[AWS / NCP] 기반 제로 트러스트 아키텍처 예시!!

 

 

 

클라우드 환경에서 VPN 없이 안전하게 접근하는 방법

클라우드 환경에서는 더 이상 IP 기반 신뢰, 내부망 신뢰는 통하지 않습니다.
AWS와 NCP 모두 Identity 중심 보안을 강화할 수 있는 구성 요소를 제공하며,
이를 조합하면 실전형 제로 트러스트 아키텍처를 구현할 수 있습니다.

---

제로 트러스트 아키텍처 전체 개요

 

[User / Device] │ ▼ [Identity Provider (SSO/MFA)] │ ▼ [ZTNA / Access Gateway] │ ▼ [Application / API] │ ▼ [Database / Internal Service]

핵심 포인트는 다음 3가지입니다.

1️⃣ 네트워크가 아니라 ID 기준 접근
2️⃣ 애플리케이션 단위 접근 제어
3️⃣ 지속적인 검증과 로그 수집

---

1️⃣ 사용자 & 디바이스 영역

공통 개념

• 사용자: 사내 직원, 협력사, 외주
• 디바이스: 회사 지급 PC, 등록된 개인 PC

적용 원칙

• MFA 필수
• 신뢰된 디바이스만 접근 허용
• 위치·시간·행위 기반 조건부 접근

---

2️⃣ Identity Provider (인증 계층)

🔹 AWS 환경

구성 예시

• AWS IAM Identity Center (SSO)
• 연동 IdP: Azure AD / Okta / Keycloak

특징

• SSO + MFA
• 역할(Role) 기반 권한
• 계정·리소스 접근 분리

---

🔹 NCP 환경

구성 예시

• NCP IAM + 외부 IdP 연동
• SAML / OIDC 기반 인증

특징

• 콘솔·서버·API 접근 통합
• CSAP 요구사항 충족에 유리

---

3️⃣ ZTNA (Zero Trust Network Access) 계층

🔐 핵심 역할

• VPN 대체
• 네트워크 전체가 아닌 애플리케이션 단위 접근

---

🔹 AWS ZTNA 아키텍처 예시

 

User ↓ IdP (SSO/MFA) ↓ AWS Verified Access ↓ ALB ↓ Private Subnet App

구성 요소

• AWS Verified Access
• Application Load Balancer
• Private Subnet

특징

• 퍼블릭 IP 없이 내부 서비스 접근
• 사용자·디바이스 상태 기반 접근 제어

---

🔹 NCP ZTNA 아키텍처 예시

 

User ↓ IdP ↓ Secure Access Gateway (ZTNA) ↓ Private Server (VPC)

구성 요소

• Secure Access Gateway
• Private Subnet 서버
• VPC Security Group

특징

• VPN 없이 내부 시스템 접근
• 공공·금융 환경에 적합

---

4️⃣ 애플리케이션 계층 (Application Layer)

적용 원칙

• 서비스별 접근 정책 분리
• 인증 토큰 기반 접근
• L7 수준 제어

AWS 예시

• ALB + OIDC 인증
• API Gateway + Lambda Authorizer

NCP 예시

• Load Balancer + 인증 연동
• API Gateway + IAM 인증

---

5️⃣ 네트워크 분리 & 마이크로 세그멘테이션

AWS

• VPC Subnet 분리
• Security Group 간 최소 허용
• NACL 보조 제어

NCP

• VPC Subnet 분리
• ACG(Access Control Group)
• 서버 간 통신 제한

👉 “서버끼리는 기본 차단”이 원칙

---

6️⃣ 서버 & 워크로드 접근 (관리자 접근)

❌ 기존 방식

• Bastion 서버
• 고정 IP 허용

✅ 제로 트러스트 방식

AWS

• SSM Session Manager
• IAM Role 기반 접근
• SSH 포트 제거

NCP

• 서버 접속 제어 + 계정 통제
• IP 기반 접근 최소화

---

7️⃣ 데이터베이스 접근

원칙

• DB 직접 접속 금지
• 애플리케이션 경유 접근

AWS

• RDS Private Endpoint
• IAM DB Authentication

NCP

• Cloud DB Private Access
• 계정·접근 로그 필수 수집

---

8️⃣ 로깅 & 모니터링 (지속 검증)

AWS

• CloudTrail (계정 활동)
• VPC Flow Logs
• GuardDuty
• CloudWatch Logs

NCP

• Cloud Activity Tracer
• VPC Flow Log
• Security Monitoring

👉 UEBA 연계 시 내부자 위협 탐지 가능

---

AWS vs NCP 제로 트러스트 구성 비교

항목	AWS	NCP
SSO	IAM Identity Center	IAM + 외부 IdP
ZTNA	Verified Access	Secure Access Gateway
서버접근	SSM Session Manager	서버 접근 제어
로깅	CloudTrail	Activity Tracer
규제 대응	글로벌 표준	CSAP·공공 친화

---

실전 구축 시 권장 아키텍처 조합

✔ 중소기업

• SSO + MFA
• ZTNA 우선 적용
• VPN 단계적 제거

✔ 금융·공공

• IdP 이중화
• ZTNA + 마이크로 세그멘테이션
• 접근 로그 1년 이상 보관

---

결론: AWS / NCP 제로 트러스트의 핵심

✔ VPN 없는 안전한 접근
✔ 사용자·디바이스 중심 인증
✔ 애플리케이션 단위 접근 제어
✔ CSAP / ISMS 대응 구조

클라우드 환경에서 제로 트러스트는 더 이상 옵션이 아닌 기본 아키텍처입니다.