오늘날, 제로 트러스트는 모든 사람이 따라하고 싶어하는 뜨거운 새로운 트렌드입니다. 이는 2022년 애플리케이션 전략 상태 보고서 에서 식별한 상위 3가지 "가장 흥미로운" 트렌드 중 하나이며, 지난 12개월 동안 Google 트렌드에 따르면 지속적으로 높은 관심을 받았습니다.
결과적으로 제로 트러스트는 "시프트 레프트"가 등장한 이래로 보안에 대한 가장 많이 거론되고 오해받는 접근 방식 중 하나가 되었습니다. 너무나 자주, 제로 트러스트는 소프트웨어 정의 경계(SDP)와 같은 특정 기술이나 ID 및 액세스 관리(IDAM)와 같은 시장 세그먼트와 동일시됩니다.
이는 전혀 놀라운 일이 아닙니다. 클라우드 컴퓨팅이 도입되었을 때 우리는 특정 기술이나 제품을 "최신 인기 트렌드"와 동일시하는 동일한 붐을 보았습니다. 클라우드 워싱은 정기적으로 발생하는 일이었으며 종종 신제품의 실제 "흐림"에 대한 비하적인 관찰로 사용되었습니다.
그러므로 제로 트러스트에 대한 정의부터 시작하는 것이 좋겠습니다. 저는 이 주제에 관해 이미 훌륭한 가이드를 출판한 동료인 Ken Arora와 Mudit Tyagi의 말을 인용하여 이를 설명하려고 합니다.
이는 중요한 사항이므로 다시 한 번 반복하겠습니다. 제로 트러스트 보안은 근본적으로 사고방식입니다.
이러한 사고방식은 일련의 가정을 수용하며, 기술의 사용은 이러한 가정의 결과입니다 .
즉, SDP 또는 API 보안과 같은 기술을 구현한다고 해서 제로 트러스트를 채택한 것은 아닙니다. 단일 제품을 도입했다고 해서 갑자기 "제로 트러스트 준수"가 되어 공격, 침해 또는 악용에 면역이 되는 것은 아닙니다.
사실, SDP와 API 보안은 실제로 제로 트러스트 접근 방식을 채택하는 데 적합한 전술적 대응이 될 수 있습니다. 하지만 거기에 도달하려면 몇 가지 핵심 가정에서 출발한 다음, 논리적으로 그 가정에서 나올 수 있는 가장 적합한 도구와 기술이 무엇인지 결정해야 합니다.
이를 구체화하기 위해 제목에서 말했듯이 봇 보호와 웹 및 API 보안이 "제로 트러스트" 도구 상자의 일부라는 결론을 내릴 수 있는 몇 가지 예를 살펴보겠습니다.
이제 이러한 접근 방식은 SDP와 ID 및 액세스 제어, 네트워크 방화벽과 CASB와 같은 다른 도구와 기술을 개발하고, 이러한 가정에서 자연스럽게 발생하는 알려진 위험을 완화하는 여러 다른 솔루션을 개발하는 데에도 도움이 됩니다. 하지만 그 중 하나만 구현해서 제로 트러스트 이니셔티브를 완료했다고 할 수는 없습니다. 그건 다리가 부러졌는데 병원에 가는 대신 타이레놀을 먹는 것과 같습니다. 그렇죠, 통증은 덜어주지만 실제 문제 자체는 해결하지 못합니다.
사고방식의 변화로 제로 트러스트를 도입하여 완화책을 마련하는 것은 완벽하지 않습니다. 어떤 방법도 완벽하지 않지만, 더 적응력이 뛰어나고 새로운 공격과 출현하는 공격에 더 빠르고 성공적으로 대처할 수 있는 길로 나아가는 데 도움이 될 것입니다.
안전하게 지내세요.
디지털 비즈니스를 위한 엔터프라이즈 아키텍처라는 책의 5장에서 제로 트러스트 접근 방식으로 보안을 현대화하는 방법에 대해 자세히 알아볼 수 있습니다.