러스트는 측면 이동을 차단하고 네트워크 내의 다른 애플리케이션을 보호합니다.
제로 트러스트는 해결책이 아니라는 점에 유의하는 것이 중요합니다.제품이 아니에요.켜고 끌 수 있는 게 아니에요.제로 트러스트는 경영진부터 IT 팀, 개별 사용자에 이르기까지 조직 전반에 걸쳐 구현해야 하는 사고방식입니다.이를 위해서는 네트워크를 완전히 재설계해야 합니다.
제로 트러스트를 구현하기 위한 첫 번째 단계는 보유한 리소스와 해당 리소스에 연결해야 하는 사람을 파악하는 것입니다.이 카탈로그는 인증 부여를 위한 신뢰할 수 있는 로드맵 역할을 합니다.어떤 애플리케이션을 보유하고 계신가요?액세스가 필요한 사람은 누구인가요?액세스 권한을 요청하고 받으려면 어떻게 해야 하나요?각 사용자에게는 어떤 종류의 액세스 권한이 필요한가요?읽기 전용인가요?읽기/쓰기?허용되는 행위와 차단해야 하는 행위는 무엇입니까?이러한 질문에 대한 답을 알면 효과적으로 구현할 수 있는 제로 트러스트 보안에 관한 규칙을 구축할 수 있습니다.
브라우저를 거치는 클라이언트리스 접근 방식을 사용하면 개인 장치, 파트너, 고객 및 기타 제3자를 포함하여 관리하지 않는 장치까지 제어를 확장할 수 있습니다.일부 애플리케이션에는 계속해서 에이전트가 필요하지만 괜찮습니다.하지만 제로 트러스트에 대해 기본적으로 클라이언트리스 접근 방식으로 시작하면 이러한 격차가 없어지고 VPN의 많은 대역폭을 공용 인터넷으로 오프로드할 수 있어 성능이 향상되고 네트워킹 비용이 절감됩니다.
제로 트러스트는 단지 사용자와 디바이스에 관한 것이 아닙니다.애플리케이션 간 연결성에 관한 것입니다.데이터에 관한 거죠.IoT 디바이스에 관한 이야기입니다.외부 협력자에 관한 것이죠. 이 모든 주체들은 자신들이 말하는 그대로의 모습을 보여야 하고, 서로 연결하거나 네트워크에 연결해야 할 정당한 이유가 있어야 합니다.
Microsoft 365이든 Salesforce이든 오늘날의 애플리케이션은 실시간 협업을 가능하게 하기 위해 지속적인 연결이 필요합니다.누군가 고객 기록을 업데이트하거나 공유 문서를 편집하면 모든 사용자의 관점이 실시간으로 반영됩니다.제로 트러스트로 전환하려면 모든 상황을 지속적으로 분석하는 시스템을 마련해야 합니다.
최종 사용자가 접속하면 이상하게 행동하기 시작하는 것을 볼 수 있습니다.그들은 이전보다 훨씬 더 많이 다운로드하기 시작합니다.보통은 위험 신호일 수 있습니다. 이에 대해 조치를 취하고 싶을 수도 있습니다.
다른 쪽 끝에 있는 응용 프로그램이 실제로 이전과 다른 것에 연결되어 있는 것을 볼 수 있습니다.해당 앱에 이전에 존재하지 않았던 다른 엔티티나 다른 앱이 연결되어 있을 수 있습니다.이는 애플리케이션에 의심스럽거나 잠재적으로 악의적인 무언가가 있다는 신호일 수 있습니다.
마지막으로, 들어오는 데이터를 볼 수 있어야 합니다.다시 말씀드리지만, 우리가 사용자와 그들의 기기를 신뢰하지 않는다면 애플리케이션도 신뢰하지 않을 것이기 때문입니다.우리는 데이터를 신뢰하지 않을 것입니다.이러한 애플리케이션에서 최종 사용자에게 내려오는 데이터도 악의적이지 않은지 확인해야 합니다.
의심할 여지 없이 브라우저 보안을 보안 스택의 중심에 두는 접근 방식이 가장 효과적이고 효율적인 제로 트러스트 전략입니다.브라우저 보안과 보안 클라우드 브라우징은 모든 보안 서비스를 클라우드에서 안전하게 제공할 수 있는 중앙 기술 프레임워크 역할을 하며, 모든 보안 서비스를 하나로 묶는 비밀 소스입니다.
Secure Cloud Browsing은 사용자가 웹과 애플리케이션을 탐색할 때 보호 계층을 생성하여 알려진 위협과 기존 위협뿐만 아니라 알려지지 않은 위협과 미래의 위협도 차단합니다.보안 클라우드 브라우징은 조직 전체에 일관되게 적용되어야 하며, 사용자 생산성을 저해하지 않아야 하며, 보안 팀이 웹 기반 트래픽에 대한 완전한 가시성과 제어를 제공하고, 전 세계 어느 위치의 모든 사용자에게나 즉시 확장할 수 있어야 합니다.
Secure Cloud Browsing을 제대로 활용하면 보안을 눈에 띄지 않게 할 수 있으며, 이는 오늘날 원격 근무자의 생산성을 저해할 수 없는 상황입니다.이메일 클라이언트와 웹 브라우저는 계속 의도한 대로 작동해야 합니다.설치할 클라이언트나 배송할 하드웨어가 없어야 하며 단축키, 잘라내기, 붙여넣기, 인쇄 작업과 같은 일반적인 브라우징 기능을 보존해야 합니다.적절한 브라우저 보안 솔루션을 사용하면 직원들이 기대하는 모든 기능을 사용하여 인터넷에 액세스할 수 있습니다.픽셀화된 화면이나 읽기 전용 웹 페이지가 없습니다.비즈니스가 어디에 있든 모든 것이 사용자가 의도한 대로 작동해야 합니다.
멘로 시큐리티는 엔터프라이즈 브라우저를 보호합니다.Menlo Security는 브라우저를 관리하고 사용자를 보호하며 애플리케이션 액세스 및 엔터프라이즈 데이터를 보호하여 모든 브라우저에서 완벽한 엔터프라이즈 브라우저 솔루션을 제공합니다.Menlo Security는 사용자의 선택을 보호하고 친숙하고 사용하기 쉬운 환경을 제공하면서 브라우저를 보호합니다.클릭 한 번으로 브라우저 보안 정책을 배포하고, SaaS 및 개인 애플리케이션 액세스를 보호하고, 엔터프라이즈 데이터를 마지막 단계까지 보호할 수 있습니다.핵심은 Menlo Secure Cloud Browser입니다. Menlo Secure Cloud Browser는 탄력적이고 오케스트레이션된 클라우드 네이티브 플랫폼에서 실행되어 콘텐츠를 가져와서 안전하게 분해 및 재구성된 콘텐츠를 로컬 브라우저에 제공합니다.클라우드 콘텐츠 검사는 엔드포인트에서 위협을 차단하고 인터넷 기반 피싱 및 회피성 멀웨어로부터 보호합니다.AI 기반 클라우드 콘텐츠 검사는 안전한 클라우드 문서 및 아카이브 뷰어, 브라우저 격리 및 기타 보호 기능과 함께 작동합니다.Secure Cloud Browser는 전 세계적으로 확장되며 기업 내부 및 전체의 모든 사용자, 모든 탭, 모든 웹 세션에 위험 없는 로컬 브라우징 경험을 제공할 수 있습니다.
우리는 기업이 더 이상 사일로에서 운영되지 않는 연결된 세상에 살고 있습니다.오늘날 비즈니스를 운영하려면 기술 파트너, 공급업체, 물류 회사, 프리랜서 등 외부 조직과의 긴밀한 협력이 필요합니다.안타깝게도 이러한 협력자에게 비즈니스 시스템과 데이터에 대한 액세스 권한을 부여하면 통제할 수 없는 주체까지 위협의 대상이 확대되어 위협 행위자가 중요 시스템에 액세스할 수 있는 더 많은 경로를 확보할 수 있습니다.
제로 트러스트를 관리되지 않는 장치로 확장하면 이러한 개체가 시스템에 연결하기 전과 연결 중에 ID를 확인해야 하므로 위협 행위자가 이러한 보안 격차를 통해 네트워크에 액세스하는 것을 방지할 수 있습니다.
보험 회사가 고객과 협력하여 보험금을 청구한다고 생각해 보십시오.내부 사용자 외에도 고객, 청구인, 조정자, 감사자 및 수많은 기타 이해 관계자가 정보를 제공하거나 정보에 액세스해야 해당 청구가 정확하고 시기적절하게 처리될 수 있습니다.
이메일, FTP 또는 전화를 통해 수동으로 이 작업을 수행하는 것은 노동 집약적이고 인적 오류가 발생할 수 있으며 솔직히 많은 시간이 소요됩니다.지난 몇 년간 디지털 혁신을 통해 이러한 이해관계자들이 웹 기반 포털을 통해 내부 시스템에 액세스할 수 있게 되어 프로세스가 간소화되었습니다.하지만 이러한 각 연결은 이미 파트너의 시스템을 침해한 진취적인 악의적 공격자가 보험사 네트워크 전체에 퍼질 수 있는 기회를 제공합니다.
제로 트러스트는 보험 기관에 속해 있든 아니든 모든 주체가 네트워크의 모든 시스템에 액세스할 수 있는 신뢰성을 지속적으로 입증할 수 있도록 합니다.제로 트러스트를 관리되지 않는 장치까지 확장하면 보안 위험이나 IT 오버헤드를 가중시키지 않고도 이 새로운 협업 방식을 사용할 수 있습니다.
기존 보안 도구는 강화된 방화벽 외부의 일부 개체가 중앙 제어 지점을 통해 네트워크에 연결되는 허브 및 스포크 모델을 위해 설계되었습니다.모든 트래픽은 데이터 센터로 다시 유입되어 이를 모니터링하고 정책을 적용할 수 있었습니다.조직은 첫 터치에서 엔티티를 인증하기만 하면 되고, 그러면 East-West 트래픽의 모니터링 또는 보안에 대해 걱정할 필요가 없습니다.
그러나 우리가 이미 확립한 것처럼 우리는 더 이상 그 세상에 살지 않습니다.내부 사용자, 애플리케이션, 장치 및 데이터가 분산되어 있을 뿐만 아니라 전 세계에 퍼져 있는 외부 주체에도 액세스가 필요합니다.세분화된 수준에서 액세스를 지속적으로 인증하고 제한할 수 없다는 점은 위협 행위자들이 큰 성공을 거두고 있는 주요 보안 격차입니다.
중앙 제어 지점에서 관리되는 클라이언트리스 접근 방식을 사용하면 무중단 방식으로 관리되지 않는 장치에 대한 제로 트러스트를 확장할 수 있습니다.파트너에게 소프트웨어 클라이언트 설치를 요청하거나 자체 장치에 대한 제어를 포기할 필요가 없습니다.하지만 액세스를 요청하는 주체가 실제로 누구이며 무엇을 하고 있는지 완벽하게 파악할 수 있습니다.여기에서 기존 제로 트러스트 정책을 기반으로 세분화된 액세스를 제공할 수 있습니다.
예, 하지만 VPN이나 온프레미스 방화벽과 같은 정적 제어 지점을 통해 트래픽을 라우팅한 경우에만 가능합니다. 제로 트러스트 네트워크 액세스 (ZTNA) 공용 인터넷을 사용하여 이러한 가시성과 통제력을 확보하므로 전체 참여 기간 동안 ID와 행동을 지속적으로 모니터링하여 신뢰성을 평가할 수 있습니다.또한 클라우드는 어디에나 존재하므로 지연 시간이나 대역폭 제약에 대해 걱정할 필요 없이 비즈니스를 수행하는 모든 곳에서 글로벌 규모로 제로 트러스트를 구현할 수 있습니다.
네, 이것이 바로 클라이언트가 필요 없는 클라우드 네이티브 접근 방식의 장점입니다.기업 기기, 직원의 개인 기기, 타사 기기 등 모든 유형의 기기를 보호하려면 하나의 보안 시스템만 있으면 됩니다.별도의 시스템을 설정할 필요가 없습니다.클라우드를 통한 클라이언트리스 접근 방식은 이 모든 것을 포괄하며 세분화된 제로 트러스트 정책을 생성, 업데이트 및 적용할 수 있는 단일 관리 플레인을 제공합니다.
Menlo Secure Cloud Browser는 원본 애플리케이션에 액세스하는 대신 사용자의 브라우저에서 직접 엔드포인트 디바이스에 애플리케이션의 렌더링된 디스플레이를 생성합니다.웹 트래픽과 상호 작용에 대한 본질적인 신뢰는 없습니다.따라서 파라미터 변조, 웹 스크래핑, API 남용 및 기타 여러 문제로부터 애플리케이션을 보호할 수 있습니다.어떤 식으로든 엔드포인트가 손상되더라도 위협 행위자는 HTTP 헤더, 콘텐츠 및 애플리케이션에 직접 액세스할 수 없습니다.대신 모든 악성 활동이 엔드포인트 브라우저 대신 Menlo Secure Cloud 브라우저에서 실행됩니다.또한 원격 액세스 및/또는 BYOD 사용자를 쉽게 지원할 수 있도록 Menlo Secure Application Access는 브라우저 기반 애플리케이션을 위한 제로 터치 및 에이전트 없는 배포 기능을 제공합니다.에이전트가 필요 없고 간편한 배포로 조직은 다음과 같은 이점을 누릴 수 있습니다.
제로 트러스트 정책은 제로 트러스트 전략을 관리하는 규칙을 적용합니다.예를 들어 조직에서는 자격 증명 도용으로부터 사용자를 보호하기 위해 의심스러운 웹 사이트에 대해 읽기 전용 액세스를 강제할 수 있습니다.또는 급여 신청 시스템에 있는 데이터의 민감성 때문에 급여 신청에 대한 제한을 강화해야 할 수도 있습니다.제로 트러스트 정책은 사용자, 기기, 액세스를 요청하는 대상을 고려하여 신뢰도를 지속적으로 모니터링하고 평가합니다.
기존 보안 정책은 네트워크 엣지에서 개체 (사용자, 장치 또는 애플리케이션) 를 한 번 인증한 다음 네트워크 내부의 모든 항목에 대한 액세스 권한을 부여합니다.이는 엔터프라이즈 네트워크를 이동성이 거의 없는 허브 앤 스포크 모델로 설정했을 때 잘 작동했습니다.사용자는 데이터 센터에서 들어오고 나가는 트래픽을 제어할 수 있는 강력한 방화벽을 통해 본사에서 로그인하는 경향이 있었습니다.
그러나 오늘날의 네트워크는 고도로 분산되고 이동성이 뛰어납니다.사용자, 장치, 앱 및 데이터는 프라이빗 및 퍼블릭 클라우드 인프라 전반에 분산되어 있으며 필요에 따라 스핀업 및 다운됩니다.이러한 분산형 아키텍처는 경계를 크게 없애지 않고 원격 사무실, 홈 오피스, 고객 사이트, 이동 중 등 사용자가 비즈니스를 수행하는 모든 곳으로 확장했습니다.경계는 어디에나 있기 때문에 보안 침해를 막을 수 없습니다.
제로 트러스트 정책은 경계 및 네트워크 내부의 엔티티를 지속적으로 인증하여 아무 것도 통과하지 못하도록 합니다.이러한 세분화된 제어를 통해 신뢰도의 변화를 식별하고 모니터링할 수 있습니다.제로 트러스트 정책은 인증된 개체를 신뢰할 수 있다고 가정하는 대신 기본적으로 모든 것이 악의적이라고 가정하고 해당 개체의 신뢰성을 지속적으로 증명하도록 요구합니다.
이는 기업이 조직을 보호하는 방법을 완전히 재고하도록 요구하는 전략입니다.제로 트러스트 정책은 보안 웹 게이트웨이 (SWG), 방화벽, 클라우드 액세스 보안 브로커 (CASB) 를 비롯한 네트워크 보안 스택 전반에 걸쳐 보편적으로 적용되어야 합니다.회사 본사의 벽에서 나오는 케이블에 연결하든 커피숍의 공용 WiFi에서 로그온하든 관계없이 제로 트러스트 정책은 액세스 가능한 대상과 수준을 정확히 결정합니다.
모르는 것은 보호할 수 없습니다.제로 트러스트 정책은 먼저 애플리케이션을 카탈로그화하여 네트워크 내 위치와 액세스가 필요한 사용자를 파악할 수 있도록 합니다.그런 다음 접근성 수준을 정의하여 누가 전체 액세스 권한을 얻는지, 누가 읽기 전용인지, 사용자에게 업로드 또는 다운로드 권한을 부여할 수 있는지 여부를 결정할 수 있습니다.
어떤 것이 있는지 알게 되면 제로 트러스트 정책에 제어 수준을 적용할 수 있습니다.위험 점수를 계산하는 것과 거의 비슷합니다.예를 들어 알려진 사용자가 네트워크상의 애플리케이션에 액세스하려고 한다고 가정해 보겠습니다.다단계 인증은 사용자가 자신이 말한 그대로이며 알려진 장치에 로그인했음을 증명합니다.하지만 사용자가 알바니아와 같은 국가에 있습니다.
이곳은 특정 사용자가 위치하기에는 이상한 장소일 뿐만 아니라 해커 활동의 온상으로도 알려져 있습니다.인증된 사용자에게 애플리케이션에 대한 액세스 권한을 제공하지만 읽기 전용으로 제한하는 제로 트러스트 정책을 설정할 수 있습니다.이렇게 세분화된 수준의 제어는 사용자의 생산성을 저해하지 않으면서 잠재적으로 악의적인 활동으로부터 애플리케이션을 보호합니다. 단, 사용자가 알바니아에 체류해야 하는 정당한 이유가 있는 경우를 대비해서입니다.제로 트러스트 정책을 사용하면 사전 설정된 규칙을 기반으로 이러한 다양한 보안 수준을 설정하고 전 세계에 적용할 수 있습니다.
제로 트러스트 정책도 단순한 사용자 간 접근성을 넘어서야 합니다.반대로 애플리케이션에서 사용자까지 또는 애플리케이션 간의 데이터 흐름을 지시해야 합니다.이를 통해 애플리케이션, 사용자, 장치 및 데이터에 제로 트러스트 정책을 적용하여 기업 전체를 포괄할 수 있습니다.진정한 보안을 위해서는 관리되지 않는 디바이스를 사용하는 고객 및 파트너와 같은 제3자에게도 정책을 확장할 수 있어야 합니다.애플리케이션이든, 사람이든, IoT 기기든 상관 없습니다. 모든 주체는 모든 상호 작용에서 자신의 신뢰성을 지속적으로 입증해야 합니다.
전체 네트워크가 아닌 사용자의 업무에 필요한 특정 애플리케이션에만 액세스 권한이 부여됩니다.Menlo Secure Application Access의 기반에는 제로 트러스트 원칙이 내장되어 있어 고도로 분산된 직원이나 제3자에게도 세분화된 조건부 액세스 정책을 적용할 수 있습니다.조직은 사용자, 그룹, 소스 IP 및 지역별로 액세스를 정의할 수 있습니다.
배포 측면에서 Menlo는 브라우저 기반 애플리케이션에 대해 제로 터치 및 에이전트리스 배포를 지원하고 브라우저 기반이 아닌 애플리케이션을 위한 에이전트를 지원합니다.브라우저 기반 애플리케이션의 경우 DNS 레코드가 필요 없고, 인증서를 가져올 필요도 없고, 에이전트도 필요하지 않습니다.그러면 Menlo는 이러한 제로 트러스트 정책을 생성하고 관리할 수 있는 단일 장소를 제공합니다. 이를 통해 사용자는 한 번 설정하여 애플리케이션, 사용자, 기기 및 데이터에 전 세계적으로 적용할 수 있습니다.
멘로 시큐리티는 멘로 시큐어 클라우드 브라우저에 의해 구동됩니다.모든 것이 클라우드의 이 추상화된 계층을 통과하므로 관리자는 기본 사용자 경험에 영향을 주지 않으면서 보안에 대한 탁월한 가시성과 제어 기능을 제공합니다.
제로 트러스트 액세스에 대해 자세히 알아보기
제로 트러스트 ID는 신뢰성을 기반으로 세분화된 방식으로 네트워크 전체에 액세스 권한을 부여하는 방법입니다.제로 트러스트는 기본적으로 액세스 권한이 없는 상태에서 시작하여 사용자, 애플리케이션, 데이터, 기기 등 특정 개체에 지능적으로 다양한 수준의 액세스를 제공합니다.그리고 이러한 액세스는 사전 설정된 규칙에 따라 제공됩니다.하지만 이를 위해 조직은 의심할 여지 없이 누가 액세스를 요청하는지, 액세스 권한을 받은 후에는 무엇을 할 계획인지 정확히 파악해야 합니다.
제로 트러스트 ID는 단순한 사용자 이름, 암호 및 다단계 인증 (MFA) 그 이상입니다.사용자, 애플리케이션 또는 디바이스가 누구인지, 무엇을 말하는지 확인하려면 한 단계 더 높은 수준의 보안 검사가 필요합니다.여기에는 기기 정보, 물리적 위치, 궁극적으로는 행동과 같은 기타 단서가 포함됩니다.
기존 ID 도구는 강화된 방화벽 외부의 일부 개체가 VPN을 통해 네트워크에 연결되는 허브 및 스포크 모델을 위해 설계되었습니다.모든 트래픽은 다시 데이터 센터로 흘러 들어가 모니터링이 가능하고 정책이 적용될 수 있었습니다.조직은 첫 터치에서 엔티티를 인증하기만 하면 되고, 그러면 East-West 트래픽의 모니터링 또는 보안에 대해 걱정할 필요가 없습니다.이 아키텍처에서는 사용자 이름, 암호 및 MFA를 사용한 인증이 효과적이었습니다.
하지만 우리는 더 이상 그런 세상에 살지 않습니다.오늘날 고도로 분산된 기업에서는 사용자, 애플리케이션, 장치 및 데이터가 프라이빗 데이터 센터, 퍼블릭 클라우드 인프라 및 SaaS (Software as a Service) 플랫폼에 분산되어 있으며 네트워크는 너무 분산되어 있고 너무 복잡하며 타사 주체와 너무 상호 연결되어 있습니다.사용자는 초기 액세스 권한을 획득한 후 나머지 네트워크에 대한 무제한 액세스 권한을 가질 수 있습니다.세분화된 수준에서 액세스를 지속적으로 인증하고 제한할 수 없다는 점은 위협 행위자들이 큰 성공을 거두고 있는 주요 보안 격차입니다.
기업의 정체성이 얼마나 확실한지 평가한 다음 해당 평가를 사용하여 접근성을 제공하거나 제한하는 것이 전부입니다.예를 들어 알려진 사용자가 올바른 자격 증명으로 애플리케이션에 로그인하고 MFA를 전달할 수 있습니다.하지만 사용자가 알바니아와 같은 국가에 있는 것으로 확인되면 어떻게 될까요?이곳은 특정 사용자가 위치하기에는 이상한 위치일 뿐만 아니라 해커 활동의 온상으로도 알려져 있습니다.또한 마케팅 담당 임원인 사용자가 급여 앱에 액세스하려고 하는데, 이 역시 비정상적인 행동입니다.
액세스 권한을 제공합니까?제로 트러스트 ID를 사용하면 인증된 사용자에게 애플리케이션에 대한 액세스 권한을 제공하지만 읽기 전용으로 제한하는 정책을 적용할 수 있습니다.이러한 세분화된 제어 기능은 사용자의 생산성을 저해하지 않으면서 잠재적으로 악의적인 활동으로부터 애플리케이션을 보호합니다. 이는 사용자가 알바니아에서 급여를 이용할 정당한 이유가 있는 경우에 대비한 것입니다.제로 트러스트 ID를 사용하면 신뢰성 수준을 평가하고 세분화된 접근성을 제공하며 이러한 정책을 전 세계에 적용할 수 있습니다.
모르는 것은 보호할 수 없습니다.제로 트러스트 ID 전략은 애플리케이션 카탈로그를 작성하여 네트워크 내 위치와 액세스가 필요한 사용자를 파악하는 것에서 시작됩니다.그런 다음 접근성 수준을 정의하여 누가 전체 액세스 권한을 얻는지, 누가 읽기 전용인지, 사용자에게 업로드 또는 다운로드 권한을 부여할 수 있는지를 결정할 수 있습니다.
어떤 것이 있는지 알게 되면 제로 트러스트 전략에 제어 수준을 적용할 수 있습니다.위험 점수를 계산하는 것과 거의 비슷합니다.위의 예에서 사용자는 올바른 사용자 이름과 암호를 제공하고 MFA를 통과했지만 위험한 위치에서 비정상적인 행동을 보였습니다.결과는 읽기 전용이며 데이터를 다운로드하거나 유출할 수 없습니다.제로 트러스트 정책을 사용하면 ID 및 사전 설정된 규칙을 기반으로 이러한 다양한 보안 수준을 설정하고 전 세계에 적용할 수 있습니다.
네트워크 카탈로그를 작성하고 ID 정책을 설정하여 신뢰성과 해당 접근성 수준을 결정했다면 이제 애플리케이션을 악의적인 위협에 노출시키지 않고 실제로 사용자를 연결할 차례입니다.VPN과 같은 클라이언트를 사용하여 이 작업을 수행할 수 있으며, 이상적으로는 클라이언트리스 아키텍처를 사용할 수도 있습니다.장치에 소프트웨어를 설치할 필요가 없으므로 IT 오버헤드가 줄어들고 파트너, 공급업체 및 계약업체 또는 직원의 개인 장치와 같은 관리되지 않는 장치에도 제로 트러스트 ID를 확장할 수 있습니다.
애플리케이션 측에서는 커넥터를 배포하여 신뢰할 수 있는 사용자에게 액세스 권한을 부여해야 합니다.이러한 커넥터는 데이터 센터든 퍼블릭 클라우드든 상관없이 애플리케이션이 위치한 모든 곳에 위치하며 인증된 사용자의 액세스를 허용하는 게이트웨이 역할을 합니다.그러나 오늘날의 분산된 엔터프라이즈에서는 공용 인터넷을 통해 사용자와 애플리케이션에 직접 액세스할 수 있어야 하므로 애플리케이션을 공개적으로 검색할 수 있어야 합니다.이러한 심각한 보안 격차를 해소하려면 인증된 사용자만 액세스할 수 있는 인터넷 상의 사설 터널을 제공하는 모든 트래픽 흐름을 관통하는 중앙 제어 지점이 필요합니다.
전체 네트워크가 아닌 사용자의 업무에 필요한 특정 애플리케이션에만 액세스 권한이 부여됩니다.Menlo Secure Application Access의 기반에는 제로 트러스트 원칙이 내장되어 있어 고도로 분산된 직원이나 제3자에게도 세분화된 조건부 액세스 정책을 적용할 수 있습니다.조직은 사용자, 그룹, 소스 IP 및 지역별로 액세스를 정의할 수 있습니다.브라우저 기반 정책이 아닌 경우 조직은 사용자가 애플리케이션에 액세스하기 전에 엔드포인트의 상태 검사를 활성화할 수 있습니다.
조직에서는 정의된 액세스 제어 정책 세트를 기반으로 사용자에게 애플리케이션, 데이터 및 서비스에 대한 보안 액세스를 제공하는 방법으로 제로 트러스트 네트워크 액세스를 구현합니다.ZTNA는 특정 애플리케이션에만 액세스를 제공한다는 점에서 가상 사설망 (VPN) 과 다릅니다. 반면 VPN은 전체 네트워크, 즉 모든 애플리케이션에 대한 액세스 권한을 부여합니다.
현대 기업은 분산된 개체 (사용자, 장치, 원격 사무실 및 SaaS 플랫폼) 가 애플리케이션에 안전하게 연결할 수 있는지 확인해야 합니다.에 따르면 이 시장이 대다수 배포에서 SSE (Security Service Edge) 에이전트 기반 아키텍처로 점점 더 많이 융합되고 있는 가운데 가트너또한 관리되지 않는 장치 및/또는 타사 액세스의 경우 에이전트 없는 기반 배포에 대한 수요도 증가하고 있습니다.
성공적인 ZTNA 접근 방식은 관리 대상 장치에 대한 광범위한 보안 요구 사항을 충족하고, 공격 표면 감소를 극대화하고, 조직의 제로 트러스트 원칙 채택을 지원하는 고도로 동적인 적응형 액세스 제어 정책을 통합하는 경로를 제공해야 합니다.
VPN 연결과 달리 ZTNA는 다음 장치에서 작동합니다. 제로 트러스트 모델 특정 사용자 또는 역할이 작업을 수행하는 데 필요한 승인된 응용 프로그램에만 액세스 권한이 부여되며, 해당 응용 프로그램이 어디에 있든 상관 없습니다.이런 식으로 네트워크에 연결해도 전체 네트워크를 검색하거나 검색할 수 없으며 단일 커넥터를 통해 분산된 응용 프로그램에 액세스할 수 있습니다.Gartner에 따르면 기존 VPN을 대체하려는 조직은 ZTNA 대안을 활용하여 기업의 위험을 크게 줄일 수 있습니다.이러한 ZTNA의 이점 중 상당수는 다음과 같습니다.
ZTNA 솔루션은 사용자와 애플리케이션이 어디에 있든 최종 사용자를 승인된 애플리케이션에만 연결하는 데 사용됩니다.에 따르면 가트너, ZTNA는 주로 VPN을 대체하는 용도에서 원격 및 지사 사용자를 위한 표준화된 제로 트러스트 아키텍처의 핵심 구성 요소로 발전했습니다.
ZTNA 솔루션이 효과적이려면 사용자의 신원을 확인하고 사용 중인 장치의 보안 상태를 평가하여 애플리케이션에 대한 액세스 권한을 부여하기 전에 정의된 정책에 부합하는지 확인해야 합니다.승인이 완료되면 사용자 기기와 애플리케이션 간에 보안 연결이 이루어집니다.
이 접근 방식을 사용하면 사용자는 특정 사용자의 ID에 기반한 애플리케이션에만 액세스할 수 있고 권한이 없는 다른 애플리케이션은 보거나 액세스할 수 없습니다.또한 공격자가 액세스 권한을 얻더라도 조직 전체로 확산되지 못하게 되는 측면 공격을 방지하는 데도 도움이 됩니다.
ZTNA 솔루션은 애플리케이션과 원격 사용자 간에 확장성이 뛰어난 직접 연결을 제공하는 데 이상적으로 보일 수 있지만, 대부분의 ZTNA 도구는 보안 연결을 설정한 다음 방해가 되지 않도록 설계되어 사용자가 애플리케이션과 자유롭게 상호 작용할 수 있습니다.이 접근 방식의 문제점은 보안 팀이 사용자 트래픽을 파악할 수 없어 사용자와 애플리케이션 간에 발생할 수 있는 잠재적 데이터 전송을 보지 못하게 된다는 점입니다.이로 인해 민감한 데이터 저장, 액세스 또는 잠재적 악성 콘텐츠 업로드와 관련된 잠재적으로 누락된 사고에 노출될 수 있습니다.
이러한 눈에 띄지 않는 행동 (예: 사용자 자격 증명 손상, 사용된 데이터 유출 또는 기타 불법 활동) 을 모니터링하지 못하면 보안 팀에 심각한 위협이 됩니다.따라서 조직에서는 액세스 및 가시성을 제공할 뿐만 아니라 보안 연결을 설정한 후 보안을 강화하는 ZTNA 솔루션을 구현하는 것이 필수적입니다.이러한 사전 예방적 접근 방식은 궁극적으로 잠재적 보안 사고를 예방하고 진정한 제로 트러스트 연결을 구현합니다.
오늘날의 멀티 클라우드 환경에서는 애플리케이션을 여러 클라우드 플랫폼과 온 프레미스 인프라에 배포할 수 있습니다.현대 조직에서는 증가하는 하이브리드 인력의 요구 사항을 충족하기 위해 어디서나 어떤 장치로든 디지털 자산에 액세스할 수 있어야 합니다. 차세대 ZTNA 솔루션 기존 보안 투자와 원활하게 통합하여 필요한 보호 및 가시성을 확장해야 합니다.보안 팀은 모든 커뮤니케이션에 대한 양방향 가시성을 제공하여 애플리케이션에서 발생하는 공격으로부터 사용자를 보호하고 필요한 경우 데이터 손실 보호 (DLP) 정책을 구현할 수 있어야 합니다.
차세대 ZTNA는 기본적으로 신뢰할 수 있는 것은 없다는 원칙에 따라 신뢰를 재정의합니다.주로 액세스 보안에만 집중하는 기존 솔루션과 달리 Menlo Security의 보안 애플리케이션 액세스와 같은 차세대 ZTNA 솔루션에는 끊임없이 진화하는 위협과 고도로 정교한 위협 행위자로 인한 위협으로부터 오늘날의 사용자, 데이터 및 애플리케이션을 보호하는 데 필요한 향상된 보안 조치가 포함되어 있습니다. 보안 애플리케이션 액세스 Elastic Isolation Core를 활용하여 애플리케이션 자체와 상호 작용하는 대신 사용자 브라우저에서 직접 엔드포인트 디바이스에 애플리케이션의 렌더링된 이미지를 생성함으로써 관리되는 디바이스에 대한 광범위한 보안 요구 사항을 충족합니다.이를 통해 동적 액세스 제어 정책을 사용하고 기업이 제로 트러스트 원칙을 채택하도록 지원하는 세분화된 필터를 활성화하여 원활한 사용자 경험을 유지하면서 브라우저 기반 엔터프라이즈 프라이빗 및 SaaS 애플리케이션에 액세스할 수 있는 가장 안전한 경로가 보장됩니다.
보안에 대해 제로 트러스트 접근 방식을 취하는 조직은 사이버 보안에 대한 기존의 탐지 및 치료 접근 방식이 잘못되었다는 것을 알고 있습니다.제로 트러스트 사고방식에서는 출처가 신뢰할 수 있는 출처인지 여부에 관계없이 모든 콘텐츠를 신뢰할 수 없다고 가정합니다.
제로 트러스트 보안 전략은 기본적으로 액세스 권한 없는 상태에서 시작됩니다.즉, 위치나 상태에 관계없이 어떤 사용자, 장치 또는 애플리케이션도 어떤 것에도 액세스할 수 없습니다.이를 통해 위협 행위자가 엔드포인트에 액세스하여 네트워크를 통해 확산되는 것을 방지할 수 있습니다.
제로 트러스트 보안은 사용자, 애플리케이션 또는 디바이스가 누구인지, 무엇을 말하는지 확인하는 또 다른 수준의 보안 검사를 제공합니다.여기에는 기기 정보, 물리적 위치, 궁극적으로는 행동과 같은 다른 단서도 포함됩니다.
최신 애플리케이션은 더 이상 단일 데이터 센터의 모놀리식 스택이 아닙니다.이제는 여러 클라우드 인프라에 분산되어 있는 수천 개의 마이크로서비스로 분할되었습니다.제로 트러스트 보안은 이러한 경험을 향상시킵니다.
보안에 제로 트러스트 접근 방식을 취한다는 것은 신뢰의 철학을 완전히 뒤집는 것을 의미합니다.이 경우 내부적이든 외부적이든 모든 사람과 장치가 신뢰를 얻어야 합니다.
