블로그

신원 경계 보호

F5 썸네일
F5
2018년 7월 25일 게시

요즘은 성 주변에 안전한 해자를 파는 게 불가능합니다. 네트워크 경계 '성과 해자' 보안 모델은 효과적이지 않다는 데에는 폭넓은 의견이 일치합니다. 여러분은 아마도 ID 경계와 제로 트러스트에 대해 들어보셨을 겁니다. 하지만 이것이 현실 세계에서 실제로 무슨 뜻일까요? 우리는 보안 전문가가 테스트하고 감사할 수 있는 일관되고 안전한 방식으로 API에 대한 액세스를 승인하는 것과 같은 다른 과제에도 직면해 있습니다.  

ID 경계란 무엇입니까? 

신원 경계는 누가 무엇에 접근할 수 있는지 보호하는 것이며 세 가지 핵심 부분으로 구성됩니다. 첫째, 사용자를 안전하게 식별할 수 있는 기능이 필요합니다. 여기서 Multifactor가 도움이 됩니다. 두 번째로, 우리는 그 ID를 애플리케이션으로 확장해야 합니다. 여기서 우리는 연합을 사용합니다. 셋째, 모든 것에 액세스하는 데 해당 ID를 사용하도록 요구하여 단일 제어 지점과 장치 검사 기능을 갖춰야 합니다. 여기에서 액세스 프록시가 도움이 됩니다. F5 랩이 10년간의 데이터 침해로부터 얻은 교훈 보고서를 통해, 침해의 33%가 원래 신원을 표적으로 삼았다는 사실을 밝혔습니다. 우리가 해야 할 일이 있다는 것은 분명합니다. 

Access Proxy가 중요한 이유 

Google의 BeyondCorp 방법론은 액세스 프록시를 단일 제어 지점을 시행하는 기능으로 식별합니다. 이는 이를 제로 트러스트 아키텍처의 중요한 부분으로 만듭니다. 일부 공급업체는 액세스 프록시 솔루션을 보유하고 있지만 대부분은 배포할 수 있는 클라우드, 사용할 수 있는 ID 공급업체 또는 적용할 수 있는 제어에 제한이 있습니다.  

"액세스 프록시는 Zero Trust 아키텍처를 도입하는 데 필수적인 부분이며 IDaaS에 대한 투자의 이점을 확대합니다. F5와 Okta를 결합하면 두 가지 제안이 모두 강화되어 앱이 배포된 모든 곳에서 보안과 사용자 경험이 향상됩니다."
- Okta 통합 및 전략적 파트너십 부사장 Chuck Fontana

손상된 인증 및 손상된 액세스 제어는 웹 애플리케이션에서 흔하고 심각한 문제로 OWASP Top 10에 포함되었습니다. F5 Labs의 2018년 애플리케이션 보호 보고서 에 나타난 대로, 이러한 위협은 너무 흔해서 인증 우회가 공격 스크립트 라이브러리에서 중요한 부분을 차지합니다. 액세스 프록시는 애플리케이션 앞에 필요한 액세스 제어 및 인증 요구 사항을 구현하는 일관된 방법을 제공합니다. 이렇게 하면 모든 애플리케이션 개발자가 인증 전문가일 필요는 없어집니다(가능성은 낮음). 우리는 "시장 출시 시간"에 대해 많은 시간을 이야기하지만 "보안 시간"도 마찬가지로 중요합니다. 

API – 데이터 게이트웨이 

API 권한 부여 컨트롤을 애플리케이션에 직접 구현하는 경우 각 언어와 프레임워크는 약간씩 다르게 구현되어야 합니다. 이로 인해 제어의 효과를 평가하고 결정하는 것이 매우 어려워지고 패치, 테스트 및 유지 관리가 필요한 보안 제어의 양이 크게 늘어납니다. API를 성공적으로 보호하려면 클라우드 전반에서 작동하고 애플리케이션 언어와 관계없이 동일하게 배포되는 단일 솔루션이 중요합니다. 

F5의 접근 방식은 무엇입니까? 

F5는 고객이 이러한 문제를 해결할 수 있도록 돕기 위해 Access Manager를 출시합니다. 주요 특징은 다음과 같습니다. 

  • IDaaS 및 페더레이션 통합 – SAML, OAuth 및 OpenID Connect를 지원하여 Access Manager가 ID를 확장하여 더 많은 애플리케이션을 보호하고 단일 제어 지점을 유지할 수 있습니다. Okta 및 Azure AD와 같은 주요 IDaaS 공급업체는 가이드 구성을 통해 지원됩니다. Access Manager는 ID 공급자 또는 권한 부여 서버 역할도 수행하여 완벽한 솔루션을 제공합니다.

  • API 인증 – Access Manager는 OAuth, OpenID Connect, Certificate Auth 등을 지원하여 API에 대한 인증 제어를 구현하는 안전하고 일관된 방법을 제공합니다.

  • 신원 정보 보호 – 신원에 대한 공격은 데이터 센터 가장자리에서 끝나지 않으므로 보호도 마찬가지입니다. Access Manager는 F5 DataSafe를 통해 사용자가 자격 증명을 입력할 때 제출 전에도 해당 자격 증명을 암호화하여 사용자의 브라우저로 신원 보호를 확장합니다.

  • 세분화된 정책 제어 – Access Manager에는 애플리케이션, 사용자 또는 장치별로 세분화된 제어를 만들어 위험을 제어하는 데 도움이 되는 시각적 정책 빌더가 포함되어 있습니다.

  • 가이드 구성 – 명확한 가이드를 통해 복잡한 작업을 쉬운 단계로 정리합니다. 이를 통해 보안팀은 신속하게 제로 트러스트 아키텍처를 구축하고, API를 보호하고, IDaaS 솔루션의 범위를 확장하거나 애플리케이션에 액세스 권한을 부여할 수 있습니다. 

기대하다 

F5가 미래를 내다보면, 몇 년 전만 해도 불가능했던 방식으로 신원을 보호하기 위해 새로운 위험 기반 사용자 인증 모델이 필요하다는 것을 알 수 있습니다. 프록시를 통합하고 인증 및 권한 부여를 보호하는 일관된 방법을 구축하는 것이 중요하다는 것은 분명합니다. 곧 신원 경계를 보호하는 새로운 방법이 나오기를 기대합니다.