ZTNA, NAC, VPN 각각의 장단점을 잘 정리한 글입니다.
네트워크 보안이 디지털 혁신 채택 속도에 중요한 역할을 한다는 것은 분명합니다.
오늘날의 기업은 ZTNA(제로 트러스트 네트워크 액세스) , NAC(네트워크 액세스 제어), VPN 및 SASE(Secure Access Service Edge)를 포함한 네트워크 보안 솔루션 중에서 선택할 수 있습니다. 이러한 솔루션은 조직의 네트워크 자산을 보호하는 데 중점을 두고 있으며 일부 유사점을 공유하지만 다양한 기능과 기능을 가지고 있습니다. 이 기사에서는 ZTNA와 NAC의 차이점을 조사하고, 시행할 더 나은 보안 솔루션에 대한 통찰력을 제공하며, 조직이 SASE 프레임워크를 통합할 수 있는 방법을 공유합니다.
ZTNA 및 NAC 이해
NAC는 LAN(근거리 통신망)에 대한 사용자 및 장치의 액세스를 제어하고 제한하는 특정 제품 범주입니다. NAC를 터미널의 다른 모든 승객과 마찬가지로 비행기 탑승 게이트가 있는 전체 터미널에 대한 접근 권한을 제공하는 공항의 경비원으로 생각하십시오.
반면, ZTNA는 어디에서든지 액세스가 가능하다는 점을 고려하여 애플리케이션 및 리소스에 대한 액세스를 제어하는 모델(프레임워크라고도 정의됨)입니다. 제로 트러스트 접근 방식은 사용자나 장치에게 작업별로 필요한 리소스에 대한 특정 액세스 권한만 부여하는 신뢰 아키텍처를 사용합니다. ZTNA를 공항에서 전용 비행기 탑승 게이트까지 사용자와 동행하는 개인 경호원으로 생각하십시오.
이러한 의미에서 ZTNA는 보안 측면에서 더욱 발전했습니다.
명시적 승인과 암시적 승인
ZTNA와 NAC는 모두 본질적으로 다르며 별도의 모델에서 작동합니다. 전자는 명시적 권한 부여로 작동하지만 후자는 암시적 권한 부여에 따라 달라집니다.
NAC 솔루션은 '신뢰하되 검증' 모델을 기반으로 합니다. NAC는 네트워크 리소스에 액세스하려는 모든 사용자를 신뢰합니다. 다음 단계는 일반적으로 네트워크에 대한 암시적 인증입니다. 이는 제로 트러스트 보안이 피하려고 하는 것과 정확히 같습니다.
반면, ZTNA는 사용자와 장치의 식별 및 인증 측면에서 보다 세부적이고 광범위한 접근 방식을 제공하는 "검증 후 신뢰" 모델을 구현합니다. 이 단계는 사용자 프로필 및 장치 카테고리를 기반으로 하는 특정 보안 정책을 사용하여 애플리케이션 계층을 통해 리소스 액세스를 제어하는 기능에 사용자 및 장치 ID를 연결하므로 ZTNA 명시적 접근 방식의 핵심입니다.
ZTNA 대 NAC: 시행 지점
ZTNA와 NAC는 둘 다 OSI 모델의 서로 다른 계층에서 작동하며, 작동 범위를 차별화하는 서로 다른 적용 지점으로 결론을 내립니다.
NAC(네트워크 액세스 제어)는 OSI 모델의 하위 계층(계층 2 및 3)에서 작동합니다. 따라서 NAC는 최상의 상태에서 장치 및/또는 사용자를 식별 및 인증한 다음 VLAN(Virtual Local Area Network) 및 서브넷 수준인 네트워크 계층 2 또는 3에서 일정 수준의 액세스 권한을 부여할 수 있습니다.
동일한 네트워크 세그먼트, VLAN 또는 서브넷에 있는 모든 사용자 및 장치에는 동일한 액세스 권한 및 권한이 부여됩니다.
이 접근 방식은 서로 다른 리소스에 액세스하는 각 사용자와 장치를 차별화하고 세분화하는 측면에서 부족합니다. 마이크로 세분화 기술은 이러한 문제를 극복하려고 시도하지만 여전히 결과는 완화됩니다.
ZTNA는 주로 OSI 모델의 애플리케이션 계층(계층 4 이상)에서 작동합니다. 이는 상황별 요소를 기반으로 사용자별 및 장치별 액세스를 정의하는 기능을 제공하므로 세분화 측면에서 더 넓은 범위를 제공합니다. 이는 사용자나 장치가 작업별로 필요한 리소스에 대한 특정 액세스 권한만 갖는 이전에 도입된 신뢰 모델을 따릅니다. 결과적으로 ZTNA는 애플리케이션 액세스를 네트워크 액세스와 별도로 처리합니다. 그리고 NAC와 달리 네트워크에 연결해도 사용자에게 애플리케이션에 액세스할 수 있는 권한이 자동으로 부여되지 않습니다.
ZTNA는 기업 네트워크의 각 부분 주위에 소프트웨어 정의 보안 경계를 생성하여 네트워크 분할을 가능하게 합니다. 이러한 세분화는 네트워크를 자체 보안 정책과 액세스 제어를 갖춘 더 작고 관리 가능한 부분으로 나누는 방식으로 수행됩니다.
ZTNA는 네트워크 내에서 측면 이동을 방지합니다. 공격자가 한 세그먼트를 침해하더라도 자동으로 다른 세그먼트에 액세스할 수는 없습니다. 이는 공격 표면을 크게 줄이고 잠재적인 위협을 억제하는 데 도움이 됩니다.
ZTNA 대 NAC: 서비스 기반 기능
ZTNA와 NAC의 또 다른 차이점 중 하나는 배포 방식입니다.
NAC 기술은 에이전트 기반 기술입니다. 즉, 네트워크의 모든 엔드포인트 장치에 에이전트(일반적으로 소프트웨어 애플리케이션)를 설치해야 합니다. 여기에는 서버, 장치, 라우터 및 IoT 장치가 포함됩니다. 에이전트는 장치가 승인되고, 보호되고, 알려졌는지 확인합니다. 그들을 방어하기 위해. 이 접근 방식은 클라우드 보안을 지원하지 않으며 IT 관리자가 끊임없이 변화하는 다양한 사용자와 장치가 있는 네트워크에 장치 및 방화벽 규칙을 추가해야 하므로 확장 제한이 있습니다. 마지막으로 이는 NAC 솔루션이 세분화된 최소 권한 액세스를 제공할 수 없는 기존 네트워크 분할 또는 VLAN의 엔드포인트 장치만 보호하도록 제한합니다.
반대로 ZTNA는 엔드포인트 앱이 아닌 클라우드 서비스입니다. 따라서 에이전트가 필요하지 않지만 더 중요한 것은 클라우드 중심 특성으로 인해 클라우드에서 기본적으로 작동하고 확장 가능한 보안을 제공하도록 완벽하게 설계되었다는 것입니다. 그 특성상 NAC보다 훨씬 더 확장성이 뛰어나고 더 중요하게는 세분화된 최소 권한 액세스를 구현할 수 있습니다. 클라우드 측면은 클라우드 리소스에 대한 액세스를 보호하기 위해 ZTNA를 채택하려는 경향이 있는 기업의 디지털 혁신에 매우 중요합니다.
원격 액세스 솔루션: VPN과 SASE?
오늘날 고도로 모바일화되고 클라우드 중심인 세상에서 전통적인 네트워크 기반 NAC 솔루션은 점점 더 원격 사용자 및 장치의 요구 사항을 충족하지 못하고 있습니다. NAC는 주로 LAN(근거리 통신망)에 대한 액세스를 제어하는 데 중점을 둡니다. 사용자와 장치가 네트워크에 액세스하기 전에 신원을 확인하고 네트워크 수준에서 보안 정책을 시행합니다.
그러나 우리가 일하는 방식은 극적으로 바뀌었습니다. 오늘날 많은 사용자가 원격으로 작업하고 있으며 장치를 회사 네트워크에 직접 연결해야 하는 경우가 많습니다. 대신 회사 소유 장치와 개인 장치를 혼합하여 다양한 위치에서 인터넷을 통해 연결하고 있습니다. 따라서 기업에서는 일반적으로 원격 사용자가 네트워크에 액세스할 수 있도록 VPN(가상 사설망)을 활용합니다.
기업 VPN 또는 Cloud VPN의 한계
클라우드 VPN이라고도 하는 엔터프라이즈 VPN은 인터넷 리소스에 대한 보안 액세스를 위한 암호화 프로토콜을 제공합니다. 안전한 원격 액세스를 위해 사이트 간 인터넷 프로토콜(IPSec)을 사용하여 트래픽을 암호화하고 VPN 서버로 라우팅합니다. 엔터프라이즈 VPN을 사용하는 것은 투명 망토를 착용하는 것과 같습니다. 네트워크 연결은 작동하지만 제3자, 특히 악의적인 행위자가 액세스할 수 없습니다.
VPN은 구현 및 사용이 상대적으로 쉽지만, 모든 트래픽이 VPN을 통해 라우팅되므로 확장 시 성능 문제가 발생할 수 있습니다. 또한 ZTNA를 보장할 수 있는 CASB(클라우드 액세스 보안 브로커) 및 SWG(보안 웹 게이트웨이)와 같은 다른 SASE 도구에서 제공하는 세부적인 애플리케이션 수준 제어가 부족합니다.
BYOD 및 관리되지 않는 장치의 제한
VPN의 "전부 아니면 전무" 경계 중심 접근 방식은 엔드포인트 모니터링에 대한 가시성, 인증 및 권한 부여 원칙이 동일하지 않다는 것을 알 수 있습니다. 이것이 바로 VPN이 관리되지 않는 장치가 보안되지 않은 개인 장치를 사용하여 기업 네트워크에 액세스할 수 있는 BYOD 보호 기능이 부족한 이유입니다. 반면 ZTNA는 소프트웨어 설치가 필요하지 않으며 마이크로 세분화 원칙을 사용합니다. 결과적으로 BYOD 장치 보호에 적합합니다.
보안 전문가들은 모두 ZTNA가 레거시 VPN을 대체할 보안 프레임워크라는 데 동의했습니다. Gartner에 따르면 새로운 원격 액세스 구현의 70% 정도가 2025년까지 VPN 서비스 대신 ZTNA를 통해 주로 서비스될 것이며, 이는 2021년 말의 10% 미만에서 증가한 것입니다.
SASE 프레임워크를 통합하는 방법은 무엇입니까?
Cloudi-Fi의 ZTNA 프레임워크
SASE는 독립형 보안 시스템이 아닙니다. 오히려 네트워크 인프라에 대한 중앙 집중식 가시성을 제공하는 통합 솔루션입니다. ZTNA는 세분화된 수준이나 사용자 수준에서 액세스 제어를 관리하기 위한 SASE의 무기고입니다.
Forbes에 따르면 보안 전문가는 ZTNA를 SASE의 하위 집합으로 간주할 수 있습니다. SASE와 함께 제로 트러스트를 사용하면 통합 접근 방식을 통해 다양한 사이버 기술을 동시에 결합할 수 있습니다. 예를 들어, 애플리케이션 데이터를 사용하여 사용자를 확인하고 기업 네트워크 전반의 연결을 암호화할 수 있습니다. 더 중요한 것은, 제로 트러스트가 적용된 SASE는 다양한 상황별 요소(예: 어떻게, 누가, 어디서, 언제, 무엇을)를 기반으로 장치나 사용자에 대한 세부적인 인증을 수행할 수 있다는 것입니다.
결론
ZTNA 대 NAC 경쟁 에서 ZTNA는 뛰어난 보안 액세스와 고급 기능을 제공합니다.
NAC 솔루션은 네트워크에 진입하는 모든 사람을 신뢰하고 그 진위 여부를 확인하는 반면, ZTNA는 먼저 신원을 증명한 다음 신뢰하므로 더욱 강력한 보안 아키텍처가 됩니다. ZTNA는 VPN 및 NAC 솔루션의 "기본 허용" 모드를 넘어 공격에 취약하게 만들고 외부 및 내부 위협으로부터 조직을 보호합니다.
Zscaler의 2023년 제로 트러스트 전환 현황 보고서 에 따르면 "클라우드로 마이그레이션하는 조직의 90%가 제로 트러스트를 채택하고 있습니다."라고 합니다 . 설문 조사에 참여한 IT 및 보안 리더 중 68%는 "방화벽 및 VPN과 같은 레거시 네트워크 보안 인프라로는 안전한 클라우드 전환이 불가능하다"고 언급했습니다. 응답자들은 또한 "오래된 기술 스택과 엔드포인트에 이르는 암묵적 신뢰 기반 아키텍처는 성공적인 제로 트러스트 이니셔티브에 치명적인 장애물"이라고 덧붙였습니다.
사실은 분명하며 업계가 제로 트러스트로 전환하고 있음을 보여줍니다. 더 많은 조직이 워크로드를 클라우드로 이동함에 따라 ZTNA는 SASE 프레임워크를 통합하고 안전한 클라우드 관련 서비스를 제공하기 위한 업계의 선택입니다.
