[클라우드 내비게이터⑤-ZTNA(ⅲ)] 최소권한관리 원칙으로 분산환경 보호
상태바
[클라우드 내비게이터⑤-ZTNA(ⅲ)] 최소권한관리 원칙으로 분산환경 보호
  • 김선애 기자
  • 승인 2022.10.13 09:28
  • 댓글 0
이 기사를 공유합니다

마이크로 세그멘테이션, 워크로드 세분화해 최소권한 원칙 통제
특권계정 관리로 클라우드 침입 및 권한 오남용 차단

[데이터넷] 글로벌 팬데믹을 겪으면서 전 세계 기업·기관은 사무실 근무와 재택·원격 및 이동근무를 병행하는 하이브리드 업무 환경으로 전환했다. 이 환경은 업무 효율성을 높이고, 사무실 운영에 필요한 비용을 줄일 수 있지만, 클라우드와 네트워크 비용이 늘어나고 IT 복잡성이 증가하며, 공격표면이 확장된다는 문제를 안고 있다. 그래서 제로 트러스트 원칙이 반드시 필요하다.<편집자>

ZTNA 구현 방식 중 가장 최근 부상하는 것이 마이크로 세그멘테이션이다. ZTNA는 사용자와 애플리케이션을 연결하며, 최소권한 원칙에 따라 접근 가능한 기능을 최소화한다. 계정을 탈취한 공격자가 정상 사용자 권한으로 접근한다 해도 수평이동이 불가능해 추가 공격 활동을 하지 못한다. 이 개념으로 애플리케이션을 워크로드 단위로 세분화하며, 각 워크로드에 대한 세부적인 접근권한 정책을 적용한다.

굿모닝아이텍의 보안 자회사 조인어스비즈가 공급하는 ‘아카마이 가디코어 세그멘테이션(AGS)’은 가디코어 인수로 확보한 마이크로 세그멘테이션 솔루션이다. 이 제품은 IT 인프라 구성과 상관없이 하이브리드·멀티 클라우드 환경에서 워크로드 기반으로 정책을 구성하며 다양한 환경 간 통신 매핑해 풍부한 가시성을 보여준다.

모든 플랫폼과 환경에서 작동하는 세분화된 정책 생성이 가능하며 여러 기술을 통해 위협을 신속하게 감지하고 대응한다. 네트워크를 분리시키고 다중 인증 등의 복잡한 검증 과정을 통해서만 시스템 접근을 허용하도록 할 수 있어 제로 트러스트 전략을 강화한다. 또한, 워크로드에 방화벽이 내장돼 있어 감염된 워크로드가 다른 워크로드나 애플리케이션을 감염시키지 못한다.

또한 경량 에이전트 오버레이 접근 방식을 사용하므로 고객은 성능 저하 없이 흐름(L4), 사용자 및 프로세스(L7)에 대한 강력한 정책 시행의 이점을 누릴 수 있다.

아카마이는 분산환경을 위한 ZTNA 솔루션 ‘엔터프라이즈 애플리케이션 액세스(EAA)’도 적극 소개한다. 이 솔루션은 글로벌 엣지 플랫폼을 통해 검증되고 모니터링된다. ID·기기보안, 위협 인텔리전스, 상황인지 기술 등을 적용해 정상 사용자가 안전한 기기, 정상 상황에서 접속할 때에만 접속을 허가한다. 사용자와 서버가 아니라 사용자와 애플리케이션을 연결하며, 애플리케이션은 허가받지 전에는 외부에서 검색되지 않도록 보호한다. EAA는 이미 국내 여러 금융사에 공급돼 안정성과 규제준수를 검증받았다.

조인어스비즈는 권한관리 전문기업 비욘드트러스트도 함께 제안하면서 제로 트러스트 원칙을 강화한다. PAM 시장의 리더로 꼽히는 비욘드트러스트는 멀티·하이브리드 환경에서 권한을 가진 모든 계정을 관리하는 전문기업으로, 엔드포인트, 서버, 클라우드, 애플리케이션에 대해 최소권한 원칙을 적용한 접근제어를 지원한다. 또한 서비스 방식의 ZTNA를 지원, VPN 없이 모든 환경에서 안전한 원격접속을 가능하게 한다.

▲세그멘테이션을 위한 방화벽에 대한 새로운 관점(자료: 아카마이)
▲세그멘테이션을 위한 방화벽에 대한 새로운 관점(자료: 아카마이)

분산 방화벽 이용 마이크로 세그멘테이션 구현

VM웨어는 ESXi 호스트 하이퍼바이저에 서비스 정의 방화벽을 추가하는 방법으로 마이크로 세그멘테이션을 구현한다. 이는 네트워크 구성 변경 없이, 최적의 리소스를 사용하면서 제로 트러스트 원칙의 보안을 제공한다.

분산 방화벽을 이용한 VM웨어의 마이크로 세그멘테이션은 단위 업무별 세분화가 가능하고, 애플리케이션 가시성과 컨텍스트 확보에 용이하며, 간편하게 구현되고 작동될 수 있다. IPS/IDS는 워크로드 유형에 따라 선별적으로 보안 시그니처를 적용할 수 있어 속도 저하 없이 유해 트래픽을 차단할 수 있다.

더불어 VM웨어는 NDR 솔루션을 이용해 데이터센터와 클라우드 내에서 발생하는 모든 트래픽을 정밀하게 분석하고 모니터링한다. AI·머신러닝을 이용해 악의적인 네트워크 행위를 탐지하고, 각 워크로드 유형에 최적화된 탐지 룰을 만들며, 전체 시스템을 에뮬레이션 하는 방법으로 악성코드를 탐지한다.

한편 VM웨어는 가상환경과 컨테이너·워크로드를 위한 보안 솔루션 ‘카본블랙 클라우드’도 소개한다. 카본블랙의 뛰어난 엔드포인트·워크로드 보호 기술을 컨테이너 환경까지 확장시킨 카본블랙 클라우드는 MacOS, 윈도우, 리눅스, v스피어, 호라이즌, 쿠버네티스에 이르는 광범위한 엔드포인트·워크로드 환경을 보호한다.

차세대 백신, 기기 제어, EDR, MDR, 쿠버네티스 보안, 취약점 관리, 감사와 완화 등의 기능을 통합한 카본블랙 클라우드는 단일 통합 콘솔에서 관리할 수 있어 관리 편의성과 보안 가시성이 매우 높다. 경량 단일 에이전트를 이용해 작동하며, 분산된 환경에서도 리스크 식별과 예방, 탐지와 대응, 워크로드·컨테이너 보호가 가능하다.

계정·권한관리, ZTNA 시작

ZTNA의 시작 포인트는 ‘접속 전 인증’이다. 정상 계정의 사용자가 정상적인 환경에서, 주어진 권한 내에서 접속하는지 확인하기 위해 계정관리와 권한관리가 필요하다. ZTNA는 수평이동 가능성을 줄이기 위해 애플리케이션을 워크로드 단위로 잘게 쪼개며, 최소권한 원칙에 따라 접속 범위와 시간, 횟수 등을 제한한다.

그래서 워크로드 접속 시 마다 인증을 받아야 하기 때문에 사용자가 인지하지 않은 상태에서 지속 인증이 가능하도록 적응형 인증 정책을 적용한다. 싱글사인온(SSO)을 이용해 평소와 같은 패턴의 접속 요청이라면 여러 애플리케이션에 별도 인증 행위 없이 접속 가능토록 한다. SSO를 적용하면 ID를 중심으로 사용자의 행위를 추적해 어떤 애플리케이션에 접속해 어떤 활동을 했는지 알 수 있어 지속적인 모니터링이 가능하다.

계정, 권한관리 중 매우 중요한 개념이 특권접속관리(PAM)이다. PAM은 권한이 있는 모든 계정을 추적하고 보호하는 도구로, 자격증명 교체, 세션 관리, 세션 기록, ID 거버넌스 관리(IGA), 권한상승 등 계정·권한과 관련된 업무를 수행한다.

제로 트러스트에서 PAM이 중요한 이유는 공격자는 정상 사용자 계정과 권한으로 접근하기 때문이다. 제로 트러스트의 첫 단계인 인증을 무사히 마쳤다 해도, 평소와 다른 접속 활동을 보이거나 권한없는 애플리케이션 접속을 시도하고, 권한계정을 생성하며, 데이터에 접근, 수집하고 유출하는 등의 행위를 하면 이상행위로 보고 통제해야 한다. PAM은 인증받은 사용자라도 권한 외 활동을 하는 것을 막는다.

PAM 솔루션 시장 리더인 사이버아크는 PAM을 비롯한 모든 계정·권한관리 솔루션을 제공, 사람이든 기계든 모든 ID가 모든 장치를 사용해 장소에 관계없이 모든 리소스나 환경에 안전하게 액세스할 수 있도록 한다. PAM과 엔드포인트 특권 관리, 비밀번호 관리, 클라우드 권한 관리(CIEM), 그리고 원격지 접속자를 위한 VPAM(Vendor Privileged Access Manager)을 제공한다. 동훈아이텍이 국내에 공급하는 사이버아크는 ITSM, IGA 등 인접 기술과 통합돼 제로 트러스트 원칙을 강화한다.

퀘스트의 보안사업부인 원아이덴티티도 PAM 시장 리더로, 특권관리, 권한 상승 및 위임 관리(PASM)와 권한 상승 및 위임 관리(PEDM), IGA, CIEM 등의 기능을 제공한다. 원격 PAM인 ‘세이프가드 리모트 액세스’도 공급해 재택·원격근무자에게 VPN 없이 안전하게 원격지 접속이 가능토록 한다. 원아이덴티티는 윈도우, 리눅스, 유닉스, 맥OS 등 모든 OS를 지원하며, 합리적인 가격으로 제공돼 모든 규모의 조직에게 적합하다.

다양해지는 권한관리

마이크로소프트도 제로 트러스트에 집중 투자하면서 보안 역량을 키우고 있다. 마이크로소프트의 제로 트러스트는 통합된 계정관리와 권한관리, 포괄적인 데이터 관리·분류를 통한 데이터 보호, SIEM·SOAR가 통합된 차세대 SOC를 통한 보안운영을 통해 제로 트러스트를 완성한다.

마이크로소프트는 제로 트러스트 보안을 더욱 강화하기 위해 포괄적인 ID 접근관리를 제공하는 ‘엔트라(Entra)’를 소개한다. 엔트라에는 애저 AD와 클라우드녹스 인수로 확보한 CIEM ‘엔트라 권한관리’, 분산ID ‘엔트라 검증ID’가 포함된다. 애저 AD는 가장 유명한 ID 관리 솔루션으로, 조건부 액세스와 패스워드리스, 외부 사용자 검증을 위한 익스터널 아이덴티티 등이 적용된다.

계정·권한관리 분야에서 새롭게 주목받는 것이 IGA이다. 계정이 필요로 하는 기술 자산에 적시에 접근할 수 있도록 자동화된 액세스를 제공하는 IGA는 직원뿐 아니라 계정이 있는 모든 기기, 데이터, 애플리케이션, 리소스 등을 지원한다. 온프레미스와 클라우드 환경의 애플리케이션·시스템과 연결되며, 직원이 업무를 수행하는데 필요한 자원을 적시에 사용할 수 있게 하고, 직원의 직무가 바뀌어도 업무 생산성을 유지할 수 있게 한다.

세일포인트의 IGA는 액세스 요청, 변경, 인증 등 일련의 아이덴티티 관련 절차와 결정을 자동화해 줌으로써 직원들이 보다 생산적인 업무에 집중할 수 있게 해주는 동시에 운영 비용을 줄일 수 있다. AI·ML을 이용해 디지털 라이프사이클 전 과정의 모든 사용자 액세스를 검색하고 관리, 보호를 자동화한다. 특권접근, 비정상적 권한, 잠재적 위협을 AI를 활용해 분석할 수 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.