제로 트러스트
아무도 믿지 않는다 (근거없이)
-
기관 내,외부를 막론하고 적절한 인증 절차없이는 아무도 신뢰하지 않는다
-
시스템에 접속하고자 하는 모든것에 접속 권한을 부여하기 전 신원 확인 과정을 거쳐야함
기본 원칙
신원이 파악되기 전: 네트워크에 대한 모든 접속 차단
사용자 확인 & 권한이 있는 지 확인 전 : ip 주소 나 기기에 대한 어떤 접속도 허용 안함
제로 트러스트 모델 = 현존 하는 최고의 데이터 유출 방지 모형이다.
밖의 침입자만 경계하는 것이 아닌, 내부도 경계하는 것
기존의 정보 보안 모델의 허점을 찌르는 방식이다.
기존 = 해커들이 기업 방화벽 내부 접속 권한을 획득 -> 내부 시스템 상 아무런 제지도 받지 않고 마음대로 돌아다님 -> 데이터 유출 사건 사고 발생
제로 트러스트 = 지나친 신뢰를 막는다. 보안측면에서는 과도한 신뢰가 독이다
구체적 방법
-
지능형 WAF : 패킷이 아닌 데이터 단위 분석 웹 보안
-
컬럼 단위 암호화 : 암호화 내용 공개 범위 최소화
-
클라우드 환경 유리 : 자체 설비 관리부담에 따른 권한 오남용
-
사용성 저하 방지 : 보안 수준은 높이되 사용자 불편 줄이기
구체적 방법이라고 제시되어있는 것들은 보안 공부한 입장에서 당연하게 느껴지는 것들이 많았음.
여러가지 제로트러스트 관련 자료들을 찾아보았는데, 다이어그램 작성자나 제로트러스트 설계자의 입장이 너무 많이 반영되어있는 느낌을 받았다.
최근 핫한 트렌드이다보니 광고와 제품홍보가 많게 느껴졌고, 보안 3원칙(기밀성, 무결성, 가용성) 측면에서 당연하다고 생각하는 말들이 많았다.
댓글