제로 트러스트로 컴플라이언스 및 사이버 보안의 과제 해결
Executive Summary
컴플라이언스와 사이버 보안은 거의 모든 업계의 비즈니스의 핵심 우선 순위입니다.
대부분의 기업에는 별도의 보안 및 컴플라이언스 팀이 있지만, 각 영역의 목표, 관행, 기술에는 상당히 중복되는 부분이 있습니다.
예를 들어, 금융 서비스의 규제 요건에는 카드 소유자 데이터를 보호하기 위한 특정 보안 관행이 포함되며, 헬스케어 규정에는 PHI(Patient Health Information)를 보호하기 위한 특정 보안 조치가 명시되어 있습니다.
기업은 컴플라이언스를 위해 지속적인 모니터링, 심층적인 가시성, 내부 및 외부 사용자에 대한 강력한 접속 제어를 통해 사이버 위협을 방어해야 하는 경우가 많으며, 이는 모두 강력한 사이버 보안 체계의 일부이기도 합니다.
기업은 이와 같은 컴플라이언스와 사이버 보안의 교차점을 중심으로 두 영역의 문제를 동시에 해결할 솔루션을 도입할 수 있습니다.
마이크로세그멘테이션 기술과 함께 제로 트러스트 보안 프레임워크를 구축하면 컴플라이언스 및 사이버 보안 문제의 해결에 도움이 되는 여러 가지 장점이 있습니다.
사이버 보안 요구사항을 포함한 규제 환경
가장 규모가 크고 일반적인 규제 프레임워크 중 상당수는 사이버 보안 컴플라이언스 를 포함하고 있습니다.
NIST. NIST(National Institute of Standards and Technology)는 민간 부문의 기업을 위한 가이드를 제공하는 사이버 보안 프레임워크를 개발했습니다. 연방 계약을 채결하려 하거나 규제를 받는 연방 환경에서 운영되는 기업은 NIST 사이버 보안 표준을 준수해야 하는 경우가 많습니다.
ISO 27001 ISO/IEC 27001 은 기업이 정보의 기밀성, 무결성 및 가용성을 보호하는 데 도움이 되는 정보 보안 관리 시스템에 대한 국제 표준으로 ISO(International Organization for Standardization)와 IEC(International Electrotechnical Commission)가 공동으로 발표했습니다. 전 세계의 많은 기업이 고객, 파트너 및 기타 이해관계자에게 정보 보안 모범 사례를 따르고 있음을 입증하기 위해 ISO 27001 인증을 받으려고 합니다.
PCI DSS. 많은 금융 기관이PCI DSS(Payment Card Industry Data Security Standard)에 명시된 컴플라이언스 요건을 준수하고 있습니다. 이 사이버 보안 컴플라이언스 프로그램은 기업이 고객 신용카드 데이터 및 기타 금융 정보를 수락, 처리, 전송, 저장하는 방법을 규율합니다.
HIPAA. 헬스케어 업계 서비스 공급업체는HIPAA(Health Insurance Portability and Accountability Act)에서 정한 광범위하고 엄격한 보안 요건을 충족해야 합니다. 이 규정은 여러 항목 중에서도 데이터 암호화, 개인정보 제어, 리스크 평가 관행, 관리 및 물리적 보안 관행을 유지할 것을 요구합니다.
FISMA. 연방 기관 및 관련 파트너는 자사의 이익을 위해 컴퓨터 및 네트워크 보안을 강화하기 위해 제정된FISMA(Federal Information Security Modernization Act)의 관행과 의무를 따르고 있습니다.
GDPR. 유럽 연합의GDPR(General Data Protection Regulation)은 EU 시민의 개인 데이터 및 고객 데이터의 수집, 사용, 개인정보 보호, 이동성, 보존에 관한 규정을 관리합니다.
CCPA. GDPR과 마찬가지로CCPA(California Consumer Privacy Act)는 캘리포니아 거주자의 개인정보 및 소비자 권리를 보호하기 위해 제정되었습니다.
SOC 2. SOC 2(System and Organization Controls)는 미국공인회계사협회에서 만든 보안 표준입니다. SOC 2는 기업이 강력한 보안 체계를 구축하도록 지원하기 위해 고안된 민간 프레임워크입니다.
제로 트러스트를 통한 컴플라이언스 및 사이버 보안 강화
기업은 마이크로세그멘테이션 기술과 함께 제로 트러스트 보안 프레임워크를 구축해 컴플라이언스 및 사이버 보안 체계를 개선할 수 있습니다(그림).
제로 트러스트 모델은 사이버 보안에 대한 전략적 접근 방식입니다. 기업 네트워크 내부의 사용자, 디바이스, 애플리케이션을 암묵적으로 신뢰하는 기존의 사이버 보안 패러다임과는 완전히 다릅니다. 제로 트러스트 접근 방식을 사용하면 기업 내외부의 사용자, 디바이스, 애플리케이션이 IT 리소스에 대한 접속 요청을 할 때마다 인증 및 권한을 부여받아야 합니다.
원격 근무, 클라우드 컴퓨팅, BYOD로 인해 기존의 네트워크 경계가 사실상 무의미해지면서 제로 트러스트 보안은 사이버 보안 위협을 차단하고 성공적인 사이버 공격의 피해 반경을 제한하는 데 도움을 줍니다.
제로 트러스트 원칙의 장점
제로 트러스트 의 핵심 원칙은 컴플라이언스와 사이버 보안 프로그램에 모두 유용할 수 있습니다.
아무것도 신뢰하지 않고 항상 검증
최소 권한 접속
멀티팩터 인증
지속적인 모니터링
마이크로세그멘테이션
아무것도 신뢰하지 않고 항상 검증
제로 트러스트 보안 솔루션은 모든 접속 요청이 악성일 수 있다고 가정하고 각 요청마다 지속적인 인증과 권한 부여를 요구합니다. 따라서 '아무것도 신뢰하지 않고 항상 검증'이라는 모토를 명심해야 합니다.
최소 권한 접속
제로 트러스트 프레임워크에서는 접속 범위와 기간을 가능한 한 최소화합니다. 최소 권한 접속은 특정 리소스에 접속할 수 있는 권한 있는 사용자가 네트워크의 다른 부분에 접속할 수 없도록 합니다.
멀티팩터 인증
제로 트러스트 접근 방식에는 사용자와 디바이스에 대한 강력한 ID 및 접속 관리가 필요합니다. 멀티팩터 인증 은 사용자가 비밀번호, 일회용 비밀번호, 생체 인식 스캔, 토큰 및 기타 형태의 인증 등 최소 두 가지 이상의 신원 확인 방법을 제공하도록 요구함으로써 제로 트러스트를 지원합니다.
지속적인 모니터링
제로 트러스트 프레임워크는 사후에 공격에 대응하는 대신 네트워크와 디바이스의 보안 체계와 설정을 지속적으로 모니터링해 데이터 유출의 징후를 검색함으로써 보다 신속한 방어 및 인시던트 대응을 가능하게 합니다.
마이크로세그멘테이션
마이크로세그멘테이션 은 네트워크를 개별 워크로드, 가상 머신, 애플리케이션, 운영 체제 등 더 작은 부분으로 세그멘테이션해 보안팀이 서버와 애플리케이션에서 동서 트래픽 종류를 제한하는 각 영역에 대한 맞춤형 보안 정책을 구축할 수 있도록 합니다.
이렇게 세분화된 접근 방식은 네트워크 내부의 잠재적인 악성 트래픽에 대한 가시성을 높이고, 측면 이동에 기반한 공격을 차단하며, 보안팀이 공격의 신호일 수 있는 의심스러운 행동을 신속하게 식별할 수 있도록 지원합니다.
컴플라이언스 및 사이버 보안을 위한 제로 트러스트 및 마이크로세그멘테이션의 장점
제로 트러스트와 마이크로세그멘테이션은 컴플라이언스와 사이버 보안에 상당한 장점을 제공합니다.
데이터 보안 및 데이터 프라이버시. 규제 프레임워크는 강력한 데이터 보호 조치를 요구하는 경우가 많습니다. 제로 트러스트와 마이크로세그멘테이션은 민감한 데이터에 대한 접속을 엄격하게 제어하고 모니터링할 수 있도록 함으로써 컴플라이언스를 지원합니다.
강력한 접속 제어. 제로 트러스트 아키텍처는 많은 컴플라이언스 규정에서 요구하는 강력한 인증 및 권한 부여 프로토콜을 시행합니다.
지속적인 모니터링 및 보고. 제로 트러스트 네트워크는 접속 및 활동을 지속적으로 모니터링하고 기록해 컴플라이언스의 핵심 요건인 보안 인시던트를 더 빠르게 식별하고 대응할 수 있도록 지원합니다.
리스크 관리. 제로 트러스트와 마이크로세그멘테이션은 디지털 상호 작용의 모든 측면을 지속적으로 검증하고 리스크 평가 및 관리에 중점을 둔 규제 요건을 선제적으로 준수함으로써 리스크를 식별하고 방어합니다.
내부자 위협 해결. 내부자 위협에 대한 방어를 요구하는 규정의 경우, 최소 권한 원칙을 통해 모든 사용자가 작업에 필요한 리소스에만 접속할 수 있도록 함으로써 악성 내부자로 인한 리스크를 줄입니다.
컴플라이언스 환경의 세그멘테이션. 제로 트러스트 보안은 마이크로세그멘테이션을 통해 네트워크 자산을 더 작은 보안 제어 영역으로 분할함으로써 특정 데이터를 IT 인프라의 다른 부분과 격리해야 하는 규정을 준수하도록 합니다.
벤더사 및 써드파티 관리: 제로 트러스트 원칙은 벤더사와 써드파티를 포함한 모든 사용자에게 적용되기 때문에 기업은 공급망 보안에 대한 엄격한 제어를 요구하는 규정을 준수할 수 있습니다.
사이버 보안 및 컴플라이언스 관리를 지원하는 Akamai 솔루션에 대해 자세히 알아보세요.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 라이프를 지원하고 보호합니다. 전 세계 주요 기업들은 매일 수십억 명 고객의 생활, 업무, 여가를 지원하고 디지털 경험을 안전하게 제공하기 위해 Akamai 솔루션을 활용합니다. Akamai Connected Cloud는 대규모로 분산된 엣지 및 클라우드 플랫폼으로,앱과 경험을 사용자와 더 가까운 곳에 배치하고 위협을 멀리서 차단합니다.