제로 트러스트 소개

보안에 대한 제로 트러스트 접근 방식은 빠르게 진화하는 세계에 대응하는 위협, 클라우드 플랫폼의 변화 및 비즈니스 모델의 변화에 효과적으로 대응해야 합니다. MCRA(Microsoft 사이버 보안 참조 아키텍처) 및 MCSB(Microsoft 클라우드 보안 벤치마크)를 통해 제로 트러스트 보안 접근 방식을 채택하기 위한 모범 사례를 찾을 수 있습니다.

보안에 대한 Microsoft 제로 트러스트 접근 방식은 위반 가정, 명시적 확인 및 최소 권한의 세 가지 원칙을 기반으로 합니다.

제로 트러스트 기본 원칙

• 명시적으로 확인 - 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다.

• 최소 권한 액세스 사용 - JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.

• 침해를 가정하여 - 폭발 반경을 최소화하고 접근을 구역별로 세분화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 추진하며 방어를 개선합니다.

이것이 제로 트러스트의 핵심입니다. 제로 트러스트 모델은 회사 방화벽 뒤의 모든 것이 안전하다고 믿는 대신 위반을 가정하고 제어되지 않는 네트워크에서 시작된 것처럼 각 요청을 확인합니다. 요청이 시작되는 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트 모델은 "전혀 신뢰하지 않고 항상 확인"하도록 알려줍니다.

모바일 인력을 수용하고, 어디에 있든 사람, 디바이스, 애플리케이션 및 데이터를 보호하는 현대 환경의 복잡성에 맞게 설계되었습니다.

제로 트러스트 접근 방식은 전체 디지털 자산에서 확장되고, 통합 보안 원칙 및 엔드투엔드 전략으로 사용되어야 합니다. 이 작업은 6가지 기본 요소에서 제로 트러스트 컨트롤 및 기술을 구현하여 수행됩니다. 이러한 각 리소스는 신호의 소스, 적용을 위한 제어 평면 및 방어해야 할 중요한 리소스입니다.

다양한 조직 요구 사항, 기존 기술 구현 및 보안 단계는 모두 제로 트러스트 보안 모델 구현이 계획되는 방식에 영향을 줍니다. 고객이 조직을 보호하고 제로 트러스트 모델을 구현하는 데 도움이 되는 경험을 바탕으로 다음 지침을 개발하여 준비 상태를 평가하고 제로 트러스트에 대한 계획을 수립하는 데 도움을 주었습니다.

이러한 원칙은 기술 자산 전체에 적용되며 일반적으로 일련의 RaMP(현대화 이니셔티브) 또는 기술 핵심 요소(각 기둥에 대한 배포 지침 포함)를 통해 제로 트러스트 변환에 적용됩니다.