book

제로 트러스트 네트워크

by Evan Gilman, Doug Barth

May 2025

Beginner to intermediate

240 pages

3h 45m

Korean

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

이 책을 읽어야 하는 대상이 책을 쓴 이유오늘날의 제로 트러스트 네트워크이 책 탐색하기이 책에서 사용된 규칙오라일리 사파리문의 방법감사
제로 트러스트 네트워크란 무엇인가요?제로 트러스트 컨트롤 플레인 소개경계 모델의 진화글로벌 IP 주소 공간 관리사설 IP 주소 공간의 탄생사설 네트워크가 공용 네트워크에 연결됨NAT의 탄생현대 경계 모델위협 환경의 진화경계 단점신뢰가 있는 곳인에이블러로서의 자동화경계 대 제로 트러스트Cloud에서 적용요약
위협 모델일반적인 위협 모델제로 트러스트의 위협 모델강력한 인증신뢰 인증인증 기관이란 무엇인가요?제로 트러스트에서 PKI의 중요성비공개 대 공개 PKI없는 것보다 나은 공개 PKI최소 권한가변 트러스트컨트롤 플레인과 데이터 플레인 비교요약
에이전트란 무엇인가요?에이전트 변동성에이전트에는 무엇이 있나요?에이전트는 어떻게 사용되나요?인증용이 아님에이전트를 노출하는 방법은 무엇인가요?표준이 존재하지 않음경직성과 유동성, 동시에 확보하기바람직한 표준화그동안?요약
권한 부여 아키텍처시행정책 엔진정책 저장소좋은 정책이란 무엇인가요?정책은 누가 정의하나요?신뢰 엔진어떤 엔티티가 채점되나요?위험하다고 간주되는 점수 노출데이터 저장소요약
Bootstrap 신뢰신원 생성 및 보안정적 및 동적 시스템에서의 ID 보안제어 평면으로 디바이스 인증하기X.509TPM하드웨어 기반 제로 트러스트 서플라이어?재고 관리예상되는 사항 파악하기보안 소개디바이스 신뢰 갱신로컬 측정원격 측정소프트웨어 구성 관리CM 기반 인벤토리안전한 진실의 출처사용자 인증을 위한 디바이스 데이터 사용신뢰 신호이미지 이후 시간기록 액세스위치네트워크 통신 패턴요약
ID 권한프라이빗 시스템에서 신원 Bootstrap하기정부 발급 신분증미트스페이스를 능가하는 것은 없습니다기대와 별신원 저장사용자 디렉터리디렉토리 유지 관리신원 인증 시기신뢰 인증인증 드라이버로서의 신뢰여러 채널 사용신원 및 신뢰 캐싱신원 인증 방법알고 있는 정보: 비밀번호당신이 가진 것: TOTP가지고 있는 것: 인증서당신이 가진 것: 보안 토큰당신이라는 존재: 생체 인식대역 외 인증싱글 사인온로컬 인증 솔루션으로 이동그룹 인증 및 권한 부여샤미르의 비밀 공유붉은 10월무언가를 보고, 무언가를 말하세요신뢰 신호요약
애플리케이션 파이프라인 이해신뢰할 수 있는 출처리포지토리 보안인증 코드 및 감사 추적코드 리뷰신뢰할 수 있는 빌드위험신뢰할 수 있는 입력, 신뢰할 수 있는 출력재현 가능한 빌드디커플링 릴리스 및 아티팩트 버전 분리신뢰할 수 있는 배포아티팩트 홍보하기배포 보안무결성 및 신뢰성유통 네트워크 신뢰하기루프 속의 인간인스턴스 신뢰하기업그레이드 전용 정책인증된 인스턴스런타임 보안안전한 코딩 관행격리액티브 모니터링요약
암호화와 인증 비교암호화 없는 신뢰성?Bootstrap 신뢰: 첫 번째 패킷fwknop네트워크 모델에 대한 간략한 소개네트워크 레이어, 시각적으로 보기OSI 네트워크 모델TCP/IP 네트워크 모델네트워크 모델에서 제로 트러스트는 어디에 있어야 할까요?클라이언트 및 서버 분할프로토콜IKE/IPsec상호 인증된 TLS필터링호스트 필터링북엔드 필터링중개자 필터링요약
범위 선택실제로 필요한 것은 무엇인가요?시스템 다이어그램 구축흐름 이해컨트롤러 없는 아키텍처"구성 관리를 통한 '부정 행위'애플리케이션 인증 및 권한 부여로드밸런서 및 프록시 인증하기관계 지향 정책정책 배포정책 정의 및 설치제로 트러스트 프록시클라이언트 측 마이그레이션과 서버 측 마이그레이션 비교사례 연구사례 연구: 구글 비욘드코프비욘드코프의 주요 구성 요소GFE 활용 및 확장멀티플랫폼 인증의 과제BeyondCorp로 마이그레이션배운 교훈결론사례 연구: PagerDuty의 Cloud 애그노스틱 네트워크자동화 플랫폼으로서의 구성 관리동적으로 계산된 로컬 방화벽분산 트래픽 암호화분산형 사용자 관리롤아웃제공자 진단 시스템의 가치요약

신원 도용분산 서비스 거부엔드포인트 열거신뢰할 수 없는 컴퓨팅 플랫폼소셜 엔지니어링물리적 강압무효화컨트롤 플레인 보안요약

Content preview from 제로 트러스트 네트워크

5장. 장치 신뢰하기

이 작품은 AI를 사용하여 번역되었습니다. 여러분의 피드백과 의견을 환영합니다: translation-feedback@oreilly.com

제로 트러스트 네트워크에서 디바이스를 신뢰하는 것은 매우 중요하며, 매우 어려운 문제이기도 합니다. 디바이스는 보안의 승패를 가르는 전쟁터입니다. 대부분의 침해 사고는 악의적인 공격자가 신뢰할 수 있는 디바이스에 액세스하는 과정에서 발생하며, 일단 액세스 권한을 획득하면 해당 디바이스는 자체 보안을 증명한다고 신뢰할 수 없습니다.

이 장에서는 네트워크에 배포된 디바이스를 충분히 신뢰하기 위해 마련해야 하는 여러 시스템과 프로세스에 대해 설명합니다. 디바이스의 진정한 신뢰라는 더 큰 목표에서 이러한 각 시스템이 수행하는 역할에 초점을 맞출 것입니다. 각 기술은 그 자체로 복잡합니다. 각 프로토콜이나 시스템에 대해 자세히 설명할 수는 없지만, 기술을 이해하고 사용 시 발생할 수 있는 함정을 피할 수 있도록 충분한 정보를 제공하기 위해 노력할 것입니다.

먼저 디바이스가 신뢰를 얻는 방법을 배우는 것부터 시작합니다.

Bootstrap 신뢰

새 디바이스가 도착하면 일반적으로 제조업체 및 유통업체와 동일한 수준의 신뢰도가 부여됩니다. 대부분의 사람들에게 이는 (보증 여부와 관계없이) 상당히 높은 수준의 신뢰입니다. 하지만 이러한 상속된 신뢰는 순전히 미트스페이스에만 존재하며, 이러한 신뢰를 디바이스 자체에 '주입'할 필요가 있습니다.

하드웨어에 이러한 신뢰를 불어넣고 유지하는 방법에는 여러 가지가 있습니다. 물론 디바이스 생태계는 방대하기 때문에 정확한 접근 방식은 사례별로 다르지만 전반적으로 적용되는 몇 가지 기본 원칙이 있습니다. 이러한 원칙은 구현 세부 사항에 대한 대부분의 차이를 줄여줍니다.

이러한 원칙 중 첫 번째 원칙은 오래전부터 알려져 왔습니다: 황금 이미지. 어떤 방식으로 디바이스를 받든 항상 알려진 좋은 이미지를 디바이스에 로드해야 합니다. 소프트웨어는 검증하기 어려울 수 있으므로 여러 번 급하게(또는 아예 하지 않는 것보다는) 한 번만 하고 배포할 이미지를 인증하는 것이 좋습니다.

기기에 '깨끗한' 이미지를 로드하면 기기에 큰 신뢰가 부여됩니다. 해당 디바이스에서 실행 중인 소프트웨어가 검증되고 안전하다는 것을 합리적으로 확신할 수 있습니다. 이러한 이유로 디바이스가 마지막으로 이미지화된 시간을 기록하는 것은 네트워크에서 얼마나 신뢰받는지 확인할 수 있는 좋은 방법입니다.

보안 부팅

물론 이러한 경우 임플란트 자체가 일반적으로 상당히 낮은 수준이기 때문에 리이미징 및 기타 낮은 수준의 작업에서 임플란트를 유지하는 방식으로 장치를 파괴하는 방법이 있습니다.

보안 부팅 ( )은 이러한 종류의 공격을 방어하는 데 도움이 되는 한 가지 방법입니다. 이는 디바이스의 펌웨어에 공개 키를 로드하여 드라이버 및 OS 로더 서명을 검증하는 데 사용되며, 그 사이에 어떤 것도 빠져나가지 않았는지 확인하는 데 사용됩니다. 효과적이기는 하지만 특정 디바이스와 운영 체제로만 지원이 제한됩니다. ...