기업들이 클라우드로 이전하고, 클라우드 운영 모델을 채택함에 따라 보안에 대한 새로운 접근방식이 요구되고 있다. 기본적으로 아무것도 신뢰하지 않고, 모든 것을 인증, 승인하는 보안 정책이 필요하며, 이를 일반적으로 제로 트러스트(Zero Trust) 보안이라고 한다. 최근 클라우드로의 이행이 가속화되면서 기존의 보안 방식과의 격차가 확대되면서 보안 침해 사례가 크게 증가하고 있다. 하시코프의 클라우드 전략현황 조사에 따르면, 응답자의 89%가 클라우드 성공을 결정짓는 가장 중요한 요소로 보안을 꼽았으며, 기업들은 제로 트러스트 보안 도입을 서두르고 있는 상황이다.

멀티 클라우드 위한 인프라 자동화 소프트웨어 기업인 하시코프(HashiCorp) 또한 원격 액세스 제품인 HCP(HashiCorp Cloud Platform) 바운더리(Boundary)를 공식 출시함으로써 제로 트러스트 보안에 한발 다가설 수 있게 됐다. 이번 릴리스를 통해 하시코프는 HCP 볼트(Vault)와 HCP 컨설(Consul)에 이어 클라우드용으로 구현된 애플리케이션과 네트워크, 사용자를 보호하는 바운더리를 추가해 제로 트러스트 보안 솔루션을 제공할 수 있게 됐다.

하시코프의 제로 트러스트 보안에 대한 접근방식은 아이덴티티(Identity)를 사용해 멀티 클라우드와 온프레미스나 하이브리드 환경 전반에 걸쳐 애플리케이션과 네트워크, 사용자를 보호하는데 중점을 두고 있다. 이는 공격대상(Attack Surface)을 줄이고, 복잡한 보안 워크플로우를 자동화할 수 있으며, 사용자와 머신과 서비스에 대한 인증을 보장하고, 모든 작업의 승인은 물론 데이터 보호가 가능하다.

기업들이 기존의 온프레미스 데이터센터에서 멀티 클라우드, 하이브리드와 엣지 환경으로 전환함에 따라 인프라 보안은 규모에 따라 더욱 복잡해지고 있다. 하시코프의 제로 트러스트 솔루션은 이번 HCP 바운더리 출시로 애플리케이션과 네트워크, 사용자 등 3가지 측면을 모두 관리할 수 있게 됐다.

우선 하시코프 볼트는 다수의 플랫폼과 아이덴티티 프로바이더를 통합해 일관된 방법으로 애플리케이션 아이덴티티를 관리할 수 있다. 볼트는 동적으로 변경되는 자격증명과 PKI 인증서, API 토큰을 비롯해 애플리케이션과 데이터베이스 간의 세분화된 액세스 제어와 인증을 지원하며, 전송이나 저장 중인 애플리케이션 데이터를 항상 안전하게 보호한다.

또한 하시코프 컨설은 애플리케이션과 서비스 간의 네트워크 트래픽을 보호하고, 세분화된 액세스 제어 정책과 옵저버빌리티(Observability), 트래픽 형성을 지원한다. 컨설은 볼트의 아이덴티티 플랫폼과 통합해 애플리케이션 아이덴티티를 정책에 활용하고, 동적 PKI를 지원할 수 있다.

이번에 추가된 하시코프 바운더리는 적합한 사용자가 올바른 시스템과 클라우드 서비스에 액세스할 수 있도록 보장하며, 자격증명 배포와 발급 또는 사설 네트워크 노출이나 정적 자격증명 관리가 필요하지 않다. 바운더리는 볼트와 통합돼, 임시 자격증명을 발급하고, 중요 시스템에 대한 일시적 액세스를 지원할 수 있다.

HCP 바운더리는 클라우드 운영 모델을 위한 안전한 원격 액세스 솔루션으로, VPN과 같은 기존 SDP(Software-Defined Perimeter) 솔루션과 IP 기반의 수동적인 PAM(Privileged Access Management) 솔루션보다 향상된 기능을 제공한다. HCP 바운더리를 통해 인증을 세분화하고, 인증 제어나 신속한 사용자 온보딩 등을 처리할 수 있으며, 임시 리소스에 대한 대상 검색과 자격증명 관리 워크플로우를 자동화할 수 있다. 클라우드 기반 서비스인 HCP 바운더리는 인력과 기술 부족으로 클라우드 전환에 따른 보안 문제로 어려움을 겪는 기업들에게 이점을 제공한다.

HCP 바운더리를 사용하면, IT 팀이나 사용자의 세션 연결과 설정, 자격증명 발급이나 폐기를 하면서도 필요한 중요 시스템에 안전하게 액세스할 수 있다. 또한 바운더리는 운영이나 보안 팀이 클라우드 서비스 카탈로그나 온프레미스 리소스를 동적으로 불러오고, 시스템과 사용자, 그룹의 액세스 정책을 매핑할 수 있는 기능을 제공한다. 이를 위해 바운더리는 볼트를 활용해 암호 없이 연결할 수 있고, 사용 후에는 해당 자격증명을 폐기한다. 이를 통해 자격증명과 네트워크, 리소스와 같은 중요한 정보가 사용자나 외부 행위자에게 노출되지 않도록 할 수 있다.