비욘드코퍼레이션이란 무엇인가요?
BeyondCorp® Google에서 개발한 사이버 보안 아키텍처로 , 기존의 네트워크 경계에서 개별 디바이스 및 사용자로 액세스 제어를 전환합니다. 목표는 사용자가 가상 사설망 또는 VPN을 사용하여 조직의 리소스에 액세스하지 않고도 언제 어디서나 모든 디바이스에서 안전하게 작업할 수 있도록 하는 것입니다.
조직이 비욘드코프를 사용하는 이유
몇 년 전만 해도 조직은 모든 애플리케이션과 데이터를 온사이트 데이터센터에 보관했습니다. 이들이 사용한 보안 모델은 모든 나쁜 것은 경계 바깥에 있고 경계 안의 모든 것은 신뢰할 수 있다는 개념에 기반했습니다. 그러나 외곽 방어를 우회한 공격자들은 측면 이동을 통해 빠르게 골로 진격할 수 있었으며, 방어 프로토콜을 거의 만나지 못했습니다.
"신뢰할 수 있는 것이 없다면 보안을 어떻게 설계할 것인가?"라는 질문을 던지면서 BeyondCorp가 탄생했습니다. 다시 말해, 내부 네트워크가 공용 네트워크와 마찬가지로 신뢰할 수 없는 경우 애플리케이션을 어떻게 보호할 수 있을까요?
이로 인해 많은 조직이 보안에 대한 접근 방식을 완전히 재고하고 온프레미스 데이터 센터, Google Cloud Platform(GCP™), AWS®, Microsoft Azure®와 같은 클라우드 서비스, Box.com, Office 365®와 같은 서비스형 소프트웨어(SaaS) 애플리케이션 등 여러 이질적인 환경에서 보안 정책을 일관되게 적용할 새로운 방법을 모색하게 되었습니다.
비욘드코프의 작동 방식
BeyondCorp의 가장 중요한 두 가지 신조는 다음과 같습니다:
네트워크 및 애플리케이션에 대한 액세스 제어: BeyondCorp에서는 사람 또는 디바이스에 네트워크 액세스 권한을 부여할지 여부에 대한 모든 결정이 액세스 제어 엔진을 통해 이루어집니다. 이 엔진은 모든 네트워크 요청 앞에 위치하며 사용자 신원, 디바이스 정보, 위치 등 각 요청의 컨텍스트와 애플리케이션의 민감한 데이터 양에 따라 규칙과 액세스 정책을 적용합니다. 조직에서 사용자의 신원을 확인하고, 권한이 있는 사용자인지 확인하고, 규칙 및 액세스 정책을 적용할 수 있는 자동화되고 확장 가능한 방법을 제공합니다. 하지만 액세스 제어만으로는 효과적인 보안을 보장할 수 없습니다.
가시성: 사용자가 조직의 네트워크 또는 애플리케이션에 액세스하면 조직은 모든 트래픽을 지속적으로 보고 검사하여 무단 활동이나 악성 콘텐츠를 식별해야 합니다. 그렇지 않으면 공격자가 네트워크 내에서 쉽게 이동하여 아무도 모르게 원하는 데이터를 가져갈 수 있습니다.
비욘드코프와 제로 트러스트의 관계
많은 사람들이 네트워크에서 신뢰의 개념을 제거하여 조직이 자산을 더 잘 보호할 수 있도록 하는 IT 보안 모델인 제로 트러스트에대해 잘 알고 있습니다. 제로 트러스트 및 클라우드용 제로 트러스트를사용하면 조직 내부자든 외부자든 모든 사람이 여러 단계의 보안을 거쳐야 합니다(선도적인 자문 회사인 Forrester Research의 정의에 따름):
사용자가 위치에 관계없이 모든 리소스에 안전하게 액세스할 수 있도록 지원
최소 권한 전략을 사용하고 액세스 제어를 엄격하게 시행합니다.
모든 트래픽 검사 및 기록
BeyondCorp는 제로 트러스트 구현을 위한 기반을 제공합니다. 세 번째 요소인 모든 트래픽의 검사 및 로깅은 엔드포인트의 모든 트래픽이 신뢰할 수 있거나 데이터에 안전하다고 가정해서는 안 되기 때문에 제로 트러스트를 구축하는 데 중요한 역할을 합니다. 따라서 BeyondCorp를 구현하는 조직은 위험을 더욱 줄이기 위해 제로 트러스트 원칙을 구현하는 것도 고려해야 합니다.
추가 읽기
