1. ZTMM(Zero Trust Maturity Model)의 개요
가. ZTMM(Zero Trust Maturity Model)의 정의
-제로트러스트 모델 기반의 보안 개념이 얼마나 잘 적용되어 운영되고 있는가를 객관적으로 표현하기 위한 모델
나. ZTMM(Zero Trust Maturity Model)의 특징
-점진적 변화를 통해 최적화 수준에 도달
-5개 기둥과 3개 교차 기능으로 구성
2. ZTMM(Zero Trust Maturity Model)의 개념도 및 구성요소
가. ZTMM(Zero Trust Maturity Model)의 개념도
나. ZTMM(Zero Trust Maturity Model)의 구성요소
| 구분 | 특징 | 설명 |
| 아이덴티티(사용자) | 사용자 신원확인 및 접근권한 제어 | -사용자 로그인과 같은 단순한 기능에서부터 ‘역할에 따른 접근 제어(Role Based Access Control)’, ‘속성 또는 상황(Context)에 따른 접근 제어’ 가능 -접근하고자 하는 사용자의 위치, 시간, 접근대상에 따라, 같은 사용자라고 하더라도 그때그때 접근 승인 여부 차별화 가능 SSO와 같은 편의성 제공 -인증강화를 위해 생체인증, 다중요소접근제어(MFA), 일회용 패스워드 등 활용 |
| 디바이스(엔드포인트) | PC, 태블릿, IoT 등 | -회사 또는 개인, 파트너 소유 유무를 구분하여 각각 적절한 제어 권한 집행 -각 장치의 운영체제, 펌웨어 최신버전을 유지 |
| 네트워크 | Micro Segment 소프트웨어 정의 경계(SDP: Software Defined Perimeter) |
-작은 조각으로 나누어진 마이크로 세그먼트(Micro Segment)는 각각 별도의 분리된 네트워크 단위로서 접근 제어 실행 -사용자, 디바이스, 애플리케이션 조합에 따라 이러한 권한을 차등 부여하여 (논리적인) 망분리를 효과적으로 운영 -소프트웨어 정의 경계(SDP: Software Defined Perimeter)와 같은 기술을 활용 |
| 애플리케이션&워크로드 | 워크로드 모니터링 | -온-프레미스에서 실행하는 로컬 애플리케이션 또는 클라우드에 실행되는 애플리케이션 대상 -클라우드 또는 기업 네트워크상에서 실행하는 워크로드를 모니터링 -허가되지 않은 자원에 대한 접근 시도, 워크로드 위변조/배포, 권한이 없는 사용자가 워크로드 배포행위 탐지/차단/복구 -클라우드 네이티브 환경에서 컨테이너화된 워크로드의 라이프사이클 관리 |
| 데이터 | 권한 관리, 접근 정책 실행 | -데이터를 접근 권한별로 분류하고 이에 따른 접근 정책을 실행 -사용자와 디바이스 조합에 따라 차등화된 데이터 접근 권한을 설정하고, 데이터의 유효성, 라이프사이클 운영도 필요 -단순 접근 차단뿐만 아니라, 비인가 접근 혹은 비인가 데이터 변조 시도 탐지, 즉각적인 대응 가능 |
3. ZTMM의 성숙도 수준 구분 및 성숙도 수준 결정 (교차)기능
가. ZTMM의 성숙도 수준 구분
| 수준 | 특징 | 설명 |
| 전통 | -라이프사이클 관리, 속성 정의, 대응 및 배포 수동 관리 -정적 정책과 솔루션 운영 -프로비저닝 시 최소 접근권한 부여 -시스템 로그 및 원격 분석 연동 결여 |
수동, 기둥 간/조직 간 사일로화, 경직된 권한 관리, 시스템 가시성 미흡 |
| 초급 | -라이프사이클 관리, 속성 정의, 대응 및 배포 일부 자동화 -정책과 솔루션 통합 운영 -프로비저닝 후 최소 접근권한 관련 일부 변경 대응 -내부 시스템 가시성 제공 |
일부 자동화, 일부 기둥 간 연계, 내부 시스템 가시성 확대 |
| 고급 | -라이프사이클 관리, 속성 정의, 대응 및 배포 가능한 자동화 -중앙 집중식 가시성 및 ID 제어 -통합/연계된 정책 시행 -위험 및 상태 평가를 기반으로 한 동적 최소 권한 변경 -외부에서 호스팅한 리소스 포함 |
자동화 범위 확대, 중앙 집중 제어 강화, 기둥 간 통합 정책 |
| 최적 | -라이프사이클 관리, 속성 정의, 대응 및 배포 완전자동화 -이벤트 바탕으로 자원별 자동 정책 보고 -자산에 대해 동적 최소 접근 권한 제공 -지속적인 모니터링 및 상호 운영 -상황 인식을 통한 중앙 집중식 가시성 제공 |
완전 자동화, 상황에 따른 동적 정책 적용, 상호 운영성 및 가시성 증대 |
-“자동화”, “권한 세부 제어”, “기둥 간 상호 연계”, “중앙집중 통합 가시성 및 제어” 이들 각 수준에 대한 평가를 바탕으로 성숙도를 결정
나. 성숙도 수준 결정 교차기능
| 구분 | 특징 | 설명 |
| 가시성 및 분석 | 커버리지, 실시간성, 통합 및 중앙집중 | - 커버리지: 내/외부 시스템 모두에 대해 충분히 이벤트 및 상황을 모니터 - 실시간성: 실시간 탐지 및 분석을 통한 적기 대응 가능 - 통합 및 중앙집중: 기둥별 상호연계성 분석을 통해 중앙집중 가시성 확보 |
| 자동화 및 오케스트레이션 | 자동 형상관리 (IaC) DevSecOps |
-보안 기능도 클라라우드 네이티브 환경에서의 워크로드처럼 오케스트레이션 가능 필요 |
| 거버넌스 | -정책, 솔루션, 파트너 등 조직적 연계 | -정책 수립, 솔루션 운영, 기관 간 연계 및 조정, 장기적 투자 및 로드맵 관리 등 제반 기능이 동작하기 위한 조직 운영체계 필요 |
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| 사이버 복원력 (0) | 2023.08.16 |
|---|---|
| 개인정보의 안전성 확보조치 기준 개정안 요약 (23년 09월) (0) | 2023.08.08 |
| 제로트러스트 가이드라인 1.0 요약 (0) | 2023.08.02 |
| 개인정보보호법 개정안 요약 (보안뉴스) (0) | 2023.06.28 |
| 개정된 개인정보보호법 신구대조표 (0) | 2023.06.28 |
댓글