제로 트러스트를 엔드포인트로 확장
네트워크상의 제로 트러스트 - 익숙한 곡조
제로 트러스트는 점점 더 널리 인정받고 있는 네트워크 아키텍처 보안 모델입니다. "절대 믿지 말고 항상 확인하라"는 문구는 네트워크 보안에 집중하는 사람들에게 익숙한 문구입니다. 제로 트러스트는 조직이 경계 안팎의 어떤 것도 신뢰해서는 안 되며 네트워크에 연결하려는 모든 것을 액세스 권한을 부여하기 전에 확인해야 한다는 원칙에 중점을 둡니다.
제로 트러스트 아키텍처를 달성하려면 네트워크를 세분화하고 사용자, 데이터 및 위치에 따라 세분화된 적용이 필요합니다. 모든 트래픽은 정해진 규칙에 따라 트래픽을 식별하고 허용하는 다양한 검사 지점에서 기록 및 검사되어야 합니다. 최소 권한 액세스를 유지합니다.
측면 이동을 제한하고 네트워크 내부에서 공격을 식별하는 데 필요한 네트워크 가시성과 컨텍스트를 제공하는 엄격한 액세스 제어 기능을 제공합니다.
보안 기술이 발전함에 따라 보호해야 할 데이터의 양이 엄청나게 증가했습니다. 오늘날의 고도로 모바일화된 세상에서 데이터는 엔드포인트와 함께 이동하기 때문에 엔드포인트는 사이버 공격의 매력적인 표적이 되고 있습니다. 따라서 보안 정책은 사용자 및 데이터와 함께 이동해야 하며 특정 위치에 묶여 있어서는 안 됩니다. 전 세계의 디바이스에서 데이터와 애플리케이션에 액세스하는 상황에서 제로 트러스트와 예방 우선 접근 방식은 네트워크를 넘어 엔드포인트로 확장되어야 합니다.
엔드포인트의 제로 트러스트 - 총체적인 '제로 트러스트' 이야기
엔드포인트 보안 제품은 엔드포인트에서 발생하는 활동에 대한 데이터를 보호하고 수집하는 반면, 네트워크 보안 제품은 네트워크에 대해 동일한 작업을 수행합니다. 지능형 위협에 효과적으로 대응하려면 두 가지가 함께 협력해야 합니다. 엔드포인트와 네트워크 보안을 결합하는 통합 플랫폼 접근 방식은 전체 보안 아키텍처에 걸쳐 전체적인 보호를 달성하고 제로 트러스트 모델을 구현할 수 있는 유일한 방법입니다. 이러한 접근 방식은 트래픽이 발생하는 모든 곳, 데이터가 있는 모든 곳에서 예방이 이루어질 수 있도록 우리가 하는 모든 일의 일부가 되어야 합니다.
제로 트러스트를 엔드포인트로 확장하려면 네 가지 기준을 충족해야 합니다:
1. 여러 계층의 보안으로 엔드포인트 보호
공격자가 멀웨어를 전달하거나 애플리케이션 취약점을 악용하는 등 가장 약한 고리를 우회하는 방법을 찾으면 기존의 보안 조치는 실패합니다. 네트워크와 엔드포인트 보호를 함께 계층화하여 공격자가 한 가지 조치를 우회하는 데 성공하면 다른 조치에 직면하게 되어 공격이 점점 더 어려워지도록 하는 것이 더 효과적입니다.
네트워크 보안의 역할은 멀웨어, 피싱 공격, 익스플로잇 등 가능한 한 많은 공격이 네트워크를 통해 엔드포인트에 도달하지 못하도록 차단하는 것입니다. 공격이 USB 드라이브 또는 기타 비네트워크 수단을 통해 엔드포인트에 도달하는 경우, 트래픽이 암호화되어 있거나 사용자가 o당신 또는 네트워크 외부에 있는 경우, 엔드포인트 보안의 역할은 공격자의 피해를 입힐 수 있는 능력을 무력화시키는 것이죠.
제로 트러스트 아키텍처를 위해 이러한 분야를 결합하면 엔드포인트 와 네트워크 보안을 더욱 효과적으로 통합할 수 있습니다.
2. 네트워크 보안과의 통합
제로 트러스트를 엔드포인트로 확장하면 엔드포인트 보안과 네트워크 보안이 통합되어 하나의 종합적인 보안 아키텍처를 구축할 수 있습니다. 엔드포인트에서 얻은 인텔리전스는 방화벽에 제공되어야 하며, 그 반대의 경우도 마찬가지입니다. 엔드포인트에 이벤트가 발생하면 해당 엔드포인트를 완전히 검사하고 정리할 수 있을 때까지 격리할 수 있도록 방화벽에 정책을 설정해야 합니다.
또한 방화벽에서 네트워크 보안 관리 도구로 사용자 및 트래픽 데이터를 수집하면 네트워크 전체에서 어떤 일이 일어나고 있는지 파악할 수 있습니다. 이를 통해 이러한 활동을 적절히 반영하고 엔드포인트에 적용하도록 보안 정책을 작성할 수 있습니다.
제로 트러스트 모델에는 엔드포인트 보안을 가상 사설망 또는 VPN 보안과 파트너 관계를 맺어 글로벌 정책이 사용자와 엔드포인트에 따라 이동하도록 하는 것도 포함됩니다. 엔드포인트를 항상 보호하려면 VPN 기능이 사용자에게 투명해야 하며 로그인 또는 연결을 위해 수동 개입이 필요하지 않아야 합니다. 엔드포인트 보안과 VPN이 함께 작동하면 엔드포인트의 위치에 관계없이 엔드포인트가 보호되어 악성 트래픽이 VPN과 방화벽으로 유입되는 것을 방지할 수 있습니다. 이러한 통합을 더욱 강화하기 위해 차세대 방화벽에 배치된 VPN은 정책 적용을 터널로 확장합니다. 트래픽이 암호화되어 손상된 엔드포인트를 통해 네트워크로 유입되는 경우 정책 이 계속 적용됩니다.
엔드포인트와 네트워크 보안 통합이 제공하는 세분화된 가시성은 신속하고 정확한 다변량 의사결정을 위한 자동화를 통해 강화되어야 합니다. 또한 이러한 통합은 사용자에게 부정적인 영향을 미치지 않도록 원활하고 가벼워야 합니다.
3. 여러 종류의 엔드포인트 관리하기
모든 조직에는 서버, 워크스테이션, 데스크톱, 노트북, 태블릿, 모바일 장치 등 관리해야 하는 여러 종류의 엔드포인트가 있습니다. 보안 태세를 강화하고 제로 트러스트를 구현하려면 엔드포인트 보호가 방화벽과 통합되어 엔드포인트가 어디에 있든 보안 정책이 엔드포인트를 따라가도록 해야 합니다. 확장성과 중요한 애플리케이션으로부터 노출 라인을 멀리 떨어뜨리기 위해 차세대 방화벽에 다단계 인증(MFA)을 적용해야 합니다. 이 통합은 시스템 성능( )에 부정적인 영향을 미치지 않아야 사용자가 백그라운드에서 실행 중인 보안을 알아채지 못하고 보안 도구를 제거하거나 닫으려고 시도할 가능성이 없습니다.
4. 계층 2-7 액세스 제어
보안 아키텍처 전반에서 제로 트러스트를 구현할 때는 트래픽이 엔드포인트에 들어오고 나갈 때 모두 악성 행위가 있는지 검사해야 합니다. 엔드포인트는 트래픽이 네트워크에 유입될 때 잠재적인 위협이 있는지 평가하는 것이 일반적입니다. 사용자 및 사용자의 활동이 유효하다는 가정 하에 네트워크를 떠날 때 트래픽을 평가하는 경우는 흔하지 않습니다. 그러나 사용자가 감염되면 공격자는 엔드포인트에서 데이터나 지적 재산을 유출하거나 감염된 디바이스를 다른 악의적인 활동에 사용할 수 있습니다.
데이터나 지적 재산이 네트워크를 벗어나지 않도록 하려면 차세대 방화벽과의 통합을 통해 엔드포인트의 활동에 대한 가시성을 확보해야 합니다. 방화벽에 설정된 정책에 따라 사용자 또는 애플리케이션 트래픽이 정의된 보안 정책의 범위를 벗어나는 경우 방화벽이 개입하여 의심스러운 활동을 차단할 수 있습니다. 이 정책은 암호화된 VPN 터널 내부에서 위협 방지 규칙, URL 필터링 및 멀웨어 샌드박스 기능을 적용해야 합니다.
차세대 방화벽은 또한 암호화된 트래픽을 복호화하고 트래픽의 악성 여부를 판단하는 데 필요한 가시성을 확보하기 위해 SSL 복호화 기능을 갖추고 있어야 합니다. 악성 트래픽이 식별되면 방화벽과 엔드포인트 간의 통합을 통해 방화벽이 모든 명령 및 제어 트래픽을 차단하고 엔드포인트를 네트워크에서 격리할 수 있어야 합니다.
팔로알토 네트웍스 접근 방식
팔로알토 네트웍스 포트폴리오는 제로 트러스트 전략을 실제 구축으로 전환하는 데 필요한 도구, 기술, 제품을 제공합니다.
팔로알토 네트웍스 포트폴리오의 핵심 구성 요소는 업계 최초의 확장된 탐지 및 대응 (XDR) 플랫폼인 Cortex XDR입니다 . Cortex XDR 에이전트는 공격 라이프사이클의 중요한 단계에서 여러 가지 보호 방법을 사용하여 알려진 멀웨어, 익스플로잇 및 랜섬웨어는 물론 제로데이 위협을 방지합니다. Cortex XDR은 로컬 분석을 수행하여 파일 속성 분류 및 이전에 알려진 판결을 기반으로 악성 파일과 정상 파일을 식별합니다.
로컬 분석 외에도 Cortex XDR은 클라우드 기반 위협 분석 서비스인 WildFire®와 통합됩니다. WildFire는 자체적으로 동적 및 정적 분석, 머신 러닝 및 베어메탈 분석을 수행하여 가장 회피하기 쉬운 위협도 식별합니다. 플랫폼의 일부인 WildFire는 Cortex XDR과 차세대 방화벽이 네트워크와 엔드포인트의 센서 및 시행 지점이 될 수 있도록 지원합니다.
Palo Alto Networks 차세대 방화벽은 애플리케이션, 위협 및 콘텐츠를 포함한 모든 트래픽을 검사하고(암호화된 경우에도) 해당 트래픽을 사용자와 연결합니다. 가시성과 데이터를 통해 보안 정책을 조직의 고유한 요구 사항과 이니셔티브에 맞게 조정할 수 있습니다. 차세대 방화벽은 Cortex XDR과 마찬가지로 WildFire와 함께 작동하여 알려진 위협과 알려지지 않은 위협으로부터 보호합니다. WildFire는 어디서든 새로운 위협을 식별하면 자동으로 업데이트된 보호 기능을 생성하고 플랫폼 전체와 WildFire 커뮤니티의 다른 구성원에게 배포하여 조율된 보안 인프라를 지원합니다. 이러한 업데이트에는 아키텍처 전반에서 보다 포괄적이고 효과적인 보호를 위해 Cortex XDR에서 새로 식별한 위협이 포함됩니다.
네트워크에서 엔드포인트까지 정책을 연결하는 것이 엔드포인트용 GlobalProtect™ 네트워크 보안으로, 보안 정책을 원격 네트워크와 모바일 사용자까지 확장합니다. GlobalProtect는 차세대 방화벽을 사용하여 트래픽을 검사하여 모든 네트워크 트래픽, 애플리케이션, 포트 및 프로토콜에 대한 완전한 가시성을 확보합니다. 이러한 가시성을 통해 사용자가 어디에 있든 엔드포인트에서 보안 정책을 원활하게 적용할 수 있습니다. GlobalProtect는 사용자 정보를 제공하여 User-ID™ 기술을 강화하고 방화벽의 MFA 보호 기능과 통합하여 공격자가 훔친 자격 증명을 사용하여 측면으로 이동하는 것을 방지합니다.