제로트러스트 란 무엇인가

 

지난번에는 제로트러스트의 개념에 대해서 

내가 이해한 방식으로 아주 간단하게 적었고 또 나의 이해에 도움을 주었던

영상들도 같이 볼 수 있게끔 작성 해 두었다.

 

이번에는 조금만 더 자세히 공부를 해 보았는데

우선 

지난 여름에 공개 되었던 제로트러스트 가이드1.0을 기준으로 작성을 해 보면 좋을 것 같다는 생각을 해 보았다.

 

내가 첨부 파일을 올릴 수도 있지만

링크를 두었으니 궁금한 누군가라면 링크 따라가서 다운을 받으면 된다!

 

제로트러스트 가이드라인 1.0

https://www.msit.go.kr/bbs/view.do?sCode=user&mId=113&mPid=238&bbsSeqNo=94&nttSeqNo=3183279

 

 

파일은 전체본과 요약본 두 가지가 있는데

이 문서를 작성할 때 전문가와 비전무가도 이해 할 수 있게끔 쓰는데 많은 신경을 썼다고 한다.

 

요약본 보다 더 압축 된 요약을

나의 기준으로 해 보면 

 

2021년 5월, 미국의 바이든 행정부는 “국가 사이버 보안 개선을 위한 행정 명령(Executive Order 14028 - Improving the Nation’s Cybersecurity)”을 내린다. 이는 최근 급등하는 대규모 사이버 공격 사례에 대응하기 위하여 국가의 사이버 보안 기능을 강화할 필요성이 있었기 때문이다.

 

제로트러스트는 단순히 사이버 보안을 위한 추상적인 개념이나 선언이 아닌, 기업망과 정부·공공망을 위해 반드시 도입해야 하는 새로운 보안 패러다임이자 구조이다. 기업망과 정부·공공망에서는 기존과 비교하여 모바일, IoT, 클라우드 등 새로운 기술의 등장으로 네트워크가 복잡해지고, 코로나19 팬데믹으로 인한 근무 환경의 변화 등 업무 환경에서의 경계가 계속해서 허물어지고 있다.

정보시스템 등에 대한 접속요구가 있을 때 네트워크가 이미 침해된 것으로 간주하고 "절대 믿지 말고, 계속 검증하라는 새로운 보안개념"으로 전통적인 경계 기반 보안(Perimeter Security)을 대체하는 것을 목표로 한다.

 

 

<접근방식>

1 Black List -> White list

2 선접속 후인증 -> 선인증 후접속

 

<핵심원칙>

강화된 인증(ID/PW 외에도 다양한 인증정보를 활용한 다중인증 등 지속적인 인증을 포함)

마이크로 세그멘테이션을 중심으로 하는 작은 단위로 분리

소프트웨어 정의 경계(소프트웨어 기반으로 보호 대상을 분리/보호 할 수 있는 경계를 만들 수 있어야함.

 

 

이 정도가 되지 않을까 싶다.

그리고 워낙 다양한 용어가 나오는데 이해를 위해 용어 정리를 해 보았다.

 

<용어의 이해>

PEP  (Policy Enforcement Point) : PDP가 인가한 상호 연결 기반, 접근 주체와 자원 사이에서 접근 제어 수행

PDP (Policy Decision Point) : 상호 연결 기반 접근 주체가 자원에 접근하는 것에 대한 허용 · 거부 결정

PIP (Policy Information Point) : 상호 연결 기반 접근 결정을 위한 다양한 정보 제공 (예 : EPP, SIEM, 권한 관리 솔루션 등)

SDP  (Software Defined Perimeter) : 두 통신 대상의 논리적 연결 중계(상호 연결) 메커니즘 기반, 인가된 대상 간에 통신 허용

Micro Segmentation : 상호 연결을 통해 네트워크에 연결된 자원 간, 최소한의 권한 접근 제어 수행

EIG (Enhanced Identity Governance) : 강화된 인증을 통해 식별된 신원 정보 중심, 분산된 자원의 권한 통합 관리

제로 트러스트 모델은 3 개의 요소 기술로 구성, 유기적인 결합을 통해 네트워크 중심 통제 수행

 

 

열심히 이해해 보려고 하긴 했는데 아직은 이정도인것 같다.

 

또 빠르게 공부해서 더 빠르게 업데이트 해 보겠다 !