다음을 통해 공유


SASE, 제로 트러스트 및 AI를 사용하여 네트워크 보호

네트워크 보안은 한때 데이터 센터의 물리적 경계에 연결되었던 기존 경계를 넘어 진화하고 있습니다. 현재 경계는 동적이며 사용자, 디바이스 및 데이터가 어디에 있든지 확장됩니다. 이러한 변화로 인해 호스트를 격리하고, 암호화를 적용하고, 네트워크를 분할하고, 컨트롤을 애플리케이션 및 데이터에 더 가깝게 배치하는 위험 기반 정책을 채택하게 됩니다.

SASE(Secure Access Service Edge)는 경계를 완전히 재정의하여 이러한 진화를 반영합니다. 네트워킹 및 보안을 환경 전반의 사용자 및 데이터를 따르는 클라우드 제공 서비스로 수렴합니다. 이 방법은 정책 관리를 간소화하고 보호를 강화합니다.

제로 트러스트 전략을 SASE 프레임워크에 추가하면 위치에 관계없이 기본적으로 사용자 또는 디바이스를 신뢰할 수 없도록 하여 보안을 더욱 강화합니다. 이 원칙은 에지에서 액세스를 보호하려는 SASE의 목표와 원활하게 일치합니다.

AI(인공 지능)는 데이터를 실시간으로 분석하고, 위협을 감지하고, 신속하고 자동화된 응답을 사용하도록 설정하여 이 접근 방식을 증폭합니다. SASE, 제로 트러스트 및 AI를 통해 조직은 민첩성, 정밀도 및 복원력이 뛰어난 경계 없는 세계를 보호할 수 있습니다.

제로 트러스트 네트워크 모델의 주요 원칙

회사 방화벽 뒤에 있는 모든 것이 안전하다고 가정하는 대신, 엔드투엔드 제로 트러스트 전략은 위반이 불가피하다는 것을 인정합니다. 이 방법을 사용하려면 각 요청이 제어되지 않는 네트워크에서 발생하는 것처럼 확인해야 하며 ID 관리가 중요한 역할을 합니다. 조직은 CISA(사이버 보안 및 인프라 보안 기관) 및 NIST(National Institute of Standards and Technology) 제로 트러스트 모델 및 패턴을 통합할 때 보안 태세를 강화하고 네트워크를 더 잘 보호합니다.

제로 트러스트 모델에서 네트워크 보안은 세 가지 핵심 목표에 중점을 둡니다.

  • 무단 액세스를 방지합니다. 강력한 인증, 지속적인 확인 및 최소 권한 정책을 적용하여 초기 손상 위험을 줄입니다.
  • 위반의 영향을 제한합니다. 네트워크 세분화, 마이크로 경계 및 적응형 컨트롤을 활용하여 위협을 억제하고 횡적 이동을 방지합니다.
  • 가시성 및 제어를 향상시킵니다. SASE(Secure Access Service Edge)와 같은 솔루션을 사용하여 보안 정책 적용을 통합하고, 트래픽을 모니터링하고, 클라우드 및 하이브리드 환경의 새로운 위협에 신속하게 대응합니다.

이러한 목표는 제로 트러스트 원칙에 부합합니다. 네트워킹 및 보안 기능을 통합하는 SASE와 같은 최신 솔루션을 지원합니다. 이 통합은 포괄적인 보호 및 중앙 집중식 관리를 제공합니다.

이렇게 하려면 다음 세 가지 제로 트러스트 원칙을 따릅니다.

  • 명시적으로 확인. 항상 사용 가능한 모든 데이터 요소를 기반으로 인증하고 권한을 부여합니다. 사용자 ID, 네트워크, 위치, 디바이스 상태, 서비스 또는 워크로드, 사용자 및 디바이스 위험, 데이터 분류 및 변칙을 포함합니다.
  • 최소 권한 액세스를 사용합니다. JIT/JEA(Just-In-Time and Just-Enough Access), 위험 기반 적응 정책 및 데이터 보호를 통해 데이터와 생산성을 모두 보호할 수 있도록 사용자 액세스를 제한합니다.
  • 위반 추정. 네트워크, 사용자, 디바이스 및 애플리케이션 인식별로 액세스를 분할하여 위반에 대한 영향 반경을 최소화하고 횡적 이동을 방지합니다. 모든 세션이 엔드 투 엔드로 암호화되어 있는지 확인합니다. 분석을 사용하여 가시성을 얻고, 위협 탐지를 추진하고, 방어를 향상시킵니다.

제로 트러스트 네트워크 배포 목표

ZT(제로 트러스트)는 암시적 신뢰를 가정하지 않고 모든 액세스 요청을 지속적으로 확인하는 보안 모델입니다. 제로 트러스트의 네트워크 핵심 요소는 통신 보안, 환경 분할 및 리소스에 대한 최소 권한 액세스 적용에 중점을 둡니다.

네트워크 보안을 위한 엔드 투 엔드 제로 트러스트 프레임워크를 구현하는 경우 먼저 다음 사항에 집중하는 것이 좋습니다.

이러한 목표가 완료되면 목표 6과 7에 집중합니다.

제로 트러스트 네트워크 배포 가이드

이 가이드에서는 제로 트러스트 보안 프레임워크의 원칙에 따라 네트워크를 보호하는 데 필요한 단계를 안내합니다.

1. 네트워크 세분화 및 소프트웨어 정의 경계

네트워크 세분화 및 SDP(Software-Defined 경계)는 제로 트러스트 보안 모델의 기초를 형성합니다. 정적 경계 기반 컨트롤에 의존하는 대신 리소스 수준에서 동적으로 보안을 적용합니다. 마이크로 분할을 사용하여 인프라를 격리된 세그먼트로 분할하는 경우 공격자의 횡적 이동을 제한하고 위반의 영향을 최소화합니다. SDP는 각 사용자 리소스 상호 작용을 중심으로 주문형 ID 중심 마이크로 경계를 만들고 액세스 권한을 부여하기 전에 컨텍스트의 유효성을 지속적으로 검사하여 이 접근 방식을 강화합니다. 요약하면 다음 주요 원칙을 따릅니다.

  • 세분화된 네트워크 세분화(매크로 및 마이크로 세분화)를 구현하여 횡적 이동을 제한합니다.
  • SDN(Software-Defined 네트워킹) 및 NAC(네트워크 액세스 제어)를 활용하여 정책을 동적으로 적용합니다.
  • 기존 IP 기반 메서드보다 ID 기반 구분을 채택합니다.

1.1 매크로 구분 전략

마이크로 세분화로 전환하기 전에 보다 광범위한 세분화 전략을 수립해야 합니다. 매크로 구분에는 가장 중요한 기능 또는 보안 요구 사항에 따라 네트워크를 더 큰 세그먼트로 나누는 작업이 포함됩니다. 이 방법은 초기 관리를 간소화하고 마이크로 세분화와 같은 세분성을 세분화할 수 있는 기반을 제공합니다.

1.2 네트워크 세분화: 마이크로 세분화가 포함된 여러 인그레스/이그레스 클라우드 마이크로 경계

조직에는 네트워크 내부 및 외부에 하나의 대형 파이프만 있으면 안 됩니다. 제로 트러스트 접근 방식에서 네트워크는 특정 워크로드가 포함된 작은 섬으로 분할됩니다. 각 세그먼트에는 데이터에 대한 무단 액세스의 영향을 최소화하기 위한 자체 수신 및 송신 컨트롤이 있습니다. 세분화된 컨트롤을 사용하여 소프트웨어 정의 경계를 구현하면 권한 없는 행위자가 네트워크 전체에 전파되는 어려움을 증가시켜 위협의 횡적 이동을 줄일 수 있습니다.

모든 조직의 요구에 맞는 아키텍처 디자인은 없습니다. 제로 트러스트 모델에 따라 네트워크를 분할하는 몇 가지 일반적인 디자인 패턴 간에 옵션이 있습니다.

이 배포 가이드에서는 이러한 디자인 중 하나인 마이크로 세분화를 달성하는 단계를 안내합니다.

마이크로 조각화를 사용하면 조직에서 소프트웨어 정의 마이크로 경계를 사용하여 단순한 중앙 집중식 네트워크 기반 경계를 넘어 포괄적이고 분산된 조각화로 이동할 수 있습니다.

1.3 네트워크 세분화: 완전히 분산된 수신/송신 클라우드 마이크로 경계 및 심층적인 마이크로 세분화

초기 세 가지 목표를 달성하면 다음 단계는 네트워크를 더 세분화하는 것입니다.

1.4 외부 경계 분할 및 적용

경계를 넘어 연결이 있는 서버 및 디바이스의 다이어그램

경계 유형에 따라 다음 단계를 수행합니다.

인터넷 경계

Azure DDoS Protection 서비스는 허브 가상 네트워크의 IP뿐만 아니라 가상 네트워크의 공용 IP 주소도 보호합니다. Azure Firewall을 사용하여 아웃바운드 인터넷 연결을 제어할 수도 있습니다. 자세한 내용은 인바운드 및 아웃바운드 인터넷 연결 계획을 참조하세요.

온-프레미스 경계
PaaS 서비스 경계
  • Azure에서 제공하는 PaaS 서비스, Azure Storage, Azure Cosmos DB 또는 Azure Web App을 사용하는 경우 PrivateLink 연결 옵션을 사용하여 모든 데이터 교환이 개인 IP 공간을 초과하고 트래픽이 Microsoft 네트워크를 벗어나지 않도록 합니다.
  • PaaS 서비스에 서로 통신하고 공용 네트워크 액세스를 관리하기 위해 보안 경계가 필요한 경우 네트워크 보안 경계에 연결할 것을 제안합니다. Private Link 연결은 이러한 PaaS 서비스의 프라이빗 엔드포인트를 통해 들어오는 트래픽에 적용되며, 모든 데이터 교환이 개인 IP 주소를 통해 전송되고 트래픽이 Microsoft 네트워크를 벗어나지 않도록 합니다. 네트워크 보안 경계에 대해 자세히 알아보지원되는 PaaS 서비스 목록을 참조하세요.
앱 구성 요소를 다른 서브넷으로 분할

Azure 지역에 있는 서버의 가상 네트워크 다이어그램

다음 단계를 수행합니다.

  1. 가상 네트워크 내에서 애플리케이션의 개별 구성 요소에 고유한 경계가 있을 수 있도록 가상 네트워크 서브넷을 추가 합니다.
  2. 앱 하위 구성 요소가 합법적인 통신 대응으로 식별된 서브넷의 트래픽만 허용하려면 네트워크 보안 그룹 규칙을 적용합니다.

또는 특정 서브넷 및 Virtual Network의 트래픽을 분할하고 허용하는 데 Azure 방화벽을 사용할 수도 있습니다.

애플리케이션이 다른 Azure VNet(Virtual Network)으로 분할되고 허브-스포크 모델을 사용하여 연결됨

허브 및 스포크 모델에 연결된 두 가상 네트워크의 다이어그램.

다음 단계를 수행합니다.

  1. 다양한 애플리케이션 및/또는 애플리케이션 구성 요소에 대한 전용 가상 네트워크를 만듭니다.
  2. 중앙 가상 네트워크를 만들어 앱 간 연결에 대한 보안 태세를 설정하고 허브 및 스포크 아키텍처에서 앱 VNet을 연결합니다.
  3. 가상 네트워크 허브에 Azure Firewall을 배포합니다. Azure Firewall을 사용하여 네트워크 트래픽을 검사하고 제어합니다.

1.5 Network Watcher Traffic Analytics를 사용하여 세분화 유효성 검사

네트워크 구분이 의도한 대로 작동하도록 하려면 조직에서 Azure Network Watcher Traffic Analytics를 구현해야 합니다. 이 기능은 VNET 흐름 로그를 분석하여 흐름 수준의 가시성을 제공하므로 팀은 분할된 환경에서 트래픽 패턴을 모니터링할 수 있습니다.

Traffic Analytics는 제로 트러스트 세분화를 다음 방법으로 지원합니다.

  • 구분 정책 유효성 검사: 트래픽이 의도한 세그먼트 간에만 흐르는지 여부를 식별하고 구분 경계 위반을 감지합니다.

  • 횡적 이동 감지: 위반 또는 잘못된 구성을 나타낼 수 있는 예기치 않거나 권한이 없는 동서 트래픽을 표시합니다.

  • 가시성 향상: 트래픽 흐름을 NSG 규칙 및 위협 인텔리전스와 상호 연결하여 네트워크 동작에 대한 실행 가능한 인사이트를 얻습니다.

  • 지속적인 개선 지원: 분석을 사용하여 마이크로 세분화 전략을 구체화하고 최소 권한 액세스를 동적으로 적용합니다.

Traffic Analytics를 제로 트러스트 배포에 통합하면 분할 전략의 효율성을 지속적으로 평가하고 개선할 수 있으므로 네트워크 경계가 정의될 뿐만 아니라 적극적으로 모니터링 및 적용되도록 할 수 있습니다.

2. SASE(Secure Access Service Edge) 및 ZTNA(제로 트러스트 네트워크 액세스)

최신 네트워크를 효과적으로 보호하려면 조직은 레거시 솔루션을 넘어 고급 통합 접근 방식을 채택해야 합니다. 여기에는 세분화된 ID 기반 연결을 위한 제로 트러스트 네트워크 액세스(ZTNA) 솔루션 채택, 네트워킹 및 보안 기능을 통합하기 위한 SASE 아키텍처 적용, 위험 기반 액세스 제어를 사용하여 지속적인 세션 유효성 검사 구현이 포함됩니다. 이러한 전략은 액세스가 항상 확인되고, 위협이 최소화되고, 보안 정책이 진화하는 위험에 동적으로 적응하도록 하기 위해 함께 작동합니다.

2.1 ZTNA(제로 트러스트 네트워크 액세스)

제로 트러스트 네트워크 액세스는 광범위한 경계 기반 VPN을 세분화된 ID 인식 및 컨텍스트 인식 연결로 대체합니다. 세 가지 핵심 ZTNA 기능은 각각 먼저 Microsoft 글로벌 보안 액세스에 대해 설명한 다음 Azure VPN Gateway 옵션에 대해 설명합니다.

Microsoft의 ZTNA 구현은 SSE(Security Service Edge) 기반을 기반으로 하는 Microsoft Entra의 글로벌 보안 액세스(미리 보기) 기능의 일부입니다.
자세한 정보: 글로벌 보안 액세스란? (Microsoft Entra)

2.2 ID 인식 ZTNA를 사용하여 기존 VPN 현대화

전역 보안 액세스
Microsoft의 글로벌 보안 액세스는 광범위한 네트워크 터널을 앱별 ID 기반 연결로 대체합니다. 사용자가 액세스를 요청하면 Global Secure Access는 에지에서 Single Sign-On 및 조건부 액세스에 Microsoft Entra ID를 사용합니다. 인바운드 방화벽 규칙은 필요하지 않습니다. 승인된 애플리케이션만 사용자 포털에 표시되며 액세스 결정은 디바이스 상태(엔드포인트용 Defender의) 및 실시간 위험 신호를 기반으로 합니다.

Azure VPN Gateway
터널을 설정하기 전에 Microsoft Entra ID와 인증을 통합하고 조건부 액세스 정책(예: MFA, 디바이스 준수 및 명명된 위치)을 적용하여 P2S(지점 및 사이트 간) VPN을 현대화합니다. Azure Virtual WAN 허브에서 P2S VPN 및 ExpressRoute는 Azure Firewall Manager를 통해 중앙 집중식 보안 및 라우팅을 통해 전역 규모로 작동합니다. 이 방법은 최소한의 권한, ID 인식 액세스를 보장하면서 친숙한 VPN 연결을 유지합니다.

2.3 SASE 아키텍처 사용: 네트워킹 및 보안 함수 통합

SASE와 네트워킹 및 보안 함수 통합

전역 보안 액세스
글로벌 보안 액세스는 SWG(Secure Web Gateway), CASB(Cloud Access Security Broker) 및 FWaaS(Firewall-as-a-Service)를 비롯한 SSE(Security Service Edge) 기능을 통합 SASE 프레임워크로 제공합니다. 인터넷 또는 프라이빗 애플리케이션을 대상으로 하는 사용자 트래픽은 Microsoft의 글로벌 에지 네트워크를 통해 라우팅됩니다. 여기서는 TLS 검사, URL 필터링, DLP(데이터 손실 방지) 및 위협 인텔리전스가 적용됩니다. Defender for Cloud Apps는 SaaS 애플리케이션에 대한 인라인 세션 제어를 사용하도록 설정하고 Azure Firewall은 프라이빗 앱 액세스를 보호합니다.

이 아키텍처는 다음과 같습니다.

  • 중앙 집중식 검사 및 제어를 위해 Microsoft의 에지를 통해 사용자 트래픽 라우팅
  • 보안 정책 적용을 통합하여 복잡성 감소
  • 성능 및 규정 준수를 위해 트래픽 조향 및 분할 터널링을 지원합니다.

Azure VPN Gateway 통합
기존 VPN 엔드포인트는 강제 터널 구성을 사용하여 Azure Firewall 또는 파트너 SWG 어플라이언스와 통합할 수 있습니다. 이 구성을 사용하면 Azure Firewall Manager, 위협 인텔리전스 및 조건부 액세스 세션 제어를 사용하여 아웃바운드 및 인바운드 VPN 트래픽을 검사하고 제어할 수 있습니다. URL 필터링, DPI(심층 패킷 검사) 및 DLP를 VPN 세션에 적용할 수 있습니다. Defender for Cloud Apps 세션 정책은 터널링된 트래픽에 업로드 및 다운로드 제어를 적용할 수 있으며, 섀도 IT 발견을 수행할 수 있습니다.

2.4 연속 세션 유효성 검사 및 위험 기반 액세스 구현

연속 세션 유효성 검사를 통해 액세스 결정은 초기 로그인뿐만 아니라 실시간으로 적용됩니다. 이 접근 방식은 조직이 변화하는 위험 조건에 신속하게 대응하고 강력한 보안 태세를 유지하는 데 도움이 됩니다.

Microsoft 글로벌 보안 액세스
제로 트러스트 네트워크 액세스는 일회성 검사가 아닙니다. Microsoft Global Secure Access는 CAE(지속적인 액세스 평가)를 사용하여 검색된 맬웨어 또는 비정상적인 위치와 같은 위험 신호를 모니터링하고, 위험이 감지되면 애플리케이션 액세스 토큰을 해지하거나 다시 평가하고 네트워크 연결을 종료할 수 있습니다. Defender for Cloud Apps는 활성 세션 중에 다운로드 차단, 세션 격리 또는 MFA(추가 다단계 인증) 요구와 같은 라이브 세션 제어를 적용합니다. Microsoft Sentinel 또는 Microsoft Defender XDR의 자동화된 응답 플레이북은 손상된 디바이스를 격리하거나 실시간으로 계정을 사용하지 않도록 설정할 수 있습니다.

Azure VPN Gateway Microsoft Entra ID 인증을 사용하는 VPN 연결의 경우 CAE(지속적인 액세스 평가)가 지원됩니다. 조건부 액세스가 위험한 사용자 또는 디바이스를 감지하는 경우 VPN 터널을 닫거나 재인증이 필요할 수 있습니다. VPN 로그를 Microsoft Sentinel로 보내고 자동화된 플레이북을 사용하여 IP를 차단하거나, 액세스를 해지하거나, 보안 팀에 경고할 수 있습니다. 이를 통해 VPN 연결에 대한 위험 기반 응답을 빠르게 수행할 수 있습니다.

3. 강력한 암호화 및 보안 통신

최신 네트워크 통신은 모든 단계에서 강력하게 암호화되고 보호되어야 합니다. 조직은 다음을 수행해야 합니다.

  • TLS(전송 계층 보안) 1.3을 사용하고 모든 네트워크 트래픽에 엔드투엔드 암호화를 적용합니다. TLS 1.3은 최신 워크로드를 보호하는 데 필수적인 보다 강력한 보안, 빠른 핸드셰이크 및 항상 암호화된 클라이언트 인증을 제공합니다.
  • 워크로드와 디바이스 간에 mTLS(상호 인증)를 적용하여 클라이언트 및 서버 ID가 모두 확인되도록 하여 유효한 자격 증명을 사용하는 경우에도 무단 액세스를 방지합니다.
  • TLS 1.0/1.1 또는 오래된 암호화와 같이 암호화가 없는 신뢰할 수 없거나 레거시 프로토콜을 차단합니다.

비고

TLS는 합법적인 트래픽을 보호하지만 맬웨어 및 데이터 유출과 같은 위협은 암호화된 세션 내에서 여전히 숨겨질 수 있습니다. Microsoft Entra Internet Access TLS 검사는 암호화된 트래픽에 대한 가시성을 제공하여 맬웨어 검색, 데이터 손실 방지 및 고급 보안 제어를 가능하게 합니다. 전송 계층 보안 검사에 대해 자세히 알아봅니다.

비고

Azure Firewall은 네트워크 트래픽에 대해 TLS 검사를 수행할 수 있습니다. 데이터의 암호를 해독하고, IDPS(침입 감지 및 방지 시스템) 또는 애플리케이션 규칙을 적용한 다음, 다시 암호화하고 전달합니다. Azure Firewall TLS 검사Azure Firewall 프리미엄 인증서에 대해 자세히 알아봅니다.

주요 권장 사항

  • Azure App Service 및 Azure Front Door: 웹앱에 보안 암호 그룹만 사용되도록 최소 인바운드 TLS 버전을 1.3으로 설정합니다. 자세한 내용은 App Service 및 Front Door에 대한 최소 TLS 버전 적용을 참조하세요.
  • Azure IoT Edge, IoT Hub 및 기타 PaaS 서비스: 디바이스 SDK가 TLS 1.3을 지원하는지 확인하거나 TLS 1.2 이상으로 제한합니다.
  • Azure Application Gateway(v2): 클라이언트 확인을 위해 OCP 유효성이 검사된 인증서를 사용하여 mTLS를 지원합니다. 자세한 내용은 App Service의 TLS 개요를 참조하세요.
  • 가상 네트워크 간의 애플리케이션 백 엔드 트래픽을 암호화합니다.
  • 온-프레미스와 클라우드 간의 트래픽 암호화:
    • ExpressRoute Microsoft 피어링을 통해 사이트 간 VPN을 구성합니다.
    • ExpressRoute 프라이빗 피어링에 IPsec 전송 모드를 사용합니다.
    • ExpressRoute 프라이빗 피어링에서 서버 간에 mTLS를 설정합니다.

신뢰할 수 없거나 레거시 프로토콜 차단

  • Azure 엔드포인트(App Service, Storage, SQL, Event Hubs 등): TLS 1.2 이상만 허용하고 1.3을 적용하여 레거시 버전을 사용하지 않도록 설정하는 것이 좋습니다.
  • Virtual Machines 및 네트워크 어플라이언스: Azure Policy 및 Microsoft Defender for Cloud를 사용하여 오래된 프로토콜(예: SMBv1 또는 사용자 지정 TLS <1.2)을 검색하고 수정을 적용합니다.
  • 운영 위생: OS 또는 애플리케이션 수준에서 레거시 암호 및 프로토콜을 사용하지 않도록 설정합니다(예: Windows Server 또는 SQL Server에서 TLS 1.0/1.1 사용 안 함).

PQC(Post-Quantum Cryptography) 준비

기존의 공개 키 암호화 알고리즘(예: RSA 및 ECC)은 향후 양자 컴퓨터에 취약합니다. Microsoft는 양자 내성 알고리즘(LMS 및 ML-DSA, FIPS 204)을 플랫폼에 통합했으며, 더 광범위한 PQC 지원이 곧 제공될 예정입니다. TLS 1.3으로 전환을 시작하고 표준이 확정되면 PQC 통합을 준비합니다.

3.1 암호화: 사용자-앱 내부 트래픽이 암호화됨

암호화를 추가하여 사용자-앱 내부 트래픽이 암호화되도록 합니다.

다음 단계를 수행합니다.

  1. Azure Front Door를 사용하여 HTTP 트래픽을 HTTPS로 리디렉션하여 인터넷 연결 웹 애플리케이션에 대한 HTTPS 전용 통신을 적용합니다.
  2. Azure VPN Gateway를 사용하여 원격 직원/파트너를 Microsoft Azure에 연결합니다.
  3. Azure VPN Gateway 서비스에서 지점 및 사이트 간의 트래픽에 대한 암호화 를 설정합니다.
  4. Azure Bastion을 통해 암호화된 통신을 사용하여 안전하게 Azure 가상 머신에 액세스합니다.
  5. SSH를 사용하여 Linux 가상 머신에 연결합니다.
  6. RDP(원격 데스크톱 프로토콜)를 사용하여 Windows 가상 머신에 연결합니다.

3.2 암호화: 모든 트래픽

마지막으로 모든 트래픽이 암호화되었는지 확인하여 네트워크 보호를 완료합니다.

다음 단계를 수행합니다.

  1. 가상 네트워크 간의 애플리케이션 백 엔드 트래픽 을 암호화합니다.
  2. 온-프레미스와 클라우드 간의 트래픽 암호화:
    1. ExpressRoute Microsoft 피어링을 통해 사이트 및 사이트 간의 VPN 을 구성합니다.
    2. ExpressRoute 프라이빗 피어링에 대한 IPsec 전송 모드 를 구성합니다.
    3. ExpressRoute 프라이빗 피어링에서 서버 간에 mTLS를 구성합니다.

4. 네트워크 가시성 및 위협 탐지

제로 트러스트 보안 모델에서 "절대 신뢰 안 함, 항상 확인"의 원칙은 사용자 및 디바이스뿐만 아니라 네트워크 트래픽에도 적용됩니다. 네트워크 활동 모니터링 및 로깅은 리소스 액세스 방법에 대한 지속적인 가시성을 제공하고, 보안 정책을 준수하며, 의심스럽거나 권한이 없는 동작을 신속하게 검색할 수 있도록 하기 때문에 제로 트러스트를 적용하는 데 중요합니다. 다음은 이 섹션에서 다루는 주요 요소입니다.

  • NDR(네트워크 검색 및 응답)을 배포하여 네트워크 트래픽을 모니터링하고 분석합니다.
  • 실시간 위협 헌팅을 위해 DPI(심층 패킷 검사) 및 AI 기반 변칙 검색을 사용합니다.
  • 네트워크 분석을 위해 중앙 집중식 로깅 및 SIEM/SOAR 통합을 유지 관리합니다.
  • XDR(확장 검색 및 응답)을 배포하여 트래픽 패턴을 분석하고, 변칙을 식별하고, 위반을 방지합니다.
  • AI 기반 분석을 통합하여 새로운 위협에 대한 신속한 대응을 향상시킵니다.
  • 글로벌 보안 액세스 원본 IP 복원을 채택하여 향상된 위협 감지 및 대응을 사용하도록 설정합니다.
  • 전역 보안 액세스 로그 및 모니터링을 활용합니다.

4.1 위협 방지: 컨텍스트 기반 신호를 사용하여 기계 학습 기반 위협 방지 및 필터링

추가 위협 방지를 위해 Azure DDoS 네트워크 보호를 켜서 Azure 호스팅 애플리케이션 트래픽을 지속적으로 모니터링하고, ML 기반 프레임워크를 사용하여 대량 트래픽 홍수를 기준 및 감지하고, 프로토콜 공격을 감지하고, 자동 완화를 적용합니다.

다음 단계를 수행합니다.

  1. 구성 및 관리 Azure DDoS 네트워크 보호.
  2. DDoS 보호 메트릭에 대한 경고를 구성합니다.
  3. Azure 웹 애플리케이션 방화벽에서 Microsoft Sentinel 사용
  4. Microsoft Sentinel에서 Azure Firewall 사용

4.2 위협 방지: 알려진 위협에 대한 클라우드 네이티브 필터링 및 보호

인터넷 또는 온-프레미스 공간과 같은 외부 환경에 엔드포인트를 여는 클라우드 애플리케이션은 이러한 환경에서 들어오는 공격의 위험이 있습니다. 트래픽에서 내재된 악의적인 요소나 논리를 검색하여 발견해야 합니다.

이러한 유형의 위협은 다음 두 가지 광범위한 범주로 분류됩니다.

  • 알려진 공격입니다. 소프트웨어 공급자 또는 더 큰 커뮤니티에서 검색된 위협 이러한 경우 공격 서명을 사용할 수 있으며 각 요청이 해당 서명에 대해 확인되었는지 확인해야 합니다. 키는 새로 식별된 공격으로 검색 엔진을 신속하게 업데이트할 수 있도록 하는 것입니다.

  • 알 수 없는 공격. 이러한 공격은 알려진 서명과 일치하지 않는 위협입니다. 이러한 유형의 위협에는 제로 데이 취약성 및 요청 트래픽의 비정상적인 패턴이 포함됩니다. 이러한 공격을 탐지하는 기능은 방어가 정상과 그렇지 않은 것을 얼마나 잘 알고 있는지에 따라 달라집니다. 비즈니스(및 관련 트래픽)가 진화함에 따라 방어는 이러한 패턴을 지속적으로 학습하고 업데이트해야 합니다.

알려진 위협으로부터 보호하려면 다음 단계를 고려합니다.

4.3 모니터링 및 가시성

Traffic Analytics

Network Watcher Traffic Analytics 는 VNET 흐름 로그를 분석하여 비정상적인 트래픽을 검색하고, 구분 정책의 유효성을 검사하고, 섀도 IT 또는 잘못 구성된 액세스 경로를 발견하여 제로 트러스트 구분에서 중요한 역할을 합니다. 이를 통해 보안 팀은 세그먼트 간의 트래픽을 시각화하고 실시간 원격 분석을 기반으로 적응형 제어를 적용할 수 있습니다.

로그 분석

Microsoft Defender XDR(확장 검색 및 응답)

Microsoft Defender XDR(확장 검색 및 대응)은 위반 전후에 사용하는 통합 엔터프라이즈 방어 제품군입니다. 이 제품군은 엔드포인트, ID, 이메일 및 애플리케이션에서 기본적으로 검색, 예방, 조사 및 응답을 조정합니다. Defender XDR을 사용하여 정교한 공격으로부터 보호하고 대응합니다.

  • 경고 조사
  • Defender XDR을 사용한 제로 트러스트에 대해 알아보기
  • 미국 정부용 Defender XDR에 대해 알아보기

Microsoft Sentinel

통합 문서를 사용하여 사용자 지정 분석 쿼리를 개발하고 수집된 데이터를 시각화합니다.

  • 사용자 지정된 분석 규칙을 사용하여 위협 감지
  • 수집된 데이터 시각화
  • Global Secure Access 내에서 워크북을 사용하십시오

AI-Enabled 네트워크 액세스

Microsoft Sentinel

Azure Firewall을 사용하여 방화벽 활동을 시각화하고, AI 조사 기능을 사용하여 위협을 감지하고, 활동을 상호 연결하고, 대응 작업을 자동화합니다.

  • Microsoft Sentinel을 사용한 Azure Firewall

Microsoft Entra ID Protection은 ML(기계 학습) 알고리즘을 사용하여 사용자 및 로그인 위험을 감지합니다. 위험 수준에 따라 동적 액세스를 위해 조건부 액세스 정책의 위험 조건을 사용합니다.

  • Microsoft Entra ID 보호 기능
  • 위험 탐지
  • 위험 기반 액세스 정책

전역 보안 액세스

조직은 Microsoft Entra Global Secure Access 로그를 활용하여 액세스 시도를 추적하고, 데이터 흐름을 모니터링하고, 실시간으로 변칙을 식별할 수 있습니다. 이 세분화된 모니터링은 권한 있는 ID 및 디바이스만 중요한 리소스에 액세스하고, 인시던트 대응을 지원하며, 감사 및 조사에 중요한 증거를 제공하는지 확인하는 데 도움이 됩니다. 따라서 포괄적인 트래픽 로깅은 제로 트러스트 아키텍처의 효율성을 유지 관리하고 증명하는 기본 요소입니다. 트래픽 로그 외에도 추가 신호에 대한 추가 로그를 사용할 수 있습니다.

4.4 자동화 및 오케스트레이션

자동화 및 오케스트레이션은 네트워크 인프라에서 제로 트러스트 원칙을 적용하는 데 필수적입니다. 조직은 자동 적용, 응답 및 거버넌스를 활용하여 안전하고 복원력 있는 연결을 달성할 수 있습니다.

Azure 네트워킹

Azure Firewall, NSG(네트워크 보안 그룹), Virtual WAN 및 DDoS Protection을 비롯한 Azure 네트워킹 서비스는 ARM 템플릿, Bicep, Terraform 및 Azure Policy와 같은 IaC(Infrastructure as Code) 도구를 사용하여 배포, 관리 및 모니터링할 수 있습니다.

주요 기능:

  • 자동화된 배포: IaC 파이프라인을 사용하여 네트워크 세분화(NSG, Azure Firewall) 및 필터링 컨트롤을 자동으로 배포합니다.
  • 지속적인 규정 준수: Azure Policy를 사용하여 보안 표준(예: 공용 IP 차단, 암호화 필요)을 적용하고 자동 수정합니다.
  • DevOps 통합: 선언적 버전 제어 네트워크 구성을 위해 GitOps/DevOps 워크플로와 통합합니다.

본보기: Bicep 및 Azure DevOps를 사용하여 새 서브넷이 프로비전될 때 NSG 규칙 및 Azure Firewall 정책을 자동으로 배포합니다.

Microsoft Entra(ID 거버넌스를 사용하는 전역 보안 액세스)

Microsoft Entra Global Secure Access는 ID 인식 액세스와 네트워크 제어를 결합하여 레거시 VPN을 넘어 이동합니다. ID 거버넌스는 권한 자동화를 통해 이를 확장합니다.

주요 기능:

  • 자동 온보딩: Microsoft Graph API 및 정책 템플릿을 사용하여 앱/서비스를 프라이빗 액세스 또는 앱 프록시에 온보딩합니다.
  • 권한 관리: 승인 워크플로, 만료 및 액세스 검토를 사용하여 네트워크 액세스 패키지를 정의합니다.
  • 동적 프로비전 해제: 역할 변경 또는 수명 주기 이벤트에 따라 네트워크 자격을 자동으로 제거합니다.

본보기: 사용자가 프로젝트에 조인할 때 만료 및 액세스 검토를 적용하여 특정 앱에 대한 Private Access를 부여하는 액세스 패키지를 할당합니다.

Microsoft Sentinel

Microsoft Sentinel은 네트워크 위협 감지 및 대응을 자동화하는 플레이북(Logic Apps)을 제공합니다.

주요 기능:

  • 자동화된 응답: NSG 또는 Azure Firewall 규칙을 업데이트하여 악의적인 IP/도메인을 차단합니다.
  • 리소스 격리: 조건부 액세스를 조정하여 세션을 사용하지 않도록 설정하거나 리소스를 격리합니다.
  • 경고 보강: 네트워크 경고와 흐름 로그, DNS, ID 및 디바이스 원격 분석의 상관 관계를 지정합니다.

본보기: Sentinel은 알려진 악성 IP와의 통신을 검색합니다. 플레이북은 Azure Firewall IP 그룹을 업데이트하고 SecOps에 알깁니다.

Microsoft Defender XDR

Microsoft Defender XDR은 ID, 엔드포인트 및 네트워크 신호에서 검색, 조사 및 조정된 응답을 자동화합니다.

주요 기능:

  • 상관: ID 및 디바이스 컨텍스트를 사용하여 횡적 이동 또는 비정상적인 네트워크 패턴을 검색합니다.
  • 자동화된 격리: 손상된 디바이스를 격리하고 플랫폼 간에 적용 작업을 트리거합니다.
  • 통합: 엔드 투 엔드 인시던트 대응을 위해 Sentinel 및 Entra와 함께 작동합니다.

본보기: 엔드포인트용 Defender는 C2(명령 및 제어) 트래픽을 검색하고, XDR은 디바이스를 격리하고, Sentinel 플레이북을 트리거하여 Azure Firewall에서 대상을 차단합니다.

5. 정책 기반 액세스 제어 및 최소 권한

최신 제로 트러스트 네트워크에는 최소 권한을 적용하고 위험에 동적으로 대응하는 세분화된 적응형 액세스 제어가 필요합니다. 정책 기반 액세스는 사용자와 디바이스가 필요한 최소 권한만, 필요한 가장 짧은 시간 동안, 그리고 적절한 조건에서만 얻을 수 있도록 합니다.

5.1 컨텍스트 인식 액세스 정책 구현

5.2 위험 기반 및 적응형 제어 적용

  • 익숙하지 않은 로그인 또는 위험한 디바이스와 같은 위험이 감지되면 MFA(다단계 인증)가 필요합니다.
  • 로그인 위험 기반 MFA를 사용하여 실시간 위험 평가에 따라 MFA를 자동으로 묻는 메시지를 표시합니다.
  • Microsoft Entra ID Protection의 위험 검색을 이해하여 정책 결정을 알리고 수정을 자동화합니다.

5.3 JIT(Just-In-Time) 및 권한 있는 액세스 적용

5.4 하이브리드 및 애플리케이션별 액세스

기본 거부 및 지속적인 평가

  • 모든 네트워크 계층에서 기본적으로 거부 원칙을 적용하여 정책에서 명시적으로 허용된 경우에만 액세스 권한을 부여합니다.
  • 세션 위험을 지속적으로 평가하고 실시간으로 정책 변경을 적용하여 공격 노출 영역을 최소화합니다.

컨텍스트 인식, 위험 기반 및 최소 권한 정책을 사용하여 무단 액세스를 줄이고 네트워크의 횡적 이동을 제한합니다.

6. 클라우드 및 하이브리드 네트워크 보안

클라우드 및 하이브리드 환경을 보호하려면 모든 플랫폼에서 최신 클라우드 네이티브 컨트롤과 일관된 정책 적용의 조합이 필요합니다. 조직에서 다중 클라우드 및 하이브리드 아키텍처를 채택함에 따라 제로 트러스트 원칙을 기존 데이터 센터를 넘어 클라우드 워크로드, SaaS 및 PaaS 환경으로 확장해야 합니다.

6.1 마이크로 경계 및 클라우드 네이티브 방화벽을 사용하여 클라우드 워크로드 보호

  • 마이크로 경계: 마이크로 세분화를 사용하여 개별 워크로드, 애플리케이션 또는 서비스에 대한 세분화된 보안 경계를 만듭니다. 이렇게 하면 횡적 이동이 제한되고 격리된 세그먼트 내에서 잠재적 위반이 포함됩니다.
  • 클라우드 네이티브 방화벽:Azure Firewall 과 같은 솔루션을 배포하여 클라우드 워크로드 간의 트래픽을 검사 및 제어하고, 위협 인텔리전스 기반 필터링을 적용하고, 애플리케이션 및 네트워크 규칙을 대규모로 적용합니다.
  • NSG(네트워크 보안 그룹): NSG(네트워크 보안 그룹) 및 애플리케이션 보안 그룹을 사용하여 가상 네트워크 내의 리소스에 대한 세분화된 액세스 제어를 정의하고 적용합니다.
  • 프라이빗 엔드포인트:Azure Private Link 를 사용하여 개인 IP 주소를 통해 PaaS 서비스에 대한 액세스를 제한하여 트래픽이 신뢰할 수 있는 Microsoft 백본 내에 유지되도록 합니다.

6.2 SaaS 및 PaaS 보안을 위한 ID 인식 프록시 통합

  • ID 인식 프록시: SaaS 및 PaaS 애플리케이션에 대한 액세스를 중개하기 위한 Microsoft Entra Private Access 와 같은 솔루션을 구현합니다. 이러한 프록시는 액세스 권한을 부여하기 전에 인증, 디바이스 준수 및 조건부 액세스 정책을 적용합니다. ID 인식 인터넷 액세스를 위해 Microsoft Entra Internet Access 를 고려합니다.
  • CASB(Cloud Access Security Broker):Microsoft Defender for Cloud Apps 를 사용하여 SaaS 사용량을 검색, 모니터링 및 제어하고, DLP(데이터 손실 방지)를 적용하고, 클라우드 애플리케이션에 대한 세션 제어를 적용합니다.
  • 연속 세션 유효성 검사: 사용자, 디바이스 및 세션 컨텍스트를 기반으로 하는 적응형 컨트롤을 포함하여 SaaS 및 PaaS 액세스에 대한 위험 기반 실시간 정책 적용을 적용합니다.

6.3 하이브리드 및 다중 클라우드 환경에서 일관된 보안 정책 적용 보장

  • 통합 정책 관리:Microsoft Entra 조건부 액세스Azure Policy 와 같은 플랫폼을 사용하여 온-프레미스, Azure 및 기타 클라우드 공급자 간에 일관된 보안 정책을 정의하고 적용합니다.
  • 하이브리드 연결:Azure VPN Gateway, ExpressRoute를 사용하여 하이브리드 연결을 보호하고 모든 환경 간 트래픽에 대한 암호화 및 액세스 제어를 적용합니다.
  • 중앙 집중식 모니터링 및 응답: 통합 가시성, 위협 감지 및 자동화된 대응을 위해 모든 환경의 로그 및 보안 이벤트를 Microsoft Sentinel 또는 SIEM/SOAR 플랫폼에 통합합니다.
  • 다중 클라우드 보안 상태 관리:클라우드용 Microsoft Defender 와 같은 도구를 사용하여 Azure 및 기타 클라우드 공급자에서 리소스의 보안 상태를 평가, 모니터링 및 개선합니다.

이러한 전략을 구현하는 조직은 클라우드 및 하이브리드 네트워크에 대한 강력한 엔드 투 엔드 보안을 달성할 수 있습니다. 이 접근 방식을 사용하면 워크로드 및 데이터가 어디에 있든 관계없이 제로 트러스트 원칙이 일관되게 적용됩니다.

7. 레거시 네트워크 보안 기술 중단

제로 트러스트는 모든 네트워크 세그먼트 또는 디바이스에서 암시적 신뢰를 거부합니다. 플랫 VPN 터널, "헤어 핀" 트래픽 검사, 하드 코딩된 ACL(액세스 제어 목록) 및 정적 네트워크 방화벽과 같은 레거시 경계 중심 컨트롤은 최신 하이브리드 및 클라우드 네이티브 환경에 필요한 적응형 ID 인식 및 컨텍스트 인식 보호를 더 이상 제공하지 않습니다. 제로 트러스트를 완전히 실현하려면 조직은 ID 기반의 소프트웨어 정의 보안 서비스에 찬성하여 이러한 오래된 기술을 사용 중지해야 합니다.

7.1 사용 중지 범위

사용 중지할 레거시 기술은 다음과 같습니다.

  • 디바이스 인증서 또는 공유 키만을 기반으로 광범위한 네트워크 액세스를 부여하는 기존 VPN.
  • 경직된 네트워크 방화벽과 정적 규칙 집합 및 제한된 애플리케이션 수준 가시성.
  • 인라인 위협 검사 또는 세션 제어가 부족한 레거시 웹 프록시입니다.
  • ID 또는 디바이스 상태 신호에 통합되지 않은 네트워크 ACL 또는 경로 기반 세분화.

7.2 대체 원칙

사용되지 않는 각 컨트롤에 대해 다음과 같은 최신 제로 트러스트 대안을 채택합니다.

  • 제로 트러스트 네트워크 액세스를 사용하여 애플리케이션 또는 워크로드 계층에서 최소 권한 액세스를 적용합니다.
  • ID 및 디바이스 상태(Microsoft Entra ID 및 엔드포인트용 Microsoft Defender 사용)를 모든 액세스 결정에 통합합니다.
  • 연속 액세스 평가 및 세션 재평가를 사용하여 연속 유효성 검사를 제공합니다.
  • SASE(Secure Access Service Edge) 및 SSE(Security Service Edge) 솔루션(예: SWG(Secure Web Gateway), CASB(Cloud Access Security Broker), FWaaS(Firewall-as-a-Service), NDR(네트워크 검색 및 응답)을 통해 소프트웨어 정의 가시성 및 제어를 제공합니다.

7.3 전환 전략

  1. 인벤토리 및 우선 순위 지정

    • 모든 레거시 어플라이언스 및 VPN 프로필을 카탈로그로 만듭니다.
    • 중요도(퍼블릭 앱, 파트너 연결, 원격 관리)로 분류합니다.
  2. 시범 운영 및 유효성 검사

    • 낮은 위험의 애플리케이션 집합에 대해 Microsoft Entra ID 인증을 사용하여 Microsoft Global Secure Access 또는 Azure VPN Gateway로 ZTNA 파일럿을 설정하십시오.
    • 연결, 성능 및 정책 적용의 유효성을 검사합니다.
  3. 단계별 축소

    • 사용자 코호트 및 애플리케이션 그룹을 웨이브로 마이그레이션하고 성공 메트릭(예: 액세스 시간, 기술 지원팀 티켓 및 보안 경고)을 모니터링합니다.
    • 선택한 SASE 또는 SSE 스택을 통해 트래픽을 동시에 리디렉션합니다.
  4. 정식 서비스 해제

    • 하드웨어 어플라이언스를 사용 중지하고 레거시 VPN 구성을 해지합니다.
    • 네트워크 다이어그램 및 운영 Runbook을 업데이트하여 사용되지 않는 기술을 제거합니다.

이 가이드에서 설명하는 제품

Azure 네트워킹

Virtual Network 및 서브넷

네트워크 보안 그룹애플리케이션 보안 그룹

Azure Firewall

Azure DDoS 보호

Azure 웹 애플리케이션 방화벽

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Microsoft Entra 개인 액세스

Microsoft 엔트라 인터넷 액세스

결론

네트워크 보안은 성공적인 제로 트러스트 전략의 핵심입니다. 구현에 대한 자세한 내용이나 도움말은 고객 성공 팀에 문의하거나 모든 제로 트러스트 핵심 요소에 걸쳐 있는 이 가이드의 다른 장을 계속 읽어보세요.