Zero Trust Network Access의 두 가지 모델
공통 목표
Zero Trust Network Access를 검토하는 배경은 VPN의 대체나 M&A에 의한 조직 개편 등, 여러가지 배경이 있다고 생각합니다만 몇개의 공통하는 의도가 있을까 생각합니다.
모델 1 - Endpoint-initiated
Endpoint Device에서 플로우를 시작하는 모델로 Cloud Security Alliance가 제창하고 있는 "Software Defined Perimeter"가 이 모델에 해당합니다. Endpoint Device에 설치된 Agent가 ZTNA Controller에 인증 요청을 보내 흐름을 시작합니다.
이 모델은 Endpoint Device에 Agent가 설치되어 있다고 가정하므로 Endpoint Device Management Solution에서 항상 관리해야 합니다. 또한 ZTNA Gateway에서 Application으로의 통신은 인바운드가 되므로, 사이에 Firewall이 존재하는 경우에는 Firewall의 보안 정책으로 인바운드 통신을 허가할 필요가 있습니다.
모델 2 - Service-initiated
Application에서 플로우를 시작하는 모델로 Google사가 제창하고 있는 "BeyondCorp"가 이 모델에 해당합니다. ZTNA Connector는 Application과 동일한 데이터 센터에 있다고 가정하고, ZTNA Connector와 ZTNA Broker 간의 통신은 아웃 바운드 전용이므로 Endpoint-initiated 모델의 Firewall 보안 정책을 변경할 필요가 없습니다. 됩니다. 또한 Endpoint Device에 Agent를 설치할 필요가 없기 때문에 Endpoint Device Management Solution의 도입이나 운용도 불필요하고 Endpoint Device도 회사 지급뿐만 아니라 개인의 디바이스에도 적용할 수 있습니다.
이 모델은 Agent를 설치하지 않으므로 Http/Https 프로토콜로 액세스할 수 있는 Application이 전제가 됩니다. 터널형 Application(예/SSH Server, RDP Server)에는 적용할 수 없기 때문에 터널형 Application의 이용이 필요한 경우는 Endpoint-initiated 모델과의 병용이 됩니다.
참고
Market Guide for Zero Trust Network Access
Implementing a Zero Trust Architecture Project Description
Application에서 플로우를 시작하는 모델로 Google사가 제창하고 있는 "BeyondCorp"가 이 모델에 해당합니다. ZTNA Connector는 Application과 동일한 데이터 센터에 있다고 가정하고, ZTNA Connector와 ZTNA Broker 간의 통신은 아웃 바운드 전용이므로 Endpoint-initiated 모델의 Firewall 보안 정책을 변경할 필요가 없습니다. 됩니다. 또한 Endpoint Device에 Agent를 설치할 필요가 없기 때문에 Endpoint Device Management Solution의 도입이나 운용도 불필요하고 Endpoint Device도 회사 지급뿐만 아니라 개인의 디바이스에도 적용할 수 있습니다.
이 모델은 Agent를 설치하지 않으므로 Http/Https 프로토콜로 액세스할 수 있는 Application이 전제가 됩니다. 터널형 Application(예/SSH Server, RDP Server)에는 적용할 수 없기 때문에 터널형 Application의 이용이 필요한 경우는 Endpoint-initiated 모델과의 병용이 됩니다.
참고
Market Guide for Zero Trust Network Access
Implementing a Zero Trust Architecture Project Description
Reference
이 문제에 관하여(Zero Trust Network Access의 두 가지 모델), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/hisashiyamaguchi/items/de52d7ec2e108ad9c428텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)