제로 트러스트 구현

Last reviewed 2025-02-05 UTC

Google Cloud 아키텍처 프레임워크의 보안 요소에 포함된 이 원칙은 클라우드 워크로드 전반에서 포괄적인 보안을 유지하는 데 도움이 됩니다. 제로 트러스트 원칙은 다음과 같은 관행을 강조합니다.

  • 암시적 신뢰 제거
  • 액세스 제어에 최소 권한 원칙 적용
  • 모든 액세스 요청의 명시적 유효성 검사 적용
  • 침해 가정 사고방식을 채택하여 지속적인 확인 및 보안 상태 모니터링을 사용 설정

원칙 개요

제로 트러스트 모델은 보안의 초점을 경계 기반 보안에서 어떤 사용자나 기기도 본질적으로 신뢰할 수 없다고 간주되는 접근 방식으로 전환합니다. 대신 모든 액세스 요청은 출처와 관계없이 확인되어야 합니다. 이 접근 방식에는 모든 사용자와 기기를 인증 및 승인하고, 컨텍스트 (위치 및 기기 상태)를 확인하고, 필요한 리소스에만 최소 권한 액세스 권한을 부여하는 것이 포함됩니다.

제로 트러스트 모델을 구현하면 잠재적 침해의 영향을 최소화하고 민감한 정보와 애플리케이션을 무단 액세스로부터 보호하여 조직의 보안 상태를 개선할 수 있습니다. 제로 트러스트 모델을 사용하면 클라우드에서 데이터와 리소스의 기밀성, 무결성, 가용성을 보장할 수 있습니다.

권장사항

클라우드 워크로드에 제로 트러스트 모델을 구현하려면 다음 섹션의 권장사항을 고려하세요.

네트워크 보호

이 권장사항은 인프라 보안이라는 중점사항과 관련이 있습니다.

기존의 경계 기반 보안에서 제로 트러스트 모델로 전환하려면 여러 단계가 필요합니다. 조직에서 이미 특정 제로 트러스트 제어 기능을 보안 태세에 통합했을 수 있습니다. 하지만 제로 트러스트 모델은 하나의 제품이나 솔루션이 아닙니다. 대신 여러 보안 레이어와 권장사항을 종합적으로 통합한 것입니다. 이 섹션에서는 네트워크 보안에 제로 트러스트 보안을 구현하기 위한 권장사항과 기법을 설명합니다.

  • 액세스 제어: Chrome Enterprise PremiumIdentity-Aware Proxy (IAP)와 같은 솔루션을 사용하여 사용자 ID 및 컨텍스트를 기반으로 액세스 제어를 적용합니다. 이렇게 하면 보안이 네트워크 경계에서 개별 사용자 및 기기로 이동합니다. 이 접근 방식을 사용하면 세분화된 액세스 제어를 사용 설정하고 공격 노출 영역을 줄일 수 있습니다.
  • 네트워크 보안: 온프레미스, Google Cloud, 멀티 클라우드 환경 간의 네트워크 연결을 보호합니다.
  • 네트워크 설계: 기존 프로젝트에서 기본 네트워크를 삭제하고 새 프로젝트에서 기본 네트워크 생성을 사용 중지하여 잠재적인 보안 위험을 방지합니다.
    • 충돌을 방지하려면 네트워크 및 IP 주소 할당을 신중하게 계획하세요.
    • 효과적인 액세스 제어를 적용하려면 프로젝트당 Virtual Private Cloud (VPC) 네트워크 수를 제한하세요.
  • 세분화: 워크로드를 격리하지만 중앙 집중식 네트워크 관리는 유지합니다.
    • 네트워크를 세분화하려면 공유 VPC를 사용하세요.
    • 조직, 폴더, VPC 네트워크 수준에서 방화벽 정책 및 규칙을 정의합니다.
    • 데이터 유출을 방지하려면 VPC 서비스 제어를 사용하여 민감한 정보와 서비스 주위에 안전한 경계를 설정하세요.
  • 경계 보안: DDoS 공격 및 웹 애플리케이션 위협으로부터 보호합니다.
    • 위협으로부터 보호하려면 Google Cloud Armor를 사용하세요.
    • Google Cloud 에지에서 트래픽을 허용, 거부 또는 리디렉션하도록 보안 정책을 구성합니다.
  • 자동화: 코드형 인프라 (IaC) 원칙을 수용하고 Terraform, Jenkins, Cloud Build와 같은 도구를 사용하여 인프라 프로비저닝을 자동화합니다. IaC를 사용하면 일관된 보안 구성, 간소화된 배포, 문제 발생 시 빠른 롤백을 보장할 수 있습니다.
  • 안전한 기반: 엔터프라이즈 기반 청사진을 사용하여 안전한 애플리케이션 환경을 구축합니다. 이 청사진은 보안 권장사항을 구현하고Google Cloud 리소스를 안전하게 구성하는 데 도움이 되는 안내 및 자동화 스크립트를 제공합니다.

모든 액세스 시도를 명시적으로 확인

이 권장사항은 다음 중점사항과 관련이 있습니다.

  • ID 및 액세스 관리
  • 보안 운영 (SecOps)
  • 로깅, 감사, 모니터링

클라우드 리소스에 액세스하려는 모든 사용자, 기기 또는 서비스에 강력한 인증 및 승인 메커니즘을 구현합니다. 위치 또는 네트워크 경계를 보안 제어로 사용하지 마세요. 이미 네트워크 내에 있는 경우에도 사용자, 기기 또는 서비스를 자동으로 신뢰하지 않습니다. 대신 리소스에 액세스하려는 모든 시도는 엄격하게 인증되고 승인되어야 합니다. 다중 인증 (MFA)과 같은 강력한 본인 인증 조치를 구현해야 합니다. 또한 액세스 결정은 사용자 역할, 기기 상태, 위치와 같은 다양한 컨텍스트 요인을 고려하는 세분화된 정책을 기반으로 이루어져야 합니다.

이 권장사항을 구현하려면 다음 방법, 도구, 기술을 사용하세요.

  • 통합 ID 관리: 단일 ID 공급업체 (IdP)를 사용하여 조직 전반에서 일관된 ID 관리를 보장합니다.
    • Google Cloud 는 온프레미스 Active Directory를 비롯한 대부분의 IdP와의 제휴를 지원합니다. 제휴를 통해 기존 ID 관리 인프라를 확장하고 Google Cloud 사용자에게 싱글 사인온 (SSO)을 사용 설정할 수 있습니다.
    • 기존 IdP가 없는 경우 Cloud ID Premium 또는 Google Workspace를 사용하는 것이 좋습니다.
  • 제한된 서비스 계정 권한: 서비스 계정을 신중하게 사용하고 최소 권한 원칙을 준수합니다.
    • 각 서비스 계정이 지정된 작업을 수행하는 데 필요한 권한만 부여합니다.
    • Google Kubernetes Engine (GKE)에서 실행되거나Google Cloud 외부에서 실행되는 애플리케이션에 워크로드 아이덴티티 제휴를 사용하여 리소스에 안전하게 액세스합니다.
  • 견고한 프로세스: 클라우드 보안 권장사항에 맞게 ID 프로세스를 업데이트합니다.
    • 규제 요구사항을 준수하려면 ID 거버넌스를 구현하여 액세스, 위험, 정책 위반을 추적하세요.
    • 액세스 제어 역할 및 권한을 부여하고 감사하기 위한 기존 프로세스를 검토하고 업데이트합니다.
  • 강력한 인증: 사용자 인증을 위해 SSO를 구현하고 권한이 있는 계정에 MFA를 구현합니다.
    • Google Cloud 는 향상된 보안을 위해 Titan 보안 키를 비롯한 다양한 MFA 방법을 지원합니다.
    • 워크로드 인증에는 OAuth 2.0 또는 서명된 JSON 웹 토큰 (JWT)을 사용하세요.
  • 최소 권한: 최소 권한 및 역할 분리의 원칙을 적용하여 무단 액세스 및 데이터 침해의 위험을 최소화합니다.
    • 사용자 액세스 권한을 과도하게 프로비저닝하지 마세요.
    • 민감한 작업에 적시 권한 부여된 액세스를 구현하는 것이 좋습니다.
  • Logging: 관리자 및 데이터 액세스 활동에 대한 감사 로깅을 사용 설정합니다.

네트워크 모니터링 및 유지관리

이 권장사항은 다음 중점사항과 관련이 있습니다.

  • 로깅, 감사, 모니터링
  • 애플리케이션 보안
  • 보안 운영 (SecOps)
  • 인프라 보안

보안 조치를 계획하고 구현할 때는 공격자가 이미 환경 내에 있다고 가정합니다. 이러한 사전 예방적 접근 방식에는 다음과 같은 여러 도구와 기법을 사용하여 네트워크에 대한 가시성을 제공하는 것이 포함됩니다.

  • 중앙 집중식 로깅 및 모니터링: 중앙 집중식 로깅 및 모니터링을 통해 모든 클라우드 리소스의 보안 로그를 수집하고 분석합니다.

    • 정상적인 네트워크 동작의 기준을 설정하고, 이상을 감지하며, 잠재적인 위협을 식별합니다.
    • 네트워크 트래픽 흐름을 지속적으로 분석하여 의심스러운 패턴과 잠재적 공격을 식별합니다.
  • 네트워크 성능 및 보안 통계: 네트워크 분석기와 같은 도구를 사용합니다. 악의적인 활동을 나타낼 수 있는 비정상적인 프로토콜, 예상치 못한 연결 또는 데이터 전송의 급격한 증가가 있는지 트래픽을 모니터링합니다.

  • 취약점 스캔 및 해결: 네트워크와 애플리케이션의 취약점을 정기적으로 스캔합니다.

    • Compute Engine 인스턴스, 컨테이너, GKE 클러스터의 취약점을 자동으로 식별할 수 있는 Web Security Scanner를 사용하세요.
    • 취약점의 심각도와 시스템에 미칠 수 있는 잠재적 영향을 고려하여 해결에 우선순위를 둡니다.
  • 침입 감지: 네트워크 트래픽에서 악의적인 활동을 모니터링하고 Cloud IDSCloud NGFW 침입 방지 서비스를 사용하여 의심스러운 이벤트를 자동으로 차단하거나 알림을 받습니다.

  • 보안 분석: Google SecOps를 구현하여 다양한 소스의 보안 이벤트를 연관시키고, 보안 알림을 실시간으로 분석하고, 이슈 대응을 용이하게 하는 것이 좋습니다.

  • 일관된 구성: 구성 관리 도구를 사용하여 네트워크 전체에서 일관된 보안 구성을 유지합니다.