맨위로가기

소프트웨어 정의 경계

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

소프트웨어 정의 경계(SDP)는 사용자 신원과 장치 상태를 기반으로 리소스 접근을 제어하는 보안 방법론이다. 이는 사물 인터넷(IoT)과 클라우드 환경의 확장에 따라 기존 네트워크 보안의 한계를 개선하기 위해 등장했다. SDP는 애플리케이션을 보이지 않게 하고, 승인된 사용자 및 장치에만 접근 권한을 부여하여 피싱 공격, 클라우드 해킹 등의 위협을 해결한다. SDP는 SDP 호스트와 SDP 컨트롤러로 구성되며, 클라이언트-게이트웨이, 클라이언트-서버, 서버-서버, 클라이언트-서버-클라이언트 등 다양한 배포 모델을 통해 기업 애플리케이션 격리, 클라우드 보안, IoT 보안 등 다양한 분야에 활용된다.

더 읽어볼만한 페이지

  • 컴퓨터 보안 - 얼굴 인식 시스템
    얼굴 인식 시스템은 디지털 이미지나 비디오에서 사람 얼굴을 감지하고 식별하는 기술로, 다양한 알고리즘 발전을 거쳐 보안, 신원 확인 등에 활용되지만, 편향성, 개인 정보 침해, 기술적 한계와 같은 윤리적 문제도 야기한다.
  • 컴퓨터 보안 - 워터마크
    워터마크는 종이 제조 시 두께 차이를 이용해 만들어지는 표식으로, 위조 방지를 위해 지폐나 여권 등에 사용되며 댄디 롤 등의 제작 기법을 통해 만들어지고 컴퓨터 프린터 인쇄 기술로도 활용된다.
소프트웨어 정의 경계
개요
유형보안 모델
설명소프트웨어 정의 경계(SDP)는 애플리케이션 인프라를 공격 표면에서 숨기고, 액세스를 인증된 장치 및 사용자로 제한하여 네트워크 기반 공격을 완화하는 보안 모델이다.
접근 방식SDP는 '신뢰 없음' 접근 방식을 사용하며, 리소스에 대한 액세스는 사용자와 장치의 ID 및 보안 상태를 기반으로 한다.
작동 방식SDP는 클라이언트가 먼저 ID를 인증하고 장치의 보안 상태를 확인하는 보안 컨트롤러에 연결하도록 요구한다. 인증 및 승인이 성공하면 컨트롤러는 클라이언트와 애플리케이션 인프라 간에 네트워크 연결을 설정한다.
이점공격 표면 감소
향상된 보안
향상된 가시성 및 제어
규정 준수 간소화
사용 사례클라우드 보안
모바일 보안
사물 인터넷(IoT) 보안
중요 인프라 보안
참고 자료클라우드 보안 얼라이언스(CSA) 소프트웨어 정의 경계 작업 그룹
국가 표준 기술 연구소(NIST) 특별 간행물 800-207 '제로 트러스트 아키텍처'
관련 용어제로 트러스트
마이크로세분화
ID 및 액세스 관리(IAM)
네트워크 보안

2. 배경

사물인터넷(Internet of Things, 약어로 IoT) 등의 다양한 단말기를 사용하는 시대에 접어들면서 폐쇄적인(On-premise) 전산체계에서 개방적인 클라우드(Cloud) 체계로 점점 확장이 되고 외부에서 업무를 보는 경우가 잦아지고 있다. 이로 인해 외부에서의 피싱 공격, 클라우드 해킹 등 기존 네트워크 중심(Network Centric) 방식의 보안으로 한계점이 나타나기 시작했으며, 이를 개선하기 위해 사용자 신원 중심(ID Centric)으로 설계된 개방적 네트워크 솔루션이 등장하게 되는데 그것이 바로 SDP다. SDP 프레임워크는 CSA(Cloud Security Alliance)에서 개발되었다.

전통적인 네트워크 보안은 일반적으로 방화벽으로 보호되는 고정된 경계에 의존한다. 이는 내부 서비스를 격리하지만 다음과 같은 상황이 증가하면서 취약해진다.


  • '''사용자 관리 장치:''' 이러한 장치는 전통적인 경계 제어를 우회한다.
  • '''피싱 공격:''' 이러한 공격은 권한이 없는 사용자에게 경계 내 접근 권한을 부여할 수 있다.
  • '''클라우드 도입:''' 애플리케이션은 어디에서나 호스팅될 수 있어, 경계 제어가 더욱 복잡해진다.


SDP는 다음을 통해 이러한 문제를 해결한다.

  • '''애플리케이션을 보이지 않게 함:''' 공용 인터넷은 내부 리소스를 직접 볼 수 없다.
  • '''접근 제어 시행:''' 승인된 사용자와 장치만 애플리케이션에 연결할 수 있다.

2. 1. 기존 네트워크 보안의 문제점

사물인터넷(Internet of Things, 약어로 IoT) 등의 다양한 단말기를 사용하는 시대에 접어들면서 폐쇄적인(On-premise) 전산체계에서 개방적인 클라우드(Cloud) 체계로 점점 확장이 되고 외부에서 업무를 보는 경우가 잦아지고 있다. 이로 인해 외부에서의 피싱 공격, 클라우드 해킹 등 기존 네트워크 중심(Network Centric) 방식의 보안으로 한계점이 나타나기 시작했으며, 이를 개선하기 위해 사용자 신원 중심(ID Centric)으로 설계된 개방적 네트워크 솔루션이 등장하게 되는데 그것이 바로 SDP다. SDP 프레임워크는 CSA(Cloud Security Alliance)에서 개발되었다.

전통적인 네트워크 보안은 일반적으로 방화벽으로 보호되는 고정된 경계에 의존한다. 이는 내부 서비스를 격리하지만 다음과 같은 상황이 증가하면서 취약해진다.

  • '''사용자 관리 장치:''' 이러한 장치는 전통적인 경계 제어를 우회한다.
  • '''피싱 공격:''' 이러한 공격은 권한이 없는 사용자에게 경계 내 접근 권한을 부여할 수 있다.
  • '''클라우드 도입:''' 애플리케이션은 어디에서나 호스팅될 수 있어, 경계 제어가 더욱 복잡해진다.


SDP는 다음을 통해 이러한 문제를 해결한다.

  • '''애플리케이션을 보이지 않게 함:''' 공용 인터넷은 내부 리소스를 직접 볼 수 없다.
  • '''접근 제어 시행:''' 승인된 사용자와 장치만 애플리케이션에 연결할 수 있다.

2. 2. 소프트웨어 정의 경계 (SDP) 등장

사물인터넷(Internet of Things, 약어로 IoT) 등의 다양한 단말기를 사용하는 시대에 접어들면서 폐쇄적인(On-premise) 전산체계에서 개방적인 클라우드(Cloud) 체계로 점점 확장이 되고 외부에서 업무를 보는 경우가 잦아들고 있다. 이로 인해 외부에서의 피싱 공격, 클라우드 해킹 등 기존 네트워크 중심(Network Centric)방식의 보안으로 한계점이 나타나기 시작했으며, 이를 개선하기 위해 사용자 신원 중심(ID Centric)으로 설계된 개방적 네트워크 솔루션이 등장하게 되는데 그것이 바로 SDP다. SDP 프레임워크는 CSA(Cloud Security Alliance)에서 개발되었다.

SDP는 사용자 신원과 장치 상태를 기반으로 리소스에 대한 접근을 제어하는 보안 방법론이다. 이는 애플리케이션에 대한 접근 권한을 부여하기 전에 두 요소를 모두 확인하는 '''제로 트러스트''' 모델을 따른다. 이러한 접근 방식은 내부 인프라를 인터넷에서 보이지 않게 하여 서비스 거부(DoS) 및 서버 스캔과 같은 위협에 대한 공격 범위를 줄이는 것을 목표로 한다.

전통적인 네트워크 보안은 일반적으로 방화벽으로 보호되는 고정된 경계에 의존한다. 이는 내부 서비스를 격리하지만 다음과 같은 상황이 증가하면서 취약해진다.

  • '''사용자 관리 장치:''' 이러한 장치는 전통적인 경계 제어를 우회한다.
  • '''피싱 공격:''' 이러한 공격은 권한이 없는 사용자에게 경계 내 접근 권한을 부여할 수 있다.
  • '''클라우드 도입:''' 애플리케이션은 어디에서나 호스팅될 수 있어, 경계 제어가 더욱 복잡해진다.


SDP는 다음을 통해 이러한 문제를 해결한다.

  • '''애플리케이션을 보이지 않게 함:''' 공용 인터넷은 내부 리소스를 직접 볼 수 없다.
  • '''접근 제어 시행:''' 승인된 사용자와 장치만 애플리케이션에 연결할 수 있다.

3. SDP 아키텍처

없음


가장 간단한 SDP 아키텍처는 SDP 호스트와 SDP 컨트롤러의 두 가지 구성 요소로 구성된다. SDP 호스트는 연결을 시작하거나 연결을 수락할 수 있으며, 이러한 작업은 제어 채널(Control Channel)을 통해 SDP 컨트롤러와 상호 작용으로 관리된다. 인증을 받지 못한 단말에 대해서는 어떠한 연결 정보도 얻지 못하도록 되어 있다.

SDP 프레임워크에는 다음과 같은 워크플로우(Work Flow)가 있다.

# SDP 컨트롤러가 온라인 상태가 되어 선택적 인증 및 권한 부여 서비스(예 : PKI, 지문, 지리 위치, SAML, OpenID, OAuth, LDAP, Kerberos, 다단계 인증 및 기타 서비스)에 연결

# SDP 호스트가 온라인 상태가 되면서 호스트는 컨트롤러에 연결하고 인증을 진행, 다른 호스트와 통신을 승인하지 않으며 프로비저닝(provisioning)되지 않은 요청에는 응답하지 않음

# 온라인 상태가 된 시작 SDP 호스트(Initiating SDP Host)는 SDP 컨트롤러와 연결하고 인증을 진행

# 시작 SDP 호스트를 인증한 후 SDP 컨트롤러는 시작 SDP 호스트가 통신할 권한이 있는 '수락 호스트' 목록을 지정

# SDP 컨트롤러는 수락 SDP 호스트(Accepting SDP Host)가 시작 SDP 호스트의 통신 및 암호화된 통신에 필요한 선택적 정책을 제공

# SDP 컨트롤러는 시작 SDP 호스트에 수락 SDP 호스트 목록과 암호화된 통신에 필요한 선택적 정책을 제공

# 시작 SDP 호스트는 모든 승인된 수락 SDP 호스트에 대한 상호 VPN연결을 시작

3. 1. SDP 워크플로우



가장 간단한 SDP 아키텍처는 SDP 호스트와 SDP 컨트롤러의 두 가지 구성 요소로 구성된다. SDP 호스트는 연결을 시작하거나 연결을 수락할 수 있으며, 이러한 작업은 제어 채널(Control Channel)을 통해 SDP 컨트롤러와 상호 작용으로 관리된다. 인증을 받지 못한 단말에 대해서는 어떠한 연결 정보도 얻지 못하도록 되어 있다.

SDP 프레임워크에는 다음과 같은 워크플로우(Work Flow)가 있다.

# SDP 컨트롤러가 온라인 상태가 되어 선택적 인증 및 권한 부여 서비스(예 : PKI, 지문, 지리 위치, SAML, OpenID, OAuth, LDAP, Kerberos, 다단계 인증 및 기타 서비스)에 연결

# SDP 호스트가 온라인 상태가 되면서 호스트는 컨트롤러에 연결하고 인증을 진행, 다른 호스트와 통신을 승인하지 않으며 프로비저닝(provisioning)되지 않은 요청에는 응답하지 않음

# 온라인 상태가 된 시작 SDP 호스트(Initiating SDP Host)는 SDP 컨트롤러와 연결하고 인증을 진행

# 시작 SDP 호스트를 인증한 후 SDP 컨트롤러는 시작 SDP 호스트가 통신할 권한이 있는 '수락 호스트' 목록을 지정

# SDP 컨트롤러는 수락 SDP 호스트(Accepting SDP Host)가 시작 SDP 호스트의 통신 및 암호화된 통신에 필요한 선택적 정책을 제공

# SDP 컨트롤러는 시작 SDP 호스트에 수락 SDP 호스트 목록과 암호화된 통신에 필요한 선택적 정책을 제공

# 시작 SDP 호스트는 모든 승인된 수락 SDP 호스트에 대한 상호 VPN연결을 시작

4. SDP 배포 모델

SDP(소프트웨어 정의 경계)를 배포하는 방법에는 여러 가지가 있으며, 각 방법은 특정 시나리오에 적합하다.


  • '''클라이언트-게이트웨이:''' 게이트웨이 뒤에 있는 서버를 보호하여 네트워크 내 또는 인터넷에서 발생하는 측면 이동 공격을 완화한다.
  • '''클라이언트-서버:''' 클라이언트-게이트웨이와 유사하지만 보호된 서버가 SDP 소프트웨어를 직접 실행한다.
  • '''서버-서버:''' API를 제공하는 서버 간의 통신을 보호한다.
  • '''클라이언트-서버-클라이언트:''' 화상 회의와 같은 애플리케이션에 안전한 P2P(피어 투 피어) 연결을 설정한다.

4. 1. 클라이언트-게이트웨이 모델

소프트웨어 정의 경계(SDP) 배포 방법에는 여러 가지가 있으며, 각 방법은 특정 시나리오에 적합하다. 게이트웨이 뒤에 있는 서버를 보호하여 네트워크 내 또는 인터넷에서 발생하는 측면 이동 공격을 완화한다.

4. 2. 클라이언트-서버 모델

소프트웨어 정의 경계(SDP) 배포 방법에는 여러 가지가 있으며, 각 방법은 특정 시나리오에 적합하다. 클라이언트-서버 방식은 클라이언트-게이트웨이 방식과 유사하지만, 보호된 서버가 SDP 소프트웨어를 직접 실행한다는 차이점이 있다.

방식설명
클라이언트-게이트웨이게이트웨이 뒤에 있는 서버를 보호하여 네트워크 내 또는 인터넷에서 발생하는 측면 이동 공격을 완화한다.
클라이언트-서버클라이언트-게이트웨이와 유사하지만 보호된 서버가 SDP 소프트웨어를 직접 실행한다.
서버-서버API를 제공하는 서버 간의 통신을 보호한다.
클라이언트-서버-클라이언트화상 회의와 같은 애플리케이션에 안전한 P2P(피어 투 피어) 연결을 설정한다.


4. 3. 서버-서버 모델

서버-서버 모델은 API를 제공하는 서버 간의 통신을 보호한다.

4. 4. 클라이언트-서버-클라이언트 모델

소프트웨어 정의 경계(SDP) 배포 방법 중 하나로, 화상 회의와 같은 애플리케이션에 안전한 P2P(피어 투 피어) 연결을 설정하는 데 사용된다.

5. SDP 활용 분야

SDP는 다양한 상황에서 보안 이점을 제공한다.


  • '''기업 애플리케이션 격리:''' 네트워크 내에서 무단 접근으로부터 민감한 애플리케이션을 보호한다.
  • '''클라우드 보안:''' 공용, 사설 및 하이브리드 클라우드 배포를 보호한다.
  • '''사물 인터넷(IoT):''' IoT 장치를 관리하는 백엔드 애플리케이션을 보호한다.

5. 1. 기업 애플리케이션 격리

SDP는 다양한 상황에서 보안 이점을 제공한다. 기업 애플리케이션 격리는 네트워크 내에서 무단 접근으로부터 민감한 애플리케이션을 보호한다.

5. 2. 클라우드 보안

SDP는 공용, 사설 및 하이브리드 클라우드 배포를 보호한다.

5. 3. 사물 인터넷 (IoT) 보안

소프트웨어 정의 경계(SDP)는 사물 인터넷(IoT) 장치를 관리하는 백엔드 애플리케이션을 보호하는데 사용될수 있다.

참조

[1] 웹사이트 Software Defined Perimeter https://cloudsecurit[...] Cloud Security Alliance 2014-01-29
[2] 웹사이트 Gartner SDP Guide https://www.gartner.[...]


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com