제로 트러스트란?
제로 트러스트는 보안 전략입니다. 제품이나 서비스가 아니라 다음 보안 원칙 집합을 디자인하고 구현하는 접근 방식입니다.
| 원리 | 설명 |
|---|---|
| 명시적으로 확인 | 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다. |
| 최소 권한 액세스 사용 | JIT/JEA(Just-In-Time 및 Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다. |
| 침해를 가정하다 | 폭발 반경 및 세그먼트 액세스를 최소화합니다. 엔드 투 엔드 암호화를 확인하고 분석을 사용하여 가시성을 확보하고 위협 탐지를 추진하며 방어를 개선합니다. |
이러한 원칙은 제로 트러스트 핵심입니다. 제로 트러스트 모델은 회사 방화벽 뒤의 모든 것이 안전하다고 믿는 대신 위반을 가정하고 제어되지 않는 네트워크에서 시작된 것처럼 각 요청을 확인합니다. 요청이 시작되는 위치 또는 액세스하는 리소스에 관계없이 제로 트러스트 모델은 "절대 신뢰하지 마십시오, 항상 확인"을 가르칩니다.
제로 트러스트는 모바일 인력을 수용하는 현대 환경의 복잡성에 맞게 설계되었습니다. 제로 트러스트는 어디에 있든 사용자 계정, 디바이스, 애플리케이션 및 데이터를 보호합니다.
제로 트러스트 접근 방식은 전체 조직 전체에 걸쳐 확장되어야 하며 통합 보안 철학 및 엔드투엔드 전략의 역할을 해야 합니다.
다양한 조직 요구 사항, 기존 기술 구현 및 보안 단계는 모두 제로 트러스트 보안 모델 구현을 계획하고 실행하는 방법에 영향을 줍니다. 이 지침은 제로 트러스트에 대한 준비 상태를 평가하는 데 도움이 되며 제로 트러스트에 대한 계획을 수립하는 데 도움이 됩니다. 이 지침은 고객이 조직을 보호할 수 있도록 지원하고 자체 제로 트러스트 모델을 구현한 경험을 기반으로 합니다.
제로 트러스트를 사용하면 기본 신뢰 관점에서 예외별 신뢰 관점으로 이동합니다. 이러한 예외 및 경고를 자동으로 관리하는 통합 기능이 중요합니다. 위협을 보다 쉽게 감지하고, 위협에 대응하고, 조직 전체에서 원치 않는 이벤트를 방지하거나 차단할 수 있습니다.
제로 트러스트 및 사이버 보안에 대한 미국 행정 명령 14028
미국 행정 명령 14028호, '국가 사이버 보안 향상', 연방 정부의 디지털 인프라에 대한 사이버 공격의 성공 위험을 크게 줄이기 위한 보안 조치를 발전시키도록 연방 기관에 지시합니다. 2022년 1월 26일, 관리 예산국(OMB)은 행정 명령 14028을 지원하기 위해 각서 22-09연방 제로 트러스트 전략을 발표했습니다. Microsoft는 조직이 이러한 요구 사항을 충족하는 데 도움이 되는 지침을 제공합니다. Microsoft Entra ID사용하여 각서 22-09의 ID 요구 사항을 충족합니다.
제로 트러스트 및 Microsoft SFI(Secure Future Initiative)
2023년 11월에 시작된 Microsoft의 SFI(Secure Future Initiative)는 Microsoft가 Microsoft 기술을 설계, 빌드, 테스트 및 운영하는 방식을 발전시켜 솔루션이 보안에 대해 가능한 가장 높은 표준을 충족하도록 하는 다년간의 약속입니다. Microsoft의 보안 미래 이니셔티브는 보안 태세를 개선하기 위해 고유한 환경을 위한 제로 트러스트의 엄격한 구현입니다.
SFI에 대한 자세한 내용은 Secure Future Initiative 웹 사이트참조하세요.
문서 자료집
요구 사항에 가장 적합한 제로 트러스트 설명서 집합을 보려면 이 표를 따르세요.
| 문서 자료집 | 도움이 됩니다... | 역할 |
|---|---|---|
| 채택 프레임워크 주요 비즈니스 솔루션 및 결과를 위한 단계와 절차 지침 | 경영진에서부터 IT 구현에 이르기까지 제로 트러스트 보호를 적용합니다. | 보안 설계자, IT 팀 및 프로젝트 관리자 |
| 평가 및 진행률 추적 리소스 | 인프라의 준비 상태를 평가하고 진행 상황을 추적합니다. | 보안 설계자, IT 팀 및 프로젝트 관리자 |
| 제로 트러스트 파트너 키트 | 공동 브랜드 추적 리소스, 워크샵 및 아키텍처 일러스트레이션 | 파트너 및 보안 설계자 |
| 개념 정보 및 배포 목표를 위한 기술 핵심 요소 배포 | 일반적인 IT 기술 영역에 맞춰 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| 중소기업을 위한 제로 트러스트 | 중소기업 고객에게 제로 트러스트 원칙을 적용합니다. | 비즈니스용 Microsoft 365로 작업하는 고객 및 파트너 |
| Microsoft Copilots에 대한 제로 트러스트 단계별 세부 디자인 및 배포 지침 | Microsoft Copilots에 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| Microsoft 365의 제로 트러스트 배포 계획 - 단계적이고 자세한 디자인 및 배포 가이드라인 | Microsoft 365 조직에 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| XDR 및 통합 SIEM 사용하여 인시던트 대응 | XDR 도구를 설정하고 Microsoft Sentinel과 통합 | IT 팀 및 보안 직원 |
| Azure 서비스용 제로 트러스트 에 대한 단계별 세부 디자인 및 배포 지침 | Azure 워크로드 및 서비스에 제로 트러스트 보호를 적용합니다. | IT 팀 및 보안 직원 |
| 기술 영역 및 전문 분야에 대한 디자인 지침에 대한 제로 트러스트 파트너 통합 | 파트너 Microsoft 클라우드 솔루션에 제로 트러스트 보호를 적용합니다. | 파트너 개발자, IT 팀 및 보안 직원 |
| 제로 트러스트 원칙을 사용하여 애플리케이션 개발 디자인 지침 및 모범 사례를 개발하십시오. | 애플리케이션에 제로 트러스트 보호를 적용합니다. | 애플리케이션 개발자 |
| CISA, DoD및 제로 트러스트 아키텍처에 대한 각서에 대한 미국 정부 지침 | 미국 정부 요구 사항에 대한 규범적 권장 사항 | IT 설계자 및 IT 팀 |
권장 교육
| 훈련 | 제로 트러스트 소개 |
|---|---|
|
이 모듈을 사용하여 제로 트러스트 접근 방식과 조직 내 보안 인프라를 강화하는 방법을 이해합니다. |
| 훈련 | 제로 트러스트 및 모범 사례 프레임워크 소개 |
|---|---|
|
이 모듈을 사용하여 사이버 보안 설계자가 사용하는 모범 사례 및 Microsoft 사이버 보안 기능에 대한 몇 가지 주요 모범 사례 프레임워크에 대해 알아봅니다. 또한 제로 트러스트의 개념과 조직에서 제로 트러스트를 시작하는 방법에 대해서도 알아봅니다. |
다음 단계
Microsoft Zero Trust 채택 프레임워크 대해 알아봅니다.
관련 링크:
제로 트러스트 개요: 이 비디오에서는 다음에 대한 정보를 제공합니다.
- 제로 트러스트 정의
- 제로 트러스트 원칙
- 제로 트러스트 핵심 개념
제로 트러스트 - 오픈 그룹: 이 비디오에서는 표준 조직의 제로 트러스트에 대한 관점을 제공합니다.