제로 트러스트(Zero trust) 보안 통신 (aka. Certificate-based access)

제로 트러스트란?

제로 트러스트란 IT 보안 접근 방식의 이름으로, 신뢰할 수 있는 네트워크 경계는 존재하지 않으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 한다고 가정합니다.

제로 트러스트는 '신뢰하지 말고 항상 검증할 것'이라는 원칙을 바탕으로 네트워크 세분화 및 엄격한 액세스 제어와 같은 다른 네트워크 보안 방법론을 활용합니다. 제로 트러스트 네트워크는 중요한 데이터, 자산, 애플리케이션 및 서비스로 구성되는 '보호 범위'를 정의하며, DAAS라고도 합니다. 중요한 자산만 포함되므로 대개 보호 범위는 전체 공격 범위보다 상당히 작습니다.

제로 트러스트 보안은 '신뢰할 수 있는' 네트워크의 사용자가 네트워크 전반에서 이동하거나 액세스 가능한 모든 데이터를 외부로 유출할 수 있으므로 기업 네트워크 경계 내의 리소스를 신뢰해야 한다는 기존 가정을 대체하며 신뢰를 취약점으로 간주합니다.

제로 트러스트 아키텍처에서는 신뢰할 수 있는 네트워크를 만들려고 시도하지 않으며 신뢰라는 개념이 완전히 사라집니다. 보호 범위가 결정되면, 네트워크 트래픽이 해당 범위를 이동하는 방법, 보호 자산에 액세스 중인 사용자 파악, 사용된 애플리케이션 및 연결 방법의 분류는 보호되는 데이터에 대한 보안 액세스 정책을 생성하고 적용하기 위한 핵심 요소가 됩니다. 이러한 종속성을 이해하면 보호 범위 가까이에 제어를 배치하여 마이크로 경계를 생성할 수 있으며, 이는 일반적으로 허용된 사용자 및 애플리케이션의 알려진 트래픽만 허용하는 세분화 게이트웨이라고 불리는 차세대 방화벽(NGFW)을 사용하여 이루어집니다. NGFW는 트래픽에 대한 가시성을 제공하며, 주체, 대상, 시기, 위치, 근거 및 방식에 기반하여 액세스 정책을 정의하는 키플링법에 기반한 액세스 제어를 적용합니다. 이를 통해 마이크로 경계를 통과하는 트래픽을 파악하여 무단 사용자 및 애플리케이션을 차단하고 중요 데이터를 보호할 수 있습니다.

인력이 분산되어 원격으로 운영되므로 제로 트러스트는 특정 위치에 구애받지 않습니다. 자산과 사용자는 직원의 가정이든 IoT 기기든 관계없이 온프레미스, 하나 이상의 클라우드 또는 엣지에 위치할 수 있습니다.