[제로 트러스트⑤] 방화벽으로 구현하는 ZTNA
상태바
[제로 트러스트⑤] 방화벽으로 구현하는 ZTNA
  • 김선애 기자
  • 승인 2020.11.13 09:00
  • 댓글 0
이 기사를 공유합니다

VPN·SDP·마이크로 세그멘테이션으로 제로 트러스트 구현
애플리케이션·사용자·상황 인지 차세대 방화벽 기술 ‘장점’

[데이터넷] ZTNA는 VPN을 대체하는 기술로 알려지지만, 실제로는 그렇지 않다. ZTNA도 VPN을 사용해 연결한다. 프록시, HTTPS를 사용하는 아키텍처도 있으며, 어떤 프로토콜을 사용하느냐가 중요한 것은 아니고 어떻게 제로 트러스트의 이상을 구현하는지가 중요하다.

ZTNA는 보호해야 하는 애플리케이션이 외부에 노출되지 않도록 해 공격자가 사용자 계정을 탈취했다 해도 공격 목표가 되는 애플리케이션을 찾을 수 없도록 만든다. 사용자와 애플리케이션을 연결해 하나의 애플리케이션이 침해를 당했다 해도 다른 애플리케이션에는 영향을 미치지 못하도록 하며, 적응형 신원인증을 적용해 사용자 행위와 상황·맥락에 따라 인증 강도를 자동으로 조절하게 한다. 더불어 개인 소유 기기를 사용하는 BYOD나 다종다양한 기기가 접근하는 IoT 환경에서도 쉽게 ZTNA 정책에 따라 접속할 수 있게 해 WFA의 효과를 볼 수 있게 한다.

이 같은 요구를 만족시킨다면 VPN 역시 ZTNA를 완성하는 기술 중 하나이며, 마이크로세그멘테이션, 소프트웨어 정의 경계(SDP) 등도 같은 맥락으로 언급된다. 나아가 글로벌·분산 업무 환경의 보안과 네트워크 성능, 업무 효율성을 제고하기 위해 제안되는 시큐어 액세스 서비스 엣지(SASE)의 한 요소로 ZTNA를 포함시키는 추세도 나타나고 있다. 특히 글로벌 네트워크 방화벽 기업들이 이 같은 트렌드에 적극 동참하고 있다.

SASE 구성 요소로 정착하는 ZTNA

주니퍼네트웍스는 VPN과 APT 방어 기술, SD-WAN·SASE 기술을 이용해 WFA에 대한 종합적인 보안 대책을 제공한다고 주장한다. 주니퍼의 시큐어 커넥트는 IPSec과 SSL-VPN을 둘 다 지원하며, SD-WAN과 미스트 AI 기반 WAN 어슈어런스와 연동돼 네트워크를 쉽고 빠르게 확장할 수 있게 하며, 변화하는 네트워크 경계와 공격 표면에 대응할 수 있도록 만들어 준다.

중요 데이터를 보호하고 비즈니스 연속성을 보장하면서 원격 사용자를 연결해 생산성을 유지한다. 또한 주니퍼 ATP 클라우드의 능동형 위협 프로파일링 기능과 연동해 최신 위협 공격에 대응할 수 있다. 웃클라우드 하이퍼컨텍스트까지 연동해 모든 기기에 대한 가시성을 확보하고 통제할 수 있게 한다.

주니퍼는 완성된 SD-WAN 기술을 이용한 SASE 플랫폼으로 자사 포트폴리오를 완성해나가고 있으며, 자체 보유한 네트워크·보안 기술을 통합해 장애 없이 안전한 글로벌·분산 업무 환경을 지원한다.

▲주니퍼네트웍스 ‘미스트 활용 커넥티드 시큐리티’로 재택근무 보안 구성도
▲주니퍼네트웍스 ‘미스트 활용 커넥티드 시큐리티’로 재택근무 보안 구성도

포티넷은 텔레워커 솔루션으로 VPN 게이트웨이, 포티클라이언트 VPN과 2차인증(2FA) 포티토큰, VPN 스플릿 터널 등을 제공한다. WFA 업무 중요도와 원격 업무 빈도에 따라 다양하게 결합해 사용할 수 있는 텔레워커 솔루션은 멀티 WAN 회선 최적화 용도의 SD-WAN 기능까지 포함한다.

포티넷은 보안이 강화된 고성능 SD-WAN 시장의 강자로 자리잡고 있으며, OPAQ 인수를 통해 획득한 네트워크 기술을 접목한 SASE 플랫폼도 제공하고 있다.

마이크로세그멘테이션으로 ZTNA 구현

ZTNA 기술 중 하나로 소개되는 마이크로 세그멘테이션은 워크로드 수준에서 세분화된 보안 제어를 적용해 공격자의 수평 이동을 막는다. 마이크로 세그멘테이션에 신원인증, 암호화를 적용해 제로 트러스트 완성을 돕는다. 마이크로 세그멘테이션 자체가 위협을 제거하는 기술은 아니지만, 침해당한 후 확장되지 못하도록 제어하는 기능을 수행하기 때문에 공격 탐지와 대응 시간을 확보할 수 있다.

포레스터는 마이크로 세그멘테이션이 제로 트러스트에 필수라고 소개하는데, 침해 발생 시 다른 부분을 보호할 수 있고, 데이터 도난·변조 시기와 위치를 정확하게 알 수 있도록 돕기 때문이다. GDPR 등 규제준수 노력을 지원할 수 있고 통신의 투명성도 유지할 수 있다.

마이크로 세그멘테이션은 사용자 ID와 애플리케이션 인지, 상황인지 기능을 가진 차세대 방화벽을 이용해 제로 트러스트 이상을 구현할 수 있다. 차세대 방화벽을 게이트웨이로 삼아 신뢰할 수 있는 트래픽, 합법적인 애플리케이션만 액세스할 수 있도록 한다.

완성도 높은 ZTNA 솔루션 구현

팔로알토 네트웍스가 이러한 이상을 구현하는 제로 트러스트 기반 마이크로 세그멘테이션을 제공한다. 포레스터가 2020년 3분기 제로 트러스트 에코 시스템 공급자 보고서에서 “팔로알토 네트웍스가 제로 트러스트를 위한 완벽한 툴킷을 제공한다”고 평가할 만큼 완성도 높은 제로 트러스트 솔루션을 제공한다.

한편 팔로알토는 많은 전문기업을 인수하면서 제로 트러스트 보안 전략을 완성하고 있으며, 최근에는 클라우드제닉스를 인수하고 고성능 차세대 SD-WAN을 출시하는 등 SASE 플랫폼으로 진화하기 위한 기술 기반을 갖춰나가고 있다.

김병장 팔로알토코리아 전무는 “팔로알토는 CPE 기술을 지원해 글로벌·분산환경에서도 고속의 네트워크 전송을 보장할 수 있으며, 고도화된 최신 차세대 보 안 기술을 단일 플랫폼에서 통합 제공해 사용자 경험을 보장하면서 보안이 강화된 SASE를 제공할 수 있 다”며 “SASE를 위한 전체 기능 스택을 완벽하게 제공하는 곳이 팔로알토”라고 강조했다.

팔로알토는 자체 구축한 클라우드 플랫폼이 아니라 AWS, GCP를 이용하는데, 이를 통해 스케일을 무한 확장할 수 있으며 로컬 환경을 위한 컴플라이언스 이 슈도 쉽게 만족할 수 있다. 복수의 클라우드 사업자를 이용하기 때문에 벤더 종속성을 제거할 수 있으며, 사용자가 원하는 클라우드 플랫폼을 선택할 수 있다는 장점도 있다.

팔로알토는 글로벌 유전회사 2만5000여명의 모바일 근무자를 지원해왔는데 최근 코로나19로 갑작스럽게 WFA를 확대하면서 8만명에 이르는 근무자로 확대 운영하는데 성공한 바 있다. 국내에서도 이 사례를 적극 알리면서 WFA, 제로 트러스트, SASE 사업을 전개한다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.