제로 트러스트 (Zero Trust)

I. 제로 트러스트 (Zero Trust)의 개요

가. 제로 트러스트의 개념

  • 내/외부에 관계없이 모든 사용자나 시스템의 연결에 대해 검증 후 신뢰하는 네트워크 보안 모델

나. 제로 트러스트의 필요성

  • 방화벽 내부 신뢰성이 부여된 시스템을 통한 내부 해킹 위협 증가
  • 클라우드 및 모바일 환경 증가에 따른 보안 경계 수립 어려움
  • 정보보호 대상이 시스템 중심에서 데이터, 사용자, 워크로드 등 다양화

 

II. 제로 트러스트의 기술요소

가. 제로 트러스트 모델 적용 절차

단계적용 절차세부 방안
1단계악성 데이터
확인 및 분류
– 악성 데이터 → 제거
– 유해 가능성 → 검사
2단계악성 트래픽
경로 파악
– 컴퓨팅 요소 위치 파악
– URI기반 경로 파악
3단계제로 트러스트
네트워크 설계
– Network Segmentation
– 클라우드/SDN 기반 가상화
4단계지능형 정책 생성– 워크플로우 자동화/지능화
– 보안 실행 구성 최적화
5단계제로 트러스트
에코시스템 모니터링
– 모든 변경을 검증
– 방화벽 Any/Any 정책 제거

나. 제로 트러스트 구현을 위한 기술요소

구분기술요소구현 방안/세부 기술
데이터
격리 측면
CDR– 파일 슬랙/파싱, 비정상구조 제거
– 스크립트 추출, 리어셈블
웹/이메일
렌더링
– 웹/이메일 실행 화면 렌더링
– 콘텐츠는 별도 공간 격리 실행
트래픽
감시 측면
EDR– 이벤트 감시, 휴리스틱 분석
– Analysis, Investigate, Remediate
In-band Network
Telemetry
– 패킷 헤더 구조화, Collector
– Leaf-Spine 아키텍처
Multi-Factor
신뢰성
검증 측면
OTP– Challenge-Response
– Time/Event-Synchronous
FIDOFIDO1.0: UAF, U2F, 토큰/공개키
FIDO2.0: CTAP, ASM, 외부인증

 

III. 제로 트러스트와 일반적 네트워크 보안 비교

비교항목제로트러스트일반적 네트워크 보안
신뢰성 부여 기준신뢰성 검증 여부네트워크 위치
보안 정책적응형 보안 정책보안장비 정의 정책
보호 대상모든 컴포넌트장치와 데이터

 

[참고 자료]
John Kindervag (forrester research), “5 Steps to a Zero Trust Network”, 2015.3

3 Comments

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^