Skip to content Skip to navigation Skip to footer

포티넷 코리아 뉴스룸

[블로그] 제로 트러스트 시리즈 ④ - 보안의 완성도를 높이는 제로 트러스트 여정을 위한 10단계

대한민국, 서울 - 2022년 8월 25일


제로 트러스트 전략을 구현하는 것은 보안의 최종 목적지라기 보다는 완전한 보안을 만들어 나가는 여정입니다. 제로 트러스트 액세스(ZTA)로의 여정을 통해 완성하기 위한 10가지 핵심 단계를 소개합니다.

zero-trust4-image1.png

1. 에셋 및 해당 에셋의 비즈니스 프로세스 중요도 평가

네트워크의 모든 에셋과 리소스를 동일한 수준으로 보호할 수는 없습니다. 비즈니스 프로세스에 가장 중요한 에셋과 리소스가 어떤 것인지 먼저 결정해 활동의 우선순위를 지정하는 것이 중요합니다. 어디에서부터 시작할지 결정했다면, 가장 중요한 리소스와 가치 있는 에셋을 먼저 보호하기 위한 ZTA 전략 구현을 시작할 수 있습니다.

2. 네트워크의 사용자, 엔티티 및 역할 식별

네트워크상 모든 사용자 및 엔티티를 식별하는 것은 효과적인 ZTA 전략 수립에 중요합니다. 계정이 설정되면 조직 내 사용자의 역할에 따라 액세스 정책이 결정됩니다. 최소 권한 액세스 정책과 RBAC을 통한 사용자 인증 및 권한 부여는 액세스 관리의 중요한 구성요소입니다.

3. 네트워크 디바이스 식별

제로 트러스트 전략을 도입하기 위한 다음 단계는 네트워크상 모든 디바이스를 파악하고 식별하는 것입니다. 애플리케이션과 디바이스의 확산으로 인해 기존 네트워크 경계가 확장되면서 관리·보호해야 하는 수십억 개의 엣지가 생성됩니다. 네트워크접근제어(NAC) 솔루션은 네트워크의 디바이스에 대한 가시성을 제공합니다.

4. 기업에서 사용하는 애플리케이션 식별

비즈니스 애플리케이션은 이제 데이터센터의 엔드포인트나 서버에서만 설치되지 않습니다. 프라이빗 와 퍼블릭 클라우드에서 호스팅되는 서비스형소프트웨어(SaaS) 및 애플리케이션 워크로드도 포함됩니다.

zero-trust4-image2.png

5. 네트워크 및 에셋 내 제어 영역 생성

네트워크 세그멘테이션은 네트워크의 특정 영역에서 트래픽을 제한하고, 네트워크 내에 추가 보안 제어를 제공하는 데 오랫동안 사용되어 왔습니다. 내부 세그멘테이션 방화벽은 네트워크 내에 가시성과 제어를 설정하고 트래픽을 스캔, 보호, 차단하는 기능을 제공합니다.

6. 에셋에 역할 기반 액세스 제어 적용

역할 기반 접근 제어(Role Based Access Control, RBAC)는 사용자 그룹이 기업 내에서 수행하는 작업이나 역할에 따라 특정 에셋에 대해 부여받는 권한을 효율적으로 관리하는 데 사용됩니다. 중요한 것은 역할에 할당된 권한이 과도하지 않아야 한다는 것입니다. 무엇보다 중요한 것은 바로 최소 권한 액세스입니다. 역할에서 필요로 하는 특정 리소스로 범위가 한정돼야 하고, 그 역할 내에서 기능을 수행하는 데 필요한 권한만 부여돼야 한다는 것입니다.

7. 네트워크 디바이스가 통신할 수 있는 위치 제어

제로 트러스트 보안 접근 방식은 마이크로 세그멘테이션을 사용해 개인 리소스에 대한 세분화된 신뢰구간(trust zone)을 생성합니다. 이는 최소 권한 액세스 원칙을 적용하는 데 도움이 됩니다. . 마이크로 세그멘테이션은 사용자 혹은 공격자라도 네트워크에서 자유롭게 이동하는 것을 방지합니다.

8. 디바이스 제어 확장

재택근무, 원격근무가 확대되면서 제로 트러스트 전략을 구축해 기업은 엔드포인트 가시성을 높여 네트워크 외부 디바이스를 보호해야 합니다. 취약성 스캔, 강력한 패치 적용 정책, 웹 필터링은 모두 제로 트러스트 전략의 중요한 요소입니다. 아울러 제로 트러스트 접근 방식은 네트워크로 연결된 리소스에 대한 보안 원격 액세스를 지원할 수 있습니다. ZTNA는 네트워크 액세스를 애플리케이션별 사용으로 확장합니다. 관리자는 모든 트랜잭션 및 사용을 지속적으로 모니터링하고 검사해 네트워크에 누가 접속해 있는지, 이들이 현재 사용 중인 애플리케이션은 무엇인지 파악할 수 있습니다.

9. 애플리케이션 액세스 제어 적용

효과적인 ZTA 전략은 기본적으로 신뢰할 수 있는 사용자나 디바이스는 없다는 가정을 전제로, 사용자 및 디바이스가 액세스 권한을 부여받았는지 여부에 대한 확인이 먼저 이뤄지지 않으면 어떤 트랜잭션에도 신뢰가 부여되지 않습니다.

zero-trust4-image3.jpg

10. 사용자 및 디바이스의 지속적인 확인과 인증

ZTA는 네트워크에 연결되는 사용자 및 디바이스의 지속적인 인증, 확인과 모니터링을 요구합니다. 네트워크에 로그인하는 데 성공하는 것만으로는 사용자나 디바이스가 네트워크의 리소스에 대한 무제한으로 액세스에 대한 권한을 부여받을 수 없습니다. 제한된 영역의 중요한 특정 리소스에 액세스하려면 추가 인증을 해야 하고, 사용자 세션 기한도 제한돼야 합니다.

제로 트러스트 전략을 구현하는 과정이 아주 빠르고 쉽지는 않을 수 있습니다. 그러나 궁극적으로 사이버 보안의 단계를 높이기 위해서는 네트워크에 누가 접속하고 있는지, 그리고 어떤 것들이 있는지 파악하는 과정이 필수적입니다. 사이버 공격을 보다 빠르게 막고 위협을 예방하려면 이제 ‘제로 트러스트 액세스’ 라는 여정을 통해 보안의 완성도를 높일 차례입니다. 

포티넷 (www.fortinet.com/kr)

포티넷은 어디에서나 사용자, 디바이스, 데이터를 보호한다는 미션 하에 모든 이들이 언제나 신뢰할 수 있는 디지털 세계를 구현하고 있다. 이것이 바로 세계 최대 기업, 서비스 제공업체, 정부 기관들이 디지털 여정의 안전한 가속화를 위해 포티넷을 선택하는 이유이다. 포티넷 시큐리티 패브릭(Fortinet Security Fabric) 플랫폼은 전체 디지털 공격 면에서 광범위하고 자동화된 통합 보안을 제공하여 중요한 장치, 데이터, 애플리케이션은 물론, 데이터센터에서 클라우드, 홈 오피스와의 연결을 안전하게 보호한다. 또한, 포티넷은 가장 많은 보안 어플라이언스를 출하한 전세계 출하량 1위 업체로 전세계 565,000 개 이상의 고객을 확보하고 있다. 포티넷 TAA(Training Advancement Agenda)의 이니셔티브인 포티넷 NSE 트레이닝 인스티튜트(Fortinet NSE Training Institute)는 업계에서 가장 대규모의 광범위한 교육 프로그램을 제공하여 모든 이들이 사이버 교육과 새로운 커리어 기회를 얻을 수 있도록 지원하고 있다. 보다 자세한 사항은 www.fortinet.com 및 www.fortinet.com/kr, 포티넷 블로그, 포티가드랩에서 확인할 수 있다.

Copyright © 2022 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiCare, FortiManager, FortiAnalyzer, FortiOS, FortiADC, FortiAP, FortiAppMonitor, FortiASIC, FortiAuthenticator, FortiBridge, FortiCache, FortiCamera, FortiCASB, FortiClient, FortiCloud, FortiConnect, FortiController, FortiConverter, FortiDB, FortiDDoS, FortiExplorer, FortiExtender, FortiFone, FortiCarrier, FortiHypervisor, FortiIsolator, FortiMail, FortiMonitor, FortiNAC, FortiPlanner, FortiPortal, FortiPresence , FortiProxy, FortiRecorder, FortiSandbox, FortiSIEM, FortiSwitch, FortiTester, FortiToken, FortiVoice, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS and FortiWLM. Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, contract, binding specification or other binding commitment by Fortinet or any indication of intent related to a binding commitment, and performance and other specification information herein may be unique to certain environments. This news release may contain forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases among others. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.