[Zero Trust] 제로트러스트란?

NIST Zero Trust 800-207 (2020)

정적인 네트워크 경계기반 보안의 관점을 사용자, 자산 등 개별 리소스로 바꾸는 새로운 패러다임

 

제로트러스트= 보안 관점의 전환

 

ZT (Zero Trust)는 리소스를 보호하는데 초점을 맞춘다. 네트워크 요소나 위치는 보안에 있어 더 이상 유일한 중요요소가 아니게 되었다. 네트워크의 경계에 머물던 보안이 이제는 개별 리소스에 관점을 두기 시작했다. 네트워크 인증을 거친 트래픽은 끝까지 신뢰하지 않고 내부 검증을 이어나간다.

 

이전 정적인 보안의 예시( Implicit trust zone)=>  비행기 탑승 수속, 티켓만 검사하면 끝

---

  Zero Trus의 원칙

1. 모든 데이터와 서비스는 자원이다.
2. 네트워크의 어떤 위치이던 모든 통신은 보호되야 한다.
3. 하나의 자원에 대한 접근 하나의 세션으로 관리되어야 한다.
4. 자원에 대한 접근은 동적인 보안정책에 의해 관리된다.
5. 조직은 관련된 모든 자산에 대한 모니터링을 지속한다.
6. 모든 권한과 인증부여는 항상 적용되어야 한다.
7. 조직은 자신의 자산, 네트워크 및 통신에 대한 정보를 끊임없이 수집하여 개선 작업에 사용한다.

---

  제로 트러스트 아키텍처

구성요소

• PE: Policy Engine (사용자에게 자원 접근 권한을 부여하는 주체, 뇌에 비유)
• PA: Policy Addministrator (주체와 자원 간 연결을 형성하고 끊는 주체)
• PEP: Policy Enforcement Point (자원에 대한 접근을 감지하며 접속을 차단하는 시스템)

 3.2.1 디바이스 에이전트 / 게이트웨이 모델
 : 자원 접근을 위한 프록시 역할

 3.2.2 고립모델
 : PE,PA에 의해 자원이 고립된 형태모델

 3.2.3 포털 베이스 모델
 : 별도의 소프트웨어 설치 없이(로컬 에이전트 필요 X), PEP포털을 통해 자원에 접근 (AWS의 IAM Identity Center)

 3.2.4 샌드박스 모델
 : 사용자는 가상환경(SandBox)상에 구동하는 신뢰할 수 있는 앱을 통해 PEP에 접속, 자원에 접근할 수 있다.

---

   참고자료

NIST. (2020). Zero Trust Architecture. https://www.nist.gov/publications/zero-trust-architecture

Zero Trust Architecture