2022년 8월 18일
작성자: 비슈와스 만랄 - 기술자 겸 클라우드 네이티브 보안 책임자, Skyhigh Security
Zero Trust Network Access (ZTNA) 가 무엇이고 VPN과 어떻게 비교되는지에 대한 많은 소문을 들었습니다. 그 중 일부는 사실이지만 많은 부분이 사실과 다릅니다. IPsec/ADVPN 및 MPLS와 같은 일부 핵심 VPN 및 보안 기술에 대한 표준을 작성했기 때문에 기술에 대해 좀 더 자세히 살펴보고 잘못된 상식을 바로잡기로 결정했습니다.
ZTNA와 VPN의 핵심, 즉 둘 사이의 사실과 허구에 대해 자세히 알아볼까요? ZTNA와 VPN의 유사점과 차이점에 대해 자세히 알아보겠습니다.
ZTNA는 공격 표면을 크게 줄이고 측면 이동을 방지합니다. 이번 Cisco 공격에서 볼 수 있듯이 공격자가 측면 이동을 효과적으로 사용하면 보안팀이 탐지하기가 매우 어렵기 때문에 ZTNA가 매우 중요해집니다.
VPN
VPN은 가상 사설망의 약자입니다. VPN은 공용 인터넷 네트워크를 통해 사설 네트워크를 확장합니다. 네트워크는 데이터 링크(레이어 2 또는 이더넷) 계층, 인터넷(레이어 3 또는 IP) 계층 또는 터널을 통한 전송(레이어 4 또는 TCP) 계층에서 연결할 수 있습니다. 예를 들어, 두 사이트 사이에 레이어 2 VPN이 있는 경우, 두 사이트는 공용 인터넷에서 동일한 IP 서브넷을 공유할 수 있습니다. 이로 인해 공격 표면이 넓어져 서비스가 취약해집니다. 원격 액세스 VPN은 원격 사용자가 VPN을 통해 기업 디바이스로 기업 네트워크 및 애플리케이션에 연결하는 VPN의 한 가지 사용 사례입니다.
ZTNA
Zero Trust Network Access (ZTNA)는 사용자가 애플리케이션에 연결할 수 있도록 허용하여 원격 액세스 VPN을 위한 최소 권한(제로 트러스트) 모델을 만듭니다. ZTNA는 보안 브로커를 통해 애플리케이션에 대한 액세스를 제공하며, 브로커 없이는 애플리케이션을 발견할 수 없게 됩니다. ZTNA를 사용하면 사용자와 애플리케이션 간의 연결은 애플리케이션(Layer-7) 계층에서 이루어지며, 사용자는 디바이스, 사용자, 애플리케이션의 컨텍스트에 따라 애플리케이션에만 액세스할 수 있습니다. 또한 브로커는 모든 트래픽이 애플리케이션에 도달하기 전에 모든 트래픽을 검사하고 보호할 수 있습니다.
어려운 질문하기: ZTNA 및 VPN에 대한 일반적인 오해
ZTNA와 제로 트러스트는 같은 건가요?
제로 트러스트는 "항상 확인한 다음 신뢰"를 기반으로 하는 일련의 아키텍처 원칙입니다. ZTNA는 제로 트러스트의 첫 번째 사용 사례입니다. 제로 트러스트 원칙을 원격 액세스 VPN 사용 사례에 적용합니다. 제로 트러스트가 '방법'이라면 ZTNA는 '내용'입니다. 이제 데이터 액세스, 애플리케이션 액세스 등에 대한 제로 트러스트 사용 사례가 있습니다.
ZTNA가 VPN보다 원격 액세스에 더 적합할까요?
네. 이유는 분명합니다. ZTNA는 더 나은 보안, 손쉬운 확장, 원활한 온보딩 및 관리 편의성을 제공합니다. 원격 근무가 증가함에 따라 클라우드로 제공되는 ZTNA 솔루션은 더 쉽게 확장할 수 있습니다.
VPN이 곧 사라지고 VPN의 다른 사용 사례는 없나요?
아니요. VPN에는 다양한 사용 사례가 있습니다. 여기에는 에브 드롭 방지, 사이트 간 VPN, 익명 다운로드 및 기타 원격 액세스 VPN이 아닌 사용 사례가 포함되며 ZTNA는 이를 대체하지 않습니다. VPN 솔루션은 일반적으로 물리적 또는 가상 어플라이언스로 제공되며 확장하기가 더 어렵습니다.
ZTNA 보안 알고리즘이 VPN보다 더 안전한가요?
아니요. 동일한 암호화, 키 생성, 인증 알고리즘을 VPN과 ZTNA 모두에 사용할 수 있습니다. 실제 구현에는 차이가 있을 수 있지만 기술적인 차이는 없습니다.
ZTNA는 주로 VPN과 마찬가지로 연결, 보안 터널 및 네트워크 제어에 관한 것이 아닌가요?
ZTNA는 VPN을 대체하기 위해 시작되었지만 신원을 기반으로 한 네트워크 중심 제어 그 이상입니다. ZTNA는 데이터 및 보안 중심이 되고 있습니다. ZTNA를 사용하면 모든 아웃바운드 파일에 DLP 정책을 적용하여 악의적이거나 실수로 인한 데이터 유출을 방지할 수 있습니다.
VPN과 마찬가지로 ZTNA도 작동하려면 ZTNA 클라이언트가 필요한가요?
아니요. ZTNA는 클라이언트 없이도 지원될 수 있으며 반드시 에이전트가 필요하지 않습니다. 웹 애플리케이션의 경우 ZTNA는 브라우저 기본 기능 및 플러그인을 사용하여 최종 사용자를 위한 보안 연결을 생성할 수 있습니다.
ZTNA와 VPN 솔루션에 대한 이상한 오해와 잘못된 주장에 대해 들었는데, 이러한 솔루션이 어떤 기능을 하는지 자세히 살펴보는 것이 좋습니다. ZTNA와 VPN에 대한 신화를 깨는 데 도움이 되었기를 바랍니다!
블로그로 돌아가기