1. 제로 트러스트(Zero Trust)
1.1. 개념
- Never Trust, Always Verity (절대 신뢰하지 말고, 항상 검증하라)의 이념에 따라 어떤 사용자·기기에 대해서도 적극적인 신뢰도 평가 없이 접근을 허용하지 않는 보안 모델
1.2. 원칙
- 명시적으로 확인: 인가된 사용자·기기에 대해 지속적으로 확인할 수 있어야되며, 의심스러운 행위 감지 시 재인증을 요구할 수 있어야한다.
- 최소 권한 부여: JIT/JEA(Just-In-Time/Just-Enough-Access), 최소한의 권한만을 부여하고 승인된 작업만 가능해야한다.
- 위반 가정: 어떤 사용자·기기도 신뢰하지 않는 것을 기반으로 침입을 가정한다.
* JIT/JEA(Just-In-Time/Just-Enough-Access)
- JIT(Just-In-Time) 접근 제어
- 특정 사용자가 특정 작업을 수행할 때에만 일시적으로 권한을 부여하는 방식
- 제한된 시간 동안만 접근 권한을 유지하고 사용 목적이 끝나면 자동으로 권한이 회수되어 불필요한 권한 남용 방지
- JIT 접근 제어 방식
- 요청 기반 승인(Approval-based): 사용자가 필요할 때마다 권한을 요청하고 관리자 승인 후 권한 획득
- 자동 승인(Auto-approval): 특정 조건(업무 시간, 특정 IP, MFA 인증 등)이 충족되면 자동으로 권한 부여
- 기한 기반 접근(Time-limited access): 사전에 정의된 시간 동안만 권한을 유지하고 시간이 지나면 자동으로 권한 회수
- JEA(Just-Enough-Access)
- 사용자·기기가 수행해야 하는 작업에 필요한 최소한의 접근 권한만 부여하는 것
- 역할과 기능을 기준으로 권한을 최소화
'정보보안 > Zero Trust' 카테고리의 다른 글
| 제로 트러스트 성숙도 모델의 세부 역량, 기기 및 엔드포인트 (0) | 2025.04.04 |
|---|---|
| 제로 트러스트 성숙도 모델의 세부 역량, 식별자·신원 (0) | 2025.04.03 |
| 제로 트러스트 아키텍처 적용을 위한 기업망 핵심 요소 (0) | 2025.04.01 |
| 제로 트러스트 성숙도 모델 (0) | 2025.03.30 |
| 제로 트러스트 아키텍처 보안 모델 (0) | 2025.03.24 |