인증( )은 제로 트러스트 네트워크 내에서 발생하는 가장 중요한 프로세스이므로 인증 결정을 내리는 일은 결코 가볍게 여겨서는 안 됩니다. 모든 흐름 및/또는 요청은 궁극적으로 결정을 내려야 합니다.
여기서 논의할 데이터베이스와 지원 시스템은 이러한 결정을 내리고 영향을 미치는 핵심 시스템입니다. 이들은 함께 액세스 제어에 대한 권한이 있으므로 엄격하게 분리되어야 합니다. 특히 단일 시스템으로 통합할지 여부를 결정할 때는 이러한 책임을 신중하게 구분해야 하며, 일반적으로 가능한 경우 이를 피해야 합니다.
제로 트러스트 모델은 아직 매우 새롭고 이 영역은 빠르게 발전하고 있습니다. 이 장에 포함된 내용 중 일부는 이 글을 작성하는 시점에 최신 기술로 간주됩니다. 알려진 구현 방식은 여전히 접근 방식이 매우 다양하며 대부분 공개적으로 사용 가능하지 않습니다. 그렇지만 주요 구성 요소와 책임은 이해하실 수 있습니다.
이 장에서는 현실을 고려하여 제로 트러스트 인증 결정을 내리는 데 필요한 구성 요소의 높은 수준의 아키텍처 배열과 이러한 결정을 함께 적용하고 시행하는 방법에 대해 중점적으로 설명합니다.
권한 부여 아키텍처
제로 트러스트 인증 아키텍처는 그림 4-1과 같이 네 가지 주요 구성 요소로 이루어져 있습니다:
시행
정책 엔진
신뢰 엔진
데이터 저장소
이 네 가지 구성 요소는 각자의 책임이 뚜렷하기 때문에 별도의 시스템으로 취급합니다. 보안 관점에서 볼 때 이러한 구성 요소는 서로 격리하는 것이 매우 바람직합니다. 이러한 시스템은 제로 트러스트 보안 모델의 실질적인 핵심이므로 유지 관리 및 보안 태세에 특별한 주의를 기울여야 합니다. 이러한 책임을 단일 시스템으로 통합할 것을 제안하는 모든 제안을 신중하게 평가하세요.
그림 4-1. 제로 트러스트 인증 시스템
시행 구성 요소는 시스템 전체에 걸쳐 대량으로 존재하며 가능한 한 워크로드에 가깝게 배치되어야 합니다. 권한 부여 결정의 결과에 실제로 영향을 미치는 요소입니다. 일반적으로 로드 밸런서, 프록시 또는 방화벽으로 나타납니다. 이 구성 요소는 실제 결정을 내리는 데 사용하는 정책 엔진( )과 상호 작용합니다. 적용 구성 요소는 클라이언트가 인증되었는지 확인하고 각 플로우/요청의 컨텍스트를 정책 엔진에 전달합니다. 정책 엔진은 요청과 해당 컨텍스트를 정책과 비교하여 요청이 허용될지 여부를 시행자에게 알립니다.
신뢰 엔진은 위험 분석 목적으로 정책 엔진에서 활용됩니다. 이 엔진은 신용 점수와 유사한 위험 점수를 계산하기 위해 여러 데이터 소스를 활용합니다. 이 점수는 알려지지 않은 미지의 위험으로부터 보호하는 데 사용할 수 있으며, 엣지 케이스와 서명으로 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month, and much more.
