제로 트러스트는 제품이나 솔루션이 아니라는 말을 들어보셨을 텐데요, 실제로 다음의 분석팀부터 Forrester, 에서 이 용어의 기원이 된 RSA 전략가들은 이 점을 지적했습니다. 오히려 보안 전략입니다. 신뢰할 수 있는지 확인하기 전까지는 누구도 믿지 말자는 개념은 매우 간단하지만, 이를 구현하는 것은 종종 압도적인 작업입니다. 제로 트러스트 접근 방식을 채택하고 나면 본격적인 작업이 시작됩니다. 하지만 어디서부터 시작해야 할까요?
답은 바로 아이덴티티입니다.
사이버 보안 위협에 대한 첫 번째 방어선인 ID는 제로 트러스트를 조직이 보안 태세를 개선하는 데 사용할 수 있는 실질적이고 실용적인 도구로 만드는 데 핵심적인 역할을 합니다. 제로 트러스트의 기본 개념은 신뢰는 절대 가정할 수 없으며, 모든 상호 작용에서 새롭게 구축되어야 한다는 것입니다.바로 아이덴티티가 하는 일입니다.
사용자가 인증할 때마다 액세스 권한이 부여되기 전에 신뢰가 확인됩니다. 이는 제로 트러스트 개념을 일상적인 현실로 만드는 데 있어 기본이 됩니다.
제로 트러스트가 정확히 무엇인지부터 시작하여 그 의미를 살펴보겠습니다.
제로 트러스트는 수년간 우리가 의존해 온 전통적인 네트워크 경계가 거의 사라진 디지털 세상에서 보안에 대한 새로운 사고 방식입니다. 오늘날 사람들은 어디에서나 업무를 수행할 수 있고 또 수행합니다. 이들이 액세스하는 리소스는 클라우드, 온프레미스 또는 이 두 가지를 결합한 형태일 수 있으며, 보호 경계를 훨씬 벗어난 위치에서 액세스합니다. 그렇다면 문제는 이러한 리소스를 보호하는 방법입니다.
제로 트러스트를 도입하는 것이 문제를 해결하는 한 가지 방법입니다. 제로 트러스트의 기본 원칙은 신뢰를 절대 가정해서는 안 된다는 것입니다. 리소스에 액세스하는 것과 관련된 모든 상호 작용은 잠재적으로 위험할 수 있다고 가정해야 합니다. RSA의 최고 제품 책임자인 짐 테일러는 "제로 트러스트는 과거에 안전하다고 느꼈던 메커니즘이 더 이상 존재하지 않는 상황에 접근하는 방식입니다."라고 설명합니다. 개인이나 디바이스를 신뢰할 수 있다고 가정하는 대신 모든 상호 작용에서 신뢰를 확인해야 합니다.
기존의 경계가 약화되면서 신원이 신뢰를 구축하는 주요 수단이 되었습니다. "신원은 새로운 경계이며, 통제하고 보호할 수 있는 유일한 수단입니다."라고 Taylor는 말합니다. "사용자가 자신이 말하는 사람이 맞는지 높은 수준의 확신을 가지고 판단할 수 있다면 사용자를 인증하고 권한을 부여할 수 있습니다. 누군가 또는 무언가의 신원을 신뢰할 수 있어야 신원을 기반으로 보안 정책을 수립할 수 있습니다."
물론 신뢰를 구축하기 위해 신원을 사용한다는 아이디어는 새로운 것이 아닙니다. 하지만 신뢰 구축의 맥락이 변화하면서 신원 확인이 그 어느 때보다 중요해졌습니다. 점점 더 많은 인력이 현장의 정규직 직원뿐만 아니라 계약직, 공연 근로자 및 리소스에 액세스해야 하는 많은 다른 사람들도 포함하게 되었습니다. 오늘날의 상호 작용은 디지털과 온라인에서 매우 광범위하게 이루어지기 때문에 더 이상 누군가의 물리적 위치가 신뢰 구축의 기본이 되지 않습니다. 이러한 변화는 제로 트러스트가 현재 매우 중요한 이유이자 ID가 중요한 이유입니다.
Identity는 세 가지 구체적인 방법으로 제로 트러스트의 길을 열어줍니다.
- 적합한 사람에게만 액세스 권한을 부여합니다. 제로 트러스트 사고방식으로 운영하려면 액세스 권한을 부여하기 전에 적절한 수준의 신뢰를 구축하는 기능이 필수적입니다. 제로 트러스트를 지원하려면 거버넌스 기반 및 가시성 중심의 액세스 권한 부여를 가능하게 하는 강력한 ID 거버넌스 및 관리(IGA)와 함께 다양한 MFA(다단계 인증) 방법을 포함하는 ID 및 액세스 기능이 필요합니다.
- 동적 의사 결정 지원. 제로 트러스트 접근 방식을 성공적으로 적용하려면 컨텍스트를 사용하여 특정 상호 작용과 관련된 위험을 평가한 다음 위험 수준에 따라 액세스 결정을 내릴 수 있어야 합니다. 제로 트러스트 접근 방식은 컨텍스트 기반의 동적 의사 결정이 필요하므로 위험 기반 인증을 적용할 수 있는 역량을 갖추는 것이 중요합니다.
- NIST 제로 트러스트 아키텍처 프레임워크와 일치. 미국 국립표준기술연구소(NIST)는 제로 트러스트 아키텍처를 위한 프레임워크를 개발했습니다. NIST에서 요구하는 위험 기반 분석과 역할 및 속성 기반 액세스를 포함하는 ID 및 액세스 구성 요소는 NIST 프레임워크 내에서 작업하는 데 필수적입니다.
제로 트러스트를 포함한 모든 보안 액세스 접근 방식은 두 가지로, 나쁜 사람은 차단하고 좋은 사람은 허용하는 것입니다. 방어에만 집중하고 아무도 들어오지 못하게 하면 위험은 거의 없지만 비즈니스도 거의 없습니다. 제로 트러스트라는 용어는 절대로 아무도 믿지 말라는 뜻이 아닙니다. 신뢰할 수 있는지 먼저 확인하지 않고는 누구도 믿지 말라는 뜻입니다. 그리고 신원 확인은 누군가 또는 무언가를 신뢰할 수 있는지 확인하는 데 핵심적인 역할을 합니다. 올바른 ID 도구를 사용하면 액세스 관리에 제로 트러스트 사고방식을 성공적으로 도입하고 디지털 세상에서 성공할 수 있습니다.
RSA의 독점적인 정체성에 집중 에 가입하고 RSA의 제로 트러스트에 대해 자세히 알아보세요:
- 다운로드 포레스터 제로 트러스트 구현 가이드
- RSA의 해결 방법 확인 제로 트러스트 도전 과제
- RSA에 대해 알아보기 제품 제로 트러스트를 지원하는
