$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

제로트러스트 기반의 원격 근무 환경을 구축하기 위한 보안요구사항 분석 연구
A Study on the Security Requirements Analysis to Build a Zero Trust-Based Remote Work Environment

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.34 no.1, 2024년, pp.83 - 102  

김해나 (고려대학교) ,  김예준 (고려대학교) ,  김승주 (고려대학교)

초록
AI-Helper 아이콘AI-Helper

최근 클라우드의 사용량이 해마다 증가하고 기업 내 원격 근무가 새로운 근무 형태 중 하나로 자리 잡으면서 클라우드 기반 원격 근무 환경의 보안이 중요해졌다. 내부 네트워크 안에 있는 모든 것은 안전하다고 가정하는 기존의 경계 기반 모델의 한계로 인해 제로트러스트 도입이 요구되고 있다. 이에 따라 NIST 및 DoD는 제로트러스트 아키텍처 관련 표준을 발간하였지만, 해당 표준의 보안요구사항은 추상적인 수준에서 논리적 아키텍처만을 기술하고 있다. 따라서 본 논문에서는 OpenStack 클라우드에 대한 위협모델링을 수행하여 NIST 및 DoD 표준에 비해 보다 상세한 보안요구사항을 제시하고자 한다. 이후 본 연구팀은 해당 요구사항에 대한 검증을 위해 상용 클라우드 서비스들에 대한 보안성 분석을 수행하였다. 보안성 분석 수행 결과 본 연구팀에서는 각 클라우드 서비스가 만족하지 못하는 보안요구사항을 식별하였다. 본 연구팀은 제로트러스트가 적용된 클라우드 서비스에 대한 잠재적 위협과 대응 방안을 제안하였으며, 이를 통해 안전한 제로트러스트 기반 원격 근무 환경을 구축하는데 도움이 되고자 한다.

Abstract AI-Helper 아이콘AI-Helper

Recently, as the use of the cloud increases year by year and remote work within the enterprise has become one of the new types of work, the security of the cloud-based remote work environment has become important. The introduction of zero trust is required due to the limitations of the existing peri...

주제어

#Zero Trust   #Cloud System   #Remote Work System   #OpenStack   #Threat Modeling  

표/그림 (14)

AI 본문요약
AI-Helper 아이콘 AI-Helper

문제 정의

  • 본 연구팀은 보안성 분석 결과 각 서비스에서 일부 보안요구사항이 만족하지 못함을 확인했으며, 이는 잠재적인 보안문제가 발생될 수 있다는 것을 의미한다. 따라서 본 논문에서는 분석 대상 서비스에서 발생될 수 있는 보안 문제점 및 이를 완화하기 위한 방안을 제안하였다. 도출된 보안요구사항과 실제 서비스의 잠재적 위협 및 완화방안은 제로트러스트가 적용된 클라우드 서비스를 개발하는 개발자가 보안성이 높은 클라우드 서비스를 구현할 수 있도록 한다.
  • 그러나 제로트러스트 아키텍처는 단일 솔루션으로 구축할 수 있는 것이 아니기 때문에 일부 모듈에만 제로트러스트를 적용하는 것은 적절치 않다. 따라서 본 연구팀은 전반적인 클라우드 환경을 고려하여 기존 상용 클라우드 서비스에 대한 보안성 분석을 수행하여 보다 상세한 제로트러스트 기반의 보안요구사항을 제시하고자 한다.
  • 본 연구팀은 제로트러스트 기반의 원격 근무 환경을 구축하기 위한 보안요구사항 분석 연구를 수행하였다. 기존의 NIST 및 DoD의 보안요구사항은 추상적으로 작성되어 있어 서비스 제공자가 구체적인 취약점을 식별하고 완화하기 어렵다.
  • 이에 따라 본 연구팀은 클라우드 기반의 원격 근무 환경에 제로트러스트 기반의 보안 모델을 적용하는데 필요한 상세화된 보안요구사항을 제안한다. 클라우드 기반 원격 근무 환경 구축 시 보안요구사항을 고려하는 것은 중요하다.
  • 본 장에서는 위협모델링을 수행하여 식별된 클라우드 기반 원격 근무 환경의 보안 위협을 제시한다. 이후, 식별한 보안 위협을 완화하기 위해 제로트러스트 원칙에 입각한 보안요구사항을 제시하고자 한다. 본 연구팀은 앞서 언급한대로 OpenStack을 위협모델링 대상으로 선정하였으며, 위협모델링을 수행하기 위해 OpenStack 기반의 원격 근무 환경을 구축하였다.
  • Mandal 등은 클라우드를 기반으로 하는 제로트러스트기반 접근 제어 정책을 제안하였다. 해당 연구에서는 MAC 스푸핑 공격으로부터 안전한 네트워크를 구축하기 위한 제로트러스트 기반의 새로운 접근제어 정책을 제시하였다[13]. 2022년, P.
  • García Teodoro 등은 사용자와 디바이스의 보안 프로필을 기반으로 한 새로운 제로트러스트 네트워크 접근 제어 방식에 관한 연구를 수행하였다. 해당 연구에서는 기업 네트워크 및 서비스 제공업체의 보안을 강화하기 위해 제로트러스트 기반의 새로운 접근 제어 정책으로 SADAC(Security Attribute-based Dynamic Access Control)를 제안하며 네트워크 및 통신 환경의 위험을 최소화하여 보안성을 향상시킬 수 있다고 제시하였다[14]. 2023년, Nisha T.
본문요약 정보가 도움이 되었나요?

참고문헌 (51)

  1. Satya Nadella, "Microsoft Build 2020: CEO Satya Nadella's opening remarks", https://www.youtube.com/watch?vS_wNRx7f7rU, May. 2020. 

  2. Gartner, "Gartner Forecasts Worldwide?Public Cloud End-User Spending to Reach Nearly $600 Billion in 2023", https://www.gartner.com/en/newsroom/press-releases/2023-04-19-gartner-forecasts-worldwide-public-cloud-end-user-spending-to-reach-nearly-600-billion-in-2023, Apr. 2023. 

  3. Trend Micro, Trend Micro Research,?"A Constant State of Flux: Trend?Micro 2020 Annual Cybersecurity?Report", Trend Micro Research, Feb. 2021. 

  4. Microsoft, "DEV-0537 criminal actor?targeting organizations for data exfiltration and destruction By Microsoft Incident Response", https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction, Sep 2023. 

  5. John Kindervag, "No More Chewy?Centers: Introducing The Zero Trust?Model Of Information Security",?Forrester, Sep. 2010. 

  6. National Institute of Standards and?Technology, "NIST SP 800-207 Zero?Trust Architecture", Aug. 2020. 

  7. Defense Information Systems Agency?(DISA) And National Security Agency?(NSA) Zero Trust Engineering Team,?"Department Of Defense Zero Trust?Reference Architecture, Version 2.0", Jul. 2022. 

  8. Forrester, "The I&O Pro's Guide to?Enterprise Open Source Cloud?Adoption, Q1 2018", Mar. 2018. 

  9. Ward, Rory, and Betsy Beyer,?"Beyondcorp - A New Approach To?Enterprise Secuirty", Google, Dec. 2014. 

  10. Gartner, "The Gartner IT Security?Approach for the Digital Age",https://www.gartner.com/smarterwithgartner/the-gartner-it-security-approach-for-the-digital-age, Sep. 2023. 

  11. Bryan Zimmer, "LISA: A Practical?Zero Trust Architecture", Usenix, Jan. 2018. 

  12. Theo Dimitrakos, Tezcan Dilshener, Alexander Kravtsov, Antonio La Marra, Fabio Martinelli, Athanasios Rizos, Alessandro Rosetti and Andrea Saracino, "Trust Aware Continuous Authorization for Zero Trust in Consumer Internet of Things," 2020 IEEE 19th International Conference on Trust, Security and Privacy in Computing and Communications (TrustCom), pp. 1801-1812, Dec. 2020. 

  13. Mandal, S., Khan, D.A. and Jain, S., "Cloud-Based Zero Trust Access Control Policy: An Approach to Support Work-From-Home Driven by COVID-19 Pandemic", New Gener. Computing. vol. 39, pp. 599-622, 2021. 

  14. P. Garcia-Teodoro, J. Camacho, G. Macia-Fernandez, J.A. Gomez-Hernandez and V.J. Lopez-Marin, "Anovel?zero-trust network access control?scheme based on the security profile of devices and users", Computer Networks, vol. 212, article. 109068,May. 2022. 

    상세보기

  15. Nisha T N, Dhanya Pramod and Ravi?Singh, "Zero trust security model: Defining new boundaries to organizational network", Proceedings of the 2023 Fifteenth International?Conference on Contemporary Computing, pp. 603-609, Aug. 2023. 

  16. ACT-IAC, "Zero Trust Report - Lessons Learned From Vendor And Partner Research", May. 2021. 

  17. Alper Kerman, Oliver Borche, Oliver Borche, Eileen Division and Allen Tan,?"IMPLEMENTING A ZERO TRUST?ARCHITECTURE", NCCoE, Oct. 2020. 

  18. DISA and NSA, "Department of?Defense (DOD) Zero Trust Reference?Architecture Version 1.0", Feb. 2021. 

  19. NSA, "Embracing A Zero Trust?Security Model", Feb. 2021. 

  20. CISA, "Zero Trust Maturity Model", Apr. 2023. 

  21. National Institute of Standards and?Technology, "NIST SP 800-53 Security?and Privacy Controlsfor Information?Systems and Organizations", Sep. 2020. 

  22. Microsoft, "Zero Trust security", https://learn.microsoft.com/en-us/azure/security/fundamentals/zero-trust, Jun. 2023. 

  23. Microsoft, "Evolving Zero Trust - How?Real-World Deployments And Attacks?Are Shaping The Future Of Zero Trust?Strategies", Sep. 2021. 

  24. AWS, "Understanding Zero Trust principles", https://docs.aws.amazon.com/us_en/prescriptive-guidance/latest/strategy-zero-trust-architecture/zero-trust-principles.html, May. 2023. 

  25. Google, "Google Cloud Architecture?Framework", https://cloud.google.com/architecture/framework, Google Cloud, Jun. 2023. 

  26. Victor Escobedo, Betsy Beyer, Max?Saltonstall and Filip Zyzniewski,?Google, "Beyondcorp 5 - The User?Experience", Sep. 2017. 

  27. R. Khan, K. McLaughlin, D. Laverty?and S. Sezer, "STRIDE-based threat?modeling for cyber-physical systems",?2017 IEEE PES Innovative Smart Grid?Technologies Conference Europe?(ISGT-Europe), pp. 1-6, Sep. 2017. 

  28. M. Cagnazzo, M. Hertlein, T. Holz?and N. Pohlmann, "Threat modeling?for mobile health systems", 2018 IEEE?Wireless Communications and Networking Conference Workshops (WCNCW), pp. 314-319, Apr. 2018. 

  29. Zaina Abuabed, Ahmad Alsadeh and Adel Taweel, "STRIDE threat model-based framework for assessing the vulnerabilities of modern vehicles",Computers & Security, Computers&Security, vol. 133, article. 103391, Oct. 2023. 

  30. Microsoft, "Microsoft Threat Modeling Tool", https://learn.microsoft.com/en-us/azure/security/develop/threat-modeling-tool, Aug. 2022. 

  31. OpenStack, "OpenStack documentation-design", https://docs.openstack.org/arch-design/design.html, May. 2023. 

  32. Sean Metcalf and Mark Morowczynski,"Attacking and Defending the Microsoft Cloud (Office 365 &Azure AD)", Black Hat USA, Aug. 2019. 

  33. MITRE CVE, "CVE-2022-47951", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2022-47951, Feb. 2023. 

  34. The MITRE Corporation, https://attack.mitre.org/techniques/T1529, May. 2023. 

  35. OpenStack, "OpenStack documentation-security checklist", https://docs.OpenStack.org/security-guide/checklist.html, Jan. 2023. May. 2023. 

  36. MITRE CVE, "CVE-2023-40585", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2023-40585, May. 2023. 

  37. MITRE CVE, "CVE-2023-3637", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2023-3637, Jul. 2023. 

  38. MITRE CVE, "CVE-2023-2088", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2023-2088, Jul. 2023. 

  39. MITRE CVE, "CVE-2023-1636", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2023-1636, Apr. 2023. 

  40. MITRE CVE, "CVE-2023-1633", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2023-1633, Mar. 2023. 

  41. MITRE CVE, "CVE-2023-1625", https://cve.mitre.org/cgi-bin/cvename.cgi?nameCVE-2023-1625, Mar. 2023. 

  42. Synergy Research Group, "Huge Cloud?Market Still Growing at 34% Per?Year; Amazon, Microsoft & Google?Now Account for 65% of the Total", https://www.srgresearch.com/articles/huge-cloud-market-is-still-growing-at-34-per-year-amazon-microsoft-and-google-now-account-for-65-of-all-cloud-revenues, Apr. 2023. 

  43. Microsoft, "Azure documentation", https://learn.microsoft.com/en-us/azure/?productpopular, Jun. 2023. 

  44. AWS, "Welcome to AWS Documentation",?https://docs.aws.amazon.com, Jun. 2023. 

  45. Google Cloud, "Google Cloud Documentation", https://cloud.google.com/docs?hlus, Jun. 2023. 

  46. IBM Security, Cost of a Data Breach Report 2021, Aug 2021. 

  47. Menlo Security, "The Critical Role of?SSL Decryption & Inspection in Web Security", https://www.menlosecurity.com/blog/the-critical-role-of-ssl-inspection-to-avoid-secure-malware-delivery,Apr. 2020. 

  48. Paloalto Networks, Unit 42 Cloud Threat Report, Volume 6, Apr. 2022. 

  49. MITRE, "Andariel", https://attack.mitre.org/groups/G0138/, Dec. 2023. 

  50. Verizon, "Data Breach Investigations Report", Jun. 2022. 

  51. AhnLab Security Emergency Response Center (ASEC), "Threat Trend Report on TeamTNT Group", AhnLab, Jul. 2021. 

관련 콘텐츠

오픈액세스(OA) 유형

FREE

Free Access. 출판사/학술단체 등이 허락한 무료 공개 사이트를 통해 자유로운 이용이 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로