제로 트러스트를 통한 네트워크 보호
빅 데이터는 새로운 인사이트를 도출하고 경쟁 우위를 확보할 수 있는 새로운 기회를 제공합니다. 우리는 네트워크가 명확하게 정의되고 일반적으로 특정 위치에 특정한 시대에서 벗어나고 있습니다. 클라우드, 모바일 디바이스 및 기타 엔드포인트는 경계를 확장하고 패러다임을 변경합니다. 이제 보안을 위해 포함/정의된 네트워크가 반드시 필요하지는 않습니다. 대신 클라우드에서 연결된 디바이스와 네트워크의 광범위한 포트폴리오가 있습니다.
회사 방화벽 내에 있는 모든 항목이 안전하다고 믿는 대신, 엔드투엔드 제로 트러스트 전략은 위반이 불가피하다고 가정합니다. 즉, 각 요청이 제어되지 않는 네트워크에서 시작된 것처럼 확인해야 합니다. 여기서 ID 관리는 중요한 역할을 수행합니다.
제로 트러스트 모델에서는 네트워크 보안과 관련된 세 가지 주요 목표가 있습니다.
공격이 발생하기 전에 처리할 준비를 합니다.
손상의 범위 및 확산 속도를 최소화합니다.
클라우드 공간을 훼손하기 더 어렵게 합니다.
이를 위해 다음 세 가지 제로 트러스트 원칙을 따릅니다.
명시적으로 확인. 항상 사용자 ID, 위치, 장치 상태, 서비스 또는 워크로드, 데이터 분류 및 이상 징후를 포함하여 사용 가능한 모든 데이터 지점을 기반으로 인증 및 권한을 부여합니다.
최소 권한 액세스를 사용합니다. 데이터와 생산성을 모두 보호하기 위해 JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응형 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.
위반 추정. 네트워크, 사용자, 디바이스 및 애플리케이션 인식별로 액세스를 세분화하여 침입 폭발 반경을 최소화하고 측면 이동을 방지합니다. 모든 세션이 엔드 투 엔드로 암호화되어 있는지 확인합니다. 분석을 사용하여 가시성을 얻고, 위협 탐지를 추진하고, 방어를 향상시킵니다.
네트워크 제로 트러스트 배포 목표
대부분의 조직에서 제로 트러스트 여정을 시작하기 전에 다음과 같은 특징이 있는 네트워크 보안을 갖습니다.
-
소수의 네트워크 보안 경계와 개방형 플랫 네트워크.
-
최소한의 위협 보호 및 정적 트래픽 필터링.
-
암호화되지 않은 내부 트래픽.
네트워크 보호에 대한 엔드투엔드 제로 트러스트 프레임워크를 구현하는 경우 먼저 다음과 같은 초기 배포 목표에 집중하는 것이 좋습니다. |
|
I. 네트워크 세분화: 일부 마이크로 세분화를 사용하는 많은 수신/송신 클라우드 마이크로 경계입니다. |
|
이러한 목표가 완료되면 다음과 같은 추가 배포 목표에 집중합니다. |
|
IV. 네트워크 세분화: 완전히 분산된 수신/송신 클라우드 마이크로 경계 및 심층적인 마이크로 세분화. |
네트워킹 제로 트러스트 배포 가이드
이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 네트워크를 보호하는 데 필요한 단계를 안내합니다.
|
초기 배포 목표 |
9\. 네트워크 조각화: 약간의 마이크로 조각화를 사용하는 많은 수신/송신 클라우드 마이크로 경계
조직의 네트워크 안팎에 하나의 큰 파이프만 있으면 안 됩니다. 제로 트러스트 접근 방식에서 네트워크는 특정 워크로드가 포함된 작은 섬으로 분할됩니다. 각 세그먼트에는 데이터에 대한 무단 액세스의 "폭발 반경"을 최소화하기 위한 자체 수신 및 송신 컨트롤이 있습니다. 세분화된 컨트롤을 사용하여 소프트웨어 정의 경계를 구현하면 권한 없는 행위자가 네트워크 전체에 전파되는 어려움을 증가시켜 위협의 횡적 이동을 줄일 수 있습니다.
모든 조직의 요구 사항에 맞는 아키텍처 디자인은 없습니다. 제로 트러스트 모델에 따라 네트워크를 분할하는 몇 가지 일반적인 디자인 패턴 간에 옵션이 있습니다.
이 배포 가이드에서는 이러한 디자인 중 하나인 마이크로 조각화를 수행하는 단계를 안내합니다.
마이크로 조각화를 사용하면 조직에서 소프트웨어 정의 마이크로 경계를 사용하여 단순한 중앙 집중식 네트워크 기반 경계를 넘어 포괄적이고 분산된 조각화로 이동할 수 있습니다.
애플리케이션이 다른 Azure VNet(Virtual Network)으로 분할되고 허브-스포크 모델을 사용하여 연결됨
다음 단계를 수행합니다.
중앙 VNet을 만들어 앱 간 연결에 대한 보안 태세를 설정하고 허브 및 스포크 아키텍처에서 앱 VNet을 연결합니다.
허브 VNet에 Azure Firewall 을 배포하여 VNet 간의 트래픽을 검사하고 제어합니다.
II. 위협 방지: 알려진 위협에 대한 클라우드 네이티브 필터링 및 보호
인터넷 또는 온-프레미스 공간과 같은 외부 환경에 엔드포인트를 연 클라우드 애플리케이션은 이러한 환경에서 들어오는 공격의 위험이 있습니다. 따라서 트래픽에서 악의적인 페이로드 또는 논리를 검색해야 합니다.
이러한 유형의 위협은 다음 두 가지 광범위한 범주로 분류됩니다.
알려진 공격입니다. 소프트웨어 공급자 또는 더 큰 커뮤니티에서 검색된 위협 이러한 경우 공격 서명을 사용할 수 있으며 각 요청이 해당 서명에 대해 확인되었는지 확인해야 합니다. 키는 새로 식별된 공격으로 검색 엔진을 신속하게 업데이트할 수 있도록 하는 것입니다.
알 수 없는 공격. 알려진 서명과 일치하지 않는 위협입니다. 이러한 유형의 위협에는 제로 데이 취약성 및 요청 트래픽의 비정상적인 패턴이 포함됩니다. 이러한 공격을 탐지하는 기능은 방어가 정상과 그렇지 않은 것을 얼마나 잘 알고 있는지에 따라 달라집니다. 비즈니스(및 관련 트래픽)가 진화함에 따라 방어는 이러한 패턴을 지속적으로 학습하고 업데이트해야 합니다.
알려진 위협으로부터 보호하려면 다음 단계를 수행합니다.
HTTP/S 트래픽이 있는 엔드포인트의 경우 다음과 같이 Azure WAF(Web Application Firewall)를 사용하여 보호합니다.
알려진 웹 계층 공격으로부터 보호하기 위해 기본 규칙 집합 또는 OWASP 상위 10 개 보호 규칙 집합 켜기
악의적인 봇이 정보를 스크래핑하고 자격 증명 스터핑을 수행하는 것을 방지하기 위해 봇 보호 규칙 집합을 켭니다.
비즈니스와 관련된 위협으로부터 보호하기 위한 사용자 지정 규칙 추가
다음 두 가지 옵션 중 하나를 사용할 수 있습니다.
-
Azure Front Door에서 웹 애플리케이션 방화벽 정책을 만듭니다.
웹 애플리케이션 방화벽에 대한 봇 보호를 구성합니다.
-
웹 애플리케이션 방화벽에 대한 봇 보호를 구성합니다.
웹 애플리케이션 방화벽 v2 사용자 지정 규칙을 만들고 사용합니다.
모든 엔드포인트(HTTP 여부와 관계없이)의 경우 계층 4에서 위협 인텔리전스 기반 필터링을 위해 Azure Firewall을 사용합니다.
III. 암호화: 사용자-앱 내부 트래픽 암호화
세 번째 초기 목표는 사용자-앱 내부 트래픽이 암호화되도록 암호화를 추가하는 것입니다.
다음 단계를 수행합니다.
Azure Front Door를 사용하여 HTTP 트래픽을 HTTPS로 리디렉션하여 인터넷 연결 웹 애플리케이션에 대한 HTTPS 전용 통신을 적용합니다.
Azure VPN Gateway를 사용하여 원격 직원/파트너를 Microsoft Azure에 연결합니다.
Azure Bastion을 통해 암호화된 통신을 사용하여 안전하게 Azure 가상 머신에 액세스합니다.
|
추가 배포 목표 |
IV. 네트워크 조각화: 완전 분산형 수신/송신 클라우드 마이크로 경계 및 더 심층적인 마이크로 조각화
초기 세 가지 목표를 달성한 후 다음 단계는 네트워크를 더 세분화하는 것입니다.
앱 구성 요소를 다른 서브넷으로 분할
다음 단계를 수행합니다.
VNet 내에서 애플리케이션의 개별 구성 요소에 고유한 경계가 있을 수 있도록 가상 네트워크 서브넷을 추가합니다.
합법적인 통신으로 식별된 앱 하위 구성 요소가 있는 서브넷의 트래픽만 허용하도록 네트워크 보안 그룹 규칙을 적용합니다.
외부 경계 분할 및 적용
경계 유형에 따라 다음 단계를 수행합니다.
인터넷 경계
허브 VNet 을 통해 라우팅해야 하는 애플리케이션에 인터넷 연결이 필요한 경우 인터넷 연결을 허용하도록 허브 VNet의 네트워크 보안 그룹 규칙을 업데이트합니다.
대규모 네트워크 계층 공격으로부터 허브 VNet을 보호하는 Azure DDoS Protection 표준을 설정합니다.
애플리케이션이 HTTP/S 프로토콜을 사용하는 경우 Azure Web Application Firewall 을 켜서 계층 7 위협으로부터 보호합니다.
온-프레미스 경계
앱이 온-프레미스 데이터 센터에 연결해야 하는 경우 Azure VPN의 Azure ExpressRoute를 사용하여 허브 VNet에 연결합니다.
PaaS 서비스 경계
- Azure에서 제공하는 PaaS 서비스(예: Azure Storage, Azure Cosmos DB 또는 Azure Web App)를 사용하는 경우 PrivateLink 연결 옵션을 사용하여 모든 데이터 교환이 개인 IP 공간을 초과하고 트래픽이 Microsoft 네트워크를 벗어나지 않도록 합니다.
V. 위협 방지: 컨텍스트 기반 신호를 사용하는 기계 학습 기반 위협 방지 및 필터링
추가 위협 방지를 위해 Azure DDoS Protection 표준을 켜서 Azure 호스팅 애플리케이션 트래픽을 지속적으로 모니터링하고, ML 기반 프레임워크를 사용하여 볼륨 트래픽 홍수를 기준 및 감지하고, 자동 완화를 적용합니다.
다음 단계를 수행합니다.
DDoS 보호 메트릭에 대한 경고를 구성합니다.
VI. 암호화: 모든 트래픽 암호화
마지막으로 모든 트래픽이 암호화되었는지 확인하여 네트워크 보호를 완료합니다.
다음 단계를 수행합니다.
가상 네트워크 간의 애플리케이션 백 엔드 트래픽 을 암호화합니다.
온-프레미스와 클라우드 간의 트래픽을 암호화합니다.
VII. 레거시 네트워크 보안 기술 중단
서명 기반 NIDS/NIPS(네트워크 침입 탐지 시스템/네트워크 침입 방지 시스템) 및 네트워크 DLP(데이터 유출/손실 방지)의 사용을 중단합니다.
주요 클라우드 서비스 공급자는 이미 잘못된 패킷 및 일반적인 네트워크 계층 공격을 필터링하므로 이를 감지하기 위해 NIDS/NIPS 솔루션이 필요하지 않습니다. 또한 기존 NIDS/NIPS 솔루션은 일반적으로 서명 기반 접근 방식(구식으로 간주됨)에 의해 구동되며 공격자에 의해 쉽게 회피되고 일반적으로 가양성의 비율이 높습니다.
네트워크 기반 DLP는 의도치 않은 데이터 손실과 의도적인 데이터 손실을 모두 식별하는 데 매우 효과적입니다. 그 이유는 대부분의 최신 프로토콜과 공격자가 인바운드 및 아웃바운드 통신에 네트워크 수준 암호화를 사용하기 때문입니다. 이에 대한 유일한 실행 가능한 해결 방법은 암호화된 네트워크 연결을 종료한 다음 다시 설정되는 "권한 있는 man-in-the-middle"을 제공하는 "SSL 브리징"입니다. SSL-브리징 접근 방식은 솔루션을 실행하는 파트너와 사용되는 기술에 필요한 신뢰 수준 때문에 선호하지 않았습니다.
이러한 근거에 따라 이러한 레거시 네트워크 보안 기술의 사용을 중단하는 모든 권장 사항을 제공합니다. 그러나 조직 환경에서 이러한 기술이 실제 공격을 방지하고 감지하는 데 영향을 미쳤다면 클라우드 환경으로 포팅하는 것을 고려할 수 있습니다.
이 가이드에서 설명하는 제품
Microsoft Azure
결론
네트워크 보안은 성공적인 제로 트러스트 전략의 핵심입니다. 추가 정보 또는 구현에 대한 지원이 필요하면 고객 성공 팀에 문의하거나 모든 제로 트러스트 핵심 요소에 걸쳐 있는 이 가이드의 다른 챕터를 참조하세요.
제로 트러스트 배포 가이드 시리즈