- 제로 트러스트의 보안 대책이란? -- 모든 로그를 분석한다
-
- 카테고리사물인터넷/ ICT/ 제조·4.0
- 기사일자 2020.5.29
- 신문사 Nikkei X-TECH
- 게재면 online
- 작성자hjtic
- 날짜2020-06-05 09:15:14
- 조회수410
Nikkei X-TECH_2020.5.29
제로 트러스트의 보안 대책이란?
모든 로그를 분석한다
제로 트러스트 네트워크(ZERO TRUST NETWORKS)에서는 사용자 인증과 애플리케이션 사용 인가의 엄격한 관리와 함께 ‘디바이스의 방어’와 ‘모든 행동의 감시와 분석’에 의한 시큐리티를 보장한다. 네트워크 스위치의 Net Flow 데이터도 모두 저장해 위협을 분석하는 것이 바람직하다고 한다.
-- 보안 칩 필수 --
제로 트러스트 제2의 포인트는 디바이스 방어이다. 악성코드 대책 소프트웨어나 모바일 디바이스 관리(MDM)와 같은 제품에 의해 PC나 스마트폰을 보호할 뿐만 아니라, 이들과 IAM이나 IAP를 연계시켜 디바이스의 보안 상황에 따라 앱의 이용 가부를 세밀하게 제어한다.
▶ EDR의 주요 제품
|
회사명 |
제품명 |
|
미국 크라우드스트라이크 |
Falcon |
|
미국 사이버리즌 |
Cybereason EDR |
|
영국 소포스 |
Intercept X Advanced with EDR |
|
트랜드마이크로 |
Apex One Endpoint Sensor |
|
미국 브로드컴 |
Symantec EDR Cloud |
|
미국 마이크로소프트 |
Microsoft Defender Advanced |
|
미국 맥아피 |
McAfee MVISION EDR |
(‘EDR’; Endpoint Detection and Response)
▶ MDM/MAM의 주요 제품
|
회사명 |
제품명 |
|
미국 VM웨어 |
AirWatch |
|
미국 구글 |
Google 엔드포인트 관리 |
|
미국 Jamf |
Jamf Pro |
|
미국 마이크로소프트 |
Microsoft Intune |
|
미국 모바일아이언 |
MobileIron |
디바이스는 보안 칩을 탑재하는 것으로 한정한다. TPM 칩 탑재 윈도우 PC나 미국 애플의 iPhone, 구글의 Pixel 3 이후 등이다. 소프트웨어와는 달리, 조작이 어려운 보안 칩은 디바이스에서의 데이터 암호화나 펌웨어의 조작 방지를 실현하는데 있어서 필요하기 때문에 RoT(Root of Trust, 신뢰의 기점)라 불린다. 네트워크는 제로 트러스트라도, 시큐리티 칩은 트러스트(신뢰) 할 수 있는 것이다. 보안 칩을 사용하면 앱 이용을 신뢰할 수 있는 기기로 한정할 수 있다.
디바이스에서 업무 데이터를 이용할 때는 보안 칩을 사용한 하드웨어 기반의 암호화를 사용한다. 이것에 의해서 디바이스의 분실이나 도난에 의한 데이터 유출을 방지할 수 있다.
-- 모든 로그 분석 --
제로 트러스트 제3의 포인트는 모든 행동의 감시와 분석이다. 시스템의 로그를 일원적으로 관리·분석하는 시큐리티 정보 이벤트 관리(SIEM)를 도입함으로써 사이버 공격 등의 징조를 검출하려는 기업이 일본에서도 서서히 늘어나고 있다.
▶ SIEM의 주요 제품
|
회사명 |
제품명 |
|
Infoscience |
Logstorage-X/SIEM |
|
미국 구글 |
Chronicle Platform |
|
미국 Splunk |
Splunk Enterprise Security |
|
미국 Sumo Logic |
Sumo Logic |
|
미국 마이크로소프트 |
Azure Sentinel |
|
영국 마이크로포커스 |
ArcSight Enterprise Security Manager |
|
미국 맥아피 |
McAfee Enterprise Security Manager |
(SIEM; 보안 정보 이벤트 관리)
그러나 제로 트러스트가 실현되려면 보안기기나 업무 앱 로그를 감시하고 분석하는 것만으로는 부족하다고 한다. "해커는 사내 DNS 서버나 DHCP 서버를 악용하거나 네트워크 스위치에 위장 공격을 가해 통신 내용을 사취하는 등 여러 가지 수법을 사용해 시스템을 공격한다"(구글의 포티 GM겸 VP)라는 현실이 있기 때문이다.
구글 류의 제로 트러스트에 대해서는 DNS 서버에 대한 쿼리 로그, 클라이언트 PC의 시큐리티 로그, 프록시 서버의 로그, 스위치나 라우터에서 돌아다니는 프레임이나 패킷의 메타데이터 "NetFlow" 등, 모든 로그를 무제한으로 감시·분석하는 것이 바람직하다라고 한다.
실제로 구글은 그러한 대책을 유저 기업이 실행할 수 있도록 용량 무제한으로 데이터를 언제까지나 보존할 수 있는 SIEM의 클라우드 서비스 "Chronicle Platform"를 2019년 2월부터 제공하고 있다. 서비스는 용량 단위가 아니고, 유저 기업의 종업원 단위로 가격을 설정한다. 지금까지 유저 기업이 SIEM을 구축하는 데 가장 큰 고민이 데이터 용량의 문제였으나, 그 문제가 해소되고 있다.
SaaS 등 자사의 컨트롤에 없는 앱의 이용 상황을 감시하고 분석하는 솔루션으로는 클라우드 액세스 시큐리티 브로커(CASB)가 있다. SaaS가 로그 제공용으로 공개하는 API(애플리케이션 프로그래밍 인터페이스)로부터 데이터를 수집하는 제품이 일반적이다. 이용자의 인터넷 이용을 감시·제어하는 시큐어 Web 게이트웨이(SWG)와 제휴함으로써 이용할 수 있는 Web 사이트나 SaaS를 한정하거나 SaaS에 업로드하는 데이터의 내용을 감시할 수 있다.
▶ CASB의 주요 제품
|
회사명 |
제품명 |
|
미국 시스코 시스템즈 |
Cisco Cloudlock |
|
미국 Netskope |
Netskope |
|
미국 마이크로소프트 |
Microsoft Cloud App Security |
|
미국 맥아피 |
MVISION Cloud |
|
미국 Palo Alto Networks |
Prisma SaaS |
|
미국 비트글래스 |
Zero-day CASB |
|
미국 브로드컴 |
CloudSOC |
▶ SWG의 주요 제품
|
회사명 |
제품명 |
|
미국 아카마이 테크놀로지스 |
Enterprise Threat Protector |
|
미국 시스코 시스템즈 |
Cisco Umbrella |
|
미국 지스케일러 |
Zscaler Internet Access |
|
미국 브로드컴 |
ProxySG |
(SWG; 시큐어 웹 게이트웨이)
여기서 다룬 제로 트러스트 대책의 모든 것을 도입하는 것은 구글과 같은 거대 기업은 몰라도 일반 기업에게는 어려운 일이다. 다음 파트에서는, 지금부터 제로 트러스트에 도전하는 유저 기업에 있어서 현실적인 스텝을 살펴보기로 하겠다.
-- 끝 --
Copyright © 2020 [Nikkei XTECH] / Nikkei Business Publications, Inc. All rights reserved.