제로 트러스트 아키텍처 보안 모델

1. 제로 트러스트 아키텍처(Zero Trust Architecture)

1.1. 개념 모델

• 접근 주체에 대해 네트워크 혹은 물리적 위치만으로 신뢰를 부여하지 않는다.
• 접근 주체의 리소스 접근 과정에서 개별적인 제어를 통해 접근 승인 여부를 결정할 수 있어야 하며, 최종적인 접근 결정 및 시행에 대한 역할은 정책결정지점(PDP) 및 정책시행지점(PEP)이 맡게 된다.
• A구간은 비신뢰 구역으로 접근 주체의 신뢰도 평가가 이루어지기 전을 말한다.
  • 임직원 C가 회사 사옥 내 본인 PC의 인증을 하기 전 상태는 비신뢰 구간에 해당한다.
  • 임직원 D가 외부에서 VPN으로 인증을 하기 전 상태는 비신뢰 구간에 해당한다.
• B구간은 암묵적 신뢰 구역으로 접근 주체의 신뢰도 평가가 이루어져 리소스에 접근할 수 있는 상태를 말한다.
  • 임직원 C가 회사 사옥 내 본인 PC의 인증을 마친 상태는 암묵적 신뢰 구간에 해당한다.
  • 임직원 D가 외부에서 VPN으로 인증을 마친 상태는 암묵적 신뢰 구간에 해당한다.

제로 트러스트 접근의 개념 모델

1.2. 기본 원리

• 모든 종류의 접근에 대해 신뢰하지 않을 것 (명시적인 신뢰 확인 후 리소스 접근 허용)
  • 모든 종류의 접근에 대해 기본적으로 거부
  • 일정 수준의 인증 과정을 거친 접근 주체에게만 최소한의 리소스 접근 허용
  • 성공적인 인증 후에도 지속적인 모니터링을 통하여 신뢰성에 의심이 가능 상황 발생 시 강화된 추가 인증을 받거나 현재의 접근 세션에 대한 강제 종료 필요
• 일관되고 중앙집중적인 정책 관리 및 접근제어 결정, 실행 필요
  • PDP가 분산되어 있는 경우 일관된 정책 수립 어려움
  • PEP는 분산되어 있을 수 있으나 가급적 중앙집중적인 정책 관리에 의한 접근 여부 결정이 필요
    • 특정 직원 퇴사 시 해당 ID로 내부 리소스 접근이 불가해야 됨
• 사용자, 기기에 대한 관리 및 강력한 인증
  • 내부 사용자 및 기기에 대한 목록화를 기반으로 강력한 사용자 인증 및 기기 상태 관리 필요
  • 등록된 기기가 아니면 기업망 혹은 특정 리소스 접근을 원천 봉쇄하거나 접근 가능 리소스를 정확히 분류하고 중요 리소스에 대한 접근이 불가능하도록 정책 결정 필요
  • 등록되지 않은 기기나 보안 상태가 명확히 확인되지 않은 경우 추가 인증 요구 가능
• 리소스 분류 및 관리를 통한 세밀한 접근제어 (최소 권한 부여)
  • 접근 주체 및 리소스의 종류 및 다양한 요인에 따른 세밀한 접근제어 필수
  • 공격자가 기업망 내부 특정 기기나 시스템 침투에 성공했더라도 횡적 이동을 통한 추가 피해를 최소화할 수 있도록 사용자 및 기기에 필요한 최소한의 권한 부여
• 논리 경계 생성 및 세션 단위 접근 허용, 통신 보호 기술 적용
  • 세밀한 접근제어는 필연적으로 리소스 간 경계를 요구할 수 있고 정책을 실시간으로 반영하여 세분화하기 위해서는 논리적으로 경계를 설정할 수 있는 방안 필요
  • 리소스별 긴 시간의 접속을 허용하지 않고 세션 단위 접근만 허용 필요
  • 논리적 경계뿐만 아니라 통신상에서 데이터의 기밀성 및 무결성을 보호할 수 있는 기술 필요
• 모든 상태에 대한 모니터링, 로그 및 이를 통한 신뢰성 지속적 검증, 제어
  • 신뢰도 평가에 관련 있는 접근 주체, 리소스, 기업망 등의 모든 관련 정보 의미
  • 상태 정보는 기업망에서 반드시 모니터링되어 현재의 상태를 수치적으로 시각화하여 파악할 수 있어야 하며 상세한 분석을 통한 신뢰도 평가 및 감사가 가능해야 함

1.3. 구성 요소

• 정책 엔진 (PE, Policy Engine)
  • 접근에 대한 승인을 담당한다. (접근 주체가 리소스에 접근할 수 있을지를 최종적으로 결정)
  • 신뢰도 평가 알고리즘에 대한 입력으로 현재 기업망에 대한 정책과 그 외 다른 정보를 활용하여 접근을 허가하거나 거부, 현재 허가되어 있는 상태의 접근을 취소할 수 있다.
• 정책 관리자 (PA, Policy Administrator)
  • PEP에 명령하여 접근 주체와 리소스 사이의 통신 경로를 생성하거나 폐쇄한다. (세션이 인가되면 PA는 PEP에게 세션 시작을 허용하며, 세션이 거부되거나 최소되는 경우 PEP에게 해당 연결을 끊으라고 신호를 보낸다.)
  • 접근 주체가 리소스 접근 시 사용하는 세션에 대한 인증·인가 토큰을 생성한다.
  • PE와 함께 PDP를 구성한다.
• 정책시행지점 (PEP, Policy Enforcement Point)
  • 접근 주체와 리소스 사이를 연결하고 모니터링하며, 최종적으로 연결을 종료하는 논리 구성 요소이다.
  • PA와 통신하며, 접근 요청을 포워딩하고 업데이트된 정책을 수신한다.
  • PEP는 하나의 논리 구성 요소이지만 2개의 다른 구성 요소로 구분될 수 있다.
    • 노트북에 설치된 에이전트에 해당하는 클라이언트 기능
    • 리소스의 앞에서 접근을 제어하는 게이트웨이 기능
    • 통신 경로 상에서 문지기 역할을 하는 하나의 포탈 구성 요소로 동작
• 정책정보지점 (PIP, Policy Information Point)
  • 접근 결정을 위해 정책 엔진의 입력 혹은 정책 규칙으로 활용할 수 잇는 정보를 생성·전달하는 논리 구성 요소이다.
  • 기업 내부에서 운영하는 시스템과 기업이 운영하거나 제어하지 않는 외부 시스템 모두 가능하다.
    • 규제·내부 규정(Industry Compliance)
    • 데이터 접근 정책(Data Access Policies)
    • 보안 정보 및 이벤트(SIEM) 시스템
    • 위협 인텔리전스(Threat Intelligence)
    • ID 관리 시스템(ID Management System)
    • 네트워크·시스템 행위 로그(Network and System Activity Logs)