Zero Trust 도입을 위한 기술 및 기술 고려

"왜"에서 확장 - 지침 원칙¹ —제로 트러스트에서 다음 관심사는 "어떻게"인가입니다. 즉, 이러한 원칙을 구현하는 데 사용된 기술과 기법입니다.

가장 넓은 관점에서 보면, 제로 트러스트 원칙은 시스템 설계, 사용된 하드웨어 플랫폼, 조달 절차를 포함한 전체 애플리케이션 개발 수명 주기에 적용될 수 있습니다.² 그러나 이 논문에서는 런타임에서 애플리케이션과 데이터를 방어하기 위해 제로 트러스트를 구현하는 것의 운영적 측면에 대해 논의합니다. 

대체로, 제로 트러스트 보안은 세 가지 뚜렷한 목표 중 하나를 달성하기 위해 기술을 사용합니다.

1. 거래 제약 조건 적용: 누가 누구 에게 무엇을 할 수 있는가.
2. 인간 시스템 운영자에게 상황 인식을 제공합니다.
3. 해당 거래의 위험-보상 프로필과 머신 러닝(ML) 지원 의심 지표를 기반으로 보다 진보된 위험 감소/해결 조치를 수행합니다.

다음 그래픽은 이러한 전반적인 제로 트러스트 보안 거래 모델을 보여주며, 이어지는 섹션에서는 각 기술 종류에 대해 더 자세히 살펴보겠습니다.

처음 두 가지 기술인 인증 및 액세스 제어는 서로 밀접하게 관련되어 있으며 "명시적 확인" 및 "최소 권한"의 원칙에 의해 직접적으로 동기를 부여받습니다. 이 기술은 " 누가 무엇을 할 수 있는가"를 시행하는 핵심이기 때문입니다. 더욱 정교한 인증 구현은 행위자의 지속적인 행동을 감시하여 "지속적으로 평가"하는 사고방식을 포착합니다. 

인증 기술은 모두 증명된 신원에 대한 신뢰를 구축하는 것입니다. WHO 거래에 참여하고 있습니다. 인증 프로세스에는 세 가지 구성 요소가 있습니다. 

1. 행위자가 자신의 신원을 명시하는 증명 또는 주장이 있습니다.
2. 일반적으로 행위자가 제공하는 일부 데이터는 증명의 진실성을 증명합니다.
3. 시스템은 증명이 정확할 가능성에 대한 평결이나 결정을 내립니다. 즉, 행위자는 자신이 주장하는 그 사람입니다. 아래 그래픽은 인증의 다양한 측면과 각 측면에 대한 성숙도 모델을 보여주며, 이어서 각 측면에 대한 심층적인 논의가 이어집니다. 

가장 기본적인 형태의 증명은 종종 "사용자"라고 합니다. 사용자란 거래를 수행하려는 인간 또는 인간을 대신하여 행동하는 에이전트를 말합니다. 그러나 애플리케이션 내에서 사용되는 제로 트러스트의 경우 행위자는 워크로드(예: 프로세스, 서비스 또는 컨테이너)일 수 있으므로 일반화된 ID 개념에는 이러한 행위자가 포함되어야 합니다. 다른 경우에는 Who 라는 개념에 단순히 인간이나 업무량뿐만 아니라 추가적인 고려 사항이나 정체성의 차원이 포함됩니다. 이러한 관점에서 볼 때, 신원의 추가적인 차원에는 사용자/작업 부하의 장치나 플랫폼, 상호작용에 사용되는 생태계 또는 에이전트의 위치가 포함될 수 있습니다. 예를 들어, 사용자 "Alice"는 IPv4 주소 10.11.12.13에서 소스된 특정 지문이 있는 브라우저 인스턴스를 사용하여 "ABC- 0001"로 태그가 지정된 PC에 있을 수 있습니다. 

일부 시스템에서는 인증되지 않은 사용자(때로는 "게스트" 또는 "익명" 사용자라고도 함)가 제한된 일련의 거래를 수행하도록 허용합니다. 이러한 시스템의 경우, 신원을 증명하는 추가 단계와 시스템이 판결을 내리는 것은 의미가 없습니다. 그러나 특정하게 증명된 신원에 대해 다음과 같은 방법을 사용하여 해당 증명을 뒷받침하는 것이 일반적입니다.

• 비밀번호와 같은 공유 비밀에 대한 지식.
• 서명된 인증서와 같이 신뢰할 수 있는 제3자가 발급한 일종의 신임장입니다.
• 사용자, 워크로드 또는 플랫폼에 대한 조사(예: 장치 지문 인식) 또는 능동적 조사(예: 캡차 챌린지)
• 지리적 위치, IP 평판, 접속 시간 등 행위자와 관련된 메타데이터입니다.
• 수동 생체 인식 분석이나 애플리케이션 상호 작용의 워크플로 패턴과 같은 행동 분석. 

높은 수준의 신뢰도가 필요한 경우 종종 여러 가지 방법을 사용합니다. 이는 Google BeyondCorp 모델에서 입증됩니다.³ 더 높은 가치의 거래를 허용하기 전에 다중 요소 인증(MFA)이 필요합니다. 보다 정교한 인증 솔루션은 각 신원에 "신뢰"를 연관시키고 거래의 가치와 위험에 따라 각 거래 유형에 대한 최소 신뢰 수준을 지정합니다.

마지막으로, 이러한 방법 중 일부는 정적이고 일회성 조치가 아니며 "지속적으로 평가"라는 원칙에 따라 지속적으로 수행될 수 있고 수행되어야 합니다. 이러한 경우, 신원 증명에 할당된 신뢰 점수는 시간이 지남에 따라 상승하거나 하락할 수 있습니다. 예를 들어, 브라우저 지문이나 IP 주소는 단일 사용자 세션 내에서 변경될 수 있으며, 이는 의심스러운 것으로 간주되어 신뢰도가 떨어질 수 있습니다. 또는 세션에서 행위자의 동작에 대한 데이터가 더 많이 수집됨에 따라 현재 동작을 과거 관찰과 비교하는 방법에 따라 신뢰도 점수가 증가하거나 감소할 수 있습니다.

보다 진보된 시스템에서는 동적 인증이 접근 제어와 함께 작동할 수 있습니다. 이러한 상호작용의 첫 번째 수준으로, 액세스 제어 정책은 앞서 언급한 대로 다양한 종류의 거래에 대한 최소 신뢰 점수를 지정할 수 있습니다. 다음 단계의 상호작용에서는 접근 제어 하위 시스템이 인증 하위 시스템에 피드백을 제공할 수 있으며, 일반적으로 신뢰 점수를 최소 임계값으로 높이기 위해 추가 인증을 요청합니다.

거래에 참여하는 사람이 누구 인지 확인하기 위해 인증 기술을 사용한 후 다음과 같은 질문을 하게 됩니다. 무엇 그 배우가 그런 짓을 해도 괜찮나요? 그리고 누구 에게? 이것이 접근 제어 기술의 영역입니다.

물리적 보안에 대한 비유로, 군사 기지를 방문하고 싶다고 상상해 보세요. 경비원은 당신이 민간인, 정치인, 군인인지 확실하게 판단한 후, 그 판단을 토대로 당신이 들어갈 수 있는 건물을 결정하고, 들어갈 수 있는 각 건물에 카메라를 가지고 들어갈 수 있는지 여부를 결정합니다. 이러한 선택을 규정하는 정책은 매우 거칠고 모든 건물에 적용될 수도 있고(예: "정치인은 모든 건물에 들어갈 수 있음"), 더 세분화될 수도 있습니다(예: "정치인은 <A>와 <B> 건물에만 들어갈 수 있지만 카메라는 <A>에만 가져올 수 있음").

사이버 보안 컨텍스트에 적용되는 액세스 제어 기술은 "최소 권한"의 제로 트러스트 원칙을 구현해야 합니다. 즉, 최적의 액세스 제어 정책은 행위자에게 필요한 권한만 허용하고 다른 모든 권한은 허용하지 않습니다. 또한 이상적인 견고한 정책은 행위자의 신원에 대한 최소 신뢰 수준을 조건으로 하며, 신뢰 임계값은 허용된 각 권한의 세분성으로 지정됩니다.

따라서 접근 제어 솔루션의 가치는 이러한 이상에 얼마나 부합하는지에 따라 판단할 수 있습니다. 구체적으로, 제로 트러스트 보안 솔루션에는 액세스 제어가 포함되어야 하며 아래에 묘사되고 그 뒤에 설명되는 차원에 따라 액세스 제어 기술을 평가해야 합니다. 

1. 액세스 제어 권한은 얼마나 세분화되어 있습니까?

1. 작업의 세부성, 즉 거래의 내용은 무엇입니까? 그것은:

1. 이진 : "모든" 거래 허용 또는 "없음" 허용. 군사 기지 비유에서 이는 "모든 군인은 어떤 건물에도 들어갈 수 있고 원하는 것은 무엇이든 할 수 있다"와 "민간인은 어떤 건물에도 들어갈 수 없다"는 것에 해당합니다.
2. 거친 : API 엔드포인트 또는 트랜잭션 "유형"(파일 I/O, 네트워크 통신, 프로세스 제어 등)에 대한 세부 정보입니다. 우리의 예에서, 이것은 "정치인은 건물에 들어갈 수 있지만 사진을 찍을 수는 없다"와 같이 허용되는 행동에 대한 미묘한 차이를 허용할 것입니다. 
3. 괜찮은: 하위 API(즉, API의 매개변수나 버전에 따라 다름) 또는 트랜잭션의 "하위 유형"(예: 파일 I/O 읽기 전용 또는 TCP 수신 전용) 우리의 비유를 한 번 더 사용하면, "민간인은 군인과 동행해야만 건물에 들어갈 수 있다"와 같이 더 세부적인 통제가 가능해집니다. 

2. 거래에서 작업 대상( Whom) 에 대한 세부 사항이 있습니까? 그것은:

1. 타겟 세분화되지 않음: 액세스 제어 정책은 작업 대상을 고려하지 않습니다. 우리의 예에서 이 접근 방식은 일부 건물에는 입장을 허용하지만 다른 건물에는 허용하지 않는 세분성에 매핑됩니다. 즉, 건물이 "진입" 작업의 대상입니다.
2. 대상 세부 사항, 인프라 수준: 액세스 제어 정책에는 작업 대상을 포함할 수 있지만, 대상의 IP 주소, DNS 이름 또는 Kubernetes(K8S) 컨테이너 이름 등 일부 인프라별 태그/레이블을 사용합니다. 이를 통해 정책을 건물 단위로 세분화할 수 있지만, 각 군사 기지마다 건물 명명 규칙이 다를 수 있습니다.
3. 대상 세부화, 신원 인식: 액세스 제어 정책에는 작업 대상을 포함할 수 있으며, 행위자(Who)에 사용된 것과 동일한 ID 이름 공간(예: SPIFFE)을 사용하여 대상을 식별합니다. 이전 접근 방식에 비해 장점은 모든 군사 기지에서 건물을 식별하는 데 일관된 방식을 사용할 수 있어 정책의 이동성이 더 높다는 것입니다.

2. 접근 제어 솔루션은 덜 위험한 행동과 더 위험한 행동의 개념을 어떻게 처리합니까?

1. 위험을 인식하지 못함: 액세스 제어 솔루션은 작업을 허용할지 거부할지에 대한 결정의 관점에서 모든 액세스 제어 권한을 동일하게 취급합니다.
2. MFA를 통한 위험 관리: 접근 제어 솔루션은 거래에 관련된 행위자( Who ), 작업( What ) 또는 대상( Whom )을 기반으로 일부 허용된 거래에도 다중 인증이 필요하다는 것을 정책에서 지정하도록 허용하여 위험을 관리합니다.
3. 신뢰를 통한 위험 관리: 접근 제어 솔루션은 거래의 작업( 무엇 )과 대상( 누구 )에 따라 거래자의 진위성에 대한 최소 신뢰 수준이 여전히 필요할 수 있음을 정책에서 지정할 수 있도록 하여 위험을 관리합니다. MFA는 신뢰도를 높일 수 있지만 다른 수단을 사용할 수도 있습니다. 다른 경우에는 거래 가치가 높고 행위자의 진위성이 충분히 불확실할 경우 거래가 전혀 허용되지 않을 수도 있습니다.

"지속적으로 평가(및 재평가)"라는 원칙을 주목하면, 행위자의 진정성에 대한 모든 믿음은 시간이 지남에 따라 조정되어야 합니다. 간단한 해결책에서는 단순히 시간 초과일 수 있고, 더 정교한 시스템에서는 시간이 지남에 따라 행위자의 행동을 관찰하여 신뢰도가 달라질 수 있습니다.

인증 및 액세스 제어가 "항상 확인" 및 "최소 권한" 사고방식의 구현이라면 가시성 및 상황 분석은 "지속적인 평가" 및 "침해 가정" 원칙의 기초가 됩니다.

가시성은 분석에 필요한 선행 조건입니다. 시스템은 볼 수 없는 것을 완화할 수 없습니다. 따라서 제로 트러스트 보안 솔루션의 효능은 시스템 운영과 외부 컨텍스트에서 수집할 수 있는 원격 측정의 깊이와 폭에 정비례합니다. 그러나 현대의 가시성 인프라는 합리적인 인간이 도움 없이 적시에 처리할 수 있는 것보다 훨씬 더 유용한 데이터, 메타데이터 및 컨텍스트를 제공할 수 있습니다. 더 많은 데이터에 대한 요구와 그 데이터를 더욱 빠르게 통찰력으로 추출할 수 있는 능력의 결과로, 인간 작업자를 위한 기계 지원이 핵심 요구 사항입니다.

이러한 지원은 일반적으로 규칙 기반 분석부터 통계적 방법, 고급 머신 러닝 알고리즘까지 다양한 자동화 알고리즘을 사용하여 구현됩니다. 이러한 알고리즘은 원시 데이터의 소방 호스를 인간 운영자가 평가하고 필요한 경우 수정하는 데 사용할 수 있는 사용 가능하고 운영 가능한 상황 인식으로 변환하는 역할을 합니다. 이러한 이유로 ML 지원 분석은 가시성과 함께 진행됩니다.

원시 데이터(가시성)에서 작업(수정)으로 이어지는 일반화된 파이프라인은 아래와 같습니다. 

가시성은 "지속적으로 평가"하는 제로 트러스트 원칙을 구현하는 "방법"입니다. 여기에는 사용 가능한 데이터 입력(카탈로그)의 인벤토리를 유지하고 실시간 원격 측정과 과거 데이터 보존(수집)이 포함됩니다.

제로 트러스트 가시성 구현의 성숙도는 다음 4가지 요소를 고려해야 합니다. 

1. 지연 시간 : 데이터는 실시간에 얼마나 가까운가요?

지연 시간은 잠재적 위협에 얼마나 빨리 대응할 수 있는지에 대한 하한선을 제공합니다. 제로 트러스트 솔루션의 지연 시간은 초 이하로 측정해야 합니다. 그렇지 않으면 아무리 정확한 분석이라도 데이터 유출/암호화 또는 리소스 고갈로 인한 사용 불가와 같은 악용의 영향을 방지하기에는 너무 늦을 가능성이 큽니다. 더욱 정교한 시스템에서는 동기식 및 비동기식 완화가 모두 가능할 수 있습니다. 동기적 완화는 전체적인 가시성과 분석이 완료될 때까지 거래 완료를 방해합니다. 동기적 완화로 인해 트랜잭션에 지연 시간이 추가될 가능성이 있으므로, 이러한 작동 모드는 특히 비정상적이거나 위험한 트랜잭션에만 적용되며, 다른 모든 트랜잭션은 원격 측정 데이터를 보내고 비동기적으로 분석할 수 있습니다.

2. 소비성 : 데이터를 얼마나 쉽게 사용할 수 있나요?
   

이러한 우려는 데이터가 여러 소스나 여러 유형의 데이터 센서로부터 수신되는 경우 특히 중요한데, 이는 일반적인 상황입니다. 이러한 요소는 일반적으로 두 가지 하위 문제들로 구분됩니다. 

• 구문 수준에서는 데이터를 어떻게 추출하고 표현할 수 있는가. 예를 들어, 소스 IP 평판이 한 소스에서는 syslog 메시지에 텍스트 필드(예: "악성", "의심", "알 수 없음" 등)로 도착하고, 다른 소스에서는 데이터 파일에 숫자형 이진 인코딩 필드로 도착하는 경우 정식 표현을 식별해야 합니다. 들어오는 데이터를 추출하여 해당 표현으로 변환하려면 데이터 직렬화가 필요합니다. 

• 의미 수준에서 서로 다른 소스는 구문과 전달 방식뿐만 아니라 의미론에서도 다를 수 있습니다. IP 평판 예시를 다시 사용하면, 한 공급자는 위협 점수를 숫자로 제공하는 반면, 다른 공급자는 IP를 "TOR 노드", "DNS 제어" 또는 "피싱"과 같은 버킷으로 분류할 수 있습니다. 가시성 솔루션은 또한 들어오는 데이터를 일관된 구문으로 정규화하기 위한 메커니즘을 제공해야 합니다. 

3. 완전성: 사용 가능한 데이터의 폭과 깊이는 어느 정도입니까?

고품질 가시성 솔루션에서 얻을 수 있는 주요 가치 중 하나는 잠재적 침해의 지표로서 의심스러운 활동을 발견하는 기능입니다. 이를 효과적으로 수행하려면 솔루션은 애플리케이션 제공의 모든 관련 "계층"에서 원격 측정을 수신해야 합니다. 즉, 애플리케이션 자체는 물론 애플리케이션 인프라, 네트워크 인프라, 애플리케이션에 적용되거나 사용되는 모든 서비스, 심지어 클라이언트 장치의 이벤트까지 수신해야 합니다. 예를 들어, 전에 본 적이 없는 새로운 기기를 사용해 접속하는 사용자를 식별하는 것은 그 자체로 약간 의심스러울 수 있지만, 네트워크 정보(예: 외국의 GeoIP 매핑)와 결합하면 의심 수준이 더욱 높아집니다. 이러한 의심 수준은 사용자의 신원에 대한 낮은 신뢰 점수로 나타납니다. 제로 트러스트 보안 정책의 맥락에서 이러한 행위자가 고가 거래(예: 해외 계좌로의 자금 이체)를 시도할 때 액세스 제어 솔루션은 낮은 신뢰도를 기반으로 거래를 차단하기로 선택할 수 있습니다.

제로 트러스트 사고방식과 관련하여 가시성 솔루션이 더 깊고 완벽할수록 시스템은 거래를 적절하게 제한하고 침해를 감지하는 데 더 효과적일 수 있습니다.

4. 통치: 법적 및 라이센스 기반 데이터 사용 요구 사항이 얼마나 잘 충족됩니까?

마지막으로, 모든 데이터 수집은 데이터의 보안, 보관 및 사용과 관련된 법률 및 라이센스 요구 사항을 준수해야 합니다. 따라서 견고한 가시성 솔루션은 이러한 각각의 요구 사항을 충족해야 합니다. 거버넌스로 인한 데이터 사용 제약 조건을 이해하는 것은 제로 트러스트 가시성 솔루션에 반영되어야 합니다. 예를 들어, IP가 개인 식별 정보(PII)로 간주되는 경우 분석을 위해 IP 주소를 사용하고 장기간 보관하는 것은 IP 주소의 허용 가능한 용도에 부합해야 합니다. 

가시성 외에도 "지속적인 평가"를 구현하는 데 필요한 다른 기계는 의미 있는 평가를 수행하는 데 필요한 분석 도구입니다. 즉, 제로 트러스트 솔루션으로 운영화할 수 있는 평가를 갖는 것입니다.

분석 시 고려해야 할 사항 중 하나는 입력 데이터의 범위와 폭입니다. 분석 알고리즘에 대한 입력은 단일 소스의 단일 데이터 스트림으로 제한될 수도 있고, 다양한 데이터 소스와 인프라 및 애플리케이션의 모든 계층을 포함하여 여러 스트림을 살펴볼 수도 있습니다. 

• 가장 기본적인 맥락화는 단일 "유형" 또는 "스트림" 데이터(예: "시간 및 소스 IP 주소가 포함된 사용자 로그인 정보" 이벤트 스트림)의 범위 내에 있으며, 일반적으로 여러 사용자에 대한 과거 맥락 및/또는 데이터가 포함됩니다. 이 분석을 통해 "이 사용자 <X>는 하루 중 이 시간대에 로그인한 적이 없습니다." 또는 "이 사용자 <X>는 항상 다른 사용자 <Y> 직후에 로그인하는 것으로 보입니다."와 같은 기본적인 통찰력을 얻을 수 있습니다. 전자는 신원에 대한 확신을 감소시킬 수 있고, 후자는 악의적일 수 있는 더 높은 수준의 패턴을 나타내는 것일 수 있습니다.
• 더욱 진보된 맥락화는 단일 "유형"의 데이터에 대해서만 시간 기반 및 다중 인스턴스 범위를 고려할 뿐만 아니라 다양한 "유형" 또는 "스트림"의 데이터에 대한 시간 상관 관계도 수행합니다. 예를 들어 사용자 로그인 데이터를 애플리케이션 계층(예: 자금 이체 또는 이메일 연락처 업데이트)이나 네트워크 계층(예: IP 기반 지리적 위치 조회)의 특정 작업과 연관시키는 것이 있습니다. 

제로 트러스트 프레임워크에서 분석의 두 번째로 특히 중요한 측면은 인간의 능력을 넘어서는 수집된 데이터의 양과 비율을 다루는 것입니다. 그러므로 인간이 이해할 수 있는 통찰력을 형성하기 위해서는 어떤 종류의 기계 지원이 필요합니다. 다시 말해, 지원의 정교함은 발전으로 설명될 수 있습니다.

• 시각화만: 첫 번째 단계는 일반적으로 관리 포털에서 제공되는 대시보드를 통해 통계 및 이벤트를 간단하게 표현하는 것입니다. 제시된 데이터는 수집된 데이터 스트림(일반적으로 고정된 기간 내 사용자/거래에 대한 시계열 또는 종단적 횡단면)을 기반으로 합니다. 더욱 발전된 대시보드에서는 데이터 정렬, 그룹화 기능은 물론, 필터링을 통한 드릴다운 기능도 제공합니다. 이 모델에서는 인간이 모든 데이터 탐색, 이벤트 우선순위 지정, 분석 및 수정을 수행하고 자동화는 주로 데이터 탐색에 도움을 줍니다.
• 시각화 및 구성 가능한 정적 규칙: 시각화의 가장 일반적인 확장 기능은 경고나 해결을 위해 정적으로 지정된 규칙을 인간이 정의할 수 있도록 하는 기능입니다. 이러한 규칙의 예로는 “인간에게 알림 <남자> 만약 <CPU 부하가 5분 동안 80%를 초과합니다.>” 또는 “필요 <이메일을 통한 MFA> 만약 <API [Y]가 호출되고 국가가 [미국]이 아닙니다.>”. 이러한 규칙은 솔루션 제공업체가 지정한 사전 정의된 규칙으로 제한될 수도 있고, 보다 고급 규칙 기반 하위 시스템에서는 SecOps 엔지니어가 작성한 사용자 정의 규칙을 허용할 수도 있습니다. 어느 경우든 적용되는 규칙은 일반적으로 구성을 통해 제어(필요한 경우 정의)됩니다. 
• 시각화 및 ML 지원: 다음 단계에서는 이전에 식별된 악성 거래의 패턴과 일치하는 행동 이상 및/또는 거래를 찾아내는 보다 진보된 기술을 사용합니다. 사용되는 기술은 많지만(기술 및 비즈니스 상충에 대한 심층적인 논의는 이 논문의 범위를 벗어납니다) 고려해야 할 핵심 사항은 몇 가지 있습니다. 

• 필요한 인간의 노력: 일부 ML 기술에는 "훈련"(일명 지도 학습)이 필요합니다. 즉, 신뢰할 수 있고 안정적인 "분류기"를 사용하여 적당한 크기의 데이터 코퍼스를 미리 분류해야 합니다. 종종 신뢰할 수 있는 분류를 위해서는 "분류자"가 인간이나 인간 집단이 되어야 합니다. 이런 경우에는 필요한 인간의 노력을 고려해야 합니다. 다른 기술(비지도 학습이라고도 함)은 인간의 노력 없이 스스로 이상을 감지하고 패턴을 인식합니다. 
• 설명 가능성: 머신 러닝 시스템의 출력은 입력 데이터를 모델과 평가하여 생성됩니다. 이 모델은 "이 사용자가 지난달에 이 장치에서 나타났는가?"와 같이 간단하고 쉽게 답할 수 있는 일련의 질문을 기반으로 할 수 있습니다. 또한 "이 사용자는 근무 시간 동안 로그인하지 않는 사용자의 일반적인 패턴에 해당합니다."와 같이 쉽게 설명할 수 있는 유사성을 기반으로 할 수도 있습니다. 다른 경우에는 모델이 입력 데이터에 복잡한 벡터 대수 연산을 적용하는 것에 기반할 수 있으며, 쉽게 식별할 수 있는 고수준 논리가 없는 경우도 있습니다. 이 마지막 사례는 이전 두 가지 예에 비해 분명히 설명이 어렵습니다. 즉, "블랙박스"에 가깝습니다. 어떤 경우에는 설명 가능성이 인간의 이해나 감사 가능성에 중요한 요소입니다. 그러한 경우에는 설명 가능한 모델이 이해하기 어려운 모델보다 훨씬 더 선호됩니다. 
• 신뢰 점수 가용성: 앞서 언급했듯이, 모델이 결정에 얼마나 확신하는지를 나타내는 지표(즉, 거짓 양성 또는 거짓 음성의 상대적 가능성)는 종종 매우 유용합니다. 일부 알고리즘의 경우 신뢰 지표 출력이 자연스럽게 도출되고, 규칙 기반 알고리즘과 같이 신뢰 수준을 출력 중 하나로 명시적으로 지정해야 하는 경우도 있습니다. 어느 경우든 신뢰 점수를 제공할 수 있는 알고리즘은 제공할 수 없는 알고리즘보다 더욱 강력합니다. 

규칙 기반 접근 방식과 마찬가지로 ML 지원은 탐지에만 국한될 수도 있고 자동 수정과 연계될 수도 있습니다. 또한 ML 지원은 규칙 기반 시스템과 함께 사용할 수 있으며, 이 경우 ML "판결"(또는 의견 또는 확신)을 규칙의 입력으로 사용할 수 있습니다(예: "<ML 평가자 [bot_detector_A]가 봇의 확신도가 90% 이상이라고 보고하면 <X> 작업을 수행하세요"). 

제로 러스트 사고방식의 마지막 원칙은 "침해를 가정하는 것"입니다. 명확하게 말해서, 적절하게 구현된 인증 및 액세스 제어 방법은 대부분의 악의적인 거래를 방지하는 데 효과적입니다. 그러나 엄청난 편집증 때문에 인증 및 액세스 제어 시행 메커니즘이 충분히 동기가 부여되거나 운이 좋은 적대자에 의해 무너질 것이라고 가정해야 할 것입니다. 이러한 탈출에 적시에 대응하기 위해 필요한 침해 감지에는 가시성과 기계 지원 분석이 필요합니다. 따라서 다른 시행 메커니즘이 때때로 무력화될 수 있기 때문에 위험 기반 수정의 제로 트러스트 보안 백스톱 솔루션을 제공하기 위해 ML 지원 상황 분석을 제공하는 가시성 기술이 필수적입니다. 

실제 악의적 거래가 인증 및 액세스 제어를 무력화한 "거짓 부정" 사례의 경우 자동화된 위험 기반 수정 메커니즘을 대책으로 사용해야 합니다. 하지만 이 기술은 이전의 강제 검사를 통과한 거래에 대한 방어수단으로 적용되기 때문에 사실상 "진정한 부정"(유효하고 바람직한 거래)이었던 것을 "거짓 긍정"(악의적인 거래로 잘못 표시)으로 잘못 표시할 수 있다는 우려가 더 큽니다. 이러한 우려를 완화하기 위해 인증 또는 액세스 제어를 통해 포착되지 않은 잠재적 악의성에 대한 믿음으로 인해 발생하는 모든 수정 조치는 다음 세 가지 요소를 기반으로 해야 합니다.⁴

• 거래의 사업적 가치: 거래에 따라 위험과 보상의 수준은 다릅니다. 예를 들어, 은행 계좌를 통한 거래는 외국 계좌로 자금을 이체하는 거래보다 위험이 적습니다. 마찬가지로 항공사의 경우, 현재 항공편 지연 정보를 나열한 거래보다 항공권을 구매하는 것이 더 높은 사업적 보상 거래가 될 가능성이 높습니다. 사업적 가치 는 거래의 위험 프로필에 비해 잠재적인 사업적 보상의 이점을 평가한 것입니다. 높은 사업적 가치가 있는 높은 보상/저위험 거래에 비해 추측적 수정에서 낮은 보상/고위험 거래로 인한 "거짓 긍정" 효과를 용인하는 것이 더 수용 가능합니다. 
• "악의성" 믿음에 대한 확신: 물론, 추측적 개선에 대한 모든 제안이 동일한 것은 아닙니다. 구체적으로, 위에서 언급한 위험 대비 보상 외에 다른 핵심 요소는 거래에 대한 신념에 대한 확신, 예를 들어 행위자의 입증된 신원에 대한 확신입니다. 대략적으로 말해서, "거짓 부정"의 가능성, 즉 집행 메커니즘이 작동하지 않았지만 작동했어야 할 확률은 행위자에 대한 신뢰도에 반비례합니다. 그리고 "거짓 부정"을 줄이는 것이 위험 기반 수정의 목표이기 때문에 신뢰도가 낮을수록 시스템은 수정을 적용하는 데 더 많은 편향을 갖게 됩니다.
• 교정의 영향: 마지막으로, 모든 해결 방법이 허용이나 차단이라는 이분법적 결정으로 이루어지는 것은 아닙니다. 사실 다양한 위험 감소 기술이 가능한데, 사용자에게 보이는 것(예: 추가 자격 증명/MFA 요청, 캡차와 같은 챌린지 제공)부터 사용자에게는 거의 보이지 않는 것(DLP와 같은 심층적인 트래픽 검사 수행 또는 보다 고급/컴퓨팅 집약적 분석 수행)까지 다양합니다. 따라서 사용자가 경험하는 마찰과 애플리케이션의 운영 비용(예: DLP 또는 컴퓨팅 중심 분석)을 통해 측정되는 이러한 추가적인 위험 감소 형태를 수행하는 영향은 고려해야 할 세 번째 요소입니다. 영향이 적고 고객에게 투명한 수정 조치가 영향이 큰 고객에게 눈에 띄는 문제보다 선호되며, 거래를 완전히 차단하는 것은 가장 매력적이지 않은 옵션입니다. 그러나 신뢰도가 높거나 다른 위험 감소 메커니즘을 통해 신뢰도를 충분히 높일 수 없는 위험한 거래의 경우 차단이 적절할 수 있습니다. 

제로 트러스트 보안은 심층 방어와 같은 기존의 보안 접근 방식을 보다 현대적으로 해석한 것으로, 보안에 대한 거래 중심적 관점( 누가 누구 에게 무엇을 하려고 하는지)을 취함으로써 기존 기술을 확장한 것입니다. 이러한 접근 방식은 애플리케이션에 대한 외부 액세스를 보호하는 것뿐만 아니라 애플리케이션 내부를 보호하는 데도 적용할 수 있습니다.⁵ 이러한 기본적인 거래 관점을 고려할 때, 제로 트러스트 보안은 오늘날의 더욱 복잡하고 어려운 환경에서 애플리케이션을 방어하는 데 사용되는 핵심 원칙 집합에 기반을 두고 있으며, 이러한 원칙은 해당 원칙을 구현하는 일련의 하위 시스템 수준 솔루션 또는 방법에 매핑됩니다. 핵심 원칙과 이를 해결 방법에 매핑하는 방법은 아래와 같습니다. 

인증, 액세스 제어, 가시성, 상황 분석, 위험 인식 수정과 같은 이러한 도구는 다양한 유형의 공격을 방지하는 데 필요하고 충분합니다.

보고서 다운로드