네트워크 감시가 보편화된 시대에 우리는 누구를 믿어야 할지 알기 어렵습니다. 인터넷 트래픽이 도청으로부터 안전할 것이라고 믿을 수 있을까요? 당연히 아니죠! 광케이블을 임대한 공급업체는 어떻습니까? 아니면 어제 데이터센터에 와서 케이블링 작업을 하던 계약직 기술자는 어떨까요?
에드워드 스노든과 마크 클라인 같은 내부 고발자들은 정부 지원 스파이 조직의 집요함을 폭로했습니다. 이들이 대규모 조직의 데이터센터 내부에 침투했다는 폭로에 전 세계는 충격을 받았습니다. 하지만 그 이유는 무엇일까요? 여러분도 그들의 입장이라면 그렇게 했을 것 같지 않나요? 특히 그곳의 트래픽이 암호화되지 않는다는 것을 알았다면요?
데이터센터 내의 시스템과 트래픽을 신뢰할 수 있다는 가정에는 결함이 있습니다. 현대의 네트워크와 사용 패턴은 더 이상 수년 전의 경계 방어가 의미가 있었던 것과는 다릅니다. 따라서 단일 호스트나 링크가 손상되면 '안전한' 인프라 내에서 자유롭게 이동하는 것이 사소한 일이 되는 경우가 많습니다.
제로 트러스트는 네트워크에 대한 신뢰에 내재된 문제를 해결하는 것을 목표로 합니다. 대신 전송 계층의 물리적 보안을 합리적으로 무시할 수 있을 정도로 네트워크 통신과 액세스를 효과적으로 보호할 수 있습니다. 이는 매우 높은 목표임은 말할 필요도 없습니다. 좋은 소식은 요즘에는 꽤 좋은 암호화 기술을 보유하고 있으며, 적절한 자동화 시스템만 있다면 이러한 비전을 실제로 달성할 수 있다는 것입니다.
제로 트러스트 네트워크란 무엇인가요?
제로 트러스트 네트워크는 다섯 가지 기본 어설션에 기반합니다:
네트워크는 항상 적대적인 것으로 가정합니다.
네트워크에는 항상 외부 및 내부 위협이 존재합니다.
네트워크 로컬리티만으로는 네트워크에 대한 신뢰를 결정하기에 충분하지 않습니다.
모든 장치, 사용자, 네트워크 흐름이 인증되고 권한이 부여됩니다.
정책은 동적이어야 하며 가능한 한 많은 데이터 소스로부터 계산되어야 합니다.
기존의 네트워크 보안 아키텍처( )는 서로 다른 네트워크(또는 단일 네트워크의 일부)를 하나 이상의 방화벽으로 포함된 영역으로 나눕니다. 각 영역에는 일정 수준의 신뢰도가 부여되며, 이에 따라 접근이 허용되는 네트워크 리소스가 결정됩니다. 이 모델은 매우 강력한 심층 방어 기능을 제공합니다. 예를 들어, 공용 인터넷에 접해 있는 웹 서버와 같이 더 위험하다고 판단되는 리소스는 트래픽을 엄격하게 모니터링하고 제어할 수 있는 제외 영역(흔히 'DMZ'라고 함)에 배치됩니다( ). 이러한 접근 방식은 그림 1-1에 표시된 것과 같이 이전에 보셨던 것과 유사한 아키텍처를 생성합니다.
그림 1-1. 기존 네트워크 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month, and much more.
