Page History
...
- 물리적 망분리의 경우 중요접근 리소스에 인터넷 연결이라는 불안요소를 완전하게 제거하는것입니다.
- 논리적 망분리의 경우 VPN과같이 접근할수는 사설망을 구축을 하여 접근을 조금더 유연하게 제어하는 것입니다.
AI와 로봇과 전쟁을 다루는 SF 드라마인 배틀스타 갤럭티카에서 지구방위대가 AI 해킹공격을 막기위해
모든 우주선에 모든 인터넷기능을 네트워크기능 자체를 제거한것은 물리적 망분리에 해당됩니다.
( 라디오 주파수와 같이 단방향 통신기 로만 통신기로만 외부와 통신을 합니다.하며, 내부 네트워크기능자체도 없앴기때문에 물리적 망분리보다 사실은 조금더 높은 수준인 망제거입니다. )
20년 전까지만 해도 현대 세계에 가장 적합한 것으로 여겨졌던 보안 및 접속 방식을 지금 활용하는 것은 가장 바람직하지 못한 최악의 행동이라 해도 과언이 아닌 상황이 되었습니다. Forrester Research는 ‘Future-Proof Your Digital Business With Zero Trust Security’에서 다음과 같이 말합니다.
...
물리적으로 분리되어 경계에서 접근할수있는 어플리케이션이라 할지라도 자격증명이라는 접근을 이용하라는것입니다.
...
제로트러스트를 위한 SSO의 선택
...
기업의 제로트러스트를 수행하기 위해 개인의 가장 강력한 증명장치는 업무폰또는 개인폰이 될수 있으며
...
- Okta - Oauth를 인수하고 인증관련 부분에서 선두
- Microsoft Authenticator
- Google Authenticator
여기서는 개발팀에서 도입경험이 있는 Okta를 예시를 들었습니다.
기업이 이미 사용하는 다양한 스택들과 로그인 통합을 할수 있습니다.
보안프로필이 취약했던 PHP로 이미 작성된 레거시 서비스의 접근 보안프로필을 Okta를 통해 강화했던 적이있으며개발언어에 상관없이 간단한 연동으로 통해 간단한 연동 개발로 보안프로필을 강화를 할수 있습니다.
Okta 도입한후 자격증명단위로 로그인 시도 이상탐지를 할수 있게되었으며 있게되었으며 보안에 취약한 강력한 단일 패스워드 접근을 제거하게 되었습니다.
- https://github.com/psmon/okta - 필자가 Okta를 도입하기 위해 기술조사한 Git활동
제로트로스트 선언과 보안비용
...
하지만 기업이 제로트러스트를 선언했다란것은 단순하게 특정 서비스의 접근 만 자격증명으로 대체하는것이아닌
기업에서 사용하는 모든 중요 자원접근에 SSO와 함께 자격증명이 적용됨을 의미합니다.
- 관리자웹
- Github / GitLab
- 협업시스템( Jira + Other
- 문서시스템 ( Confluence + Other )
- 배포시스템
- 로깅시스템
- 근태시스템
-Github의 가격정책
Github을 MS가 인수하면서 Private저장소를 포함 스타트업에서는 핵심기능을 대부분 무료로 활용할수 있습니다.
가격정책을 살펴보면 핵심기능이 아닌 보안과 관련된 SSO 연동지원이 Enterprise에만 있다란것은 Enterprise급에서 필수로 선택할수밖에 없다란란 확신이 있기 때문에
탑티어 가격 정책이 보안과 관련된것이며 Github을 포함 Attlassian의 시리즈도 Enterprise에서만 SSO와 관련한 보안기능을 제공합니다.
위치 기반+단순인증으로만 허용했던 기업보안이 고객기업의의 제로트러스트 수행행을 위해 2FA를 포함한 SSO(+SAML)를 지원해야하는 부분은
기업형 솔루션에서 선택이 아닌 이제 필수가 되어가는것으로 보입니다.
참고링크: 제로트러스트와 관련된 다음 보안 솔루션의 자료를 참고하여 만들어졌습니다.
- https://www.akamai.com/ko/solutions/security/zero-trust-security
- https://www.okta.com/kr/customer-identity/#key-features
...