개요
VMware의 제로 트러스트 네트워킹 및 아키텍처 백서에는 Zero Trust Architecture (ZTA) 채택을 위한 실행 가능한 권장 사항이 나와 있습니다. 이전 ACT–IAC Zero Trust Pillars에 따라 이러한 지침을 통해 ZT 구현 계획을 개발하도록 지시하는 Cyber Executive Order (EO) 14028의 Section 3에 대응하여 이 세트 또는 권고사항을 제공한다. 네트워크 보안을 설계하는 동안 이 문서를 사용하면 향후 수개월 내에 마무리될 OMB, DoD & DHS/CISA ZT 지침의 향후 ‘최종’ 버전과의 구축 및 통합 노력을 시작할 수 있는 조기 보증을 제공하는 데 도움이 될 수 있다.
VMware는 초안 및 최종 버전에 대한 솔루션 구현 및 통합을 위한 추가 조정 및 전략에 대한 권장 사항을 지속적으로 제공할 예정입니다. 예를 들어, VMware는 아래에 표시된 새롭고 향상된 CISA 기반 요소를 통합하기 위해 솔루션 조정 및 향후 백서를 보강할 예정입니다. 이는 ACT와 달리 ‘Data’ 필러(pillar)를 포함하고 있으며, OMB/DoD 지침으로 보다 쉽게 전환할 수 있도록 지원합니다.
VMware 제로 트러스트 프레임워크 및 규정 준수
VMware의 제품 및 솔루션은 업계 최고의 여러 권고 사항 및 위원회에서 설명한 제로 트러스트의 필러와 일치합니다. 계속해서 읽어보고 ACT-IAC 및 이전 NIST 구성요소에서 제공하는 제로 트러스트 프레임워크를 VMware 제품이 어떻게 지원하는지 알아보십시오.
ACT-IAC Zero Trust 프레임워크와의 VMware 연계
VMware의 제품 및 솔루션은 2019년 4월 18일자 ACT-IAC 제로 트러스트 백서에 설명된 제로 트러스트의 핵심 요소와 일치합니다.
| ACT-IAC Zero Trust Pillar | VMware Solution | Description |
|---|---|---|
| User- People/Identity Security | Workspace ONE | 신뢰할 수 있는 사용자의 지속적인(ongoing) 인증을 사용합니다. 플랫폼에 내장된 Identity and Access Management 관리 도구 사용. |
| Devices – Device Security | Workspace ONE, Carbon Black, Mobile Threat Defense (MTD) | 신뢰를 설정한 후 응용프로그램에 대한 최소 권한 액세스를 활성화하여 공격 영역을 줄입니다. 실시간 보안 상태, MDM 솔루션을 사용하여 장치-신뢰 평가를 수행합니다. 엔드포인트 준수 여부를 지속적으로 확인합니다. |
| Network – Network Security | NSX, Avi Networks, VeloCloud | 경계 기반 자산에서 세분화 및 격리 자산으로 세분화합니다. 방화벽 기능을 최소 IT 자산으로 축소합니다. 데이터 센터 내 동/서 트래픽을 보호할 수 있는 기능과 하이브리드 및/또는 멀티 클라우드 환경의 클라우드 서비스 공급자를 포함한 보조 위치로 확장할 수 있는 기능을 내장합니다. |
| Applications | Workspace ONE, Horizon, NSX Carbon Black | 애플리케이션 보안 및 관리를 통해 기술 스택을 제어하고 인증의 적절한 사용을 보장합니다. 모든 유형의 엔드포인트 및 모든 유형의 애플리케이션과 호환되는 통합 디지털 작업 공간 솔루션의 제로 트러스트 요구사항을 충족합니다. 모든 애플리케이션, 데이터 및 엔드포인트에 대한 조건부 액세스 제어. |
| Automation | Workspace ONE, Carbon Black, vRealize Suite, VMware Cloud Foundation | 사용자 및 기기 상호 작용 관리를 자동화합니다. 환경에 표준화된 구성을 적용할 수 있는 기능을 통해 사이버 보안에서 인적 오류 요소 제거 |
| Analytics | Workspace ONE, vRealize Suite, NSX, CloudHealth | 장치 및 사용자 동작을 캡처하고 분석합니다. 자동화와 결합되어 신속한 사고 대응을 촉진합니다. 분석 및 머신러닝을 사용하여 조직의 동적 보안 환경에 대한 통찰력을 제공합니다. 개방적이고 확장 가능하며 SIEM(Security Information & Event Management)과 같은 파트너 보안 솔루션과 통합할 수 있습니다. |
VMware와 NIST Special Publication 800-207: Zero Trust Architecture 연계
VMware의 제품 및 솔루션은 NIST Special Publication 800-207: Zero Trust Architecture에 수록된 Zero Trust 테넌트와 일치합니다. 다음 목록은 그 방법을 설명합니다. 자세한 내용을 보려면 드롭다운 메뉴 항목을 확장하십시오.
I. 모든 데이터 소스와 컴퓨팅 서비스는 리소스로 간주됩니다.
통합 엔드포인트 관리 시스템은 엔드포인트(데스크톱/노트북, 모바일 또는 IoT)를 살펴보고 해당 엔드포인트가 준수 리소스인지 확인합니다. 또한 엔드포인트 리소스의 소유권 및 관리 범위를 개별적으로 고려해야 합니다. 엔드포인트를 신뢰할 수 있으면 사용자 ID가 확인되고 리소스에 대한 액세스가 부여됩니다. 엔드포인트 리소스의 예로는 장치, 정형 또는 비정형 데이터의 특정 블록, Workspace One을 포함한 ID 개체 및 시스템, 이를 연결하는 애플리케이션 또는 전송 영역을 들 수 있습니다.
II. 모든 통신은 네트워크 위치에 관계없이 보호됩니다. 네트워크 위치가 트러스트를 의미하지 않습니다. 개별 엔터프라이즈 리소스에 대한 액세스 권한은 세션별로 부여됩니다.
Unified Access Gateway는 Workspace ONE 및 VMware Horizon 구현 내의 구성 요소로, 네트워크 위치에 관계없이 동적 액세스 정책별로 외부 네트워크에서 다양한 내부 리소스에 안전하게 원격 액세스할 수 있습니다.
- 모바일 및 데스크톱 플랫폼에서 네이티브 및 웹 애플리케이션을 애플리케이션별로 터널링하여 VMware 터널 서비스를 통해 내부 리소스에 대한 액세스를 보호합니다. 이 고유한 기능을 사용하면 전체 엔드포인트가 아닌 사용 중인 애플리케이션에만 VPN을 등록하여 공격 영역을 줄일 수 있습니다.
- 컨텐츠 게이트웨이 서비스를 실행하여 VMware Workspace ONE 컨텐츠에서 내부 파일 공유 또는 SharePoint 리포지토리로 액세스할 수 있습니다.
- 웹 응용 프로그램의 역 프록시.
- Kerberos 또는 헤더 기반 인증을 사용하는 사내 레거시 애플리케이션에 대한 인증을 위한 ID 브리징.
- Microsoft Azure의 VMware Horizon Cloud Service 및 사내의 VMware Horizon 7에서 데스크톱 및 애플리케이션에 대한 외부 액세스를 보호합니다.
- 마지막으로, 통신 방법이 유효해야 하며, 암호화가 제대로 되어 있어야 합니다. 공격 표면을 더욱 줄이기 위해 각 애플리케이션은 데이터 센터로 연결되는 단일 보안 터널을 가질 수 있습니다.
Workspace ONE은 IT 및 InfoSec을 통해 사용자에게 엔드포인트의 애플리케이션에 대한 제로 트러스트 액세스를 제공합니다. 조건부 액세스, 통합 엔드포인트 관리 및 머신러닝 기반 리스크 분석을 결합합니다. Workspace ONE은 클라우드 기반, 사내 및 가상 애플리케이션에 대한 최소 권한 액세스 권한을 부여하기 전에 사용자 컨텍스트 및 엔드포인트 규정 준수를 지속적으로 확인합니다.
III. 액세스 권한이 부여되기 전에 요청자에 대한 신뢰가 평가됩니다.
상황별 정책은 장치 컴플라이언스 상태, 사용자 인증 강도, 데이터 민감도, 사용자 위치 등을 기반으로 조건부 액세스 정책으로 인증을 제어합니다.
Workspace ONE Access는 정책 엔진을 통한 조건부 액세스를 처리합니다. 사용자가 Workspace ONE Intelligent Hub에서 애플리케이션을 선택한 후 Workspace ONE Access는 사용자의 ID를 확인하거나 요청을 거부하거나 요청을 수락하거나 다중 요소 인증이 필요하거나 액세스를 부여하기 전에 업데이트를 요청합니다.
IV. 리소스에 대한 접근은 관찰 가능한 고객 ID, 애플리케이션 및 요청 자산의 상태를 포함한 동적 정책에 의해 결정되며 다른 행동 속성을 포함할 수 있습니다.
엔드포인트 준수 및 애플리케이션에 대한 조건부 액세스를 지속적으로 검증하면 공격 표면을 줄일 수 있습니다. 이러한 기능을 사용하면 신뢰가 지속적으로 확인되고 엔드포인트, 사용자 및 연결이 완전히 신뢰할 수 있는 경우에만 액세스가 허용됩니다.
또한 VMware는 애플리케이션 및 리소스에 대한 액세스를 제어하고 안전하게 보호하는 적용 지점 역할을 하는 Unified Access Gateway를 제공합니다. Unified Access Gateway는 요청된 액세스 유형에 따라 다른 에지 서비스를 배포할 수 있습니다. 이러한 에지 서비스에는 애플리케이션별 VPN, 컨텐츠 게이트웨이, WRP(Web Reverse Proxy) 및 VMware Horizon Edge Service가 포함됩니다. 애플리케이션별 VPN은 엔터프라이즈 데이터를 엔드포인트의 다른 항목에 노출하지 않고 데이터를 요청하는 엔드포인트의 특정 애플리케이션에만 액세스할 수 있도록 제한합니다. 가상 애플리케이션 및 데스크톱의 보안이 더욱 강화됩니다.
Horizon Edge Service를 통해 가상 인프라에 대한 보안 연결을 지원함으로써 Unified Access Gateway의 기능은 방화벽 뒤의 애플리케이션과 데이터로도 확장될 수 있습니다.
V. 기업은 소유 및 연결된 모든 장치가 가능한 가장 안전한 상태에 있는지 확인하고 자산을 모니터링하여 가능한 가장 안전한 상태로 유지되도록 합니다. 기본적으로 신뢰할 수 있는 장치가 없습니다.
사용자의 ID, 엔드포인트의 준수 또는 기준 동작에서 벗어나는 사항이 변경되면 Workspace ONE은 자동 업데이트 적용을 트리거합니다. Workspace ONE은 사용자를 완전히 차단하는 대신 다단계 인증과 같은 상황을 해결할 수 있는 다양한 옵션을 제공합니다. 사용자는 문제가 해결되는 동안 일시적으로만 검역되었다가 액세스가 복원됩니다.
Workspace ONE Intelligent Hub에서 사용자가 선택하면 Workspace ONE 통합 엔드포인트 관리를 통해 엔드포인트 준수 검사를 트리거합니다. Workspace ONE 통합 엔드포인트 관리는 데스크톱, 가상 및 모바일 엔드포인트를 위한 교차 플랫폼 솔루션입니다.
사용자가 위험에 처해 있거나 엔드포인트가 규정 준수 범위를 벗어난 경우 Workspace ONE Intelligence는 IT 및 InfoSec에 대한 통찰력을 제공하고 자동화 규칙을 설정하여 사용자가 필요한 애플리케이션과 데이터에 실시간으로 액세스할 수 있도록 문제를 해결할 수 있습니다. 이러한 접근 방식은 반응적일 뿐만 아니라 사전 예방적입니다.
NSX는 마이크로-세그멘트를 사용하여 데이터 센터 및 클라우드의 애플리케이션 및 데스크톱에 대한 동서 트래픽을 보호합니다. 따라서 NSX는 전체 아키텍처를 마이크로 세분화하여 공격 표면을 줄입니다.
VI. 모든 리소스 인증 및 인증은 액세스가 허용되기 전에 동적으로 엄격하게 시행됩니다. 이는 지속적인 커뮤니케이션에 대한 액세스, 검색 및 평가, 적응 및 지속적인 신뢰 재평가 주기입니다.
지속적으로 신뢰를 검증하고 액세스를 허용하기 위해 Workspace ONE은 위험 분석과 사용자, 엔드포인트, 애플리케이션 및 전송에 대한 지속적인 모니터링을 제공합니다. Workspace ONE 플랫폼은 엔드포인트, 사용자 및 네트워크에 대한 상황별 위험 평가 개발 타사 보안 제품을 통합합니다. 통찰력, 자동 교정 및 조정 기능을 제공합니다. 사용자의 ID, 엔드포인트의 준수 또는 기준 동작에서 벗어나는 사항이 변경되면 Workspace ONE은 자동 업데이트 적용을 트리거합니다. Workspace ONE은 사용자를 완전히 차단하는 대신 다단계 인증과 같은 상황을 해결할 수 있는 다양한 옵션을 제공합니다. 문제가 해결되는 동안 사용자가 일시적으로 격리된 다음 액세스가 복원됩니다.
VII. 기업은 네트워크 인프라 및 통신의 현재 상태에 대해 가능한 한 많은 정보를 수집하여 보안 상태를 개선하는 데 사용합니다.
Workspace ONE Intelligence는 위협 데이터, 장치 컴플라이언스 및 리스크 분석에 대한 통합된 통찰력을 제공합니다. 이러한 분석을 사용하여 보안 문제를 실시간으로 식별하고 완화합니다.
- 장치 컨텍스트 및 사용자 동작을 기반으로 사용자 위험 점수를 사용하여 지속적인 검증을 활성화합니다.
- 전체 디지털 작업 공간을 실시간 및 지속적으로 모니터링하여 알려진 것과 알려지지 않은 것을 사전에 보호
- 강력한 의사 결정 엔진을 사용하여 문제 해결을 자동화합니다.
Workspace ONE은 완전한 제로 트러스트 아키텍처를 사용하도록 설정할 수 있습니다. 또한 유연하고 확장 가능한 개방형 플랫폼을 통해 현재의 타사 보안 및 IT 서비스 관리(ITSM) 투자를 통합할 수 있습니다. VMware는 Workspace ONE 플랫폼을 위한 광범위한 파트너 에코시스템인 Workspace ONE Trust Network를 보유하고 있습니다.
제로 트러스트 논리 아키텍처
또한 VMware의 제품 및 솔루션은 최신 NIST SP 800-207: Zero Trust Architecture에 설명된 대로 제로 트러스트 아키텍처의 논리적 설계에 적합합니다.
| Architecture Component | Product Action | Vendor Response | Vendor Comments |
|---|---|---|---|
| Policy Engine | Implements/ Enforces | Workspace ONE | Workspace ONE Access는 정책 엔진을 통한 조건부 액세스를 처리합니다. 사용자가 Workspace ONE Intelligent Hub에서 애플리케이션을 선택한 후 Workspace ONE Access는 사용자의 ID를 확인하거나 요청을 거부하거나 요청을 수락하거나 다중 요소 인증이 필요하거나 액세스를 부여하기 전에 업데이트를 요청합니다. 이 솔루션을 사용하면 장치 등록, 네트워크, SSO, 자동화된 장치 교정 및 타사 정보를 활용하여 수십 개의 액세스 정책 조합을 통해 신뢰 수준을 설정하여 지능형 액세스 결정을 내릴 수 있습니다. |
| Policy Admin | Implements/ Enforces | Workspace ONE | Workspace ONE Access는 당사의 솔루션에서 사용자를 인증하는 작업을 수행합니다. Workspace ONE Access는 RADIUS, RSA SecurID, 암호, 외부 ID 공급자를 사용한 SAML 인증 등 다양한 유형의 인증을 지원합니다. 조직은 필요한 경우 다단계 인증을 포함하여 다양한 수준의 인증이 필요한 액세스 정책을 쉽게 구축하고 조정할 수 있지만, 제로 트러스트 솔루션은 인증서 기반 인증을 기반으로 구축됩니다. Workspace ONE Access는 여러 가지 인증서 기반 인증 방법을 지원합니다. PC 및 Mac 장치에서 사용되는 기존의 인증서 기반 사용자 인증 방법 모바일 SSO라고 하는 iOS 및 안드로이드 장치용 자체 인증서 기반 사용자 인증 솔루션 장치 자체의 유효성을 확인하기 위한 인증서 기반 장치 인증 모바일 SSO 기술은 모바일 장치의 앱에 한 번 로그인하고 SaaS 앱을 포함한 모든 권한 있는 애플리케이션에 액세스할 수 있는 기능을 제공합니다. VMware는 SAML(Security Assertion Markup Language) 및 OIDC(OpenID Connect)와 같은 개방형 표준을 활용하여 ID 공급자와 클라우드 내 SaaS 앱과 같은 서비스 공급자 간에 사용자를 인증합니다. 이 기술은 리소스에 액세스하기 위해 암호를 입력할 필요가 없어짐으로써 보안 문제와 암호 크래킹 시도를 해결할 뿐만 아니라 사용자에게 SSO 환경을 제공합니다. |
| Subject | Implements /Enforces | Workspace ONE | 위 내용 참조 |
| System | Implements/ Enforces | Workspace ONE | 위 내용 참조 |
| Policy Enforcement Point | Implements/ Enforces | Workspace ONE | VMware UAG(Unified Access Gateway)는 내부 네트워크에 상주하는 정의된 리소스에 대한 액세스 및 에지 서비스를 제공하는 보안 플랫폼입니다. 이 솔루션은 VMware Workspace ONE 및 VMware Horizon 구현을 위한 보안 게이트웨이 역할을 수행하므로 외부 네트워크에서 다양한 내부 리소스에 대한 안전한 원격 액세스를 지원합니다. UAG는 모바일 및 데스크톱 플랫폼에서 네이티브 및 웹 애플리케이션을 애플리케이션별로 터널링하여 VMware 터널 서비스를 통해 내부 리소스에 액세스할 수 있도록 하는 등 추가 사용 사례를 지원합니다. 이 고유한 기능을 사용하면 전체 엔드포인트가 아닌 사용 중인 애플리케이션에만 VPN을 등록하여 공격 영역을 줄일 수 있습니다. 컨텐츠 게이트웨이 서비스를 실행하여 VMware Workspace ONE 컨텐츠에서 내부 파일 공유 또는 SharePoint 리포지토리로 액세스할 수 있습니다. 웹 응용 프로그램의 역 프록시입니다. Kerberos 또는 헤더 기반 인증을 사용하는 사내 레거시 애플리케이션에 대한 인증을 위한 ID 브리징입니다. Workspace ONE Intelligent Hub는 사용자가 애플리케이션에 액세스하여 일상적인 작업을 수행할 수 있는 포털입니다. 사용자의 각 엔드포인트에는 사용자에게 액세스 권한이 있는 항목으로 사용자 정의된 포털 에이전트가 설치될 수 있습니다. 사용자는 SSO(Secure Single Sign-On)로 한 번 로그인하고 포털에 제공되는 모든 항목을 사용할 수 있습니다. 또한 SSO를 통해 애플리케이션을 통합하여 한 애플리케이션에서 다른 애플리케이션으로 데이터가 흐를 수 있습니다. Workspace ONE Intelligent Hub에서 사용자가 선택하면 Workspace ONE 액세스 및 Workspace ONE 통합 엔드포인트 관리의 보안 검사가 트리거됩니다. |
| Enterprise Resource | Implements/ Enforces | NSX | NSX는 마이크로 세분화를 사용하여 데이터 센터 및 클라우드의 애플리케이션 및 데스크톱에 대한 동서 트래픽을 보호합니다. 따라서 NSX는 전체 아키텍처를 미세 분할하여 공격 표면을 줄입니다. |
| CDM System | Supports/ Enforces | Workspace ONE | 이렇게 하면 엔터프라이즈 자산의 현재 상태에 대한 정보가 수집되고 구성 및 소프트웨어 구성 요소에 업데이트가 적용됩니다. |
| Industry Compliance | Implements/ Enforces | Workspace ONE | Workspace ONE Intelligent Hub에서 사용자가 리소스를 선택하면 Workspace ONE 통합 엔드포인트 관리를 통해 엔드포인트 준수 검사를 트리거합니다. Workspace ONE 통합 엔드포인트 관리는 데스크톱, 가상 및 모바일 엔드포인트를 위한 교차 플랫폼 솔루션입니다. Workspace One Intelligence는 리스크 분석, 통찰력, 자동화된 문제 해결 및 조정을 제공하는 클라우드 서비스입니다. Workspace ONE Intelligence • 머신러닝을 통해 지속적으로 위험 검증 • 한 지리적 영역에서 다른 지역으로의 빠른 이동과 같은 맥락에서 사용자 행동 이상 징후 감지 • 사용자 및 엔드포인트 위험 점수 생성 • 정적이 아닌 동적인 보안 알고리즘을 사용 • 여러 측면에서 데이터를 수집하여 보안 경고 피로 감소클라우드에서 엔드포인트 규정 준수를 실시간으로 시행하고 사용자가 위험에 처해 있거나 엔드포인트가 규정 준수를 벗어난 경우 Workspace ONE Intelligence는 IT 및 InfoSec에 대한 통찰력을 제공하고 자동화 규칙을 설정하여 사용자가 필요한 애플리케이션과 데이터에 실시간으로 액세스할 수 있도록 합니다. 이러한 접근 방식은 반응적일 뿐만 아니라 사전 예방적입니다. |
| Threat Intelligence | Implements/ Enforces | Workspace ONE, Carbon Black | Workspace ONE Trust Network는 Workspace ONE 플랫폼에 구축된 API를 활용하여 신뢰 프레임워크를 제공합니다. 이러한 API를 통해 풍부한 보안 솔루션 에코시스템이 Workspace ONE과 통신하고 궁극적으로 관리자가 보안 및 관리를 단순화하는 데 원하는 통합 뷰를 제공할 수 있습니다. 보안 솔루션 사일로를 연결하여 조직은 기존 투자를 활용하여 지속적인 모니터링 및 리스크 분석을 기하급수적으로 개선하여 대응 시간을 단축할 수 있습니다. 따라서 배포에 따라 확장할 수 있는 추세와 패턴을 기반으로 하는 예측 보안 전략이 수립됩니다. |
| Activity Logs | Implements/ Enforces | Workspace ONE, vRealize Suite | VMware Workspace ONE Intelligence는 여러 내부 및 외부 소스의 데이터를 집계, 상호 연결 및 분석함으로써 즉시 사용 가능한 고급 고객 대시보드 및 보고서를 제공하여 조직이 디지털 작업 공간의 상태를 시각화할 수 있도록 지원합니다. 또한 보안 상태, 새로운 보안 위협의 영향, 상황별 리스크 분석, 장치 및 OS 컴플라이언스, 상태 디지털 직원 환경에 대한 통찰력을 제공합니다. |
| Data Access Policy | Implements/ Enforces | Workspace ONE | VMware Workspace ONE Intelligence는 여러 내부 및 외부 소스의 데이터를 집계, 상호 연결 및 분석함으로써 즉시 사용 가능한 고급 고객 대시보드 및 보고서를 제공하여 조직이 디지털 작업 공간의 상태를 시각화할 수 있도록 지원합니다. 또한 보안 상태, 새로운 보안 위협의 영향, 상황별 리스크 분석, 장치 및 OS 컴플라이언스, 상태 디지털 직원 환경에 대한 통찰력을 제공합니다. |
| PKI | Supports/ Enforces | Workspace ONE integration w/third party PKI | Workspace ONE UEM은 기존 PKI가 없는 고객을 위한 SaaS 인증 기관(CA) 역할을 할 수 있습니다. 기존 PKI를 사용하는 고객의 경우 Workspace ONE UEM이 하위 CA 역할을 할 수도 있습니다. CA 역할을 하면 고객은 사내 PKI를 설정하고 관리할 필요 없이 VPN 주문형, 인증서 기반 Wi-Fi 인증 및 인증서 기반 Exchange ActiveSync 인증과 같은 Workspace ONE UEM 및 모바일 장치 플랫폼에서 모두 지원하는 고급 모바일 보안 기능을 활용할 수 있습니다. Workspace ONE UEM은 클라우드 및 사내 구축 모델 모두에서 인증 기관, PKI(공개 키 인프라) 또는 타사 공급자와 직접 통합됩니다. 관리자는 Wi-Fi, VPN 및 Microsoft EAS를 포함한 여러 시스템에 대한 인증서를 구성할 수 있으며 사용자 개입 없이 장치에 인증서를 자동으로 배포할 수 있습니다. |
| ID Mgt. | Supports/ Enforces | Workspace ONE | Workspace ONE Access는 조직에서 이미 사내, SaaS(Software-as-a-Service), 웹 및 네이티브 애플리케이션 간에 인증을 활성화하기 위해 사용하고 있는 ADFS(Active Directory Federation Services), Azure AD, Okta 및 Ping ID를 포함한 다른 ID 저장소 및 공급자에 대한 브로커 역할을 합니다.ID 환경을 다시 설계합니다. |
| SIEM System | Supports/ Enforces | Workspace ONE | 인텔리전스 및 Log Insight에 수집된 로그. |
Zero Trust Operationalization
VMware의 제품 및 솔루션은 NIST SP 800-207: Zero Trust Architecture 3.1 및 3.2에서 참조한 대로 제로 트러스트용으로 구현 및 운영될 수 있습니다.
| Device Agent/ Gateway Based | Enclave-Based | Resource- Portal Based | Device Application Sandboxing | |
| Identity Governance | Workspace ONE | Workspace ONE | Workspace ONE | VMs, Containers, NSX, VMware SDDC, Workspace ONE |
| Micro-Segmentation | NSX | NSX | NSX | VMs, Containers, NSX, VMware SDDC, Workspace ONE |
| Network & SDN Perimeters | NSX | NSX | NSX | VMs, Containers, NSX, VMware SDDC, Workspace ONE |
VMware를 통해 NIST 800-53 보안 제어 구현
VMware는 상세한 운영 사양과 함께 광범위한 시나리오에서 전체 소프트웨어 정의 데이터 센터(SDDC) 및 최종 사용자 컴퓨팅(EUC) 소프트웨어를 구현 및 구성할 수 있는 규범적 설계를 기관에 제공하는 규범적 문서를 발행하여 표준 준수에 대한 프로그램적 접근 방식을 취했습니다. 우리는 이러한 청사진을 VMware VVD(Validated Designs)라고 부르며 고객이 사용할 수 있도록 자유롭게 게시합니다. 이러한 VVD는 기관 자체, VMware PSO(Professional Services Organization) 또는 VVD 공인 파트너에 의해 구축될 수 있습니다. 당사는 Coalfire Systems, Inc. 및 Tevora와 같은 공인 컴플라이언스 파트너와 협력하여 CJIS, HIPAA 및 NIST 800-53과 같은 여러 표준에 대한 VMware 스택의 규정 준수를 평가하기 위한 적용성 가이드를 발행합니다. 이러한 문서는 기관 및 해당 파트너가 시스템 규정 준수를 달성하고 유지하는 데 도움이 됩니다. VMware는 VCF(VMware Cloud Foundation)를 통해 퍼블릭 및 프라이빗 클라우드 모두에 이러한 시스템의 구현, 관리 및 유지보수를 자동화함으로써 이러한 기능을 더욱 발전시켰습니다.
NIST 800-53에 대한 VMware SDDC 및 EUC 제품의 구체적인 매핑은 VMware 영업 담당자와 계약을 체결하거나 연방 클라우드 호스팅 관점에서 연방 정부 기관 ATO 포털용 GSA FedRAMP 프론트도어 요청 툴 및 Securi와 관련된 광범위한 세부 정보가 포함된 보안 패키지를 통해 요청할 수 있습니다.Ty 평가 결과/보고서 및 준비도 평가 보고서:
DHS CDM 기능에 매핑된 제로 트러스트 필러과 VMware 조정
VMware의 제품 및 솔루션은 DHS CDM(Continuous Diagnostics and Methigation) 기능과 함께 매핑될 경우 제로 트러스트 필러와 일치합니다.
요약 및 추가 리소스
이 백서에서는 업계 최고의 출판물에서 정의한 제로 트러스트의 테넌트 및 아키텍처와 VMware 제품 및 솔루션이 어떻게 연계되는지 자세히 설명합니다.
컨트롤에 대한 자세한 내용은 다음 부록을 참조하십시오.
저자 및 기여자 정보
Andrew Osborn은 VMware에서 EUC(End-User Computing) 규정 준수/규제를 위한 전담 ‘Staff Technical Marketing Architect’ 역할을 수행하고 있습니다. 그는 지난 8년 동안 공공 부문에서 수많은 기술과 아키텍처를 아우르는 Cybersecurity, Networking, Enterprise Ops, Mobility & Telco 솔루션에 걸친 역할을 포함하여 IT 산업 분야에서 20년 이상의 경력을 가지고 있습니다. Andrew는 오클라호마 대학에서 ISC2 CISSP & GIAC GSLC 자격증을 취득했으며 텍사스 주 샌안토니오에 기반을 두고 있습니다. 그는 VMware의 기술 영역에 참여하여 VMware EUC의 연방, 주, 지역 및 교육(SLED) 솔루션에 대한 맞춤형 메시지를 제공할 예정입니다.
출처 : https://techzone.vmware.com/resource/vmware-zero-trust-networking-and-architecture-whitepaper
