Zero Trust Network Access (ZTNA)는 모든 원격 위치와 디바이스에서 클라우드와 기업 데이터 센터에서 호스팅되는 비공개 애플리케이션에 안전하고 원활한 제로 트러스트 액세스를 제공하기 위해 세분화된 적응형, 상황 인식 정책을 시행합니다. 이러한 컨텍스트는 사용자 ID, 사용자 또는 서비스 위치, 하루 중 시간, 서비스 유형, 디바이스의 보안 상태 등의 조합이 될 수 있습니다.
사용자 신원, 디바이스 신원 및 기타 컨텍스트 요소를 평가할 때 ZTNA는 유효한 로그인 키를 가진 모든 사용자에게 전체 기본 네트워크가 아닌 특정 애플리케이션에 대한 '최소 권한' 액세스를 허용하여 공격 표면을 줄이고 손상된 계정 또는 디바이스에서 위협이 측면으로 이동하는 것을 방지합니다.
ZTNA는 조직이 보안 경계 내부 또는 외부의 어떤 개체도 신뢰해서는 안 되며, 대신 모든 사용자 또는 디바이스를 확인한 후 민감한 리소스에 대한 액세스 권한을 부여하여 데이터 안전과 무결성을 보장해야 한다는 '제로 트러스트' 개념을 기반으로 합니다.
ZTNA는 다음과 같은 핵심적인 역할을 합니다.
보안 서비스 엣지(SSE)를 통해 보안 경계의 개념을 정적인 엔터프라이즈 데이터 센터에서 보다 동적인 정책 기반의 클라우드 제공 엣지로 전환하여 분산된 인력의 액세스 요구 사항을 지원합니다.
일반적인 ZTNA 사용 사례
- 비공개 애플리케이션에 대한 원격 액세스 보안
조직은 원활한 협업을 위해 비즈니스 크리티컬 애플리케이션을 여러 클라우드 환경으로 이동하면서 애플리케이션 액세스를 보호하고 데이터 유출을 방지하기 위해 각 연결 장치를 모니터링해야 하는 특별한 과제에 직면하게 됩니다. ZTNA를 사용하면 모든 위치와 기기에서 개인 애플리케이션에 대한 상황에 맞는 적응형 액세스가 가능합니다. 애플리케이션에 대한 액세스는 명시적으로 허용되지 않는 한 기본적으로 거부됩니다. 애플리케이션 액세스에 대한 컨텍스트에는 사용자 신원, 디바이스 유형, 사용자 위치, 디바이스 보안 상태 등이 포함될 수 있습니다.
- VPN 및 MPLS 연결 교체
VPN 아키텍처는 클라우드 우선 배포에서 속도가 느리고 비생산적입니다. 소프트웨어 및 하드웨어 집약적인 VPN을 통해 모든 원격 사용자 액세스를 보호하면 자본 지출과 대역폭 비용이 증가할 수 있습니다. ZTNA는 기업 리소스에 대한 빠른 클라우드 직접 액세스를 제공하여 네트워크 복잡성, 비용, 지연 시간을 줄이는 동시에 원격 인력 배포를 용이하게 하는 성능을 크게 개선합니다.
- 사용자 액세스 제한
기존 보안 솔루션의 광범위한 경계 기반 보안 접근 방식은 유효한 로그인 키를 가진 모든 사용자에게 전체 네트워크 액세스를 허용하여 민감한 기업 리소스를 손상된 계정과 내부자 위협에 과도하게 노출시킵니다. 전체 기본 네트워크에 액세스하는 해커는 탐지되지 않은 채 내부 시스템을 자유롭게 이동할 수 있습니다. ZTNA는 최소 권한 제어 액세스를 구현하여 특정 애플리케이션에 대한 사용자 액세스를 '알아야 할 필요'에 따라 엄격하게 제한합니다. 모든 연결 요청은 내부 리소스에 대한 액세스 권한을 부여하기 전에 확인됩니다.
ZTNA의 이점
ZTNA를 통해 조직은 소프트웨어 정의 경계를 생성하고 기업 네트워크를 여러 마이크로 세그먼트로 분할하여 위협의 측면 이동을 방지하고 침해 발생 시 공격 표면을 줄일 수 있습니다.
ZTNA는 가상 다크넷을 생성하고 공용 인터넷에서 애플리케이션 검색을 방지하여 인터넷 기반 데이터 노출, 멀웨어 및 DDoS 공격으로부터 조직을 보호합니다.
ZTNA는 프라이빗 데이터 센터에서 호스팅되는 레거시 애플리케이션으로 그 혜택을 확장하여 안전한 연결을 촉진하고 웹 애플리케이션과 동일한 수준의 보안 이점을 제공할 수 있습니다.
ZTNA는 프라이빗 애플리케이션에 대한 안전하고 빠르며 중단 없는 클라우드 직접 액세스를 지원하여 SaaS 및 프라이빗 애플리케이션에 모두 액세스하는 원격 사용자에게 일관된 경험을 제공합니다.
VPN과 ZTNA의 차이점은 무엇인가요?
네트워크 수준 액세스 대 애플리케이션 수준 액세스: VPN은 유효한 로그인 키를 가진 모든 사용자에게 전체 개인 네트워크 액세스를 허용합니다. ZTNA는 특정 애플리케이션에 대한 사용자 액세스를 제한하여 사이버 공격이 발생할 경우 데이터 노출 및 위협의 측면 이동을 제한합니다.
사용자 활동에 대한 심층적인 가시성: VPN은 애플리케이션 수준 제어 기능이 부족하고 사용자가 사설 네트워크에 들어온 후에는 사용자 행동에 대한 가시성이 없습니다. ZTNA는 모든 사용자 작업을 기록하고 사용자 행동과 위험에 대한 심층적인 가시성과 모니터링을 제공하여 애플리케이션 내에서 민감한 콘텐츠를 보호하기 위한 정보에 기반한 데이터 중심 제어를 시행합니다. 이 로그는 사용자 활동과 위협에 대한 실시간 중앙 집중식 가시성을 위해 SIEM 도구에 제공될 수 있습니다. ZTNA를 엔드포인트 보안 솔루션과 통합하여 디바이스 보안 상태의 지속적인 평가를 기반으로 적응형 액세스를 허용할 수도 있습니다.
엔드포인트 자세 평가: VPN 연결은 최종 사용자 기기로 인한 위험을 고려하지 않습니다. 손상되었거나 멀웨어에 감염된 디바이스는 서버에 쉽게 연결하여 내부 리소스에 액세스할 수 있습니다. ZTNA는 보안 상태를 확인하여 연결 중인 디바이스를 지속적으로 평가하고 당시 필요한 디바이스 신뢰도에 따라 리소스에 대한 적응형 액세스를 가능하게 합니다. 위험 감지 시 디바이스 연결은 즉시 종료됩니다.
사용자 경험: VPN은 점점 더 분산되는 인력 시나리오를 처리하도록 설계되지 않았습니다. 중앙 집중식 VPN 허브를 통해 모든 사용자 연결을 백홀링하면 대역폭과 성능 문제가 발생하고 사용자 경험은 기대 이하로 떨어집니다. ZTNA를 사용하면 사용자가 직접 앱에 연결하여 IaaS 환경이나 프라이빗 데이터 센터에서 호스팅되는 기업 리소스에 빠르고 안전하게 액세스할 수 있으며, 민첩하고 확장 가능한 클라우드 배포를 촉진할 수 있습니다.
비용 절감: ZTNA를 사용하면 값비싼 VPN 하드웨어를 구입하고 각 데이터 센터의 복잡한 인프라 설정을 관리할 필요가 없습니다. 또한 원격 사용자는 보안 연결을 설정하기 위해 리소스 집약적인 VPN 클라이언트를 추가로 설치할 필요가 없습니다.
ZTNA는 어떻게 작동하나요?
비공개 애플리케이션과 동일한 고객 네트워크에 설치된 커넥터 소프트웨어는 안전한 암호화된 터널을 통해 클라우드에서 호스팅되는 서비스(또는 브로커)에 대한 아웃바운드 연결을 설정합니다. 이 서비스는 프라이빗 트래픽이 고객 네트워크로 나가는 출구 지점이며 주로 이 역할을 담당합니다:
- ID 공급자를 통해 연결 사용자를 확인하고 신원을 인증합니다.
- 사용자 디바이스의 보안 상태를 확인합니다.
- 보안 터널을 통해 특정 애플리케이션에 대한 액세스를 프로비저닝합니다.
아웃바운드, 즉 "내부에서 외부로" 연결되므로 조직은 애플리케이션 액세스를 위해 인바운드 방화벽 포트를 열지 않아도 되므로 공용 인터넷에 직접 노출되지 않고 DDoS, 멀웨어 및 기타 온라인 공격으로부터 보호할 수 있습니다.
ZTNA는 관리형 및 비관리형 디바이스를 모두 지원할 수 있습니다. 관리형 디바이스는 회사 소유의 클라이언트 또는 에이전트가 디바이스에 설치되는 클라이언트 기반 접근 방식을 따릅니다. 클라이언트는 디바이스 정보를 가져와 ZTNA 서비스와 세부 정보를 공유합니다. 사용자 신원 및 디바이스 보안 상태 확인을 위해 애플리케이션과 연결이 설정됩니다.
관리되지 않는 디바이스는 클라이언트 없는 또는 역방향 프록시 기반 접근 방식을 따릅니다. 디바이스는 인증 및 애플리케이션 액세스를 위해 브라우저에서 시작된 세션을 통해 ZTNA 서비스에 연결합니다. 이는 개인 또는 BYO 디바이스를 통해 연결하는 타사 사용자, 파트너, 직원에게 매력적이지만, 클라이언트 없는 ZTNA 배포는 웹 브라우저에서 지원하는 애플리케이션 프로토콜(예: RDP, SSH, VNC 및 HTTP)로 제한됩니다.
스카이하이 소개 Private Access
Skyhigh Private Access 는 모든 위치와 디바이스에서 비공개 애플리케이션에 대한 세분화된 '제로 트러스트' 액세스를 지원하는 업계 최초의 데이터 인식 솔루션으로, ZTNA를 통한 안전한 데이터 협업을 위해 통합된 data loss prevention (DLP) 기능을 제공합니다.