AWS 기반 제로 트러스트
제로 트러스트 접근 방식으로 보안 모델 향상
AWS 기반 제로 트러스트란?
제로 트러스트는 데이터에 대한 액세스가 네트워크 위치만을 기반으로 이루어져서는 안 된다는 생각에 초점을 맞춘 보안 모델입니다. 이를 위해서는 사용자와 시스템이 자신의 자격 증명과 신뢰성을 강력하게 입증해야 하며, 애플리케이션, 데이터 및 기타 시스템에 액세스하기 전에 세분화된 자격 증명 기반 권한 부여 규칙을 적용해야 합니다. 제로 트러스트를 사용하면 이러한 자격 증명이 표면 영역을 더욱 줄이고 불필요한 데이터 경로를 제거하며 간단한 외부 보안 가드레일을 제공하는 매우 유연한 자격 증명 인식 네트워크 내에서 작동하는 경우가 많습니다.
제로 트러스트 보안 모델로의 전환은 워크로드 포트폴리오를 평가하고 제로 트러스트의 향상된 유연성과 보안을 통해 가장 큰 이점을 누릴 수 있는 부분을 확인하는 작업에서 시작됩니다. 그런 다음에는 자격 증명, 인증 및 기타 컨텍스트 지표(예: 디바이스 상태)를 재고하는 등 제로 트러스트 개념을 적용하여 현상 유지보다 실제적이고 의미 있는 보안 개선을 이루게 됩니다. 이러한 여정을 돕기 위해 AWS의 여러 자격 증명 및 네트워킹 서비스는 신규 및 기존 워크로드에 모두 적용할 수 있는 핵심 제로 트러스트 구성 요소를 표준 기능으로 제공합니다.
주요 리소스
eBook - 제로 트러스트: 보안 강화로 가는 여정 설계
조직과 사이버 위험이 진화함에 따라 보안 모델도 이에 뒤처지지 않도록 해야 합니다. 제로 트러스트에 대한 자세한 내용과 제로 트러스트를 사용하여 현대 환경에 적합한 다중 계층 보안 전략을 수립하는 방법을 알아보세요.
동영상 - Journeys to Zero Trust on AWS(AWS 기반 제로 트러스트를 향한 여정)(41:27)
AWS Network Firewall 총괄 관리자 겸 방화벽 관리자인 Jess Szmajda와 CISO 사무국 책임자인 Quint Van Deman이 진행하는 이 Re:Force 2023 리더십 세션을 시청하면 AWS의 최신 기능을 사용하여 제로 트러스트 보안 모델을 구현하는 방법을 알 수 있습니다.
블로그 - 제로 트러스트 아키텍처: AWS Perspective
제로 트러스트를 위한 AWS 지침 원칙에 대해 읽고, 일반적인 사용 사례를 살펴보고, 오늘날 제로 트러스트 아키텍처를 구축하는 데 AWS 서비스가 어떻게 도움이 되는지 알아봅니다.
동영상 - AWS 애플리케이션 네트워킹으로 제로 트러스트 달성(58:55)
액세스를 지속적으로 인증하고 모니터링하여 신뢰를 구축하는 보안 모델을 설정할 수 있는 AWS 애플리케이션 네트워킹 서비스에 대해 알아보려면 이 동영상을 시청합니다.
AWS 기반 제로 트러스트 구축을 위한 길잡이 원칙
가능한 경우 자격 증명 및 네트워크 기능을 함께 사용
AWS의 자격 증명 및 네트워크 제어는 특정 보안 목표를 달성하는 데 도움이 되도록 상호 보완하고 보강하는 경우가 많습니다. 자격 증명 중심 제어는 매우 강력하고 유연하며 세분화된 액세스 제어를 제공합니다. 네트워크 중심 제어를 사용하면 자격 증명 중심 제어가 작동할 수 있는 잘 이해되는 경계를 쉽게 설정할 수 있습니다. 이러한 제어가 서로를 인식하고 보완하는 것이 이상적인 방법입니다.
특정 사용 사례의 프로세스 뒤집기
제로 트러스트가 제공하는 향상된 보안의 이점을 누릴 수 있는 일반적인 사용 사례는 인력 모빌리티, 소프트웨어 간 통신, 디지털 트랜스포메이션 프로젝트 등 다양합니다. 의미 있는 보안 개선을 달성하는 최적의 제로 트러스트 패턴, 도구 및 접근 방식을 결정하려면 조직에 적용되는 각각의 특정 사용 사례의 프로세스를 뒤집어보는 것이 중요합니다.
가치에 따라 시스템과 데이터에 제로 트러스트 적용
제로 트러스트 개념은 기존 보안 제어에 추가되는 개념으로 생각해야 합니다. 보호 중인 시스템과 데이터의 조직적 가치에 따라 제로 트러스트 개념을 적용하면 노력에 상응하는 비즈니스 이점을 얻을 수 있습니다.
주요 고객 사례
실험실 인사이트 제공업체인 Avalon Healthcare Solutions(Avalon)는 사용자가 VPN 없이 웹 브라우저를 통해 비즈니스 보고서 및 의료 데이터에 안전하고 편리하게 액세스할 수 있도록 하고자 했습니다. 2013년에 설립된 Avalon은 처음부터 기업 애플리케이션에 Amazon Web Services(AWS)의 제로 트러스트 프레임워크를 사용해 왔습니다.
Avalon Healthcare Solutions의 Enterprise Cloud Technology AVP인 Eric Ellis는 다음과 같이 말합니다. “우리의 주요 기술 목표 중 하나는 제로 트러스트 원칙을 꾸준히 유지하면서 사용자 경험을 최적화하는 것입니다. 새로운 비즈니스 요구 사항이 대두되면서 기업 애플리케이션을 네트워크 엣지에 배치해야 할 필요성을 느꼈습니다. 보안 및 기술 엔지니어는 AWS Verified Access를 사용하여 VPN을 사용하지 않고도 단 몇 분 만에 기업 애플리케이션에 제로 트러스트 기반 액세스를 프로비저닝할 수 있었습니다. Verified Access를 통해 엄격한 제로 트러스트 정책을 훼손하지 않고도 필수 서비스 제공과 사용자 경험 개선이라는 중요한 과제를 해결할 수 있었습니다.”
Avalon Healthcare Solutions가 AWS Verified Access를 사용해 보안을 강화한 방법에 대해 자세히 알아보세요.
캐나다 기업인 Neo Financial은 최첨단 기술을 기반으로 연회비 없는 신용카드, 무제한 캐시백, 유연한 신용 한도와 같은 고부가가치 서비스를 제공합니다. Neo Financial은 네트워크 연결이 아닌 사용자 자격 증명을 기반으로 리소스 액세스 권한을 부여하는 보안 모델로 전환하고자 했습니다.
Neo Financial은 Amazon WorkSpaces Secure Browser를 사용하여 네트워크 액세스에 의존하지 않고 사용자별 자격 증명을 기반으로 리소스에 대한 액세스 권한을 사용자에게 부여함으로써 제로 트러스트 이니셔티브를 발전시키고 있습니다. Neo Financial의 Infrastructure Director인 Eric Zaporzan은 “Amazon WorkSpaces Secure Browser를 사용하면 관리할 서버 수가 줄어들고 Single Sign-On을 사용하여 비즈니스 전반에서 인증을 관리할 수 있어 제로 트러스트 목표를 달성하는 데 도움이 됩니다. 이러한 모든 요소가 결제 카드 업계 데이터 보안 표준(PCI DSS) 및 기타 규정 준수 조치에 대한 감사를 간소화하는 데 도움이 됩니다.”라고 말합니다.
Neo Financial이 Amazon WorkSpaces Secure Browser를 사용해 제로 트러스트 액세스를 구현한 방법에 대해 자세히 알아보세요.
제로 트러스트 원칙의 AWS 내 실제 사례
AWS API 요청에 서명
날마다 모든 AWS 고객은 자신 있고 안전하게 AWS와 상호 작용하며 다양한 퍼블릭 및 프라이빗 네트워크를 통해 수십억 건의 AWS API를 호출합니다. 이러한 서명된 각 API 요청은 매번 개별적으로 인증되고 전 세계적으로 초당 10억 건 이상의 요청 속도로 승인됩니다. 전송 계층 보안(TLS)을 사용한 네트워크 수준 암호화를 AWS 서명 v4 서명 프로세스의 강력한 암호화 기능과 결합하면 기본 네트워크의 신뢰성에 관계없이 이러한 요청을 보호할 수 있습니다.
AWS 서비스 간 상호 작용
개별 AWS 서비스가 서로를 호출해야 하는 경우 고객이 되어 사용하는 것과 동일한 보안 메커니즘을 사용합니다. 예를 들어, Amazon EC2 Auto Scaling 서비스는 사용자 계정에서 서비스 연결 역할을 사용하여 단기 보안 인증 정보를 받고 규모 조정 요구 사항에 따라 사용자를 대신하여 Amazon Elastic Compute Cloud(Amazon EC2) API를 호출합니다. 이러한 호출은 AWS 서비스에 대한 호출과 마찬가지로 AWS Identity and Access Management(IAM)에 의해 인증되고 승인됩니다. 강력한 자격 증명 중심 제어는 AWS 서비스 간 보안 모델의 기초를 형성합니다.
IoT를 위한 제로 트러스트
사용 사례
소프트웨어 간 통신
두 구성 요소가 통신할 필요가 없는 경우 동일한 네트워크 세그먼트 내에 있는 경우에도 통신할 수 없어야 합니다. 구성 요소 간의 특정 흐름을 승인하면 이 작업을 수행할 수 있습니다. 불필요한 통신 경로를 제거하면 최소 권한 원칙을 적용하여 중요한 데이터를 더 잘 보호할 수 있습니다. 시스템의 특성에 따라 Amazon VPC Lattice를 사용한 내장 인증 및 권한 부여, 보안 그룹을 사용하여 구축된 동적 마이크로 경계, Amazon API Gateway를 통한 요청 서명 등 단순하고 자동화된 서비스 간 연결을 통해 이러한 아키텍처를 구성할 수 있습니다.
안전한 인력 모빌리티
현대의 인력은 보안을 해치지 않으면서 어디서나 비즈니스 애플리케이션에 액세스할 수 있어야 합니다. AWS Verified Access를 통해 이 작업을 수행할 수 있습니다. AWS Verified Access를 사용하면 VPN 없이도 기업 애플리케이션에 안전하게 액세스할 수 있습니다. 기존 ID 제공업체(IdP)와 디바이스 관리 서비스를 쉽게 연결하고 액세스 정책을 사용하여 애플리케이션 액세스를 엄격하게 제어하는 동시에 원활한 사용자 경험을 제공하고 보안 태세를 개선할 수 있습니다. Amazon WorkSpaces Family 또는 Amazon AppStream 2.0과 같은 서비스를 사용하여 이 작업을 수행할 수도 있습니다. 이 서비스는 애플리케이션을 암호화된 픽셀로 원격 사용자에게 스트리밍하는 동시에 Amazon VPC와 연결된 모든 프라이빗 네트워크 내에 데이터를 안전하게 보관합니다.
디지털 트랜스포메이션 프로젝트
디지털 트랜스포메이션 프로젝트는 센서, 컨트롤러, 클라우드 기반 처리 및 인사이트를 연결하는 경우가 많으며, 이 모든 작업은 전적으로 기존 엔터프라이즈 네트워크 외부에서 이루어집니다. 중요한 IoT 인프라를 보호하기 위해 AWS IoT 서비스는 표준 기능으로 제공되는 디바이스 인증 및 권한 부여를 통해 개방형 네트워크를 통한 엔드-투-엔드 보안을 제공할 수 있습니다.