개요:
Forrester 분석가 John Kindwig가 2010년에 "제로 트러스트"라는 용어를 제안한 이후 디지털 경제와 원격 근무가 증가하면서 제로 트러스트는 점차 개념에서 구현으로 옮겨갔습니다. 차세대 네트워크 아키텍처 개념으로서 핵심 아이디어는 모든 자산이신원모든 자산 간의 네트워크 연결은 반드시인증권한 부여.
제로 트러스트는 특정 보안 제품이 아니라 액세스 제어, ID 관리, 백그라운드 데이터 등을 조합하여 네트워크 요청을 확인하는 보안 관리 개념 또는 보안 관리 방법이라는 점을 분명히 해야 합니다. "신뢰하지 않고 어디서나 검증"을 달성할 수 있는 구체적인 기술적 수단은 모두 제로 트러스트를 채택하는 것으로 간주될 수 있습니다.
중국 최대의 클라우드 공급업체인 Alibaba Cloud는 다양한 내부 비즈니스 구조, 복잡한 액세스 트래픽, 빈번한 ID 변경으로 인해 큰 보안 문제를 야기합니다. 수년간의 탐색 끝에 클라우드 보안 팀은 제로 트러스트와 클라우드 네이티브를 결합하고 ID와 마이크로 격리를 결합한 솔루션을 구현 및 구현하여 대기업 생산 네트워크의 격리 문제를 해결했습니다.
제로 트러스트 코어 이해: 5가지 가정
제로 트러스트의 정의는 일반적으로 다음 5가지 가정을 기반으로 합니다.
- 인터넷은 항상 위험한 환경에 있습니다
- 외부 또는 내부 위협은 항상 네트워크에 존재합니다.
- 네트워크의 위치만으로는 네트워크의 신뢰성을 판단할 수 없습니다.
- 모든 장치, 사용자 및 네트워크 트래픽은 인증 및 승인을 받아야 합니다.
- 보안 정책은 동적이어야 하며 가능한 한 많은 데이터 소스를 기반으로 계산되어야 합니다.
네트워크의 위치만으로는 네트워크의 신뢰성을 판단할 수 없다는 점을 강조하는 것이 중요합니다. 보안 운영 관행의 관점에서 볼 때 기업 인트라넷 관리에 대한 일반적인 오해가 있기 때문입니다.내부 네트워크(사무실 네트워크, 생산 네트워크)가 안전하며, 국경에서 보안을 강화할 수 있습니다.". 그러나 보안 사고의 관점에서 볼 때 표적 침입은 분명히 인트라넷에 대한 추가 측면 침투를 수반할 것입니다. 인트라넷이 방해받지 않고 보안 보호 조치가 없다면 심각한 보안 문제로 이어질 것입니다.
사무실 네트워크의 제로 트러스트 실천: BeyondCorp & Istio
제로 트러스트 보안의 현장 실무에서 지금은 널리 알려진제로 트러스트 프로그램주로 사무실 네트워크의 보안 문제를 해결하기 위해 사무실 네트워크에 초점을 맞추고 있습니다. 예를 들어 자주 언급되는 구글 비욘드코프는 액세스 제어를 네트워크 경계에서 특정 사용자로 이동(디바이스의 위치가 아닌 사용자의 신원을 기반으로)하여 사용자가 사무실 네트워크의 시스템에 안전하게 액세스하기 위해 기존 VPN을 사용할 필요 없이 거의 모든 위치에서 안전하게 작업할 수 있게 해줍니다.
프로덕션 네트워크 내 서비스 간 제로 트러스트 솔루션의 경우 업계에서 성숙한 솔루션이 상대적으로 적습니다. Google BeyondProd는 개방적이고 대규모이며 성숙한 유일한 제품인 것 같습니다.
오픈 소스 k8s 아키텍처에서 Istio는 서비스 메시를 통해 프로덕션 네트워크에 제로 트러스트를 도입하려고 시도합니다. 핵심 아이디어는 k8s 아키텍처를 사용하여 프로덕션 네트워크의 각 Pod에 서비스 메시 사이드카를 배포하는 것입니다. 서비스 메시가 자연스럽게 Pod 간의 RPC 통신을 담당하므로 네트워크 액세스 인증, 인증 및 보안 로그를 여기에 추가할 수 있습니다. 그러나 실제로 우리는 네이티브 Istio에 몇 가지 문제가 있다는 사실도 발견했습니다.
- Istio 자체의 보안 기능은 프로덕션 환경에서 검증되지 않았으며 Demo 단계에만 있습니다.
2. Istio는 mtls에 RPC 프로토콜을 캡슐화하여 워크로드 간 ID 인증(피어 인증)을 구현합니다. mtls로 인해 발생하는 추가 컴퓨팅 비용과 지연 오버헤드는 상대적으로 크기 때문에 많은 기업이 받아들이기 어렵습니다.
3. Istio는 RCP 트래픽만 인계받으며 비RPC 트래픽 인증 메커니즘은 불완전합니다.
Alibaba Cloud 팀은 업계 관행을 참조하고 Forrester의 세 가지 기본 개념인 "제로 트러스트 모델"을 결합하여 기업 인트라넷에 제로 트러스트를 단계별로 구현했습니다.
- 모든 네트워크 트래픽 확인 및 기록
- 모든 소스를 확인하고 확인하세요
- 액세스 제어를 제한하고 엄격하게 시행하세요.
제로 트러스트 기반 네트워크 미세 격리
프로덕션 네트워크의 North-South 데이터는 WAF 및 방화벽을 통해 네트워크 격리될 수 있습니다. 워크로드 간 통신, 즉 동서 트래픽의 경우 효율성이 부족합니다.사이버 보안격리란 의미이므로 마이크로 격리의 핵심 기능은 자연스럽게 동서 트래픽의 격리 및 제어에 초점을 맞춥니다.
일반 기업 생산 네트워크의 경우 Waf, 방화벽 등 국경 방어 장치만 배치되는 경우가 많습니다. 첫째, 공격자가 경계 방어(WAF, 방화벽)를 뚫거나 악의적인 직원이 프로덕션 네트워크에 연결하는 경우 인트라넷의 모든 워크로드에 직접 액세스할 수 있습니다. 인트라넷의 취약점은 공격자에게 직접 노출되며, 폭발 반경을 제어할 수 있는 효과적인 격리 방법은 없습니다. 둘째, 비즈니스, 특히 인터넷 기업의 급속한 발전으로 인해 보안 도메인 및 VPC를 기반으로 하는 전통적인 격리 방법은 비즈니스의 급격한 변화에 효과적으로 적응할 수 없어 효과적으로 격리할 수 없게 됩니다. 드디어 클라우드 네이티브 기술이 점차 대중화되면서 k8s가 대규모로 적용되기 시작했습니다. 클라우드 네이티브 환경에서는 애플리케이션 인스턴스의 워크로드가 이동 가능하고 단기간 동안만 존재하기 때문에 하루에 수천, 심지어 수만 개의 Pod가 생성되고 폐기될 수 있습니다. IP를 통한 전통적인 격리 방법은 정책을 자주 변경하게 되므로 정책을 거의 유지 관리할 수 없게 됩니다.
따라서 클라우드 네이티브 기술을 다음과 결합하면네트워크 미세 격리엔터프라이즈 프로덕션 네트워크를 탄력적이고 가변적인 N-네트워크로 분할하여 빠른 비즈니스 변화에 따른 탄력적인 격리를 충족하고 침입 후 공격 표면을 줄이고 폭발 반경을 제어합니다.
실제로 Alibaba Cloud는 제로 트러스트를 사용합니다.ID 기반 액세스 제어와 네트워크 미세 격리 결합, 네트워크 미세 격리를 위한 ID를 사용하고, 침입 후 공격 표면을 줄이고, 기업 프로덕션 네트워크의 보안 방어 수준을 향상시킵니다.
동시에 Istio 사이드카 아이디어를 바탕으로 제로 트러스트를 기반으로 한 네트워크 마이크로 격리가 각 워크로드의 Pod에 통합되어 아키텍처 수준에서 다음과 같은 여러 가지 이점을 얻을 수 있습니다.
- 비즈니스 워크로드를 배포하고 애플리케이션 ID의 세분화에 따라 네트워크 관리를 수행합니다.
- 비즈니스가 탄력적으로 확장 및 축소됨에 따라 보안 기능이 자동으로 배포될 수 있습니다.
- 보안 기능은 비즈니스 코드와 분리되어 있으며 비즈니스 시스템을 방해하지 않습니다.
워크로드 통신 단계에서는 2계층 인증 및 인증 기능도 구축합니다.
- L3/4 통신 수준에서는 연결 수준 인증 및 인증을 보장하기 위해 추가 애플리케이션 ID가 추가됩니다.
- L7 통신 수준에서는 요청 수준 인증 및 인증을 보장하기 위해 애플리케이션 ID가 추가됩니다.
- L7 계층에서 요청 수준 액세스 제어가 필요하지 않은 경우 L3/4 계층 인증 및 인증만 활성화되고 다양한 애플리케이션 계층 프로토콜이 지원되면 네트워크 성능이 거의 손실되지 않을 수 있습니다.
보안 운영 수준에서 Alibaba Cloud는 단계별 배포 및 구축을 수행합니다.
- 먼저, 인터넷 경계 애플리케이션과 핵심 비즈니스 애플리케이션을 우선 보호 대상으로 식별합니다.
- 마이크로 격리 보안 컨테이너 배포를 통해 완전한 인트라넷 동서 트래픽 데이터가 수집됩니다.
- 원본 동서 트래픽 데이터는 애플리케이션 ID + 자산 라이브러리 정보를 통해 IP 간 접속 관계를 애플리케이션 ID 간 접속 관계로 변환하고, 관찰 기간을 통해 애플리케이션 간 접속 기준선을 설정합니다.
- 보안 정책 실행 단계에서는 필수 인증 및 고위험 서비스(SSH, SMB, LDAP, Kerberos 등) 및 핵심 서비스(민감한 데이터 인터페이스 등)에 대한 인증을 우선하여 보안 격리 수준을 향상시킵니다. 핵심 시스템.
- 마지막으로 지속적인 운영 모니터링이 수행되었습니다. 한편으로는 잘못된 차단으로 인한 비즈니스 피해를 방지하기 위해, 한편으로는 인트라넷의 고위험 서비스 트래픽을 모니터링하여 잠재적인 측면 침입 행위나 웜 감염 이벤트를 탐지할 수 있습니다.
미래 전망
지속적인 탐색 끝에 클라우드 네이티브 기술을 결합하면 보안 분야에서 새로운 혁신 사례를 만들 수 있다는 사실을 발견했습니다. 지난 기간 동안 다양한 보안 회사에서는 클라우드 네이티브 아키텍처의 보안 문제와 클라우드 네이티브 시스템을 보호하는 방법에 대해 고민해 왔습니다. 실제로 보안은 클라우드 네이티브 아키텍처를 활용하여 새로운 보안 솔루션을 만들 수 있습니다. 예를 들어, WAF 및 방화벽 기능을 사이드카로 이동하여 비즈니스와 함께 빠르고 유연하게 배포할 수 있습니다. 보안 사이드카에 인증 기능 외에 WAF 및 방화벽 기능이 있으면 내부 네트워크의 보안 수준은 경계의 보안 수준과 동일할 수 있으며 각 워크로드를 최대한 보호할 수 있습니다.
Alibaba Cloud는 클라우드 네이티브 보안을 향한 길을 계속해서 탐구할 것입니다.
xbear의 원본 글, 재생산 시 출처 표시: https://www.cncso.com/kr/aliyun-identity-and-network-micro-segregation.html
