최소 권한은 제로 트러스트 보안의 기본 원칙으로, 필요한 만큼의 액세스 권한만 부여하는 것이 핵심 철학입니다. 처음에는 네트워크 보안 전략의 일부로 논의되었지만, 소모성 리소스(애플리케이션, 서비스, 데이터 등)에 대한 애플리케이션 계층에 제로 트러스트 보안을 적용하는 것이 훨씬 더 효과적입니다. 이 접근 방식을 사용하면 특정 리소스 액세스 정책을 해당 리소스에 액세스하는 사람과 프로그램에 연결할 수 있습니다.
최소 권한 액세스는 ID, 사람 및 프로세스에 생산성을 유지하는 데 필요한 최소 수준의 권한(프로그래밍 방식의 액세스의 경우 기능적 권한)을 부여하는 데 중점을 둔 보안 전략입니다. NIST(미국 국립표준기술연구소)는 정보 보안에 대한 800-12R1 소개에서 최소 권한으로 해결할 수 있는 일반적인 문제를 지적합니다:
권한 크리프는 사용자가 조직 내에서 자신의 역할이 정당화될 수 있는 수준을 넘어서는 권한을 축적하는 것을 말합니다. 일반적으로 시간이 지남에 따라 점진적으로 발생하며, 규제되거나 민감한 정보를 보호해야 하는 조직에 영향을 미치는 경우가 많습니다. 개인의 역할이 변경되면 생산성을 높이기 위해 신속하게 권한을 부여하는 경우가 많지만, 책임이 남아있을 수 있기 때문에 이전 권한은 그대로 유지되는 경우가 많습니다. 최소 권한을 평가해야 하는 리소스 유형은 다음과 같습니다:
어느 순간 경영진은 핵심 서비스와 민감한 정보에 대한 권한 있는 액세스를 관리해야 한다는 사실을 깨닫게 됩니다. 그들은 보안 팀의 우선순위를 정하고 후원하여 정보 소유자와 협력하여 권한 액세스 타이거 팀을 구성하도록 합니다. 프로젝트가 시작되고 목표가 정의됩니다. 액세스 요청 및 승인을 자동화하는 새로 설계된 ID 거버넌스 환경을 통해 유지 관리가 운영팀으로 이관됩니다. 하지만 요청과 승인이 자동화되어 있어도 권한 크리프는 여전히 잠재적인 위험이 될 수 있습니다.
비즈니스 역학이 정의된 거버넌스 정책과 달라지면서 권한 크리프가 발생하는 경우가 많습니다. 권한 워크플로는 조직이 변화하고 책임이 이동함에 따라 확장되는 경향이 있습니다. 권한 크리프의 가장 일반적인 원인은 다음과 같습니다:
조직에 부과된 다양한 역학 관계에 적응하거나 대응하는 과정에서 권한 크리프는 거의 불가피한 현상입니다. 그러나 이는 외부인으로부터 조직을 보호하기 위해 설계된 주요 제로 트러스트 테넌트를 위반하는 것이며, 거의 모든 산업에서 계속 증가하는 대규모 침해 비용의 원인이 되고 있습니다.
권한 침해를 방지하는 데 있어 가장 어려운 측면 중 하나는 많은 업무를 담당하는 검토자가 다른 업무에 집중하는 동안 시간이 지남에 따라 발생하는 경우가 많다는 점입니다. 어느 한 시점에 관찰할 수 있는 것이 아니라 비교적 긴 시간 동안 관찰해야 합니다. 계정이 미묘한 방식으로 탐지되지 않고 허용할 수 없는 위험 수준으로 변할 수 있다는 점을 고려할 때 보안 문제를 야기하는 정도는 사용자 수, 사용자가 겪는 변경 횟수, 보호 대상 정보의 민감도에 따라 달라집니다. 이는 스프레드시트로는 해결할 수 없는 보안 문제입니다.
규정을 준수하기 위해 고안된 업무 분리 및 기타 기업 정책은 거버넌스 규칙으로 잘 해석되지만 위험 기준은 보다 주관적입니다. 다음은 가장 일반적인 기준입니다:
검토자가 시간이 지남에 따라 변동하는 권한을 파악하는 것은 매우 어렵습니다. 이러한 유형의 평가는 시간 경과에 따른 변화를 자동으로 분석하면 도움이 될 수 있습니다. 그런 다음 검토자는 대시보드 또는 보고서에서 해당 정보에 액세스할 수 있습니다. 조직 전체의 모든 사용자를 평가하는 것은 불가능하지만, 가장 위험이 높은 상위 12명의 사용자를 효과적으로 검토하고 심사하는 것은 가능합니다.
다른 유형의 자동 생성 위험 알림 및 보고서는 관리되는 리소스의 분석에서 파생됩니다. 주기적으로 검토되지 않는 민감한 정보가 포함된 리소스에는 더 높은 위험 점수가 할당됩니다. 이러한 모든 경고에 대해 오늘날의 지배적인 거버넌스 혁신은 전체 환경의 위험 영역을 식별하고 강조 표시하는 것입니다.
최소 권한 액세스는 제로 트러스트 아키텍처의 핵심 구성 요소 중 하나입니다. 즉, 필요한 만큼만 필요한 기간 동안 최소한의 권한만 부여하는 것을 의미합니다.
기타 제로 트러스트 구성 요소는 다음과 같습니다:
간소화된 규정 준수 및 액세스 검토 프로세스로 데이터 보호
중요한 자산을 보호하기 위한 권한 있는 액세스 보안 및 제어
비정형 데이터 보호 및 무단 액세스 방지
ID와 액세스를 확실하게 관리하여 디지털 자산을 보호하세요.