A. ZTNA 개요
1. ZTNA 란?
ZTNA는 최종 엔터티와 네트워크 사이에 보안 세션을 설정하는 동시에 최종 엔터티나 네트워크의 위치에 관계없이 리소스에 대한 액세스를 세밀하게 제어하고 제로 트러스트를 실행합니다.
2. 제로 트러스트란?
제로 트러스트 원칙의 일부는 최소 권한 액세스 실행입니다. 즉, 사용자에게는 작업 요구 사항을 충족하는 데 필요한 리소스에 대한 액세스 권한만 부여되며 그 이상은 부여되지 않습니다.
네트워크 보안 개념인 제로 트러스트(Zero Trust)는 네트워크 내부 또는 외부의 사용자나 장치의 식별 및 보안 상태를 철저히 확인하지 않는한 신뢰할 수 없다는 전제 하에 작동합니다. 제로 트러스트는 네트워크 외부와 내부 모두에 위협이 존재한다는 가정하에 작동합니다. 제로 트러스트는 또한 네트워크나 애플리케이션에 액세스하려는 모든 시도를 위협으로 간주합니다.
따라서 최종 엔터티가 원격인지 온프레미스인지에 관계없이 연결 컴퓨팅 장치는 네트워크와의 암호화된 세션을 자동으로 설정합니다. 특히 이 연결은 최종 엔터티의 ZTNA 클라이언트와 방화벽이 될 수 있는 ZTNA 액세스 프록시 사이에서 발생합니다. 프록시 포인트는 요청된 애플리케이션의 위치를 외부에서 숨깁니다. 프록시는 사용자가 액세스 요구사항을 충족하는 경우에만 현장이나 클라우드에 있을 수 있는 애플리케이션으로 클라이언트의 요청을 전달합니다.
3. ZTNA 구성요소
3-1. 인증
사용자는 온프레미스 백엔드 서버 또는 IDaaS(Identity-as-a-Service)에 대한 인증을 통해 식별되므로 사용자 역할에 따라 정책을 적용 할 수 있습니다.
또한 ZTNA 정책 서버는 특히 애플리케이션에 대한 액세스를 제어하는 정책을 시행합니다. 예를 들어 액세스는 부분적으로 지리적 위치를 기반으로 할 수 있습니다. 따라서 원격 장치가 예상치 못한 장소에서 연결되는 경우 애플리케이션에 대한 액세스가 거부되거나 권한이 축소될 수 있습니다. 마찬가지로, 장치가 보안 온전성 검사에 실패하면 사용자의 액세스가 거부될 수 있습니다.
3-2. 보안
액세스를 제어하고 애플리케이션 리소스에 보안을 제공하는 방화벽과 ZTNA 액세스 프록시로 구성됩니다. IPsec VPN과 달리 SSL VPN과 유사하지만 ZTNA는 공급업체별로 다릅니다. 이는 각 공급업체가 특정 요구 사항에 가장 적합한 방식으로 ZTNA를 구현할 수 있음을 의미합니다.
3-3. 규칙
태그의 정보를 기반으로 장치를 그룹화하고 특정 규칙을 적용할 수 있습니다. 규칙은 FortiGate에 대한 지침 역할을 합니다. FortiGate는 네트워크에 연결할 때마다 장치에 규칙을 적용합니다. 규칙의 예로는 Windows 10과 바이러스 백신 소프트웨어가 설치된 장치는 액세스가 허용되지만 Windows 10이 있고 바이러스 백신 소프트웨어가 없는 장치는 액세스가 거부되는 경우가 있습니다.
4. Fortinet ZTNA 작동방식
1. 엔드포인트가 ZTNA 액세스 프록시에 연결되면 FortiGate는 장치 식별을 위해 엔드포인트에 요청합니다.
2. 엔드포인트는 장치 인증서를 FortiGate로 전송하여 장치 ID를 증명합니다. 그런 다음 FortiGate는 관련 태그와 규칙을 적용하고 요청을 거부하거나 장 치가 진행되도록 허용합니다.
3. FortiGate는 사용자 인증을 위해 엔드포인트에 요청합니다.
4. 엔드포인트는 사용자에게 자격 증명을 묻는 메시지를 표시하고 해당 자격 증명을 액세스 프록시에 전달합니다.
5. 그러면 액세스 프록시는 인증을 위해 사용자 자격 증명을 백엔드로 보냅니다. 인증 서버는 AD, LDAP 디렉터리, 데이터베이스 또는 IDaaS일 수 있습니다.
6. ZTNA 액세스 프록시는 역할 정보와 함께 사용자의 ID를 검색합니다. FortiGate는 역할 정보를 사용하여 사용자에게 요청된 네트워크 애플리케이션에 액세스할 수 있는 권한이 있는지 확인합니다.
7. 장치와 사용자가 식별되었고 장치 태그 및 규칙과 사용자 역할이 리소스에 대한 액세스를 허용한다고 가정하면 ZTNA 클라이언트와 ZTNA 액세스 프록시 간에 암호화된 세션이 시작되고 사용자는 리소스에 대한 액세스 권한을 얻습니다.
