본문 바로가기

아틀라시안/아틀라시안 소식

제로 트러스트(Zero Trust) - Atlassian Cloud의 보안 모델

 

안녕하세요, 디무브 입니다! 🎈

 

지금까지 우리는 수십 년 동안 온프레미스 환경 전체를 하나의 큰 경계로 보호하는 “성과 성벽” 보안 모델에 의존해왔습니다.

 

대부분의 기업은 사이버 보안에 있어서 획일적이며 강력한 경계로 조직을 보호하기 위해 구성하여 네트워크 내의 모든 것을 보호하도록 설계하였는데요.

 

이는 곧 방화벽을 통과한 네트워크 내의 모든 사용자와 장치, 앱을 신뢰할 수 있다는 원칙을 기반으로 합니다.

사무실 외부에 있는 직원은 VPN을 통해 접근할 수 있도록 하여 회사 네트워크에 대한 보안을 보다 안전하게 구축할 수 있었습니다.

그러나, 오늘날의 클라우드 환경에서는 더이상 기존의 “성과 성벽” 보안 모델을 통해 조직의 데이터를 보호 할 수 없게 되었습니다.

 

이제 직원들은 검증되지 않은 여러 모바일 장치와 수십개의 앱에서 회사 데이터에 접근할 수 있게 되었고, 조직의 데이터는 더이상 방화벽으로 보호되는 온프레이스 환경에만 존재하지 않습니다.

이러한 변화에 따라 데이터 유출, 자격 증명 도용 또는 불안전한 네트워크를 통한 악의적인 접근 등 여러 위험 요소에 대한 위협이 증가하였고, 기업은 업무 환경을 보호하기 위한 새로운 접근 방식이 필요해 졌습니다.

 

원격 근무, 모바일 기기 및 개인 기기 사용, 다양한 SaaS 앱 도입이 증가함에 따라 작업 공간의 경계는 점점 허물어 졌고, 이를 위한 새로운 보안 접근 방식이 바로 “제로 트러스트(Zero Trust)”입니다.

 

전 세계의 업계 전문가들이 채택한 제로 트러스트 보안 모델은 네트워크에 관계 없이 개별 사용자, 장치 및 데이터의 보안을 지속적으로 확인하고 보안 계층을 여러 단계로 설계하는 새로운 접근 방식을 제공합니다.

안전하고 이동 가능하며 유연한 보안을 보장하기 때문에 기업은 물리적 제한에 국한되지 않고 클라우드 환경을 쉽게 확장할 수 있습니다.

 


Zero Trust 의 기본 원칙

‘성과 성벽’ 모델의 유용성이 낮아짐에 따라, 많은 전문가들은 클라우드 중심의 환경을 보호하기 위해 제로 트러스트 모델을 선택했습니다.

제로 트러스트의 핵심은 바로 조직을 위한 하나의 거대한 경계의 개념에서 벗어나 회사 내의 모든 접근 방식과 사용자를 보호하는 프레임워크입니다.

이 접근 방식은 강력한 ID 및 인증 방식, 신뢰할 수 있는 기기 설정, 민감한 데이터와 시스템을 보호하기 위한 세분화된 액세스 컨트롤로 구성되어 있습니다.

제로 트러스트의 기본 원칙은 다음과 같습니다.

 

  1. 절대 신뢰하지 않으며 항상 검증합니다. 건물 입구에서 보안 요원이 ID를 확인하는 것과 같이, 제로 트러스트는 모든 유저에 대해 검증 절차를 거칩니다. 모든 IP주소와 기기를 제어하는 것은 불가능 하기 때문에, 네트워크 내부 및 외부의 어떤 것도 본질적으로 신뢰해서는 안됩니다.
  2. 네트워크 위치와 상관 없이 오직 검증된 사용자와 기기에만 접근 권한을 부여합니다. 리소스에 대한 액세스를 요청하는 모든 사용자에 대해 접근 권한이 있는지 확인해야 합니다.
  3. 액세스 제어는 동적이며 지속적으로 확인되어야 합니다. 제로 트러스트 환경에서 지속적인 인증 및 권한 부여를 확인하는 것은 보안을 유지하는 핵심 요소 입니다.

Zero Trust 시작하기

ID 및 인증

ID 인증은 제로 트러스트 보안 전략의 기반입니다. 리소스에 대한 액세스를 지속적으로 평가하려면 우선 사용자 관리를 중앙 집중화하고 강력한 인증 프로세스를 수립해야 합니다.

시스템 전반에서 모든 사용자를 추적하고 관리하기 위해 사용자 ID를 사용자 및 그룹 디렉토리에 중앙 집중화하면, 직원이 입사 및 퇴사, 조직 변동 등 변경 사항 또한 자동으로 업데이트 할 수 있습니다.

SSO(Single Sign-On) 시스템, 또는 사용자 인증 포털은 특정 리소스 또는 애플리케이션에 대한 액세스를 요청하는 사용자의 자격 증명을 확인할 수 있습니다.

 

SaaS 애플리케이션 환경의 데이터는 액세스의 범위가 제한되어 있지 않다면 보안에 취약한 것으로 가정할 수 있으므로, SSO 시스템을 지원하는 중앙 집중식 사용자 데이터베이스는 필수적입니다.

Atlassian Cloud 내에서도 Okta, OneLogin, Google Cloud 또는 Azure AD와 같은 외부 ID 공급자를 Atlassian Access와 동기화하여 이 데이터베이스를 구축할 수 있습니다.

 

데이터 베이스를 갖춘 후 2단계 인증(2FA) 또는 다단계 인증(MFA) 등의 인증 프로세스를 도입하여 시스템의 보안을 더욱 강화하고 사용자를 정확하게 식별할 수 있습니다.

 

 

기기 인증

사용자를 쉽게 식별하고 인증할 수 있도록 했다면 그 다음은 사용자의 기기를 인증해야 합니다.

사용자에 대한 신원은 확인되었다 하더라도, 기기 자체가 내포하고 있는 보안 위험을 간과해서는 안됩니다.

예를 들어 직원이 안전하지 않은 네트워크를 통해 핸드폰에서 회사 데이터에 접근하거나 핸드폰을 분실하는 것과 같은 위험을 유발할 수 있습니다.

따라서 모든 기기는 시스템에 대한 엑세스 권한을 부여하기 전에 Atlassian의 MDM(모바일 장치 관리) 프로그램과 같은 데이터베이스에서 고유하게 식별되어야 합니다.

 

 

앞서 언급한 바와 같이, 대부분이 사용자는 여러 기기를 사용하기 때문에 특정 플랫폼에 접근할 수 있는 장치 유형과 보안 절차를 결정해야 합니다.

Atlassian에서는 각 플랫폼에 따른 데이터의 민감성을 기준으로 위험을 분류하여 각 계층에 따라 서로 다른 수준의 사용자 및 장치 인증을 적용합니다.

Atlassian에서 사용자 계층을 체계화 한 방법의 예시는 다음과 같습니다.

 

  • 개방형(Open-tier) 계층은 장치에 관계없이 Atlassian 네트워크에 사용자 인증을 통해 액세스 할 수 있습니다. 이 계층의 앱은 개인 식별 정보(PII), 사용자 생성 콘텐츠(UGC) 및 지적 재산(IP)을 저장하지 않습니다.
  • 낮은 수준의 보안(Low-tier) 계층은 기업에서 인증받은 기기에서 사용자 인증을 거친 후에 접근할 수 있습니다. 기기에는 최신 운영 체제를 기반으로 로컬 드라이브 암호화가 가능해야 합니다. 이 계층의 앱은 직원의 개인 식별 정보를 저장하고 기본적인 협업(예:이메일 및 채팅) 업무를 제공하지만, 사용자 생성 콘텐츠를 저장하거나 결제 정보를 제공, 고객 대면 시스템과 같은 리소스에는 접근은 제한됩니다.
  • 높은 수준의 보안(High-tier) 계층은 사용자 인증이 필요하며 Atlassian에서 제공하는 기기에서만 액세스 할 수 있으며 개인 기기는 허용되지 않습니다. 이 계층의 앱은 사용자 생성 콘텐츠를 저장하고, 결제 정보를 처리하며 고객 대면 시스템에 대한 접근 권한을 제공합니다.

 

액세스 관리

ID 및 기기 인증에 대한 절차를 구축했다면, 다음 단계는 특정한 데이터에 누가 언제 액세스 할 수 있는지에 대한 정책을 수립하는 것입니다.

제로 트러스트 접근 방식은 직원에게 업무를 효과적으로 수행하는 데 필요한 최소한의 액세스 권한만 부여해야 한다는 아이디어에 기반을 두고 있습니다.

 

그렇게 하면 외부 공격자가소프트웨어 엔지니어의 자격 증명에 액세스할 수 있는 경우에도 재무, HR 또는 마케팅 부서의 기밀 데이터에한 정보는 얻을 수 없습니다.

 

Atlassian Access의 사용자 프로비저닝을 사용하면 다양한 사용자 그룹을 설정하고 역할에 따라 작업을 수행하는 데 필요한 앱에 대한 액세스를 정확하게 제공할 수 있습니다.

 

신규 직원은 그룹에 추가하기만 하면 필요한 앱에 대한 권한을 받게 됩니다.

직원의 부서가 변경되는 경우에도 ID 제공 시스템에서 그룹을 다시 할당하기만 하면 현재 필요한 앱에 안전하게 액세스할 수 있게 되고, 더 이상 필요하지 않은 시스템에는 액세스할 수 없습니다.

 

또한 제로 트러스트 모델의 ‘지속적인 확인’ 원칙을 준수하려면 지속적으로 감사 로그를 분석하여 액세스 관리를 확인하고 시스템에서 의심스럽거나 승인되지 않는 활동을 식별해야 합니다.

 

CASB(Cloud Access Security Broker)로 작업하는 경우 Atlassian Access와 동기화하여 Atlassian Cloud 제품에서 보낸 모든 정보를 추적 및 분석하고 데이터와 사용자 간의 상호 작용에 대한 가시성을 높일 수 있습니다.

 

이처럼 액세스 관리는 모든 기업의 위험 관리 평가에 있어서 중요한 부분이자 제로 트러스트의 장기적인 구현에 필수적입니다.

 

 

제로 트러스트 보안을 정의하고 구현하는 것은 쉽지 않지만, 클라우드와 환경에서의 위험을 차단하기 위해서는 꼭 필요한 일입니다.

 

IBM에 따르면 오늘날 기업 데이터 침해로 인해 발생한 평균 비용은 386만 달러입니다. 제로 트러스트를 채택하면 최신 보안 위험으로부터 기업을 보호할 수 있습니다.


 

Atlassian Access를 사용하여 기업을 위한 완벽한 보안 모델을 설정하는 방법에 대해 자세히 알아보고 싶으시다면,

Atlssian 클라우드 및 계정 관리 전문가인 디무브에 문의해주세요!

감사합니다. 😃