소개
보안 원격 액세스는 더 이상 암호화된 연결과 비암호화된 연결 사이의 선택이 아닙니다. 현대 VPN과 제로 트러스트 원격 액세스 솔루션 모두 전송 중인 데이터를 보호할 수 있습니다. 더 중요한 질문은 인증 후 사용자나 장치가 무엇에 접근할 수 있는가입니다.
VPN은 종종 원격 엔드포인트에 대한 네트워크 연결을 확장합니다. 제로 트러스트 네트워크 액세스는 리소스 중심 접근 방식을 취하며, 액세스를 허용하기 전에 사용자, 장치, 요청된 애플리케이션 및 현재 컨텍스트를 평가합니다. 많은 조직에 있어 최상의 설계는 완전한 교체가 아니라 애플리케이션 액세스와 진정한 네트워크 액세스 간의 의도적인 분할입니다.
VPN이란 무엇인가요?
[A] A 가상 사설망 원격 장치와 VPN 게이트웨이 간에 암호화된 터널을 생성하여, 승인된 트래픽을 개인 네트워크, 서브넷 또는 서비스로 라우팅하기 전에 연결을 인증합니다.
VPN은 무제한 액세스를 제공할 필요는 없지만, 그 운영 모델은 여전히 네트워크 지향적입니다. 관리자는 다음을 적용할 수 있습니다:
- 다중 인증
- d 장치 인증서
- 방화벽 규칙
- 네트워크 분할
- a 액세스 제어 목록
그러나 엔드포인트는 일반적으로 하나 이상의 내부 리소스에 대한 IP 수준 경로를 여전히 수신합니다.
이 모델은 잘 확립되어 있고 다양한 프로토콜을 지원하기 때문에, 관리자가 광범위한 인프라 접근이 필요하거나, 애플리케이션이 내부 주소에 의존하거나, 두 사이트가 안전하게 트래픽을 교환해야 할 때 유용합니다.
주요 위험은 VPN 권한이 사용자가 실제로 필요한 것 이상으로 확장될 때 발생합니다. 예를 들어, 회계 애플리케이션 하나만 필요한 원격 직원은 전체 재무 서브넷에 대한 접근이 필요하지 않을 수 있습니다.
제로 트러스트 원격 액세스(ZTNA)란 무엇인가요?
일반적으로 사용되는 Zero Trust 원격 액세스는 보통 Zero Trust 네트워크 액세스 또는 ZTNA를 의미합니다. ZTNA는 적용됩니다. 제로 트러스트 원칙 개별 애플리케이션, 데스크톱 또는 서비스에 대한 액세스를 부여하여 일반 네트워크 액세스를 확장하는 대신 원격 연결로.
결정은 여러 신호를 고려할 수 있습니다:
- 사용자 신원 및 역할
- 장치 소유권 및 보안 태세
- 요청된 리소스
- 접속 위치 및 시간
- 인증 강도
- 세션 위험 또는 비정상적인 행동
NIST는 설명합니다 제로 트러스트 네트워크 위치에 기반한 암묵적 신뢰를 제거하고 명시적 인증 및 권한 부여를 통해 개별 리소스를 보호하는 아키텍처로서. ZTNA는 그 원칙을 적용하는 한 가지 방법일 뿐, 전체 제로 트러스트 아키텍처는 아닙니다.
요청이 승인되면 사용자는 승인된 리소스에 대한 제어된 경로를 받습니다. 승인되지 않은 시스템은 엔드포인트에서 보이거나 라우팅될 필요가 없습니다. 정책은 위험이 변경될 때 재인증, 제한된 접근 또는 세션 종료를 유발할 수도 있습니다.
제로 트러스트 원격 액세스 vs VPN: 주요 차이점
ZTNA와 VPN의 차이는 단순한 기술적 차이가 아니라 구조적 차이에 있습니다. 잘 세분화된 VPN은 매우 제한적일 수 있지만, 잘 관리되지 않은 ZTNA 배포는 여전히 과도한 접근을 허용할 수 있습니다.
| 기준 | VPN | 제로 트러스트 원격 액세스 또는 ZTNA |
|---|---|---|
| 대상 접근 | 네트워크, 서브넷 또는 서비스 범위 | 특정 애플리케이션, 데스크탑 또는 서비스 |
| 주요 정책 맥락 | 경로, IP 주소, 그룹 및 방화벽 규칙 | 신원, 장치, 리소스 및 맥락 신호 |
| 네트워크 가시성 | 내부 서비스는 연결 후 접근 가능해질 수 있습니다. | 승인되지 않은 리소스는 발견되지 않을 수 있습니다. |
| 사용자 워크플로우 | 터널을 설정한 다음 리소스를 엽니다. | 승인된 리소스를 직접 요청하거나 시작하십시오. |
| 최고의 적합 | 네트워크 수준, 레거시 및 사이트 간 액세스 | 사용자 및 제3자를 위한 애플리케이션 수준 액세스 |
| 주요 운영 상의 절충안 | 익숙하지만 광범위하고 게이트웨이 중심이 될 수 있습니다. | 세분화되지만 애플리케이션 및 아이덴티티 매핑이 필요합니다. |
보안 모델
전통적인 VPN은 터널이 설정될 때 주요 신뢰 결정을 내립니다. 현대 플랫폼은 조건부 액세스, 엔드포인트 검사 및 재인증으로 그 결정을 강화할 수 있지만, 세션은 여전히 사용자에게 네트워크 연결을 확장하는 것으로 시작됩니다.
ZTNA는 보다 자원 중심의 접근 방식을 취합니다. 유효한 비밀번호와 두 번째 요소가 모든 내부 시스템에 대한 접근을 자동으로 제공하지는 않으며, 정책에 따라 관리되는 장치, 승인된 위치, 특정 사용자 역할 또는 요청된 애플리케이션을 사용할 수 있도록 하기 전에 낮은 위험의 세션이 필요할 수 있습니다.
이 더 좁은 접근 모델은 최소 권한을 지원하며 자격 증명이 도난당할 경우 노출된 시스템의 수를 제한할 수 있습니다. 그러나 ZTNA는 계정 침해 위험을 제거하지 않으며, 공격자는 여전히 침해된 계정이 열 수 있는 모든 애플리케이션을 악용할 수 있습니다.
사용자 경험
VPN 사용자는 종종 클라이언트를 열고, 터널이 연결될 때까지 기다리고, 인증 프롬프트를 완료한 다음 필요한 애플리케이션을 실행해야 합니다. DNS 충돌, 분할 터널링 규칙, 불안정한 로컬 네트워크 또는 만료된 클라이언트 구성으로 인해 문제가 발생하면 추가 지원 요청이 발생할 수 있습니다.
ZTNA는 포털, 브라우저 또는 경량 클라이언트를 통해 승인된 리소스만 표시함으로써 이 프로세스를 간소화할 수 있습니다. 사용자는 일반 네트워크 액세스를 먼저 받는 대신 필요한 애플리케이션을 직접 실행할 수 있습니다.
경험은 여전히 구현에 따라 달라지며, 일부 프로토콜은 엔드포인트 에이전트를 요구하고 일부 레거시 애플리케이션은 애플리케이션 프록시를 통해 잘 작동하지 않습니다. 따라서 마이그레이션 전에 IT 팀은 테스트를 수행해야 합니다.
- 인증
- 인쇄
- 파일 전송
- · 클립보드 제어
- 재연결 동작
네트워크 노출
VPN 게이트웨이는 인터넷에 노출된 엣지 서비스이므로 패치, 모니터링 및 보호가 필요합니다. 경로, 세분화 및 방화벽 정책에 따라 연결된 사용자가 내부 주소나 서비스에 접근할 수 있을 수도 있습니다.
ZTNA는 사용자와 애플리케이션 사이에 브로커 또는 집행 지점을 배치하여 이 노출을 줄일 수 있습니다. 이를 통해 엔드포인트는 주변 네트워크로의 일반 경로를 생성하지 않고 승인된 리소스에 접근할 수 있습니다.
이 디자인은 수평 이동을 더 어렵게 만들 수 있지만, 커넥터, 아이덴티티 제공자, 게이트웨이 및 애플리케이션 서버는 여전히 보호되어야 합니다. CISA 지침 원격 액세스 소프트웨어와 엣지 장치를 MFA, 패치, 로깅 및 노출 감소가 필요한 고가치 인프라로 취급합니다.
성능
VPN 설계는 종종 중앙 게이트웨이나 데이터 센터를 통해 트래픽을 백홀(backhaul)하는데, 이는 원격 사용자가 본사를 통해 클라우드 호스팅 애플리케이션에 연결할 때 지연을 추가할 수 있습니다.
ZTNA는 특히 커넥터나 서비스 포인트가 사용자와 작업 부하에 가까이 분산되어 있을 때, 권한이 있는 애플리케이션에 더 직접적인 경로를 제공할 수 있습니다. 그럼에도 불구하고 성능은 여전히 다음에 따라 달라집니다:
- 검사 요구 사항
- 제공자 아키텍처
- 커넥터 배치
- 인터넷 품질
VPN은 내부 데이터 센터 작업 부하 또는 로컬 집중기가 있는 환경에서 효율성을 유지할 수 있습니다. 항상 하나의 모델이 더 빠르다고 가정하기보다는 IT 팀은 자신의 환경에서 애플리케이션 응답 시간과 세션 안정성을 비교해야 합니다.
관리
네트워크 팀은 이미 VPN 집중기, 경로, 방화벽 규칙 및 액세스 제어 목록에 익숙해져 있어 배포가 더 쉬워질 수 있습니다. 그러나 시간이 지남에 따라 그룹, 서브넷 및 예외가 누적됨에 따라 권한 검토가 더 어려워질 수 있습니다.
ZTNA는 사용자, 애플리케이션, 장치 요구 사항 및 종속성에 대한 명확한 인벤토리를 요구합니다. 관리자는 각 리소스가 필요한 사람, 사용할 수 있는 장치 및 어떤 조건에서 접근이 허용되어야 하는지를 정의해야 합니다. 이러한 정책 작업은 노력이 필요하지만, 권한이 비즈니스 애플리케이션에 직접 매핑되기 때문에 접근 검토를 더 의미 있게 만들 수 있습니다.
어떤 모델이 사용되든, 효과적인 관리는 각 리소스에 소유자를 할당하고, 예외를 문서화하며, 권한을 정기적으로 검토하는 데 달려 있습니다. VPN이나 ZTNA는 일관된 운영 규율 없이는 안전하지 않습니다.
비용
VPN은 조직이 이미 호환되는 방화벽 또는 게이트웨이 인프라를 소유하고 있을 때 더 저렴한 옵션일 수 있습니다. 그러나 전체 비용에는 여전히 다음이 포함될 수 있습니다:
- 집중기 용량
- 고가용성
- 고객 지원
- 대역폭
- 세분화 작업
- 지속적인 규칙 유지 관리
ZTNA는 사용자별 구독, 신원 통합, 엔드포인트 에이전트, 커넥터 및 마이그레이션 작업을 도입할 수 있습니다. 동시에 VPN 백홀을 줄이고, 계약자 접근을 간소화하며, 광범위한 네트워크 연결 지원 비용을 낮출 수 있습니다.
이러한 이유로, 비교는 초기 제품 가격만이 아니라 총 소유 비용에 초점을 맞추어야 합니다. IT 팀은 라이선스, 인프라, 헬프 데스크 노력, 정책 관리, 다운타임 위험 및 사용자가 실제로 필요로 하는 것보다 더 많은 액세스를 부여하는 비용을 고려해야 합니다.
VPN은 언제 여전히 의미가 있을까요?
자원별 접근 모델로의 전환에도 불구하고, 사용자가나 시스템이 실제로 네트워크 수준의 연결이 필요할 때 VPN은 여전히 올바른 선택입니다.
특히 여러 프로토콜, 공유 인프라 또는 내부 네트워크에 대한 직접 액세스에 의존하는 애플리케이션이 포함된 요구 사항이 있을 때 유용합니다.
일반적인 예로는 다음이 포함됩니다:
- 사무실, 데이터 센터 또는 클라우드 네트워크 간의 사이트 간 연결성
- 네트워크 문제 해결 및 패킷 수준 관리
- 제어된 인프라 세그먼트에서 여러 프로토콜에 대한 액세스
- 애플리케이션 게이트웨이를 통해 게시할 수 없는 레거시 애플리케이션
- 개발, 실험실 또는 광범위한 연결이 필요한 재해 복구 환경
- T 세분화 및 모니터링이 이미 성숙한 환경에서의 임시 액세스
VPN은 따라서 구식도 아니고 본질적으로 불안전하지도 않습니다. 그 보안은 연결이 얼마나 신중하게 구성되고 관리되는지에 따라 달라지며, 여기에는 제한된 경로, 강력한 인증, 정기적인 게이트웨이 패치 및 일반 사용자와 특권 관리자 간의 명확한 분리가 포함됩니다.
이러한 제어가 설정되고 비즈니스 필요가 진정으로 네트워크 지향적일 때, VPN은 효과적이고 실용적인 원격 액세스 솔루션으로 남을 수 있습니다.
제로 트러스트가 더 나은 선택인 경우는 언제인가요?
ZTNA는 사용자가 더 넓은 네트워크보다 정의된 애플리케이션 집합에 접근해야 할 때 일반적으로 더 강력한 선택입니다. 이는 원격 직원, 계약자, 파트너 및 접근 요구 사항이 정확하게 설명될 수 있는 외부 지원 팀에 특히 적합합니다.
예를 들어, 제로 트러스트 정책은 재무 그룹의 구성원이 승인된 시간 동안 회계 애플리케이션에 접근할 수 있도록 허용할 수 있으며, 관리되는 장치와 다중 인증을 사용하는 경우에 해당합니다. 이러한 유형의 규칙은 재무 서브넷에 대한 광범위한 권한을 부여하는 것보다 검토하기가 더 쉽습니다.
ZTNA는 또한 애플리케이션이 더 이상 단일 사무실 경계 뒤에 위치하지 않는 분산 및 클라우드 지향 환경에 잘 적합합니다. 접근 결정의 중심에 신원 및 리소스 정책을 배치함으로써, 이 모델은 물리적 네트워크 경계가 아닌 작업 부하를 따릅니다.
중간 지점이 있을까요?
네. 모든 워크플로우를 단일 기술을 통해 강제하는 것보다 많은 조직이 ZTNA와 VPN을 함께 사용할 수 있습니다.
표준 직원 및 계약자는 ZTNA 또는 안전한 애플리케이션 포털을 통해 애플리케이션 수준의 액세스를 받을 수 있으며, 네트워크 관리자는 IP 수준의 연결이 필요한 작업을 위해 엄격하게 제어된 VPN 또는 특권 액세스 게이트웨이를 유지합니다. 지사 사무소는 사이트 간 VPN을 계속 사용할 수 있으며, 레거시 애플리케이션은 현대화될 때까지 제한된 VPN 경로에 남아 있을 수 있습니다. 더 좁게 게시됨 .
점진적인 전환은 일반적으로 갑작스러운 교체보다 더 안전합니다. IT 팀은 원격 워크플로를 개발하고, 애플리케이션 수준 요구 사항을 네트워크 수준 요구 사항과 분리하며, 신원 관리를 강화하고, 하나의 제한된 애플리케이션을 파일럿하고 새로운 접근 경로를 검증한 후에만 해당 VPN 경로를 제거할 수 있습니다.
TSplus는 어떻게 그림에 맞습니까?
TSplus 고급 보안 Windows 서버와 원격 액세스 환경을 보호합니다. VPN을 대체하거나 완전한 제로 트러스트 네트워크 액세스 플랫폼으로 작동하는 대신, 액세스 모델을 강화할 수 있는 서버 수준의 제어 기능을 추가합니다.
이러한 제어는 사용자의 요구, 장치, 위치 및 연결 시간에 따라 제한을 추가하면서 VPN 뒤에 있는 Windows 서버를 보호할 수 있습니다. 이들은 보다 광범위한 보안 아키텍처의 일환으로 여러 가지 제로 트러스트 원칙을 지원합니다.
브루트포스 및 악의적인 IP 보호
인터넷에 노출된 인증 서비스는 비밀번호 추측 공격과 자동화된 네트워크 스캔의 빈번한 표적입니다. 우리의 솔루션은 실패한 Windows 로그인 시도를 모니터링하며, 설정된 임계값에 도달하면 원래 IP 주소를 자동으로 블랙리스트에 추가할 수 있습니다.
해커 IP 보호는 악성 소프트웨어, 봇넷, 온라인 공격 및 기타 악의적인 활동과 관련된 주소의 유지 관리 목록으로 이 방어를 강화합니다. 관리자는 방화벽 규칙을 통해 허용된 주소와 차단된 주소를 관리할 수 있으며, 이를 통해 노출된 Windows 서비스에 도달하기 전에 원치 않는 트래픽을 차단하는 데 도움을 줍니다.
지리적 및 맥락적 접근 제한
지리적 보호 기능을 통해 관리자는 출발 국가 또는 IP 주소에 따라 접근을 제어할 수 있습니다. 관리자는 승인된 국가, 개인 주소 및 특정 화이트리스트에 등록된 IP 범위로의 연결을 제한할 수 있으며, 이는 합법적인 사용자가 예측 가능한 위치에서 연결할 때 유용합니다.
근무 시간은 사용자 및 그룹에 대한 시간 기반 제어를 추가하여 관리자가 세션을 열 수 있는 시기를 정의하고 예상 근무 시간 외에 계정 가용성을 줄일 수 있도록 합니다. 신뢰할 수 있는 장치는 연결 방법이 장치 식별을 지원할 때 승인된 엔드포인트에 대한 연결을 추가로 제한할 수 있습니다.
이러한 검사는 제로 트러스트 전략에서 사용되는 맥락적 제어와 유사합니다. 그러나 위치, 시간 및 장치 정보는 연결이 신뢰할 수 있다는 결정적인 증거가 아니라 지원 신호로 남아 있어야 합니다.
세분화된 권한 및 보안 세션
우리 솔루션은 사용자 및 그룹 권한을 검토하고 관리하기 위한 권한 제어를 포함합니다. 관리자는 보호된 Windows 서버에서 파일, 폴더, 레지스트리 객체 및 프린터에 대한 액세스를 제한할 수 있습니다.
보안 세션은 특정 사용자 및 그룹에 대해 서로 다른 보안 수준을 적용할 수 있습니다. 이러한 기능들은 인증 후 연결된 계정이 접근하거나 수정할 수 있는 내용을 줄여줍니다.
이 서버 수준의 최소 권한 접근 방식은 손상된 계정의 영향을 제한할 수 있습니다. 그러나 이는 일반적으로 네트워크 연결을 설정하기 전에 개별 애플리케이션이나 서비스에 대한 접근을 중개하는 ZTNA 정책 엔진과 동일하지 않습니다.
랜섬웨어 보호
우리 솔루션은 랜섬웨어와 관련된 행동에 대한 서버 활동을 모니터링합니다. 이는 정적 지표와 행동 분석을 결합하여 의심스러운 파일 활동을 감지하고 잠재적인 랜섬웨어가 식별될 때 대응합니다.
이 보호는 원격 사용자가 공유 문서를 열거나 서버 저장소에 쓸 수 있을 때 특히 중요합니다. 유효한 계정이 여전히 악성 소프트웨어를 실행하는 데 악용될 수 있기 때문에 연결을 보호하는 것만으로는 충분하지 않습니다.
랜섬웨어 보호는 따라서 테스트된 오프라인 백업, 패치 관리, 엔드포인트 보호 및 사고 대응 절차를 대체하기보다는 보완해야 합니다.
방화벽 제어, 이벤트 및 경고
TSplus 고급 보안 Windows 방화벽 또는 통합 방화벽을 통해 차단 규칙을 적용할 수 있습니다. 관리자는 적대적인 주소를 차단하고, 화이트리스트를 유지하며, 고급 보안 인터페이스에서 네트워크 제한을 검토할 수 있습니다.
대시보드는 최근 보안 이벤트를 표시하며, 구성 가능한 알림은 선택된 이벤트가 발생할 때 관리자가 이메일, SMS 또는 Microsoft Teams로 통지받을 수 있도록 합니다. 이러한 기능들은 차단된 연결 및 조사가 필요할 수 있는 기타 활동에 대한 가시성을 제공합니다.
모니터링은 VPN 및 제로 트러스트 환경 모두에서 필수적입니다. 예방적 통제는 위험을 줄일 수 있지만, IT 팀은 경고를 계속 검토하고, 비정상적인 행동을 조사하며, 접근 요구 사항이 변경됨에 따라 정책을 개선해야 합니다.
결론
제로 트러스트 원격 액세스와 VPN의 주요 차이점은 신뢰의 범위와 시점입니다. VPN은 일반적으로 사용자 또는 장치를 인증한 후 암호화된 네트워크 경로를 생성합니다. ZTNA는 신원, 장치 및 맥락 조건을 평가한 후 특정 리소스에 대한 액세스를 부여합니다.
VPN은 사이트 간 연결, 네트워크 관리, 레거시 프로토콜 및 IP 수준 연결이 필요한 작업에 적합합니다. ZTNA는 일반적으로 선택된 애플리케이션이나 서비스만 필요한 직원, 계약자 및 파트너에게 더 적합합니다.
많은 조직이 두 가지 접근 방식을 결합함으로써 혜택을 볼 수 있습니다. 애플리케이션 수준의 접근은 ZTNA로 나아갈 수 있으며, 제한된 VPN 연결은 실제로 네트워크 접근이 필요한 워크플로우를 위해 계속 사용할 수 있습니다. 어떤 모델이 선택되든 강력한 인증, 최소 권한, 세분화, 서버 강화 및 지속적인 모니터링은 여전히 필요합니다.