제로 신뢰의 개념은 기존의 국경 보안 기반 보호 모델을 완전히 전복시켰으며, 최근 몇 년 동안 국내외 사이버 보안 업계의 추앙을 받았다.
소위 제로 신뢰는 "절대 신뢰" 입니다. 그렇다면 기업들은 기존의 경계 보호 기반 보안 모델을 버리고 제로 신뢰 보안 모델로 전환해야 합니까? 제로 신뢰는 기업 안전 건설이 반드시 겪어야 하는 안전 보호 체계의 기술 혁신이지만, 장기적인 탐구와 실천 과정을 거쳐야 한다.
첫째, 제로 신뢰의 주요 보안 모델을 분석합니다.
클라우드 컴퓨팅과 빅 데이터 시대에는 네트워크 보안 경계가 일반화되어 내외 위협이 날로 증가하고 있습니다. 기존의 국경 보안 아키텍처는 대응하기 어렵고, 무신뢰 보안 구조가 생겨났다. 기업으로서, 어떻게' 무신뢰' 의 보안 솔루션을 선택하여 기업을 위해 현재의 보안 위험을 해결할 수 있습니까?
현재' 제로 신뢰' 보안 모델은 보안 액세스 서비스 에지 (SASE) 모델과 제로 신뢰 에지 (ZTE) 모델을 포함한 완성도가 높습니다. 이 두 가지 모델을 예로 들자면, 먼저 현재 모델의 차이를 이해하고, 각각의 발전 추세를 논의한 다음, 기업에 적합한 구현 방안을 선택해야 한다.
SASE 모델의 경우 ID 중심, 클라우드 아키텍처, 지원 네트워크 서비스 공급업체 (pop) 의 모든 가장자리 및 분포가 주요 특징입니다. SASE 모델은 ID 정의를 확장하여 사용자, 그룹 및 역할의 원래 할당을 장치, 응용 프로그램, 서비스, 사물인터넷, 네트워크 에지 위치, 네트워크 자원 등으로 확장합니다. 이러한 요소는 ID 로 요약되며, 이러한 모든 네트워크 연결 관련 서비스는 ID 에 의해 구동됩니다. 기존 WAN 과 달리 SASE 는 검색을 위해 트래픽을 데이터 센터로 반환하는 대신 감지 엔진을 가까운 PoP 지점으로 가져와 클라이언트가 네트워크 트래픽을 PoP 지점으로 전송하여 테스트를 수행한 다음 인터넷이나 백본 네트워크를 다른 SASE 클라이언트로 전달하여 네트워크 반환으로 인한 지연을 제거합니다. SASE 는 WAN 및 SECaaS (Secure As) 를 제공할 수 있습니다. 즉, 클라우드 서비스의 모든 고유 기능을 제공하여 비즈니스 요구 사항을 충족하는 효율성과 편리함을 극대화하고 모든 기능을 PoP 지점에 배치할 수 있습니다.
SASE 모델의 장점은 포괄적이고 유연하며 일관된 보안 서비스를 제공하고, 전체 보안 구축 비용을 절감하고, 공급업체 및 공급업체의 리소스를 통합하고, 고객에게 효율적인 클라우드 서비스를 제공할 수 있다는 것입니다. 클라우드 기반 네트워크 보안 서비스는 IT 인프라를 단순화하고, IT 팀 관리 및 운영 유지 관리 보안 제품의 수를 줄이고, 사후 운영 및 유지 관리의 복잡성을 줄이고, 생산성을 크게 향상시킬 수 있습니다. SASE 모델 및 클라우드 기술을 사용하여 엔터프라이즈 성능을 최적화하고, 사용자 인증 프로세스를 단순화하고, 무단 데이터를 보호합니다.
SASE 모델은 네트워크와 보안의 긴밀한 결합을 강조하고, 네트워크와 보안 동기화 건설을 강조하며, 보안 체계 구축을 준비하는 기업에 이상적인 경로를 제공합니다. 반대로, 이미 보안 시스템을 구축했거나 구축하고 있는 기업에게는 네트워크 구조를 재구성하는 것이 큰 도전이자 막대한 투자입니다. 따라서 SASE 모델은 최종 사용자를 위한 소매업에 더 적합할 수 있으며, 이러한 기업에 완벽한 보안 서비스를 제공할 수 있으며, 각 지점 노드에 전체 보안 시스템을 구축할 필요가 없으므로 통합 관리를 용이하게 하고 건설 비용을 절감할 수 있습니다.
중흥 모델의 중점은 무신임이다. 하나는 데이터 센터 제로 신뢰, 즉 자원 액세스 제로 신뢰, 하나는 에지 제로 신뢰, 즉 모든 에지 액세스 보안 제로 신뢰입니다. 사실 SASE 모델에 0 신뢰 모듈이 포함되어 있다는 것은 본질적으로 개념이라는 것을 이해할 수 있다. 중흥 모델은 네트워크와 보안의 디커플링을 강조하고, 먼저 원격 액세스 문제를 해결한 다음 네트워크 아키텍처 재구성 문제를 해결한다.
둘째, huarun 제약 상업 그룹 제로 신뢰 연습
화윤의약상업그룹 유한공사 (이하 "회사") 는 화윤산하의 대형 의약유통업체로서 전국에 100 여개 분자회사와 거의 천 개 약국을 보유하고 있으며, 그 일상적인 업무운영은 정보화의 기초지원과 분리될 수 없기 때문에 사이버 보안이 특히 중요하다. 최근 몇 년 동안 각 중앙기업은 사이버 보안 건설에서 국가 호소 및 관련 법률 및 규정 요구 사항에 적극적으로 대응하여 사이버 보안 보호 능력을 높였습니다. 회사도 사이버 보안 건설을 매우 중시한다. 현재 태태세 인식을 핵심으로 국경과 터미널을 관통하는 종심방어 체계를 구축하고 있으며 2 년 연속 공방 훈련에 참가해 사이버 보안 인력의 전문성을 지속적으로 향상시키고 공방 실전을 통해 사이버 보안 건설을 더욱 최적화하고 있다.
그러나 클라우드 컴퓨팅, 대용량 데이터, 인터넷 등 기술 분야에 발을 들여놓을 때 기존 네트워크 경계의 일반화는 기업에 통제할 수 없는 보안 위험을 초래하고, 기존의 경계 기반 네트워크 보안 아키텍처와 솔루션은 현대 기업 네트워크 인프라에 적응하기가 어렵고, 신뢰가 전혀 없는 것은 기업이 디지털 전환의 난제를 해결하는 데 도움이 될 수 있습니다.
회사는 SASE (보안 액세스 서비스 에지) 및 중흥 통신 (제로 신뢰 에지) 병렬 솔루션을 선택하여 엔터프라이즈를 위한' 제로 신뢰' 네트워크 보안 아키텍처 방향을 모색합니다.
회사 지사가 많아 거의 전국을 포괄하고 있으며, 안전 규제난, 처분난, 안전이 낮고, 자원 유연성이 떨어지는 등 통일된 장기 운영 메커니즘이 부족하다. 이러한 문제를 바탕으로 회사는 SASE 모드 솔루션을 참조하여 기존 WAN 링크 데이터 센터의 기존 액세스 형식을 PoP point WAN 통합 네트워크 아키텍처 솔루션으로 변경하고 통합 운영 서비스 제공 업체가 네트워크 링크 및 포괄적인 보안 서비스를 제공합니다. 그러나 원래 네트워크 아키텍처를 완전히 재구성하는 것이 아니라 세 가지 상황에 대해 서로 다른 방안을 채택하는 것이다.
첫 번째 범주는 주로 지역 기업을 겨냥한 네트워크 보안 관리 방식을 바꾸는 것이다. 대부분의 지역 회사들은 비교적 성숙한 보안 시스템을 구축했기 때문에 기존의 기존 WAN 링크를 가장 가까운 통신업체인 PoP 지점으로 변경하고 기존의 이중선 중복 회선을 소프트웨어 정의 WAN (SD-WAN) 기술로 교체하여 서비스 품질 (QoS) 메커니즘을 통해 주요 업무와 사무업무를 합리적으로 분할하여 네트워크 사용 효율을 크게 높이고 비용을 절감했습니다. 또한 WAN 은 통합 관리 플랫폼을 통해 관리할 수 있으며, 보안 정책을 일관되게 할당 및 구성하여 전반적인 보안을 향상시킬 수 있습니다.
두 번째 범주는 계층별 집합, 계층 관리, 주로 2 차, 3 차 지점을 대상으로 합니다. 이런 단위의 안전시스템은 이미 건설되었지만 아직 높은 수준에 도달하지 못했다. 가장 가까운 PoP 포인트에 액세스하거나 지역 회사에 모여 운영자는 일부 보안 서비스 또는 지역 회사를 제공하여 통합 통제를 수행합니다.
세 번째 범주는 주로 보안 시스템을 구축할 수 없는 소매점과 작은 지점을 대상으로 합니다. SD-WAN 보안 액세스 프로그램을 사용하여 PoP 지점에 접근할 수 있으며, 운영자는 전체 보안 서비스를 제공하고, 보안 건설 비용을 절감하며, 통합 보안 통제를 강화합니다. SASE 모델의 관리 개념을 통해 네트워크 아키텍처를 조정하고 포괄적이고 일관된 보안 서비스를 제공하는 동시에 전체 보안 구축 비용을 절감하고 생산성을 높입니다.
요 2 년 동안 회사 사무실은 코로나 전염병의 영향을 받아 직원 재택 사무실이 정상으로 변했다. 회사는 가상 사설망 (VPN) 제품의' 대사용자' 로서 기존의 VPN 계정을 많이 보유하고 있으며, 기존 VPN 은 사용 과정에서 현재의 비즈니스 요구 사항을 충족하기가 어렵고, 일부 문제도 점차 드러나면서 다양한 수준의 보안 위험을 초래하고 있다. 기존의 VPN 아키텍처에는 역할 기반 권한 고정 할당과 같은 많은 문제가 있어 유연성이 떨어집니다. 업무 생성 및 재보험의 특수한 시기에 광범위한 권한 통제로는 서로 다른 역할의 업무 인력과 불법 인력에 대한 액세스 통제를 실현할 수 없습니다. 업무포트가 공공망에 노출되어 계정 사기, 악의적 스캔, 비밀번호 폭발 등 보안상의 위험이 있다. 회사 본부는 VPN 업무의 운영을 담당하고 있으며, 산하 단위와 관련된 모든 VPN 문제는 본사 인원이 처리하고, 계좌 비밀번호를 되찾는 등 사소한 번거로운 문제가 본사 인원의 많은 시간과 정력을 소모하고 있다. 터미널과 브라우저에 따라 기존 VPN 클라이언트에 대한 호환성이 다르며 호환성 문제도 직원들에게 자주 불평됩니다. VPN 사용에서 인터넷 기반 암호화 액세스는 종종 네트워크 원인으로 인해 서비스가 막히거나 네트워크가 끊어지는 문제를 일으킬 수 있습니다.
이를 위해 회사는 중흥 모델의 해결책을 참고하여 먼저 원격 액세스 문제를 해결했다. 202 1, 회사는 제로 신뢰 보안 구축 파일럿을 실시합니다. 제로 신뢰 이념을 지도하고, 신복된 소프트웨어 정의 경계 (SDP) 아키텍처의 제로 신뢰 제품과 결합하여 중국의 모든 직장인을 포괄하는 제로 신뢰 원격근무 플랫폼을 구축했다.
SDP 아키텍처 기반 제로 신뢰 제품은 연결 전에 액세스 연결을 인증하고 모든 불법 연결 요청을 거부하며 노출을 효과적으로 줄이고 애플리케이션 계층의 서비스 검색 감지 및 분산 서비스 거부 (DDoS) 공격을 방지합니다. 단일 패키지 인증 (SPA) 인증 보안 메커니즘을 통해 업무에 보이지 않고 서비스가 보이지 않아 사무실 업무 및 장비 자체를 보호합니다. 전용 클라이언트가 설치되지 않은 컴퓨터의 경우 서버는 클라이언트로부터의 연결에 응답하지 않으며 인증 인터페이스를 열고 인터페이스에 액세스할 수 없습니다. 어댑티브 인증 정책을 통해 비정상적인 사용자가 비정상적인 네트워크, 비정상적인 시간, 새 장치에서 중요한 민감한 어플리케이션 또는 데이터에 액세스할 때 제로 트러스트 플랫폼은 사용자에게 2 차 인증 및 향상된 인증 적용을 강제하여 사용자 ID 의 신뢰성을 보장합니다.
제로 신뢰 파일럿 애플리케이션은 회사의 네트워크 보안을 향상시키고 운영 및 유지 보수를 단순화합니다. 그러나 회사의 현재 상황과 계획에 근거하여 시범 사업은 제조업체와 더 전개되어야 한다. 사용자 경험 최적화 측면에서 SDP 아키텍처는 데이터 전달 체인이 많고, 제로 신뢰와 VPN 사용 유동성의 차이가 크지 않으며, 사용자 경험은 더욱 최적화되어야 합니다. 제로 신뢰 보안 시스템은 인터넷 프로토콜 버전 6 (IPV6) 을 완벽하게 지원해야 합니다. 관련 정책 요구 사항에 따라 IPV6 서비스는 개혁이 필요하며, 무신임을 통해 발표된 서비스가 우선시됩니다. 무신 보안 시스템은 내부 인스턴트 메시징을 지원하고, 무신 제품을 회사의 기존 사무실 플랫폼과 더욱 도킹하여 ID 및 비즈니스를 통합적으로 관리하고, 단일 사인온을 실현해야 합니다. 회사의 제로 신뢰 보안 시스템 구축의 다음 단계는 회사의 기존 보안 시스템 구축과 제로 신뢰 제품 시스템을 더욱 연결하고 데이터 상호 운용성을 실현하며 관리 정보화의 보안과 신뢰성을 더욱 향상시키는 것입니다.
셋째, 결론
무신뢰 보안 아키텍처는 기존의 경계 보안 아키텍처 모델을 재평가하고 검토하여 보안 아키텍처를 구축하는 새로운 방법을 제공합니다. 그러나 제로 신뢰는 제품이 아니라 보안 아키텍처의 새로운 개념이다. 실제로 엔터프라이즈 네트워크 경계에서 액세스를 제어해야 할 뿐만 아니라 모든 엔터프라이즈 네트워크 가장자리와 ID 사이의 모든 액세스 요청에 대해 보다 세밀한 동적 액세스 제어를 수행하여 "절대 신뢰하지 않고 영원히 검증" 할 수 있습니다.
(이 기사는 2022 년 "중국 정보 보안 저널" 제 2 호에 발표되었습니다)