Zero trust

firewall 지나면 많은 네트워크들이 별다른 security control 없이 오픈돼있음

 

하지만 요즘 많은 네트워크들이 zero trust로 바꾸고 있음

 

1. zero trust란?

= 절대 안 믿음

= 리소스 접근할 때마다 검증해야 함. every device, every process, every person

 

2. zero trust를 구현하는 법

 

1) split the network into functional planes

* 여기서 plane = 그 비행기 맞음

 

(1) Data plane

swith, router, firewall 등등

실제 security process를 perform하는 부분!

frames, packets, network data를 처리함

데이터를 한 곳에서 다른 한 곳으로 전송하는 데 필요한 모든 과정을 처리함. (processing, forwarding, trunking, encrypting, NAT)

 

(2) Control plane

policies or rules

manage the actions of the date plane

 

data plane은 데이터를 옮기는 데 필요한 도구!!

control plane은 그 도구를 작동시키는 데 필요한 내부 policy!

 

3. Controlling trust

security control을 evaluate하는 게 중요함

 

1) Adaptive identity

사용자가 제공한 identification 뿐만 확인하는 게 아니라

다양한 요소 (e.g., ip 주소, physical location 등) 고려해서 authentication 수행

 

2) Threat scope reduction

네트워크에 대한 the number of possible entry points을 제한하기!

 

3) Policy-drive access control

위 방법들 다 구현하면 걔네들을 Policy화하기

a predefined set of rules for authentication

 

4) Security zones

where are you coming from and where are you going

특정 zone에서 특정 zone으로 가는 걸 policy로 자동 금지/자동 허용 할 수 있음

e.g., Untrusted network -> trusted network 금지하기

 

[zone 구분법]

- trusted, untrusted

- internal, external

- VPN 1, VPN 5, VPN 11

- marketing, IT, accouting

 

5) Policy enforcement point (PEP)

gatekeeper

모든 트래픽은 얘를 거침

트래픽의 모든 정보를 모아서 PDP로 전달

* allow 여부는 PDP에서 결정

 

6) Policy Decision Point (PDP)

determine whether traffic should be allowed or disallowed 

 

(1) Policy Engine

들어오는 모든 request를 policy랑 대조해보고

grant, deny, or revoke 결정

결과로 access token이나 credentials이 생성됨.

 

(2) Policy Administrator

Policy Engine의 결정(e.g., access token, credentials)을 PEP에게 전달

 

 

 

출처: https://www.youtube.com/watch?v=zC_Pndpg8-c&list=PLG49S3nxzAnl4QDVqK-hOnoqcSKEIDDuv&index=7