MANUAL FACTORY
Home  >  잡동사니  >  보안 / Zero Trust

보안 / Zero Trust

잡동사니
Created 2024-10-13 Last Modified 2024-10-21

제로 트러스트(Zero Trust)는 네트워크 보안 모델로, 아무도 신뢰하지 않고 항상 검증한다는 원칙에 기반합니다. 이는 기존의 경계 기반 보안 모델과는 달리, 네트워크 내부에 있더라도 모든 사용자와 디바이스의 신뢰를 가정하지 않으며, 사용자가 누구인지, 그들이 사용하려는 기기가 안전한지, 그리고 해당 자원에 접근할 필요가 있는지 등을 지속적으로 검증합니다.

제로 트러스트의 핵심 원칙

  1. 기본 가정: 신뢰하지 않는다:

    • 제로 트러스트 모델에서는 네트워크 내외부를 구분하여 신뢰하지 않습니다. 즉, 내부 네트워크에 있다고 해서 사용자나 디바이스가 신뢰할 수 있다고 가정하지 않습니다.
    • 모든 접근 요청은 위치, 사용자 신원, 기기 상태, 보안 상태 등을 기준으로 엄격하게 검증합니다.

  2. 항상 검증(Verify Explicitly):

    • 접근 요청마다 사용자 및 기기의 신원과 보안 상태를 검증해야 합니다. 사용자가 인증된 이후에도 각 액세스 요청에서 검증 절차를 거칩니다.
    • 다단계 인증(MFA, Multi-Factor Authentication)을 통해 추가적인 검증을 요구하여 보안을 강화합니다.
    • 원격 근무나 클라우드 사용 환경에서도 동일한 원칙을 적용하여, 어디서 접속하든 검증이 이루어집니다.

  3. 최소 권한 원칙(Least Privilege Access):

    • 사용자나 애플리케이션이 시스템에 접근할 때 필요한 최소한의 권한만을 부여합니다. 이는 권한 남용이나 보안 위협으로 인한 피해를 줄이는 데 도움이 됩니다.
    • 예를 들어, 사용자가 특정 파일에 접근해야 하는 이유가 있을 때만 일시적으로 해당 권한을 부여하고, 필요 없을 때는 자동으로 권한을 제거합니다.
    • 이를 통해 접근 권한을 정교하게 관리하고, 잠재적인 위험을 줄일 수 있습니다.

  4. 기기와 사용자 상태의 지속적인 평가:

    • 사용자가 로그인을 한 후에도 지속적으로 기기 상태와 보안 상태를 모니터링합니다. 예를 들어, 기기가 악성 소프트웨어에 감염되었거나, 보안 패치가 적용되지 않은 상태라면 접근을 제한할 수 있습니다.
    • 이는 조직의 보안 상태를 실시간으로 반영하고, 보안 상태가 만족스럽지 않으면 액세스가 거부되도록 합니다.

  5. 가시성 및 분석:

    • 제로 트러스트 모델에서는 모든 접근 및 활동에 대한 모니터링과 로깅이 필수적입니다. 이를 통해 네트워크 내에서 발생하는 모든 활동을 가시화하고, 이상 행동을 실시간으로 분석할 수 있습니다.
    • 보안 위협 탐지 및 대응(SIEM, Security Information and Event Management)과 연계하여 잠재적인 위협을 신속하게 파악하고 대응합니다.

제로 트러스트의 주요 구성 요소

  1. 강화된 사용자 인증:

    • 다단계 인증(MFA)을 기본으로 적용하여 사용자가 누구인지 확인합니다. 이는 비밀번호 외에도 추가적인 인증 수단(예: SMS 코드, 인증 앱)을 요구하여 사용자가 진짜 본인임을 증명하게 합니다.
    • Azure AD와 같은 ID 관리 솔루션은 사용자 및 기기의 신원을 확인하고, 조건부 액세스 정책을 통해 접근을 제어합니다.

  2. 동적 정책 및 조건부 액세스:

    • 조건부 액세스는 사용자의 위치, 기기의 상태, 로그인 시간 등 다양한 조건에 따라 접근을 제어합니다. 예를 들어, 사용자가 새로운 위치에서 접속하려고 할 때 추가 인증을 요구할 수 있습니다.
    • 이러한 동적 정책을 통해, 상황에 따라 보안 요구 사항을 강화할 수 있습니다.

  3. 기기 관리 및 보안 상태 점검:

    • 제로 트러스트는 사용자가 접근하는 기기의 상태를 중요하게 생각합니다. 기기가 최신 보안 업데이트가 적용되었는지, 암호화가 설정되어 있는지 등을 평가하여 불안전한 기기에서의 접근을 제한할 수 있습니다.
    • MDM(Mobile Device Management) 솔루션과 통합하여, 조직의 디바이스 상태를 중앙에서 관리하고 보안을 유지합니다.

  4. 데이터 보호 및 암호화:

    • 제로 트러스트 모델에서는 데이터의 이동 및 사용 중에도 암호화가 적용되어야 합니다. 이는 데이터가 저장될 때뿐만 아니라, 네트워크를 통해 전송될 때도 암호화를 유지하여 도난이나 유출로부터 보호합니다.
    • 데이터 손실 방지(DLP) 솔루션을 사용하여, 민감한 데이터가 무단으로 외부로 전송되지 않도록 제어합니다.

  5. 네트워크 세분화:

    • 네트워크를 세분화하여 각각의 네트워크 영역 사이에 강력한 접근 제어를 설정합니다. 예를 들어, 개발 환경과 생산 환경을 분리하여 각 영역의 접근을 제어할 수 있습니다.
    • 마이크로 세그먼테이션을 통해 네트워크 내부의 이동도 제한하여, 만약 네트워크 내에 침입자가 발생하더라도 다른 영역으로 이동하는 것을 어렵게 만듭니다.

제로 트러스트의 주요 이점

  • 강화된 보안: 내부와 외부 사용자 모두를 검증하여, 내부 네트워크의 침해를 방지하고, 각 접근 시도에 대한 세밀한 통제와 모니터링을 통해 보안을 강화합니다.
  • 유연한 근무 환경 지원: 제로 트러스트 모델은 원격 근무와 클라우드 환경에 적합합니다. 사용자가 어디에서 접속하든 동일한 검증을 거치기 때문에, 원격 근무자의 보안 리스크를 줄이고 안전한 액세스를 제공합니다.
  • 피해 최소화: 최소 권한 접근과 지속적인 모니터링을 통해 보안 위협이 발생하더라도 그 영향 범위를 최소화할 수 있습니다. 이는 데이터 유출이나 권한 남용의 위험을 줄입니다.
  • 규제 준수: 많은 규제(예: GDPR, HIPAA)에서 요구하는 보안 기준을 충족하는 데 도움을 줍니다. 이는 사용자 데이터와 접근 관리에 대한 투명성과 제어를 강화하기 때문입니다.

요약

제로 트러스트절대 신뢰하지 않고, 항상 검증한다는 접근 방식을 통해 네트워크 보안을 혁신적으로 강화하는 모델입니다. 사용자가 누구인지, 그들이 사용 중인 기기가 안전한지, 그리고 그들이 접근하려는 리소스가 무엇인지 등을 매번 검증하며, 다단계 인증, 조건부 액세스, 지속적인 모니터링과 같은 보안 메커니즘을 결합하여 보안을 유지합니다. 제로 트러스트 모델은 특히 클라우드, 원격 근무, VDI 환경에서 보안 리스크를 줄이는 데 매우 유효하며, 현대적인 보안 전략의 핵심으로 자리잡고 있습니다.

잡동사니
같은 카테고리의 다른 글
MariaDB / 데이터베이스 이름에 하이픈(-) 또는 점(.) 포함하는 방법

MariaDB / 데이터베이스 이름에 하이픈(-) 또는 점(.) 포함하는 방법

MariaDB에 하이픈(-)이나 점(.)을 포함한 이름으로 데이터베이스를 만들면 에러가 납니다. 예를 들어 create database test-test; 라고 하면 다음과 같은 에러 메시지를 출력하면서 데이터베이스를 생성하지 못합니다. ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '-test' at ...

미디어 인코더 / 동영상을 움직이는 GIF로 만드는 방법

미디어 인코더 / 동영상을 움직이는 GIF로 만드는 방법

동영상을 움직이는 GIF로 만드는 방법은 여러 가지가 있습니다. 그 중 하나는 Adobe Media Encoder를 사용하는 것입니다. Adobe Premiere를 설치하면 같이 설치되는 프로그램이고, Premiere 없이 단독으로 설치할 수도 있습니다. Adobe Media Encoder를 실행하고, 대기열의 + 아이콘을 클릭하여 변환할 동영상을 추가합니다. 출력물을 애니메이션 GIF로 설정하고 변환하면 잠시 후 GIF가 생성됩니다.

인텔 10세대 또는 11세대 노트북에 윈도우 설치할 때 드라이브가 없는 문제 해결하는 방법

인텔 10세대 또는 11세대 노트북에 윈도우 설치할 때 드라이브가 없는 문제 해결하는 방법

인텔 11세대 CPU를 탑재한 노트북을 샀다. HP 빅터스 계열로, 가성비 좋은 게이밍 노트북이다. 프리 도스 제품을 샀기에 제일 먼저 한 것은 윈도우를 설치하는 것. 설치용 USB를 만들고, 바이오스에서 부팅 순서 변경하고, 설치를 시작했는데... 윈도우를 설치할 저장소(드라이브)가 없다고 나온다. 꽤 많은 컴퓨터를 만져보고 수없이 윈도우를 설치했는데, 이런 적은 처음이다. 그 중에는 다른 ...

KT 멤버쉽 또는 롯데면세점 혜택으로 롯데렌터카 저렴하게 예약하는 방법

KT 멤버쉽 또는 롯데면세점 혜택으로 롯데렌터카 저렴하게 예약하는 방법

제주도 여행을 위해 차를 렌트하게 되었다. 제주도에는 렌트카 업체가 다양하게 있는데, 워낙 안 좋은 기사를 많이 봐서 대형 업체에서 빌리기로 했다.  대형 업체 중 롯데렌터카로 정했는데, 롯데렌터카 공식 홈페이지에서 예약하는 것보다 제휴 업체를 통해 예약하는 게 더 저렴하더라. 대표적인 제휴업체는 KT와 롯데면세점. 두 군데 모두 예약 방식이나 할인 정도는 같았다. 예를 들어 ...

FTP와 SFTP 소개 및 비교

FTP(파일 전송 프로토콜)와 SFTP(SSH 파일 전송 프로토콜)는 네트워크를 통해 파일을 전송하는 두 가지 방법입니다. 이 두 프로토콜은 파일 전송을 위해 사용되지만, 보안, 인증 및 전송 방식에 있어서 차이점이 있습니다. FTP (File Transfer Protocol) FTP는 네트워크를 통해 파일을 전송하기 위해 사용되는 표준 프로토콜입니다. 클라이언트-서버 모델을 기반으로 하며, 주로 인터넷을 통해 파일을 업로드하거나 다운로드하는 ...

스팀 / 게임 구입하는 방법

스팀 / 게임 구입하는 방법

우연히 문명이라는 게임을 알게되었습니다. '문명하셨습니다'라는 유행어가 있었을 정도로 유명한 게임이라고 하네요. 게임을 시작하면 시간은 별로 안 가는데 날짜가 바뀐다는... 인터넷에 있는 온갖 글과 영상이 문명을 추천하고 있어서, 한 번 해보기로 했습니다. 문명 5와 문명 6에 대해서 호불호가 갈리는데, 전 그래도 최신판인 문명 6으로 결정했습니다. 어디서 구입을 해야 하나 알아보았더니, 스팀에 있네요. 게다가 ...

DNS / DMARC 레코드의 용도와 설정하는 방법

DNS / DMARC 레코드의 용도와 설정하는 방법

DMARC란? DMARC는 Domain-based Message Authentication Reporting and Conformance의 약자이다. DNS 레코드를 이용하여 메일이 해당 도메인에서 정상적으로 발송되었음을 증명하는 방법에는 SPF, DKIM이 있다. SPF와 DKIM 테스트를 통과하지 못한 메일에 대해서 어떻게 처리했으면 하는지를 DMARC 레코드로 수신 메일 서버에 알려준다. DMARC 레코드에 대한 자세한 내용은 RFC 7489 문서에 있다. DMARC 레코드 설정하는 방법 DMARC 레코드는 TXT 레코드로, 호스트는 ...

브랜드 로고 공식 배포 주소

브랜드 로고 공식 배포 주소

로고를 다운로드 받을 수 있는 공식 주소를 정리한다. 로고 사용에 대한 가이드라인이 있으므로, 공식 주소에서 다운로드하는 것이 좋다. Bootstrap https://getbootstrap.com/docs/5.0/about/brand/ Facebook https://www.facebook.com/brand/resources/facebookapp/logo Facebook Messenger https://www.facebook.com/brand/resources/messenger/messenger-brand HTML5 https://www.w3.org/html/logo/ Intagram https://www.facebook.com/brand/resources/instagram/instagram-brand jQuery https://brand.jquery.org/logos/ Kakao Story Channel https://ch.kakao.com/login LinkedIn https://brand.linkedin.com/downloads MariaDB https://mariadb.com/about-us/logos/ Naver https://logoproject.naver.com/logonaver Naver Band https://developers.band.us/develop/guide/share Naver Line https://line.me/en/logo PHP https://www.php.net/download-logos.php Pinterest https://business.pinterest.com/ko/brand-guidelines/ Python https://www.python.org/community/logos/ Samsung https://www.samsung.com/sec/about-us/brand-identity/logo/ Sass https://sass-lang.com/styleguide/brand Twitter https://about.twitter.com/en/who-we-are/brand-toolkit Visual Studio Code https://code.visualstudio.com/brand YouTube https://www.youtube.com/howyoutubeworks/resources/brand-resources/  

신용카드 / 결제일별 카드 사용 기간

신용카드 / 결제일별 카드 사용 기간

신용카드는 한 달 동안 사용한 금액을 12일에서 15일 뒤에 납부한다. 따라서 그 한 달을 어떻게 정하냐에 따라 결제일이 달라진다. 반대로, 결제일을 정하면 언제 사용한 것을 내는지 정해진다. 신용카드의 결제일별 사용 기간은 거의 비슷하나 같지는 않다. 개인적으로 전월 1일부터 전월 말일까지 사용한 것을 결제하는 걸 좋아하는데, 대부분 14일이나 현대카드는 12일이다. 국민카드 결제일 사용 기간 1 전전월 18일 ...

네트워크 / NAT(Network Address Translation)

NAT는 네트워크 주소 변환을 의미하며, 네트워크 트래픽의 IP 주소를 변환하는 기술입니다. 주로 사설 네트워크(Private Network)와 공인 네트워크(Public Network) 간의 통신을 가능하게 하기 위해 사용됩니다. NAT는 보안, 주소 공간 절약, 그리고 네트워크 확장을 위해 필수적인 기능으로 널리 활용됩니다. NAT의 주요 기능 IP 주소 절약: IPv4 주소의 고갈 문제를 해결하기 위해 사설 IP 주소(Private IP)와 공인 IP 주소(Public ...