제로 트러스트는 뭘까? 요즘 모든 기업/기관 마다 제로 트러스트를 이야기 하고 있다.
제로 트러스트란 모든 상호작용이 신뢰할 수 없는 상태에서 시작된다는 전제로 가정하는 보안 모델이다.
기존의 네트워크 보안 접근 방식이 내부 네트워크를 신뢰하고 외부 네트워크를 의심하는 방식이었다면, 제로 트러스트는 내부와 외부 모두를 의심하는 것입니다.
(기존의 방식은 내부 네트워크에 속한 자원에 대해 신뢰를 가지고, 외부 네트워크에서 오는 요청을 더 신중하게 취급하는
방식이였습니다, 내부망내에서는 보안 검증의 레벨이 없다던지, 낮다던지..)
하지만 제로 트러스트는 사용자, 장치, 및 네트워크 리소스에 대한 접근을 최소한의 권한으로 제한하고, 이들이 실제로 권한이 있는지를 계속적으로 확인하는 보안 접근 방식입니다.
따라서 사용자나 장치가 네트워크에 접속하더라도 항상 신뢰할 수 있는지를 확인하고, 필요한 경우 추가 보안 검증을 거칩니다.
사실상 내부망에서의 접근 또한 검증을 거쳐 안전한 접근일 경우 통신한다라고 생각하면 되며 하나의 예를 들면
'사용자가 로그인을 할때 ID/PW 를 통한 로그인을 진행해도 추가적인 2차적 검증(OTP/지문인식 등)을 진행하여 ID/PW를 알고있다 하더라도 진짜 너가 해당 ID의 주인이 맞는지를 묻는가'라 보면 될 것 입니다.
국내에서 제로 트러스트 표준화를 추진하고 있고 KISA에 제로 트러스트에 대한 가이드라인이 제공되고 있어 한번 참고해보면 좋을 것 같다.
(가이드라인 : https://www.kisa.or.kr/2060205/form?postSeq=20&page=1#fndoDocumentPreview )
'반작가의 IT여행 > ETC' 카테고리의 다른 글
| [24.3] JavaScript JSONata 라이브러리 보안 업데이트 권고 (CVE-2024-27307) (0) | 2024.04.18 |
|---|---|
| [ETC] CBDC(Central Bank Digital Currency), 중앙은행 디지털 화폐가 뭐야? (0) | 2024.03.14 |
| [ETC] 오늘 본 윈도우 잠금화면의 배경사진 구하기 (0) | 2021.05.08 |
| [ETC] .har .saz 얘네가 뭔지 궁금해? (0) | 2021.04.27 |
| [ETC] 웹에서 디컴파일하기 ( Java Decomplier - Web) (0) | 2021.03.30 |