클라우드 보안을 위한 ZPR 에 대해서
테크넷 마스터 김재벌 입니다.
ZPR 이란?
ZPR은 Danny Hillis와 Applied Invention 팀이 네트워크와 데이터를 보호하기 위한 근본적으로 새로운 접근 방식으로 만들었습니다.
*참고*
Danny Hillis 는 미국의 병렬 컴퓨팅 분야 등에서 최고의 석학 중 한명 입니다.
ZPR 프로토콜은 최신 보안 기술을 통해 인터넷 프로토콜이 처음부터 설계되었을 수 있는 방식입니다.
이 기술을 통해 세상을 더 안전한 곳으로 만들게 되겠죠.
ZPR에 대한 간략한 소개
제로 트러스트 패킷 라우팅(ZPR)은 기업이 모든 시스템과 사용자에 걸쳐 보안 정책을 균일하게 시행할 수 있도록 하는 네트워크 보안에 대한 새로운 접근 방식입니다.
ZPR은 ZPRnet이라고 하는 ID 인식 네트워크 보안 계층을 생성하여 이를 수행합니다.
클라우드, 온프레미스 및 분산 환경에서 작동하여 완전히 인증된 네트워크 통신의 약속을 밀집된 멀티 테넌트 환경으로 가져올 수 있습니다.
ZPR을 사용하면 기업은 모든 시스템과 사용자에 걸쳐 보안 정책을 균일하게 적용할 수 있는 ID 인식 네트워크 보안 계층(ZPRnet이라고 함)을 만들 수 있습니다.
온프레미스, 클라우드 및 원격 연결을 통해 작동합니다.
정책은 통신자와 통신된 데이터의 인증된 ID와 속성을 기반으로 합니다.
IP가 네트워크가 패킷을 전달하는 데 협력할 수 있도록 하는 것처럼 ZPR은 네트워크가 공유 보안 정책을 시행하는 데 협력할 수 있도록 합니다.
ZPR은 소프트웨어 또는 하드웨어로 구현할 수 있습니다.
기업은 소프트웨어 또는 하드웨어로 ZPR을 구현할 수 있습니다.
ZPR은 표준 IP를 사용할 수 있으며 기존 애플리케이션과 네트워크를 변경할 필요가 없습니다.
초기 ZPR 개념을 개선하고 확장하여 IP 위에 가상 네트워크로 효율적으로 구현하는 방법을 알아냈습니다.
Applied Invention은 이 프로젝트를 Oracle과 오픈 소스 참조 구현을 통한 호환성 및 오픈 소스 참조 구현에 대해 협력하기로 약속한 조직에 공유하였습니다.
Applied Invention과 Oracle은 주요 기술 공급업체, 파트너 및 조직과 함께 업계 전체 이니셔티브에 협력하여 모든 인터넷 사용자의 보안을 개선하기 위해 가능한 가장 광범위한 채택을 달성하고 있습니다.
Oracle은 조직이 합법적인 활동에 대한 추가적인 장벽을 추가하지 않고도 데이터의 무단 액세스나 사용을 방지할 수 있도록 돕기 위해 새로운 표준과 호환되는 Oracle Zero-Trust Packet Routing Platform을 출시할 계획입니다 .
ZPR이 해결하는 문제
인터넷 프로토콜은 원래 보안이 네트워크의 문제가 아니라는 명확한 가정 하에 설계되었습니다.
대신 보안은 엔드포인트에 맡겨졌습니다.
이는 예상보다 더 많은 어려움을 야기 한다는 것이 입증되었습니다.
모든 것이 다른 모든 것과 통신할 수 있는 것이 바람직하지 않다는 것을 알게 된 후, 기업은 원치 않는 통신을 차단하기 위해 방화벽을 추가하여 자체 네트워크의 일부를 구분하기 시작했습니다. 시간이 지남에 따라 방화벽 규칙이 축적되면서 특정 규칙의 원래 목적은 종종 잊혀졌습니다.
상황을 더욱 복잡하게 만들기 위해 기업은 원격 사용자를 지원하고, 인터넷에 연결된 웹사이트를 호스팅하고, 먼 사무실을 연결하고, 클라우드 컴퓨팅의 이점을 얻어야 합니다.
이러한 요구 사항으로 인해 가상 사설망(VPN), 비무장 지대(DMZ), 클라우드 전용 보안 프레임워크와 같은 보안 메커니즘을 추가하여 경계 보안 구성이 더욱 복잡해졌습니다.
누적된 방화벽 규칙, 클라우드 보안 프레임워크, 원격 액세스 메커니즘, 진화하는 네트워크 토폴로지 및 엔드포인트 보안에 대한 지속적인 시도의 상호 작용에서 나타난 보호는 관리하기 어려울 수 있습니다. 오늘날 악의적인 행위자는 잘못된 구성과 보안 결함을 발견하고 악용하여 기업을 사이버 공격에 취약하게 만듭니다. 한편, 네트워크 관리자는 데이터에 대한 쉽게 관리할 수 있는 제어가 부족하여 비용이 많이 드는 운영 제약을 부과하는 보안 정책을 만들고 시행해야 하는 경우가 많습니다.
기업은 운영 중인 네트워크와 무관하게 컴퓨팅 인프라의 통신 정책을 이해하고 제어할 수 있어야 합니다. 이러한 정책은 사람이 쉽게 이해하고 쉽게 감사할 수 있는 방식으로 한곳에 명확하게 설명되어야 합니다. 의도된 정책이 시행될 것이라는 것을 증명하는 것은 간단해야 합니다.
Zero-Trust Packet Routing(ZPR, zip'-er로 발음)은 이러한 목표를 달성하기 위한 제안입니다. ZPR은 통신 정책을 설명하고 네트워크 내에서 안정적으로 시행하는 방법을 제공합니다. 정책은 네트워크 자체에서 시행되므로 엔드포인트, VPN, 방화벽 또는 클라우드 전용 보안 프레임워크에서 제공하는 기존 보호와 독립적인 추가 보안 계층을 제공합니다.
디자인 원칙
ZPR은 4가지 편집증적 설계 원칙을 기반으로 설계되었습니다.
모든 패킷에는 인증된 발신자와 수신자가 있어야 합니다.
네트워크 자체는 패킷이 들어오고 나갈 때나 세션이 설정될 때뿐만 아니라 네트워크 전체에서 지속적으로 통신 정책을 시행해야 합니다. 정책에서 명시적으로 허용하지 않는 한 모든 패킷은 삭제해야 합니다.
네트워크 사용자, 네트워크를 구현하는 장치, 심지어 네트워크를 관리하는 개인조차도 항상 어떤 특정한 방식으로 행동할 것이라고 믿어서는 안 됩니다. 네트워크 구성 요소 중 하나가 신뢰할 수 없게 되거나 손상되더라도 정책이 올바르게 시행되도록 네트워크를 구현할 수 있어야 합니다.
네트워크는 네트워크 자체를 통해 통합된 리소스로 구성되고 관리됩니다.
대역 외 관리를 허용하지 않고 모든 관리가 정책을 준수하도록 강제하면 ZPRnet이 실수로 또는 의도적으로 잘못된 구성으로부터 자신을 보호하는 데 도움이 됩니다. 이를 통해 여러 클라우드, 고객 전제 네트워크 및 인터넷을 포함하여 여러 네트워크를 교차하는 ZPRnet에서 정책을 배포하고 시행할 수도 있습니다.
ZPR 정책 사양 및 시행
IP 보안의 가장 큰 과제 중 하나는 네트워크 트래픽을 보호하는 데 사용되는 규칙이 매우 기술적이고 비즈니스 수준의 보안 개념과 의미적으로 거리가 멀다는 것입니다. 우리는 ZPR의 정책 언어인 ZPL을 설계하여 이 문제를 피하도록 했습니다. 그것은 다음과 같습니다.
읽기 쉽고 이해하기 쉽습니다
관리하기 쉽습니다
감사하기 쉽습니다
실수하기 어렵다
실수를 쉽게 잡을 수 있습니다
간단한 예로, "역할"이라는 속성이 있고 값이 "고객 지원"인 사용자에 대한 권한은 다음과 같이 표현될 수 있습니다.
고객 지원 역할을 가진 사용자에게 데이터 범주가 고객 데이터 인 리소스에 대한 액세스를 허용합니다 .
다음은 사용자의 위치, 사용할 수 있는 네트워크, 하루에 전송할 수 있는 정보의 양에 제한을 두는 좀 더 복잡한 예입니다.
영업 지원 시설에 있는 경우 데이터 범주가 고객 데이터 인 리소스에 고객 지원 역할 의 사용자가 액세스할 수 있도록 허용합니다 (하루 최대 100메가바이트로 제한).
모든 발신자와 수신자가 인증되므로 ZPR은 통신하는 사람에 대한 신뢰할 수 있는 신원 정보를 가지고 있습니다. ZPL 정책은 디렉토리 및 기타 신뢰할 수 있는 서비스에 있는 엔터프라이즈에 있는 사람, 컴퓨터, 서비스 및 장치에 대한 정보를 기반으로 합니다. 이를 통해 ZPL은 커뮤니케이터의 역할, 그룹, 태그 및 기타 속성을 참조하여 정책을 단순화하고 필요한 정책 수를 줄일 수 있습니다.
패킷이 ZPRnet을 통해 전송되면 네트워크는 패킷이 정책에 의해 이미 승인된 흐름에 속하는지 확인합니다. 그렇지 않은 경우 네트워크는 발신자, 수신자 및 데이터 자체의 속성을 사용하여 특정 통신을 허용하는 정책 항목이 있는지 확인합니다. 그렇다면 흐름이 허용되고 그렇지 않으면 보안 위반이 기록됩니다. 흐름이 허용되면 네트워크의 각 홉에 알려서 네트워크 전체에서 패킷을 확인할 수 있습니다.
성능 및 상호 운용성
ZPRnet의 송신자와 수신자는 표준 인터넷 프로토콜(IP) 패킷을 사용하여 통신하므로 기존 애플리케이션과 운영 체제를 변경할 필요가 없습니다. ZPRnet 내에서 패킷은 보안, 성능 및 처리 용이성을 위해 최적화된 특수 ZPR 패킷으로 전송됩니다. ZPR 패킷은 모든 IP 네트워크에서 전송되도록 설계되었습니다.
우리는 최신 라우터와 스마트 네트워크 인터페이스에서 발견되는 하드웨어 가속 기능을 활용하기 위해 ZPR 패킷의 형식을 설계했습니다. 그리고 오늘날의 대기업은 여러 사무실, 사설 데이터 센터, 상업용 클라우드에 리소스를 분산하고 있기 때문에 ZPR은 단일 ZPRnet이 이 모든 것을 포괄하고 각 네트워크에서 사용 가능한 기본 가속을 활용할 수 있도록 합니다. 이를 통해 참여 조직은 ZPR 상호 운용성에 영향을 미치지 않고 ZPR 트래픽에 대한 네트워크를 최적화할 수 있습니다.
Zero Trust Packet Routing (ZPR)은 Oracle Cloud Infrastructure (OCI)에서 제공하는 고급 네트워크 보안 기능입니다.
주요 특징은 다음과 같습니다:
의도 기반 보안 정책: 이해하기 쉬운 자연어로 보안 정책을 작성할 수 있습니다.
네트워크 레벨 정책 적용: 보안 정책을 네트워크 계층에서 직접 적용합니다.
최소 권한 원칙: 명시적으로 허용된 트래픽만 네트워크를 통과할 수 있습니다.
보안 속성 기반: 리소스에 보안 속성을 할당하고 이를 기반으로 정책을 작성합니다.
네트워크 구성과 보안 분리: 네트워크 구성 오류로 인한 보안 위험을 줄입니다.
데이터 유출 방지: 승인된 경로로만 데이터 액세스를 제한하여 유출을 방지합니다.
기존 보안 메커니즘과 통합: 네트워크 보안 그룹(NSG)과 보안 제어 목록(SCL) 위에 추가 보안 계층을 제공합니다.
ZPR은 제로 트러스트 원칙을 네트워크 수준에서 구현하여 데이터베이스, 컴퓨트 인스턴스 등 중요한 리소스에 대한 무단 액세스를 효과적으로 차단합니다.
이를 통해 조직은 클라우드 환경에서 더욱 강력한 보안 태세를 갖출 수 있습니다.
Zero Trust Packet Routing(ZPR)의 주요 장점은 아래와 같습니다.
보안 강화
ZPR은 네트워크 보안을 네트워크 아키텍처와 분리하여 관리합니다. 이를 통해 명시적으로 허용된 트래픽만 네트워크를 통과할 수 있어 무단 액세스와 데이터 유출 위험을 크게 줄일 수 있습니다
네트워크 구성 오류 방지
복잡한 클라우드 네트워크에서 발생할 수 있는 구성 오류로 인한 보안 위험을 줄입니다. ZPR을 사용하면 네트워크 구성과 보안 정책을 분리하여 인적 오류의 영향을 최소화할 수 있습니다
간소화된 보안 관리
보안 관리자는 이해하기 쉬운 의도 기반 정책 언어를 사용하여 데이터에 대한 특정 액세스 경로를 정의할 수 있습니다. 이는 보안팀, 네트워크팀, 감사팀의 작업을 간소화합니다
규정 준수 간소화
ZPR은 명확한 정책과 보안 레이블을 통해 가시성을 제공하므로 감사 및 규정 준수 대응이 더욱 쉬워집니다
최소 권한 원칙 적용
ZPR은 제로 트러스트 및 최소 권한 원칙을 활용하여 정책 및 보안 속성을 기반으로 액세스를 제한합니다. 이는 공격 표면을 최소화하는 데 도움이 됩니다
유연성과 확장성
ZPR은 클라우드 환경에서 쉽게 구현하고 확장할 수 있으며, 다양한 리소스에 보안 속성을 설정하고 자연어 정책을 작성할 수 있는 유연성을 제공합니다
이러한 장점들을 통해 ZPR은 조직이 클라우드 환경에서 더욱 강력하고 효율적인 보안 태세를 갖출 수 있도록 지원합니다.