제로 트러스트 원칙 이해 - AWS 권장 가이드
확인 및 인증최소 권한 액세스마이크로 분할지속적인 모니터링 및 분석자동화 및 오케스트레이션권한 부여섹션 요약

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

제로 트러스트 원칙 이해

제로 트러스트 아키텍처(ZTA)는 보안 모델의 기초를 형성하는 일련의 핵심 원칙을 기반으로 합니다. 이러한 원칙을 이해하는 것은 ZTA 전략을 효과적으로 도입하고자 하는 조직에 필수적입니다. 이 섹션에서는 ZTA의 핵심 원칙을 다룹니다.

확인 및 인증

확인 및 인증 원칙은 사용자, 시스템, 디바이스를 포함한 모든 유형의 보안 주체에 대한 강력한 식별 및 인증의 중요성을 강조합니다. ZTA는 세션 전반에 걸쳐, 이상적으로는 각 요청에 대해 지속적인 ID 및 인증 상태 확인을 요구하며, 기존 네트워크 위치나 제어에만 의존하지는 않습니다. 여기에는 현대의 강력한 다중 인증(MFA) 구현과 인증 프로세스 중 추가적인 환경 및 컨텍스트 신호 평가가 포함됩니다. 조직은 이 원칙을 도입하여 리소스 권한 부여 결정에 가능한 최상의 ID 입력을 보장할 수 있습니다.

최소 권한 액세스

최소 권한 원칙에는 보안 주체에게 작업을 수행하는 데 필요한 최소한의 액세스 수준 부여가 포함됩니다. 최소 권한 액세스 원칙을 도입함으로써 조직은 세분화된 액세스 제어를 시행하여 보안 주체가 자신의 역할과 책임을 수행하는 데 필요한 리소스에만 액세스하도록 할 수 있습니다. 여기에는 노출 영역과 무단 액세스의 위험을 최소화하기 위한 적시 액세스 프로비저닝, 역할 기반 액세스 제어(RBAC) 및 정기적인 액세스 검토 구현이 포함됩니다.

마이크로 분할

마이크로 분할은 네트워크를 더 작고 격리된 세그먼트로 나누어 특정 트래픽 흐름을 승인하는 네트워크 보안 전략입니다. 워크로드 경계를 만들고 서로 다른 세그먼트 간에 엄격한 액세스 제어를 적용하여 마이크로 분할을 수행할 수 있습니다.

마이크로 세분화는 네트워크 가상화, 소프트웨어 정의 네트워킹(SDN), 호스트 기반 방화벽, 네트워크 액세스 제어 목록(NACLs) 및 Amazon Elastic Compute Cloud(Amazon EC2) 보안 그룹 또는 같은 AWS 특정 기능을 통해 구현할 수 있습니다 AWS PrivateLink. 분할 게이트웨이는 세그먼트 간 트래픽을 제어하여 액세스를 명시적으로 승인합니다. 마이크로 분할 및 분할 게이트웨이는 조직이 네트워크를 통한 불필요한 경로, 특히 중요한 시스템 및 데이터로 이어지는 경로를 제한하는 데 도움이 됩니다.

지속적인 모니터링 및 분석

지속적인 모니터링 및 분석에는 조직 환경 전반에서 보안 관련 이벤트 및 데이터 수집, 분석, 상관관계 파악이 포함됩니다. 조직은 강력한 모니터링 및 분석 도구를 구현하여 보안 데이터와 텔레메트리를 융합된 방식으로 평가할 수 있습니다.

이 원칙은 이상과 잠재적 보안 이벤트를 식별하기 위해 사용자 동작, 네트워크 트래픽 및 시스템 활동에 대한 가시성의 중요성을 강조합니다. 보안 정보 및 이벤트 관리(SIEM), 사용자 및 엔터티 행동 분석(UEBA), 위협 인텔리전스 플랫폼과 같은 고급 기술은 지속적인 모니터링과 사전 위협 탐지를 달성하는 데 중요한 역할을 합니다.

자동화 및 오케스트레이션

자동화 및 오케스트레이션을 통해 조직은 보안 프로세스를 간소화하고, 수동 개입을 줄이고, 응답 시간을 개선할 수 있습니다. 조직은 일상적인 보안 작업을 자동화하고 오케스트레이션 기능을 사용하여 일관된 보안 정책을 적용하고 보안 이벤트에 신속하게 대응할 수 있습니다. 이 원칙에는 사용자 권한을 시기적절하고 정확하게 관리할 수 있도록 액세스 프로비저닝 및 프로비저닝 해제 프로세스를 자동화하는 것도 포함됩니다. 자동화와 오케스트레이션을 도입함으로써 조직은 운영 효율성을 높이고 인적 오류를 줄이고 리소스를 보다 전략적인 보안 이니셔티브에 집중할 수 있습니다.

권한 부여

ZTA에서는 리소스에 액세스하려는 각 요청이 게이트 시행 지점에 의해 명시적으로 승인되어야 합니다. 인증 정책은 인증된 ID 외에도 디바이스 상태 및 상태, 동작 패턴, 리소스 분류, 네트워크 요인과 같은 추가 컨텍스트를 고려해야 합니다. 권한 부여 프로세스는 액세스 중인 리소스와 관련된 해당 액세스 정책을 기준으로 이 통합 컨텍스트를 평가해야 합니다. 기계 학습 모델은 선언적 정책을 동적으로 보완할 수 있는 최적의 모델입니다. 이러한 모델을 활용할 때는 추가 제한에만 초점을 맞춰야 하며, 명시적으로 지정되지 않은 액세스 권한을 부여해서는 안 됩니다.

섹션 요약

조직은 ZTA의 이러한 핵심 원칙을 준수하여 현대 기업 환경의 다양성에 부합하는 강력한 보안 모델을 구축할 수 있습니다. 이러한 원칙을 구현하려면 기술, 프로세스, 사람을 결합하여 제로 트러스트 사고방식을 계발하고 탄력적인 보안 태세를 구축하는 포괄적인 접근 방식이 필요합니다.