원문 “Zero Trust Architecture, NIST Special Publication 800-207” [1]

번역 by Google Translate

 

  • 정책 엔진(PE, Policy Engine): 이 구성 요소는 주어진 주제에 대한 리소스에 대한 액세스 권한을 부여하는 최종 결정을 담당합니다. PE는 외부 소스(예: CDM 시스템, 아래에 설명된 위협 인텔리전스 서비스)의 입력뿐만 아니라 엔터프라이즈 정책을 신뢰 알고리즘(자세한 내용은 섹션 3.3 참조)에 대한 입력으로 사용하여 리소스에 대한 액세스를 허용, 거부 또는 취소합니다. PE는 정책 관리자 구성 요소와 쌍을 이룹니다. 정책 엔진은 결정(승인 또는 거부)을 만들고 기록하며 정책 관리자는 결정을 실행합니다.

 

  • 정책 관리자(PA, Policy Administrator): 이 구성 요소는 주체와 리소스 간의 통신 경로를 설정 및/또는 종료하는 역할을 합니다(관련 PEP에 대한 명령을 통해). 엔터프라이즈 리소스에 액세스하기 위해 클라이언트가 사용하는 모든 세션별 인증 및 인증 토큰 또는 자격 증명을 생성합니다. PE와 밀접하게 연결되어 있으며 궁극적으로 세션을 허용하거나 거부하는 결정에 의존합니다. 세션이 승인되고 요청이 인증되면 PA는 세션 시작을 허용하도록 PEP를 구성합니다. 세션이 거부되면(또는 이전 승인이 철회되면) PA는 연결을 종료하라는 신호를 PEP에 보냅니다. 일부 구현에서는 PE와 PA를 단일 서비스로 취급할 수 있습니다. 여기서는 두 개의 논리적 구성 요소로 나뉩니다. PA는 통신 경로를 만들 때 PEP와 통신합니다. 이 통신은 컨트롤 플레인을 통해 이루어집니다.

 

  • 정책집행포인트(PEP, Policy Enforcement Point): 이 시스템은 주체와 엔터프라이즈 리소스 간의 연결을 활성화, 모니터링 및 종료하는 역할을 합니다. PEP는 PA와 통신하여 요청을 전달하고/하거나 PA로부터 정책 업데이트를 수신합니다. 이것은 ZTA의 단일 논리적 구성 요소이지만 클라이언트(예: 랩톱의 에이전트) 및 리소스 측면(예: 액세스를 제어하는 리소스 앞의 게이트웨이 구성 요소) 또는 작동하는 단일 포털 구성 요소의 두 가지 구성 요소로 나눌 수 있습니다. 통신 경로의 문지기 역할을 합니다. PEP 너머에는 엔터프라이즈 리소스를 호스팅하는 신뢰 영역이 있습니다(섹션 참조 2).

 

  • 지속적인 진단 및 완화(CDM, Continuous Diagnostics and Mitigation) 시스템[2]: 기업 자산의 현재 상태에 대한 정보를 수집하고 구성 및 소프트웨어 구성 요소에 업데이트를 적용합니다. 엔터프라이즈 CDM 시스템은 적절한 패치 운영 체제(OS)를 실행하는지 여부, 엔터프라이즈 승인 소프트웨어 구성 요소의 무결성 또는 승인되지 않은 구성 요소의 존재 여부와 같은 액세스 요청을 하는 자산에 대한 정보를 정책 엔진에 제공합니다. 자산에 알려진 취약점이 있는지 여부. CDM 시스템은 엔터프라이즈 인프라에서 활성화된 비엔터프라이즈 장치에서 정책의 하위 집합을 식별하고 잠재적으로 시행하는 역할도 담당합니다.

 

  • 산업 규정 준수 (Industry Compliance) 시스템: 이는 기업이 해당될 수 있는 모든 규제 체제(예: FISMA, 의료 또는 금융 산업 정보 보안 요구 사항)를 준수하도록 보장합니다. 여기에는 규정 준수를 보장하기 위해 기업이 개발하는 모든 정책 규칙이 포함됩니다.

 

  • 위협 인텔리전스 피드(Threat intelligence feed(s)): 정책 엔진이 액세스 결정을 내리는 데 도움이 되는 내부 또는 외부 소스의 정보를 제공합니다. 내부 및/또는 여러 외부 소스에서 데이터를 가져오고 새로 발견된 공격 또는 취약성에 대한 정보를 제공하는 여러 서비스일 수 있습니다. 여기에는 소프트웨어에서 새로 발견된 결함, 새로 식별된 맬웨어, 정책 엔진이 엔터프라이즈 자산에서 액세스를 거부하려는 다른 자산에 대한 보고된 공격도 포함됩니다.

 

  • 네트워크 및 시스템 활동 로그(Network and system activity logs): 엔터프라이즈 시스템은 자산 로그, 네트워크 트래픽, 리소스 액세스 작업 및 엔터프라이즈 정보 시스템의 보안 상태에 대한 실시간(또는 거의 실시간) 피드백을 제공하는 기타 이벤트를 집계합니다.

 

  • 데이터 액세스 정책(Data access policies): 엔터프라이즈 리소스에 대한 액세스에 대한 속성, 규칙 및 정책입니다. 이 규칙 세트는 (관리 인터페이스를 통해) 인코딩되거나 정책 엔진에 의해 동적으로 생성될 수 있습니다. 이러한 정책은 기업의 계정 및 애플리케이션/서비스에 대한 기본 액세스 권한을 제공하므로 리소스에 대한 액세스 권한을 부여하기 위한 시작점입니다. 이러한 정책은 정의된 임무 역할과 조직의 요구 사항을 기반으로 해야 합니다.

 

  • 엔터프라이즈 공개 키 인프라(PKI, Public Key Infrastructure): 이 시스템은 엔터프라이즈에서 리소스, 주제, 서비스 및 애플리케이션에 대해 발급한 인증서를 생성하고 기록하는 역할을 합니다. 여기에는 엔터프라이즈 PKI와 통합될 수도 있고 통합되지 않을 수도 있는 글로벌 인증 기관 에코시스템과 연방 PKI도 포함됩니다. 이는 X.509 인증서를 기반으로 구축되지 않은 PKI일 수도 있습니다.

 

  • ID 관리 (IDM, ID Management) 시스템: 엔터프라이즈 사용자 계정 및 ID 레코드(예: LDAP(Lightweight Directory Access Protocol) 서버)의 생성, 저장 및 관리를 담당합니다. 이 시스템에는 필요한 주체 정보(예: 이름, 이메일 주소, 인증서)와 역할, 액세스 속성 및 할당된 자산과 같은 기타 기업 특성이 포함되어 있습니다. 이 시스템은 종종 사용자 계정과 관련된 아티팩트에 대해 다른 시스템(예: PKI)을 활용합니다. 이 시스템은 더 큰 연합 커뮤니티의 일부일 수 있으며 비기업 직원 또는 협업을 위한 비기업 자산에 대한 링크를 포함할 수 있습니다.

 

  • 통합보안이벤트관리(SIEM, Security Information and Event Management) 시스템[3]: 추후 분석을 위해 보안 중심 정보를 수집합니다. 그런 다음 이 데이터는 정책을 개선하고 기업 자산에 대한 공격 가능성을 경고하는 데 사용됩니다.

 

참고사이트

[1] NIST SP 800-207, https://csrc.nist.gov/publications/detail/sp/800-207/final

[2] 지속적인 진단 및 완화(CDM, Continuous Diagnostics and Mitigation)에 대한 KISA의 번역은 “상시 진단 및 대응”으로 표현.

[3] 프루라 제품 분류로 명명하였음. 구글 번역에서는 “보안 정보 및 이벤트 관리”으로 표현.