Verify Zero Trust 보안 백서

다운로드 옵션

  • PDF     (318.6 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (117.4 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (87.9 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2022년 12월 2일 (금)
문서 ID:218443

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

    소개 

    이 문서에서는 Zero Trust와 관련된 정보 및 Zero Trust를 사용하여 기업을 보호하는 방법에 대해 설명합니다.

    개요

    Zero Trust는 사용자, 디바이스 또는 애플리케이션(네트워크 외부 또는 내부)이 안전한 것으로 간주되지 않으며, 네트워크 자산에 대한 액세스가 허용되기 전에 각각 검증되어야 한다고 가정하는 모델을 나타냅니다.

    이 개념은 가상화와 온프레미스 리소스를 퍼블릭, 프라이빗 및 하이브리드 클라우드로 빠르게 이동하는 데 있어 더욱 중요해졌습니다.

    제로 트러스트라는 용어는 Forrester가 2010년에 Zero Trust Network Architecture Report를 발표하면서 생성되었습니다.

    Zero Trust는 중요한 비즈니스 이익과 이니셔티브를 보호하기 위한 비즈니스 차원의 전략으로 시작해야 한다는 점을 이해하는 것이 중요합니다.

    Zero Trust Pillars제로 트러스트 필라

    Zero Trust란?

    Zero Trust는 다양한 기술을 포괄하여 오늘날의 인프라에 대해 보다 실질적인 보안을 달성하는 전략적 접근 방식입니다. 오늘날의 기술, 관행 및 정책을 효과적으로 오케스트레이션하도록 설계된 보안 아키텍처 및 엔터프라이즈 방법론입니다.

    보안에 대한 Cisco 접근 방식의 진화를 나타내며 여러 공급업체의 제품과 서비스를 통합하는 포괄적이고 상호운용적이며 종합적인 솔루션 접근 방식을 제공합니다.

    제로 트러스트는 네트워크 세그멘테이션, 다단계 인증, 네트워크 액세스 제어와 같은 여러 확립된 기술을 기반으로 합니다.

    제로 트러스트가 중요한 이유

    제로 트러스트(Zero Trust)는 무단 사용자, 보안 침해 및 사이버 공격으로부터 기업을 보호합니다. 사용자 및 디바이스의 ID를 지속적으로 확인하고 보안 이벤트의 위험을 최소화하기 위해 작업을 수행하는 데 필요한 권한만 허용할 수 있습니다.

    시장조사 결과 글로벌 제로 트러스트 보안 시장 규모는 2022년 추정치 270억 달러에서 2027/2028년까지 600억 달러 내외로 성장해 당시 17% 내외의 연평균성장률을 기록할 것으로 예상된다.

    동기:

    • 표적 기반 사이버 공격의 빈도 증가
    • 데이터 보호 및 정보 보안 규정 증가
    • 비즈니스 및 조직 위험을 줄여야 하는 필요성 증가
    • 더 많은 서비스가 클라우드로 마이그레이션됨에 따라, 중앙 집중식 데이터 배포는 데이터 경계를 넘어 보안 위험을 확대합니다.
    • 초기뿐만 아니라 전체 액세스 프로세스에서 사용자의 ID를 확인해야 함

    랜섬웨어 공격 한 건에 500만 달러의 비용이 듭니다. 사이버 범죄자는 기업을 대상으로 차별을 하지 않습니다.

    최근 CIO 및 CISO 설문 조사에 따르면 제로 트러스트는 5대 우선 과제 중 하나입니다. CISO는 원격 근무로의 전환, 인력 부족, 사이버 보안 공격의 급증으로 인해 기업의 기존 시스템을 안전하게 보호해야 한다고 말합니다.

    기존 모델과 제로 트러스트 모델

    기존 환경은 환경을 구축한 후 보안이 추가된 환경입니다. 일반적으로 이들은 인터넷으로부터의 공격을 방지하기 위해 네트워크 에지에 방어 기능이 구축된 플랫 네트워크입니다.

    제로 트러스트는 암호화, 보안 컴퓨터 프로토콜, 동적 워크로드, 데이터 레벨 인증 및 권한 부여가 혼합된 여러 레벨에서 조직의 시스템 및 데이터를 보호해야 할 필요성에 초점을 맞추는 것으로 일반적으로 인식되며 외부 네트워크 경계에만 의존하지 않습니다.

    클라우드에서 워크로드가 점점 더 많이 전달되고 모바일 엔드포인트가 애플리케이션 및 데이터 액세스의 표준이 됨에 따라 기존의 경계 중심 보안 아키텍처는 효과성이 떨어집니다.

    제로 트러스트 아키텍처 프레임워크

    Zero Trust Architectural Framework는 특별히 액세스가 필요하고 검증된 사용자 및 장치에 대한 시스템, 애플리케이션 및 데이터 리소스에 대한 액세스 제한을 다룹니다. 액세스를 제공하기 위해 각 리소스에 대한 적절한 권한 부여를 보장하기 위해 ID 및 보안 상태에 대해 지속적으로 인증해야 합니다.

    이 프레임워크는 제로 트러스트 보안 개념을 엔터프라이즈 환경으로 마이그레이션하고 배포하기 위한 로드맵을 제공하는 것이며 NIST Special Publication 800-207을 기반으로 합니다.

    효과적인 제로 트러스트 아키텍처 프레임워크는 이러한 7가지 주요 핵심 구성 요소를 조정하고 통합합니다.

    • 제로 트러스트 네트워크는 제로 트러스트 전략의 중요한 특성으로, 이는 네트워크를 분할하거나 네트워크 자산을 격리하고 네트워크 간의 통신을 제어하는 기능을 의미합니다. 또한 신뢰할 수 있는 연결을 보호하여 원격 사용을 위해 작업 공간을 확장합니다.
    • Zero Trust Workforce는 사용자 액세스를 제한하고 적용하는 방법을 포함하며, 여기에는 사용자를 인증하고 액세스 권한을 지속적으로 모니터링하고 제어하는 기술이 포함됩니다. 이 액세스는 DNS, 멀티팩터 인증, 네트워크 암호화 등의 기술을 통해 보호됩니다.
    • Zero Trust Devices는 모빌리티와 IoT(Internet of Things)가 추가되면서 증가한 모든 네트워크 연결 디바이스를 격리하고 보안 및 관리하여 공격자가 공격할 수 있는 막대한 취약성을 생성해야 하는 필요성을 해결합니다.
    • 제로 트러스트 워크로드는 중요한 비즈니스 프로세스를 실행하는 전후면 애플리케이션 스택을 보호합니다. 데이터 센터의 애플리케이션, 데이터, 서비스 간 동부/서부 트래픽을 보호하여 중요한 애플리케이션을 더욱 효과적으로 보호하는 데 주력합니다.
    • Zero Trust Data는 데이터를 분류하고 분류하는 방법론과 데이터를 안전하게 보호하고 관리하는 기술 솔루션을 말하며, 여기에는 데이터 암호화가 포함됩니다.
    • 가시성 및 분석이란 자동화 및 오케스트레이션에 대한 인식을 제공하고 관리자가 실시간 위협의 존재와 같은 해당 환경의 활동을 파악하도록 지원하는 기술을 말합니다.
    • 자동화 및 오케스트레이션은 기계 학습 알고리즘, 인공 지능 등의 툴과 기술을 포괄하여 네트워크와 데이터 센터 자산을 자동으로 분류하고 세그멘테이션 및 보안 조치, 정책, 규칙을 제안하고 적용하여 자동으로 적용할 수 있으므로 보안 팀의 부담을 줄이고 공격 완화를 가속화합니다.

    제로 트러스트 및 세그멘테이션

    모든 네트워크 기반 자원은 최소 특권의 원리로 보안되고 세분화되어야 한다. 이는 모든 목적을 위해 자격 증명과 액세스를 제어하는 자산 관리 시스템을 통해 가장 효과적으로 구현됩니다.

    제로 트러스트 세그멘테이션의 필요성에는 브랜드 보호, 제한된 공격 표면, 향상된 네트워크 안정성, 신속한 서비스 구축 지원 등이 포함됩니다.

    개별 리소스에 대한 보호를 추가로 달성하는 것을 돕기 위해, 마이크로-세그멘테이션이 사용될 수 있다. SGT(Scalable Group Tag)는 리소스를 고유하게 식별하기 위해 이더넷 프레임에 태그 값이 삽입되는 경우에 사용할 수 있습니다. 또한 인프라 장치에는 지능형 스위치, 라우터 또는 차세대 방화벽이 포함되며, 이를 게이트웨이 장치로 사용하여 각 리소스를 보호할 수 있습니다.

    가시성, 분석 및 자동화

    조직의 모든 자산 및 해당 자산과 관련된 모든 활동에 대한 완벽한 가시성을 확보하는 것이 중요합니다. 이것이 제로 트러스트의 기반입니다.

    동적 정책 및 신뢰 결정을 제공하려면 지속적인 분석 수집이 필요합니다. Cisco의 제로 트러스트(Zero Trust) 아키텍처 접근 방식은 정책 엔진 및 정책 관리자가 SDN 전략의 핵심 논리적 구성 요소에 초점을 맞추어 컨트롤 플레인을 형성하여 데이터 플레인의 정책 시행 지점을 통해 리소스에 대한 액세스를 제한합니다.

    Zero Trust Architecture가 네트워크 컨텍스트, 학습, 보증을 제공하여 안전하게 임무를 완수하는 데 필요한 기능:

    • 사용자, 디바이스, 애플리케이션, 워크로드, 데이터에 대한 액세스의 세분화된 세분화
    • LAN, WAN, 데이터 센터, 클라우드, 에지 등 모든 곳에서 수행되는 보안 정책 시행.
    • 포괄적인 신원 관리 - 사용자, 디바이스, 애플리케이션, 워크로드, 데이터의 신원을 포함하도록 ID 및 액세스 관리를 확장하며, 이는 소프트웨어 정의 액세스를 통해 새로운 마이크로 경계가 됩니다.
    • 글로벌 위협 인텔리전스 및 피드를 활용하는 통합 위협 방어
    • 조직의 네트워크를 완벽하게 자동화하고 민첩하게 제어하여 목표를 달성하는 데 필요한 원하는 규모, 성능 및 신뢰성으로 안전하게 작동합니다.

    제로 트러스트 단계

    포괄적 Zero Trust 보안의 핵심은 LAN, 데이터 센터, 클라우드 에지, 클라우드 등 네트워크 환경 전반으로 보안을 확장하는 것입니다. 물론 규정 준수는 필수입니다.

    이 보안에는 조직의 네트워크 환경에 대한 전체적인 가시성이 포함되어야 합니다. 포괄적인 Zero Trust 센터를 위한 주요 단계:

    • 디바이스 및 민감한 데이터를 식별합니다. 디바이스, 민감한 데이터, 워크로드를 식별하고 분류합니다.
    • 중요한 데이터의 흐름을 파악합니다.
    • 제로 트러스트 세그멘테이션 정책을 설계합니다. 각 네트워크 기반 자산은 최소한의 권한과 엄격하게 적용되는 세분화된 제어라는 원칙에 따라 적절하게 보안 및 분할되어야 하며, 따라서 사용자는 작업을 수행하는 데 필요한 리소스에만 액세스할 수 있습니다.
    • 정책 및 상태 구현 이 작업은 Cisco DNAC 또는 ISE와 같은 플랫폼에서 수행할 수 있습니다.
    • 제로 트러스트 환경을 지속적으로 모니터링합니다. 보안 분석을 구현하여 보안 사고를 실시간으로 모니터링 및 분석하고 악의적인 활동을 신속하게 식별합니다. 모든 트래픽을 내부 및 외부에서 지속적으로 검사하고 로깅합니다.

    신뢰할 수 있는 액세스 달성       

    포괄적인 제로 트러스트(Zero Trust) 보안을 실현하려면 조직은 전체 직원, 작업 공간 및 워크로드에 걸쳐 제로 트러스트(Zero Trust) 방식을 확장해야 합니다.

    • Zero Trust Workforce - 사용자와 디바이스를 인증하고 권한을 부여해야 하며, 리소스 보호를 위해 액세스 및 권한을 지속적으로 모니터링하고 관리합니다.
    • 제로 트러스트 작업 공간 - 클라우드와 엣지를 포함하는 전체 작업 공간에서 액세스를 제어해야 합니다.
    • 제로 트러스트 워크로드 - 전체 애플리케이션 스택 전반에 걸쳐 세분화된 액세스 제어를 시행해야 합니다. 여기에는 클라우드의 컨테이너, 하이퍼바이저, 마이크로서비스 및 기존 기관 데이터 센터 간의 액세스 제어가 포함됩니다.

    Forrester가 인정한 Zero Trust 리더인 Cisco는 온프레미스 및 클라우드 모두에서 전체 네트워크에 걸쳐 Zero Trust 활성화를 강력히 지지합니다. Cisco 네트워킹 인프라를 Zero Trust Architecture의 중요한 기반으로 활용할 수 있을 뿐만 아니라 Zero Trust의 여정을 지원하는 다른 주요 Cisco Zero Trust 보안 기능에 대해서도 알아볼 수 있습니다.

    Cisco 보안 포트폴리오

    성공적인 Zero Trust 프레임워크를 구축하는 데 사용할 수 있는 기능:

    • Cisco Duo를 통해 사용자, 디바이스, 애플리케이션에 대한 원활한 보안 액세스
    • Cisco Umbrella를 통한 유연한 클라우드 보안
    • Cisco Secure Firewall을 통한 지능형 패킷 검사
    • Secure Endpoint를 통한 Advanced Malware Protection(공식 AMP)
    • Cisco AnyConnect를 통한 보안 VPN 및 원격 액세스
    • Cisco Tetration을 통한 전체적 워크로드 보호
    • Cisco ISE(Identity Services Engine)로 네트워크 세그멘테이션 보호
    • Cisco Secure Workload를 통한 애플리케이션 가시성 및 마이크로 세그멘테이션
    • Cisco SecureX를 통한 통합 보안 플랫폼
    • Cisco+ Secure Connect를 통한 SaaS(As-a-Service) 서브스크립션이 포함된 Unified SASE 솔루션
    • Cisco Zero Trust Strategy Service의 전문가 지침
    • 컨설팅, 자문 및 솔루션 서비스를 통한 지원 및 엔드 투 엔드 서비스

    요약

    제로 트러스트에 대해 생각하는 가장 간단한 방법 중 하나는 "신뢰할 수 없음, 항상 확인"입니다. 이는 모든 네트워크 연결, 모든 세션, 중요한 애플리케이션, 워크로드 및 데이터에 대한 액세스를 위한 모든 요청에 적용됩니다.

    제로 트러스트 보안 프레임워크는 조직 네트워크의 각 리소스를 중심으로 지역화된 미세 경계 방어를 생성합니다. 프레임워크가 올바르게 설계되어 있으면 자산의 위치에 관계없이 자산을 보호할 수 있습니다.

    위험을 줄이는 효율적인 방법은 특별 권한 및 공유 데이터에 대한 액세스를 제어하고 최소 권한 원칙을 채택하는 것입니다. 이 보안 모델은 API를 통한 오케스트레이션은 물론 사용자 및 애플리케이션에 대한 가시성을 제공하는 워크플로 자동화 플랫폼과의 통합을 지원합니다.

    Zero Trust를 성공적으로 구현하면 조직의 전체 IT 환경에서 안전하고 원활한 운영을 보장하고 조직의 중요한 워크로드, 애플리케이션 및 데이터에 지속적으로 신뢰할 수 있는 액세스를 제공하여 조직의 임무를 강화할 수 있습니다.

    개정 이력

    개정 게시 날짜 의견
    1.0
    11-Dec-2022
    최초 릴리스
    TAC Authored

    Cisco 엔지니어가 작성

    • Bob Page
      솔루션 통합 설계자

    이 문서가 도움이 되셨습니까?

    Feedback피드백

    지원 문의

    이 문서가 적용되는 제품