AWS 기반 제로 트러스트
제로 트러스트 접근 방식으로 보안 모델 향상
AWS 기반 제로 트러스트란?
제로 트러스트는 데이터에 대한 액세스가 네트워크 위치만을 기반으로 이루어져서는 안 된다는 생각에 초점을 맞춘 보안 모델입니다. 이를 위해서는 사용자와 시스템이 자신의 자격 증명과 신뢰성을 강력하게 입증해야 하며, 애플리케이션, 데이터 및 기타 시스템에 액세스하기 전에 세분화된 자격 증명 기반 권한 부여 규칙을 적용해야 합니다. 제로 트러스트를 사용하면 이러한 자격 증명이 표면 영역을 더욱 줄이고 불필요한 데이터 경로를 제거하며 간단한 외부 보안 가드레일을 제공하는 매우 유연한 자격 증명 인식 네트워크 내에서 작동하는 경우가 많습니다.
제로 트러스트 보안 모델로의 전환은 워크로드 포트폴리오를 평가하고 제로 트러스트의 향상된 유연성과 보안을 통해 가장 큰 이점을 누릴 수 있는 부분을 확인하는 작업에서 시작됩니다. 그런 다음에는 자격 증명, 인증 및 기타 컨텍스트 지표(예: 디바이스 상태)를 재고하는 등 제로 트러스트 개념을 적용하여 현상 유지보다 실제적이고 의미 있는 보안 개선을 이루게 됩니다. 이러한 여정을 돕기 위해 AWS의 여러 자격 증명 및 네트워킹 서비스는 신규 및 기존 워크로드에 모두 적용할 수 있는 핵심 제로 트러스트 구성 요소를 표준 기능으로 제공합니다.
주요 리소스
eBook - 제로 트러스트: 보안 강화로 가는 여정 설계
조직과 사이버 위험이 진화함에 따라 보안 모델도 이에 뒤처지지 않도록 해야 합니다. 제로 트러스트에 대한 자세한 내용과 제로 트러스트를 사용하여 현대 환경에 적합한 다중 계층 보안 전략을 수립하는 방법을 알아보세요.
동영상 - Journeys to Zero Trust on AWS(AWS 기반 제로 트러스트를 향한 여정)(41:27)
AWS Network Firewall 총괄 관리자 겸 방화벽 관리자인 Jess Szmajda와 CISO 사무국 책임자인 Quint Van Deman이 진행하는 이 Re:Force 2023 리더십 세션을 시청하면 AWS의 최신 기능을 사용하여 제로 트러스트 보안 모델을 구현하는 방법을 알 수 있습니다.
블로그 - 제로 트러스트 아키텍처: AWS Perspective
제로 트러스트를 위한 AWS 지침 원칙에 대해 읽고, 일반적인 사용 사례를 살펴보고, 오늘날 제로 트러스트 아키텍처를 구축하는 데 AWS 서비스가 어떻게 도움이 되는지 알아봅니다.
동영상 - AWS 애플리케이션 네트워킹으로 제로 트러스트 달성(58:55)
액세스를 지속적으로 인증하고 모니터링하여 신뢰를 구축하는 보안 모델을 설정할 수 있는 AWS 애플리케이션 네트워킹 서비스에 대해 알아보려면 이 동영상을 시청합니다.
AWS 기반 제로 트러스트 구축을 위한 길잡이 원칙
가능한 경우 자격 증명 및 네트워크 기능을 함께 사용
AWS의 자격 증명 및 네트워크 제어는 특정 보안 목표를 달성하는 데 도움이 되도록 상호 보완하고 보강하는 경우가 많습니다. 자격 증명 중심 제어는 매우 강력하고 유연하며 세분화된 액세스 제어를 제공합니다. 네트워크 중심 제어를 사용하면 자격 증명 중심 제어가 작동할 수 있는 잘 이해되는 경계를 쉽게 설정할 수 있습니다. 이러한 제어가 서로를 인식하고 보완하는 것이 이상적인 방법입니다.
특정 사용 사례의 프로세스 뒤집기
제로 트러스트가 제공하는 향상된 보안의 이점을 누릴 수 있는 일반적인 사용 사례는 인력 모빌리티, 소프트웨어 간 통신, 디지털 트랜스포메이션 프로젝트 등 다양합니다. 의미 있는 보안 개선을 달성하는 최적의 제로 트러스트 패턴, 도구 및 접근 방식을 결정하려면 조직에 적용되는 각각의 특정 사용 사례의 프로세스를 뒤집어보는 것이 중요합니다.
가치에 따라 시스템과 데이터에 제로 트러스트 적용
제로 트러스트 개념은 기존 보안 제어에 추가되는 개념으로 생각해야 합니다. 보호 중인 시스템과 데이터의 조직적 가치에 따라 제로 트러스트 개념을 적용하면 노력에 상응하는 이점을 비즈니스에 가져다줄 수 있습니다.
주요 고객 성공 사례
Figma는 제품을 함께 만드는 팀을 위한 디자인 플랫폼입니다. 웹에서 탄생한 Figma는 팀이 처음부터 끝까지 더 나은 디자인을 만들고, 공유하고, 테스트하고, 출시할 수 있도록 지원합니다.
Staff Security Engineer인 Max Burkhardt는 “사용자의 디자인과 아이디어를 보호하는 것이 Figma의 사명에서 가장 중요합니다.”라고 말했습니다. “Figma 보안 팀은 OIDC 인증을 지원하는 AWS Application Load Balancers, Amazon Cognito, Lambda 서버리스와 같은 기능을 사용하여 시간과 리소스를 절약하면서 내부 도구를 위한 차세대 방어 시설을 구축할 수 있었습니다. 최소한의 사용자 지정 코드로 강력한 제로 트러스트 보안 모델을 구축할 수 있었고, 그 결과 신뢰성이 크게 향상되었습니다.”
제로 트러스트 원칙의 AWS 내 실제 사례
AWS API 요청에 서명
날마다 모든 AWS 고객은 자신 있고 안전하게 AWS와 상호 작용하며 다양한 퍼블릭 및 프라이빗 네트워크를 통해 수십억 건의 AWS API를 호출합니다. 이러한 서명된 각 API 요청은 매번 개별적으로 인증되고 전 세계적으로 초당 10억 건 이상의 요청 속도로 승인됩니다. 전송 계층 보안(TLS)을 사용한 네트워크 수준 암호화를 AWS 서명 v4 서명 프로세스의 강력한 암호화 기능과 결합하면 기본 네트워크의 신뢰성에 관계없이 이러한 요청을 보호할 수 있습니다.
AWS 서비스 간 상호 작용
개별 AWS 서비스가 서로를 호출해야 하는 경우 고객이 되어 사용하는 것과 동일한 보안 메커니즘을 사용합니다. 예를 들어, Amazon EC2 Auto Scaling 서비스는 사용자 계정에서 서비스 연결 역할을 사용하여 단기 보안 인증 정보를 받고 규모 조정 요구 사항에 따라 사용자를 대신하여 Amazon Elastic Compute Cloud(Amazon EC2) API를 호출합니다. 이러한 호출은 AWS 서비스에 대한 호출과 마찬가지로 AWS Identity and Access Management(IAM)에 의해 인증되고 승인됩니다. 강력한 자격 증명 중심 제어는 AWS 서비스 간 보안 모델의 기초를 형성합니다.
IoT를 위한 제로 트러스트
사용 사례
소프트웨어 간 통신
두 구성 요소가 통신할 필요가 없는 경우 동일한 네트워크 세그먼트 내에 있는 경우에도 통신할 수 없어야 합니다. 구성 요소 간의 특정 흐름을 승인하면 이 작업을 수행할 수 있습니다. 불필요한 통신 경로를 제거하면 최소 권한 원칙을 적용하여 중요한 데이터를 더 잘 보호할 수 있습니다. 시스템의 특성에 따라 Amazon VPC Lattice를 사용한 내장 인증 및 권한 부여, 보안 그룹을 사용하여 구축된 동적 마이크로 경계, Amazon API Gateway를 통한 요청 서명 등 단순하고 자동화된 서비스 간 연결을 통해 이러한 아키텍처를 구성할 수 있습니다.
안전한 인력 모빌리티
현대의 인력은 보안을 해치지 않으면서 어디서나 비즈니스 애플리케이션에 액세스할 수 있어야 합니다. AWS Verified Access를 통해 이 작업을 수행할 수 있습니다. AWS Verified Access를 사용하면 VPN 없이도 기업 애플리케이션에 안전하게 액세스할 수 있습니다. 기존 ID 제공업체(IdP)와 디바이스 관리 서비스를 쉽게 연결하고 액세스 정책을 사용하여 애플리케이션 액세스를 엄격하게 제어하는 동시에 원활한 사용자 경험을 제공하고 보안 태세를 개선할 수 있습니다. Amazon WorkSpaces Family 또는 Amazon AppStream 2.0과 같은 서비스를 사용하여 이 작업을 수행할 수도 있습니다. 이 서비스는 애플리케이션을 암호화된 픽셀로 원격 사용자에게 스트리밍하는 동시에 Amazon VPC와 연결된 모든 프라이빗 네트워크 내에 데이터를 안전하게 보관합니다.
디지털 트랜스포메이션 프로젝트
디지털 트랜스포메이션 프로젝트는 센서, 컨트롤러, 클라우드 기반 처리 및 인사이트를 연결하는 경우가 많으며, 이 모든 작업은 전적으로 기존 엔터프라이즈 네트워크 외부에서 이루어집니다. 중요한 IoT 인프라를 보호하기 위해 AWS IoT 서비스는 표준 기능으로 제공되는 디바이스 인증 및 권한 부여를 통해 개방형 네트워크를 통한 엔드-투-엔드 보안을 제공할 수 있습니다.
