AWS의 제로 트러스트와 실현에 대해
안녕하세요 클래스메소드의 수재입니다.
이번 글에서는 제로 트러스트란 무엇인지, AWS에서 이를 실현하려면 어떤 부분을 신경써야하는지 알아보도록 하겠습니다.
제로 트러스트란?
제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 보안 아키텍처를 설계하는 방식입니다. - Redhat
제로 트러스트는 복잡한 네트워크의 보안이 항상 외부 및 내부 위협에 취약한 상태라고 가정하는 프레임워크입니다. - IBM
제로 트러스트란 신뢰할 수 있는 네트워크 경계는 존재하지 않으며, 모든 네트워크 트랜잭션이 이루어지려면 먼저 인증을 받아야 한다고 가정하는 IT 보안 접근 방식입니다. - vmware
기존에는 네트워크 등의 일정 경계를 통과하면 신뢰할 수 있는 사용자/기기라고 가정하고 아키텍쳐를 설계해왔습니다. 이를 경계 기반 보안 혹은 경계형 모델이라고 합니다.
외부와 내부의 네트워크를 구분하는 역할을 보통 방화벽이 합니다.
기존에는 사내 네트워크 안에서 서버가 동작하거나 인증을 위한 리소스도 사내 네트워크에 있고 사용자도 사내에서만 작업을 하기 때문에 이러한 경계 기반이라도 안전하게 사용할 수 있는 경우가 많았습니다.
이후 클라우드의 등장으로 클라우드 네이티브 혹은 하이브리드 아키텍처를 운용하는 경우가 많아졌고 자연스럽게 외부의 네트워크와 연결되는 상황도 많아졌습니다.
따라서 기존의 경게 기반에는 허점이 많았습니다.
제로 트러스트 및 제로 트러스트 아키텍쳐(ZTA)는 경계 기반을 벗어나 모든 상호작용이 신뢰할 수 없는 상태라는 것을 가정하고 아키텍쳐를 설계하는 방식입니다.
따라서 사용자 혹은 사용 기기가 이미 네트워크 안에 있더라도 이를 신뢰하지 않습니다.
처음 증명한 작업 이외의 작업을 진행할 때는 다시금 자격 증명을 하는 등 강한 보안 및 자격 증명이 요구됩니다.
중요한 점(핵심 요소)
제로 트러스트의 핵심 요소는 신뢰하지 말고 항상 검증할 것 입니다.
이를 위해 경계 기반의 탈피 및 최소 권한을 검토할 필요가 있습니다.
우선 경계 기반에서 벗어나 기본적으로 모든 연결을 신뢰할 수 없다고 가정합니다.
따라서 이미 자격 증명에 성공하여 어떠한 작업을 완수했더라도 다른 작업을 진행하기 위해서는 다시금 자격 증명을 요구합니다.
또한 각 활동에 대해서는 지속적인 감시도 필요합니다.
사용자 및 기기의 권한을 구분하고 보호 범위를 파악하기 위해 세분화된 작업 구분이 필요합니다.
그리고 구분된 작업에 따라 최소 권한을 설정합니다.
고려할 점
제로 트러스트의 도입에 획일화 된 방법은 없습니다. 따라서 도입만으로 제로 트러스트를 완전 구현 가능한 서비스 등은 없습니다.1 운용 중인 인프라, 애플리케이션, 데이터베이스, 사용 유저 등 환경에 따라 고려해야 할 점이 다르며 접근 또한 달라집니다.
제로 트러스트 아키텍처를 도입하는 것으로 모든 보안 위협에 안전해지는 것 또한 아닙니다.
여러번 증명이 필요하든 영향이 적든 간에 결국 사용자의 자격 증명이 탈취당한다면 의도치않은 상황이 발생할 수 있습니다.
경계 기반 보안에서 제로 트러스트로의 전환을 고려할 때 기존의 경계 기반 보안에서 한번에 변경하는 것이 아닙니다.
제로 트러스트의 배포에 관해서 Forrester2에서 설명한 다음 5단계 방법론에 따라 점진적으로 도입하면 결과적으로 경계 기반에서 탈피하게 됩니다.
- 보호 범위를 파악
- 트랜잭션 흐름을 매핑
- 제로 트러스트 아키텍처를 정의
- 제로 트러스트 정책을 생성
- 자동화, 모니터링 및 유지 보수
기존의 환경에서 점진적으로 추가해나가는 방식이기 때문에 도입에는 많은 비용이 발생할 수도 있습니다.
마지막으로 지속적인 자격 증명으로 인한 애플리케이션의 성능 저하 및 환경에서의 생산성 저하가 발생할 수도 있습니다.
AWS에서의 제로 트러스트
정확히는 의식하지 못하는 부분에서 이미 AWS에서 제로 트러스트를 일부 실현되고 있습니다.
예로 들면 서비스 연결 역할이 그 중 하나입니다.
이 외에도 제로 트러스트를 실현하기 위해 AWS에서도 여러 자격 증명 및 네트워킹 서비스, 솔루션을 제공하고 있습니다.
또한 도움이 되는 여러 영상 및 자료도 배포하고 있습니다.
- (공식 페이지)AWS 기반 제로 트러스트
- (문서)Embracing Zero Trust: A strategy for secure and agile business transformation
- (백서)제로 트러스트: 보안 강화로 가는 여정 설계
- (영상)AWS re:Inforce 2023 - Achieving Zero Trust with AWS application networking (NIS307)
마무리
제로 트러스트라는 개념은 나온지가 오래되었지만 지금도 변화해나가고 있는 내용입니다.
차세대 환경을 위해서 익숙해져야하는 내용이라는 생각이 드네요
긴 글 읽어주셔서 감사합니다.
내용 피드백 및 오탈자는 must01940 지메일로 보내주시면 감사합니다.
참고 자료
제로 트러스트에 대한 개념을 익히는데 참고한 자료들입니다.