MANUAL FACTORY
Home  >  잡동사니  >  보안 / Zero Trust

보안 / Zero Trust

잡동사니
Created 2024-10-13 Last Modified 2024-10-21

제로 트러스트(Zero Trust)는 네트워크 보안 모델로, 아무도 신뢰하지 않고 항상 검증한다는 원칙에 기반합니다. 이는 기존의 경계 기반 보안 모델과는 달리, 네트워크 내부에 있더라도 모든 사용자와 디바이스의 신뢰를 가정하지 않으며, 사용자가 누구인지, 그들이 사용하려는 기기가 안전한지, 그리고 해당 자원에 접근할 필요가 있는지 등을 지속적으로 검증합니다.

제로 트러스트의 핵심 원칙

  1. 기본 가정: 신뢰하지 않는다:

    • 제로 트러스트 모델에서는 네트워크 내외부를 구분하여 신뢰하지 않습니다. 즉, 내부 네트워크에 있다고 해서 사용자나 디바이스가 신뢰할 수 있다고 가정하지 않습니다.
    • 모든 접근 요청은 위치, 사용자 신원, 기기 상태, 보안 상태 등을 기준으로 엄격하게 검증합니다.

  2. 항상 검증(Verify Explicitly):

    • 접근 요청마다 사용자 및 기기의 신원과 보안 상태를 검증해야 합니다. 사용자가 인증된 이후에도 각 액세스 요청에서 검증 절차를 거칩니다.
    • 다단계 인증(MFA, Multi-Factor Authentication)을 통해 추가적인 검증을 요구하여 보안을 강화합니다.
    • 원격 근무나 클라우드 사용 환경에서도 동일한 원칙을 적용하여, 어디서 접속하든 검증이 이루어집니다.

  3. 최소 권한 원칙(Least Privilege Access):

    • 사용자나 애플리케이션이 시스템에 접근할 때 필요한 최소한의 권한만을 부여합니다. 이는 권한 남용이나 보안 위협으로 인한 피해를 줄이는 데 도움이 됩니다.
    • 예를 들어, 사용자가 특정 파일에 접근해야 하는 이유가 있을 때만 일시적으로 해당 권한을 부여하고, 필요 없을 때는 자동으로 권한을 제거합니다.
    • 이를 통해 접근 권한을 정교하게 관리하고, 잠재적인 위험을 줄일 수 있습니다.

  4. 기기와 사용자 상태의 지속적인 평가:

    • 사용자가 로그인을 한 후에도 지속적으로 기기 상태와 보안 상태를 모니터링합니다. 예를 들어, 기기가 악성 소프트웨어에 감염되었거나, 보안 패치가 적용되지 않은 상태라면 접근을 제한할 수 있습니다.
    • 이는 조직의 보안 상태를 실시간으로 반영하고, 보안 상태가 만족스럽지 않으면 액세스가 거부되도록 합니다.

  5. 가시성 및 분석:

    • 제로 트러스트 모델에서는 모든 접근 및 활동에 대한 모니터링과 로깅이 필수적입니다. 이를 통해 네트워크 내에서 발생하는 모든 활동을 가시화하고, 이상 행동을 실시간으로 분석할 수 있습니다.
    • 보안 위협 탐지 및 대응(SIEM, Security Information and Event Management)과 연계하여 잠재적인 위협을 신속하게 파악하고 대응합니다.

제로 트러스트의 주요 구성 요소

  1. 강화된 사용자 인증:

    • 다단계 인증(MFA)을 기본으로 적용하여 사용자가 누구인지 확인합니다. 이는 비밀번호 외에도 추가적인 인증 수단(예: SMS 코드, 인증 앱)을 요구하여 사용자가 진짜 본인임을 증명하게 합니다.
    • Azure AD와 같은 ID 관리 솔루션은 사용자 및 기기의 신원을 확인하고, 조건부 액세스 정책을 통해 접근을 제어합니다.

  2. 동적 정책 및 조건부 액세스:

    • 조건부 액세스는 사용자의 위치, 기기의 상태, 로그인 시간 등 다양한 조건에 따라 접근을 제어합니다. 예를 들어, 사용자가 새로운 위치에서 접속하려고 할 때 추가 인증을 요구할 수 있습니다.
    • 이러한 동적 정책을 통해, 상황에 따라 보안 요구 사항을 강화할 수 있습니다.

  3. 기기 관리 및 보안 상태 점검:

    • 제로 트러스트는 사용자가 접근하는 기기의 상태를 중요하게 생각합니다. 기기가 최신 보안 업데이트가 적용되었는지, 암호화가 설정되어 있는지 등을 평가하여 불안전한 기기에서의 접근을 제한할 수 있습니다.
    • MDM(Mobile Device Management) 솔루션과 통합하여, 조직의 디바이스 상태를 중앙에서 관리하고 보안을 유지합니다.

  4. 데이터 보호 및 암호화:

    • 제로 트러스트 모델에서는 데이터의 이동 및 사용 중에도 암호화가 적용되어야 합니다. 이는 데이터가 저장될 때뿐만 아니라, 네트워크를 통해 전송될 때도 암호화를 유지하여 도난이나 유출로부터 보호합니다.
    • 데이터 손실 방지(DLP) 솔루션을 사용하여, 민감한 데이터가 무단으로 외부로 전송되지 않도록 제어합니다.

  5. 네트워크 세분화:

    • 네트워크를 세분화하여 각각의 네트워크 영역 사이에 강력한 접근 제어를 설정합니다. 예를 들어, 개발 환경과 생산 환경을 분리하여 각 영역의 접근을 제어할 수 있습니다.
    • 마이크로 세그먼테이션을 통해 네트워크 내부의 이동도 제한하여, 만약 네트워크 내에 침입자가 발생하더라도 다른 영역으로 이동하는 것을 어렵게 만듭니다.

제로 트러스트의 주요 이점

  • 강화된 보안: 내부와 외부 사용자 모두를 검증하여, 내부 네트워크의 침해를 방지하고, 각 접근 시도에 대한 세밀한 통제와 모니터링을 통해 보안을 강화합니다.
  • 유연한 근무 환경 지원: 제로 트러스트 모델은 원격 근무와 클라우드 환경에 적합합니다. 사용자가 어디에서 접속하든 동일한 검증을 거치기 때문에, 원격 근무자의 보안 리스크를 줄이고 안전한 액세스를 제공합니다.
  • 피해 최소화: 최소 권한 접근과 지속적인 모니터링을 통해 보안 위협이 발생하더라도 그 영향 범위를 최소화할 수 있습니다. 이는 데이터 유출이나 권한 남용의 위험을 줄입니다.
  • 규제 준수: 많은 규제(예: GDPR, HIPAA)에서 요구하는 보안 기준을 충족하는 데 도움을 줍니다. 이는 사용자 데이터와 접근 관리에 대한 투명성과 제어를 강화하기 때문입니다.

요약

제로 트러스트절대 신뢰하지 않고, 항상 검증한다는 접근 방식을 통해 네트워크 보안을 혁신적으로 강화하는 모델입니다. 사용자가 누구인지, 그들이 사용 중인 기기가 안전한지, 그리고 그들이 접근하려는 리소스가 무엇인지 등을 매번 검증하며, 다단계 인증, 조건부 액세스, 지속적인 모니터링과 같은 보안 메커니즘을 결합하여 보안을 유지합니다. 제로 트러스트 모델은 특히 클라우드, 원격 근무, VDI 환경에서 보안 리스크를 줄이는 데 매우 유효하며, 현대적인 보안 전략의 핵심으로 자리잡고 있습니다.

잡동사니
같은 카테고리의 다른 글
토스페이먼츠 / 결제내역 확인하는 방법

토스페이먼츠 / 결제내역 확인하는 방법

인터넷 쇼핑몰에서 결제를 할 때 토스페이먼츠로 하였다면, 신용카드 명세에 가맹점명이 토스페이먼츠 주식회사로 찍힌다. 그래서 실제 결제한 인터넷 쇼핑몰이 어딘지 알 수 없다. 이를 확인하고 싶다면 토스페이먼츠 홈페이지로 가야 하는데... 좀 많이 귀찮다. 토스페이먼츠 홈페이지로 접속하고 을 클릭하거나... https://www.tosspayments.com/ 아래 링크로 바로 접속한다. https://consumer.tosspayments.com/payment-history/card 이 부분이 많이 귀찮은데... 결제 관련 정보를 꽤 많이 입력해야 한다. 입력을 마쳤으면 ...

네트워크 / 잘 알려진 포트, 등록된 포트, 동적 포트

포트 번호는 0~65535까지 사용 가능합니다. 이를 용도에 따라 잘 알려진 포트, 등록된 포트, 동적 포트 세 가지로 분류합니다. 관리는 IANA(Internet Assigned Numbers Authority)에서 합니다.

Creative Cloud / 파일 동기화 / 중지하는 방법

Creative Cloud / 파일 동기화 / 중지하는 방법

Adobe CC를 설치하면 파일 탐색기에 Creative Cloud Files라는 폴더가 생깁니다. 그리고 클라우드에 있는 파일을 동기화하면서 파일들을 다운로드합니다. 그런데 동기화하는 동안은 PC의 자원을 많이 사용해서 다른 작업을 하는 게 힘듭니다. 그런 경우 동기화를 중지하세요. 그리고 한가한 시간에 다시 동기화를 시작하세요. 동기화를 중지하려면 Creative Cloud Desktop을 엽니다. 그리고 을 클릭합니다. 을 클릭한 후... 을 ...

사진의 EXIF 정보 보는 방법, 수정하는 방법, 제거하는 방법

사진의 EXIF 정보 보는 방법, 수정하는 방법, 제거하는 방법

EXIF(Exchangeable Image File Format)는 디지털 카메라나 스마트폰 등으로 찍은 이미지 파일에 포함되는 메타데이터 형식입니다. 사진을 찍을 때 자동으로 저장되는 정보들이라고 할 수 있어요. 이 정보는 이미지 파일에 포함됩니다. EXIF에는 다음과 같은 정보들이 들어갑니다.

보안 / IPS - Intrusion Prevention System

Intrusion Prevention System(IPS)은 네트워크 보안 장치로, 네트워크 트래픽을 실시간으로 모니터링하여 악의적인 활동이나 정책 위반을 탐지하고 이를 차단하는 기능을 수행합니다. IDS(침입 탐지 시스템)와 유사하지만, IPS는 탐지뿐만 아니라 능동적으로 위협을 차단하는 기능을 갖추고 있습니다. 주요 기능 실시간 모니터링 네트워크 트래픽을 실시간으로 분석하여 위협을 탐지합니다. 위협 차단 악의적인 활동이 발견되면 자동으로 해당 트래픽을 차단하여 네트워크를 보호합니다. 정책 적용 네트워크 보안 ...

브랜드 로고 공식 배포 주소

브랜드 로고 공식 배포 주소

로고를 다운로드 받을 수 있는 공식 주소를 정리한다. 로고 사용에 대한 가이드라인이 있으므로, 공식 주소에서 다운로드하는 것이 좋다. Bootstrap https://getbootstrap.com/docs/5.0/about/brand/ Facebook https://www.facebook.com/brand/resources/facebookapp/logo Facebook Messenger https://www.facebook.com/brand/resources/messenger/messenger-brand HTML5 https://www.w3.org/html/logo/ Intagram https://www.facebook.com/brand/resources/instagram/instagram-brand jQuery https://brand.jquery.org/logos/ Kakao Story Channel https://ch.kakao.com/login LinkedIn https://brand.linkedin.com/downloads MariaDB https://mariadb.com/about-us/logos/ Naver https://logoproject.naver.com/logonaver Naver Band https://developers.band.us/develop/guide/share Naver Line https://line.me/en/logo PHP https://www.php.net/download-logos.php Pinterest https://business.pinterest.com/ko/brand-guidelines/ Python https://www.python.org/community/logos/ Samsung https://www.samsung.com/sec/about-us/brand-identity/logo/ Sass https://sass-lang.com/styleguide/brand Twitter https://about.twitter.com/en/who-we-are/brand-toolkit Visual Studio Code https://code.visualstudio.com/brand YouTube https://www.youtube.com/howyoutubeworks/resources/brand-resources/  

유닉스(UNIX)와 리눅스(Linux)

유닉스(UNIX)와 리눅스(Linux)는 모두 컴퓨터 운영체제(Operating System)로, 주로 서버, 워크스테이션, 네트워크 장비 및 임베디드 시스템에서 사용됩니다. 두 운영체제는 관련성이 있지만, 역사와 구조, 철학에서 차이가 있습니다. 유닉스(UNIX) 역사 1969년, 벨 연구소(Bell Labs)에서 Ken Thompson, Dennis Ritchie, 그리고 다른 연구자들에 의해 개발. 초기에는 미니 컴퓨터 환경에서 간단하고 효율적인 운영체제를 제공하는 것을 목표로 설계. UNIX는 C 언어로 작성되어 이식성이 ...

스팀 / 라이브러리(게임 설치 폴더) 추가하는 방법

스팀 / 라이브러리(게임 설치 폴더) 추가하는 방법

아무래도 SSD가 비싸다보니 C 드라이브의 용량이 크지 않습니다. 사무용으로 쓸 때는 괜찮은데, 개발이나 게임을 하면 용량의 한계를 느낍니다. 특히 요즘 게임은 수십 GB는 족히 넘거든요. 용량이 부족하면 SSD를 하나 더 사서 장착하면 되는데요, 그 SSD에 스팀 게임을 설치하려면 어떻게 해야 할까요? 스팀 라이브러리 폴더를 추가해주면 됩니다. 스팀을 실행합니다. 왼쪽 위에 있는 을 클릭하고 ...

우리은행 / 자동이체 조회하는 방법, 해지하는 방법

우리은행 / 자동이체 조회하는 방법, 해지하는 방법

요금이나 적금 등을 납부할 때 자동이체를 많이 이용합니다. 납부일을 놓힐 위험도 없고 편하고... 하지만 경우에 따라서 자동 이체를 해지하거나 계좌를 변경해야 하는 일이 발생할 수 있는데, 은행 영업점에 방문하거나 전화하지 않아도 처리할 수 있습니다. 모든 은행이 가능한지는 모르겠으나, 우리은행은 가능합니다. 다음은 우리은행 모바일 앱인 우리 WON 뱅킹에서 자동이체를 조회하고 해지하고 등록하는 ...

phpMyAdmin / 이제 설정 파일은 암호화 문자열(blowfish_secret)을 필요로 합니다.

phpMyAdmin / 이제 설정 파일은 암호화 문자열(blowfish_secret)을 필요로 합니다.

phpMyAdmin을 업로드 하고 로그인 했을 때 다음과 같은 문구가 나오는 경우가 있습니다. 이제 설정 파일은 암호화 문자열(blowfish_secret)을 필요로 합니다. 해결하는 방법은 다음과 같습니다. phpMyAdmin 디렉토리에 있는 config.sample.inc.php를 config.inc.php로 이름을 바꾸어 저장합니다. 그리고 파일에 있는 다음 코드에 값을 채웁니다. $cfg = ''; 32개 보다 적은 문자를 넣으면 길이가 짧다는 메시지가 나오므로, 32개 이상의 문자를 입력합니다.