<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=939333007162424&amp;ev=PageView&amp;noscript=1">

SDP 와 ZTNA, 어떻게 다른가요?

1. 개요

제로트러스트 아키텍처(ZTA: ZeroTrust Architecture) 차세대 보안 모델로 주목 받으면서 관련 기술이 자주 언급됩니다. 대표적으로 ZTNA(Zero Trust Network Access) SDP(Software Defined Perimeter) 있습니다. 이를 통해 기존 네트워크의 보안을 더욱 강화할 있다는 공통점이 있습니다. 그렇다면 우리는 어떤 기술을 선택해야 할까요? 기술간의 차이를 이해하는데 어려움도 있는 같습니다. 간의 차이점은 무엇일까요? 그리고 다른 기술인데 자주 같이 언급이 될까요

(
아래 내용은 기술(SDP, ZTNA) 관련된 다양한 문서, 사례, 솔루션 등을 참고하여 지니언스㈜에서 자체적으로 이해한 내용을 바탕으로 작성된 주관적인 내용임을 분명히 밝힙니다.) 


2. 각 기술의 이해

1) SDP(Software Defined Perimeter)

SDP CSA(Cloud Security Alliance) 주도하는 차세대 접근통제 프레임워크 입니다. SDP 컨트롤러, 게이트웨이(또는 서버), 클라이언트의 역할로 구성되며, 동적으로 경계를 설정하고 이를 기반으로 접근통제를 수행합니다. 기존 네트워크가 연결, 인증방식 것에 비해 SDP 인증, 연결방식으로 동작하며 인증 결과에 따라 1:1 연결을 제공합니다. 인증에는 사용자 단말 다양한 정보가 활용될 있습니다. 이러한 특징으로 권한이 없는 사용자(인증 실패자) 자원을 전혀 식별할 없게 됩니다. SDP블랙 클라우드(Black Cloud)’ 기술 이라고 부르는 이유이기도 합니다


2) ZTNA(Zero Trust Network Access)

ZTNA ID 또는 문맥(Context) 기반으로 애플리케이션에 논리적 접근경계를 만들어 주는 일련의 제품 또는 서비스 입니다. 연결은 신뢰된 중간 매개체(broker) 의해 이루어 지므로 외부에는 애플리케이션이 노출되지 않으며, 연결 과정 (또는 연결 전에) 중에 식별, 인증, 보안정책 준수(평가) 등의 검증과 평가가 지속적으로 이루어 집니다. 새로운 작업을 위해서는 새로운 인증이 필요합니다. 따라서 네트워크 내의 횡적확산(Lateral Movement) 등의 오용을 방지하고 공격노출면(Attack Surface) 감소시킬 있습니다


각각 기술의 설명을 보니 더욱 모호해 지는 같습니다. 기술 모두 ‘IP + 고정된 경계선방식이던 기존의 보안 프레임워크와 달리 ‘ID/Context + 유연한 경계선방식으로 네트워크 또는 자산을 보호한다고 이해가 됩니다. 이것은 기술의 공통점에 가깝습니다. 심지어 ZTA 또는 ZTNA 구현하는(Approach) 방법으로 SDP 언급하고 있어서 이러한 혼란은 더욱 가중되는 같습니다

 

3. 두 기술의 핵심적인 차이점 

제로트러스트를 위한 표준문서로 언급되는 NIST 800-207 에서는 제로트러스트 아키텍처의 구현을 위한 기술로 SDP 언급하고 있습니다. 결론적으로 최근의 SDP ZTNA솔루션(서비스) 기능적으로 유사한 점이 많습니다. 이는 다양한 솔루션 서비스가 출발점은 다르지만 결국 제로트러스트 환경의 완성을 위해 필요한 공통의 기능을 추가, 고도화 하면서 발생하는 현상이라고 있습니다. 그럼에도 불구하고 유사한 기술의 핵심적인 차이점을 이해하는 것은 중요 합니다.


SDP
목적지를 가리는(Invisible) 접근 방식 입니다.

SDP 네트워크에 임의의 경계를 만들어 공격자가 특정 자원을 인지/탐지하기 어렵게 만듭니다. 마치 네트워크나 주요 자원에 검은상자(Black Box) 씌워 안의 내용이 보이지 않게 하는 것과 같습니다. 권한이 있는 사람에게는 권한에 맞게 자원을 인지할 있게 줍니다. 따라서 방화벽 기타 정적 접근제어 메커니즘(IP + 고정된 경계선) 의존하는 기존의 보안 접근 방식보다 안전합니다


ZTNA
출발지를 검증하는(Verified) 접근 방식 입니다.

네트워크에 참여하는 모든 사용자와 단말, 그리고 트래픽은 잠재적으로 악의적이라고 가정하고 자원에 대한 접근 권한을 부여하기 전에 요청을 확인하는 접근 방식입니다. 방식은 기존의 경계 기반 보안이 원격 접근 모바일 장치가 널리 사용되는 환경에서 이상 적합하지 않다는 생각을 기반으로 합니다

 


4. 또 다른 차이점

이외에도 다양한 관점에서 두 기술의 차이점을 아래와 같이 정리할 수 있습니다. 


정의(Definition)

SDP 소프트웨어 등의 방법을 사용하여 네트워크 접근을 보호하고 엔터티(사용자와 자산 )간의 통신을 제어하는 기술 중심 접근 방식 입니다. ZTNA 접근제어 이전에 사용자 단말 검증을 우선시 하는 보안 프레임워크로 승인된 사용자에게 최소한의 (접근)권한을 부여하는 접근 방식 입니다.


범위(Scope)

최초의 SDP 클라우드 기반 자원 서비스에 대한 접근을 보호하기 위하여 시작되었습니다. 이에 반해 ZTNA 온프레미스 클라우드 자원을 포함하여 상대적으로 넓은 범위의 자원에 적용될 있습니다. (이러한 보호의 범위는 갈수록 격차가 좁아지고 있습니다.)


아키텍처(Architecture)

SDP에는 자원에 대한 접근을 제어하는 중앙서버(SDP Controller) 필요합니다. 또한 SDP 사용자와 원하는 자원간에 암호화된 보안연결(터널 ) 생성하여 공용 네트워크에서 자원에 접근할 없도록 합니다. 반면 ZTNA 네트워크 가장자리(Edge)에서 접근결정이 이루어지는 분산 아키텍처를 사용합니다. ZTNA 모든 네트워크 트래픽과 사용자 단말을 신뢰할 없다고 가정하고 네트워크 자원에 대한 접근을 제어하고 모니터링 합니다. ZTNA 사용자 단말에 대하여 지속적인 인증 권한 부여가 요구하며 필요 다단계 인증을 요청합니다


초점(Focus)

SDP 주로 네트워크 자원 보호 애플리케이션의 안전한 전달에 중점을 둡니다. ZTNA 엔드포인트, 사용자 데이터를 포함한 전체 네트워크(클라우드 까지도) 보호에 중점을 둡니다.


유연성(Flexibility)

다수의 SDP 솔루션이 모든 구성요소(컨트롤러, 게이트웨이, 에이전트 ) 통합으로 제공합니다. 이러한 결과로 ZTNA 대비 상대적으로 폐쇄적이며 다른 보안 솔루션과의 연동 통합에 제한이 존재합니다. 이에 반해 ZTNA SDP보다 유연하게 방화벽 VPN 등의 다른 솔루션과 통합될 있습니다

 

5. 결론

이러한 차이에도 불구하고 SDP ZTNA(또는 ZTA) 함께 언급되는 경우가 많습니다. 이유는 무엇일까요? 그것은 제로트러스트 환경의 완성을 위해 기능적으로 SDP ZTNA 모두 필요하기 때문입니다. 결론적으로 둘은 상호보완적인 관계라고 있습니다. (아래 그림에서 Micro-Segmentation ZTNA 유사하다고 이해하시면 됩니다.)

그림1[ Zero Trust Architecture Approaches, NIST 800-207, 지니언스 구성]

예를 들어 다수의 기업/기관이 제로트러스트 환경을 위한 걸음으로 IAM(Identity and Access Management) 또는 IDP(Identity Provider) 솔루션을 운영합니다. 이것은 제로트러스트로의 이전을 위한 매우 효과적인 방법입니다. 그러나 단말의 식별이나 인증만으로 네트워크 연결을 위한 모든 보안요구사항을 만족시킬 있는 것은 아닙니다. 예를 들어 단말의 보안상태나 암호화된 연결이 요구될 있습니다. 또한 인증된 사용자의 네트워크 연결은 도청과 중간자공격 등의 다른 위협에서 보호받을 있어야 합니다. 이를 보완해 있는 기술이 SDP 입니다.


최근 사용자의 요구사항이 다양해지고 원격 클라우드 환경 등의 지원을 위해 많은 기능이 추가되면서 기술을 근간으로 하는 솔루션의 격차는 갈수록 좁혀지고 있습니다. (ZTNA 암호화된 연결을 지원하고 IDP 단말의 보안상태를 점검합니다.) 그러나 컨셉 접근방식, 아키텍처 등에는 차이점이 존재합니다. 기업/기관에 상황에 맞는 적절한 솔루션을 도입하는 것이 중요합니다

* ZTNA 관련 자세한 내용은 "Genian ZTNA백서" 에서도 확인 가능하십니다.

 


ZTNA 관련 정보 더 알아보기

ZTNA


 

지니언스 뉴스레터를 구독하시면 매달 새로운 보안 컨텐츠를 보내드립니다!

뉴스레터 구독