기술 지원
문서
로그인
문의하기
TuxCare 블로그
기존의 보안 모델은 내부 네트워크 내부의 모든 것을 신뢰할 수 있다고 가정하지만 이러한 접근 방식은 더 이상 유효하지 않습니다. 최신 엔터프라이즈 환경을 보호하려면 기존의 사이버 보안 방어보다 더 많은 것이 필요합니다. 즉, 경계 방어에 사용되는 것 이상으로 진화한 위협에 대응하기 위해 보안 조치를 조정해야 합니다.
이것이 바로 기업들이 제로 트러스트 아키텍처(ZTA)로 전환하는 이유입니다. 그렇다면 Linux에서 제로 트러스트 보안을 구현하려면 어떻게 해야 할까요? 이 가이드는 멀티팩터 인증 적용부터 실행 가능한 단계를 제공합니다. 멀티팩터 인증 및 마이크로 세분화부터 지속적인 모니터링에 이르기까지 실행 가능한 단계를 제공하여 Linux 시스템을 효과적으로 잠글 수 있습니다. 지금 바로 시작하세요.
제로 트러스트 아키텍처란 무엇인가요?
제로 트러스트 아키텍처(ZTA)는 "절대 신뢰하지 않고 항상 확인한다"는 원칙을 기반으로 하는 보안 모델입니다. 이는 기본적으로 사용자, 디바이스, 애플리케이션이 기업 네트워크 내부에서 작동하든 외부에서 작동하든 관계없이 암묵적인 신뢰를 얻지 않는다는 것을 의미합니다.
기존의 보안 경계와 달리 ZTA는 전체 네트워크 수준이 아닌 개별 리소스 수준에서 '벽'을 구축합니다. 핵심 원칙에는 최소 권한 액세스, 마이크로 세분화, 지속적인 인증이 포함됩니다. Linux 엔터프라이즈 환경에서 이는 액세스를 잠그고, 역할 기반 제어를 적용하고, 네트워크를 세분화하여 측면 이동을 방지하는 것을 의미합니다. 모든 액세스 요청에 대해 지속적인 확인을 요구함으로써 ZTA는 맹목적인 신뢰를 제거하여 잘못된 구성, 오래된 소프트웨어, 그리고 권한 에스컬레이션 취약성.
Linux 기업에서 제로 트러스트를 구현하기 위한 실용적인 단계
제로 트러스트는 시스템 수준에서 적절하게 적용되어야만 효과적입니다. 다음 단계에서는 시스템 관리자가 Linux 인프라에 제로 트러스트 아키텍처를 통합하는 데 도움이 되는 실용적인 구현 방법과 예제를 제공합니다.
1. 신원 및 액세스 제어 강화
ID 및 액세스 관리를 강화하면 권한이 없는 사용자가 중요한 시스템에 액세스하는 것을 방지할 수 있습니다.
SSH에 다단계 인증(MFA) 적용하기
MFA는 여러 인증 요소를 요구하여 보안을 크게 강화합니다. Google 인증기를 사용하여 구현하는 방법은 다음과 같습니다:
1단계: Google 인증 관리자 설치
데비안/우분투에서:
sudo apt 설치 libpam-google-authenticator
RHEL/알마 리눅스/록키 리눅스에서:
sudo dnf 설치 Google-authenticator
다음으로 다음 명령을 실행하여 Google 인증서를 구성합니다.
sudo 구글-인증자
다음과 같은 메시지가 표시됩니다. y를 입력하고 Enter 키를 누릅니다.
인증 토큰을 시간 기반 토큰으로 사용하시겠습니까(예/아니요)?
QR코드와 비밀 키가 생성됩니다. 다음과 같은 앱 인증기로 QR 코드를 스캔합니다. Google 인증기 와 같은 앱 인증기로 QR 코드를 스캔하고 단말기에 앱의 코드를 입력합니다. 그런 다음 나머지 질문에 답하여 프로세스를 완료합니다.
2단계: SSH에서 MFA 활성화
etc/pam.d/sshd를 편집하고 다른 줄 앞에 다음 줄을 추가합니다:
인증 필요 pam_google_authenticator.so nullok
즐겨 사용하는 텍스트 편집기를 사용하여 파일을 편집합니다.
sudo nano /etc/pam.d/sshd
3단계: MFA를 요구하도록 SSH 구성하기
etc/ssh/sshd_config를 편집하고 이 줄에서 yes로 변경하여 챌린지 응답 인증을 사용하도록 설정합니다:
Kbd대화형 인증 예
마지막으로 SSH를 다시 시작하여 변경 사항을 적용합니다.
sudo systemctl 다시 시작 sshd
최소 권한 원칙 적용
etc/ssh/sshd_config를 편집하여 특정 사용자에 대한 SSH 액세스를 제한할 수 있습니다:
sudo nano /etc/ssh/sshd_config
파일에 다음 줄을 추가합니다:
허용사용자 사용자1 사용자2
SSH 서비스를 다시 시작합니다:
sudo systemctl 다시 시작 sshd
Sudo로 역할 기반 액세스 제어(RBAC) 구현하기
sudo는 다음 용도로 사용할 수 있습니다. RBAC 을 사용하여 관리 권한을 세밀하게 제어할 수 있습니다.
예를 들어 다음 명령을 사용하여 관리자 그룹을 만듭니다:
sudo 그룹 추가 관리자
관리자 그룹에 사용자를 추가합니다:
sudo usermod -aG 관리자 사용자 이름
Sudoers 파일 편집(visudo 사용):
sudo visudo
세분화된 Sudo 규칙 추가(예시):
- '관리자' 그룹의 사용자가 재부팅할 수 있도록 허용하기
관리자 ALL=(ALL:ALL) /sbin/reboot
- "관리자" 그룹의 사용자가 패키지를 업데이트할 수 있도록 허용하기
admin ALL=(root:root) /usr/bin/apt update, /usr/bin/apt upgrade
- 특정 사용자가 특정 스크립트를 실행하도록 허용합니다.
사용자명 ALL=(ALL:ALL) /usr/bin/my_script.sh
참고: %admins ALL=(ALL) ALL은 과도한 권한을 부여하므로 사용하지 마세요.
2. 마이크로 세분화를 통한 Linux 워크로드 보호
워크로드를 세분화하면 공격자가 네트워크 내에서 횡방향으로 이동하는 것을 방지할 수 있습니다.
구성 방화벽 을 구성하여 불필요한 트래픽 제한하기
SSH 및 필수 서비스를 제외한 모든 수신 트래픽을 차단합니다:
sudo ufw 기본값 수신 거부 sudo ufw 허용 ssh sudo ufw 활성화
iptable 사용자의 경우:
sudo iptables -P 입력 드롭
프로세스 격리를 위한 SELinux 또는 AppArmor 적용
SELinux 강제 적용 모드(RHEL/CentOS/AlmaLinux/Rocky Linux)를 활성화합니다:
sudo setenforce 1 sudo sed -i 's/SELINUX=퍼머시브/SELINUX=강제/' /etc/selinux/config
SELinux 정책 위반을 확인합니다:
sudo ausearch -m avc
우분투 사용자의 경우 AppArmor를 사용하세요:
sudo apparmor_status
AppArmor 는 우분투 시스템에서 기본적으로 설치 및 활성화되어 있습니다. 비활성화되어 있는 경우 다음 명령을 실행하여 시스템 부팅 시 자동으로 앱아머를 시작하고 활성화하세요.
sudo systemctl 시작 앱아머 sudo systemctl apparmor 활성화
3. 지속적인 모니터링 및 위협 탐지
제로 트러스트 아키텍처에는 위협이 확대되기 전에 탐지하고 대응할 수 있는 실시간 모니터링 기능이 포함되어야 합니다. 시스템 관리자는 감사 로깅, SIEM 통합, 호스트 기반 침입 탐지, 자동화된 대응을 구성하여 보안 정책을 효과적으로 시행할 수 있습니다.
감사 로깅을 사용하여 감사 활성화하기
데비안/우분투에 auditedd를 설치합니다:
sudo apt 설치 감사
RHEL/AlmaLinux/Rocky Linux에 auditedd를 설치합니다:
sudo yum 설치 감사 sudo systemctl 감사 시작 sudo systemctl 감사 활성화
규칙 구성(예시):
etc/passwd 변경 사항을 모니터링합니다:
sudo auditctl -w /etc/passwd -p wa -k passwd_changes
etc/sudoers 변경 사항을 모니터링합니다:
sudo auditctl -w /etc/sudoers -p wa -k sudoers_changes
중요한 디렉터리를 모니터링하세요:
sudo auditctl -w /var/log/ -p wa -k log_changes
특정 시스템 호출(예: execve)을 모니터링합니다:
sudo auditctl -a always,exit -F arch=b64 -S execve -k process_execution
감사 로그 보기:
sudo ausearch -k passwd_changes
로그 해석하기: 다양한 옵션이 있는 ausearch를 사용하여 로그를 필터링하고 분석하세요.
로그 로테이션: 로그 로테이션: 로그 로테이션을 사용하여 /var/log/감사/감사.log에 대한 로그 로테이션을 구성합니다.
ClamAV로 멀웨어 검사 활성화
멀웨어 검사는 악성 소프트웨어에 대한 추가적인 방어 계층을 제공합니다.
우분투/데비안에 ClamAV를 설치합니다:
sudo apt 설치 클라마브 클라마브-대몬
RHEL/알마리눅스/록키 리눅스에 ClamAV를 설치합니다:
sudo dnf 설치 clamav
clamav-freshclam 서비스를 시작하고 활성화합니다:
설치가 완료된 후 이 명령을 실행하여 바이러스 데이터베이스를 업데이트합니다.
sudo freshclam
clamscan 명령은 지정된 디렉터리에 있는 파일을 검사하는 데 사용됩니다. 예를 들어, 이 명령은 /home/tuxcare 디렉터리를 검사하고 검사 요약을 표시합니다.
sudo clamscan --infected --remove -r /home/tuxcare
예약된 스캔:
크론 작업을 생성하여 클램스캔을 정기적으로 실행하세요.
sudo crontab -e
예: 0 0 * * * sudo clamscan -r / -exclude-dir="^/sys|^/proc|^/dev"
여기,
0 0 * * *: 이렇게 하면 매일 자정에 작업이 실행되도록 예약됩니다.
sudo clamscan -r /: 이 명령은 클램스캔을 실행하여 전체 시스템에서 멀웨어나 바이러스를 재귀적으로 검사합니다.
-exclude-dir="^/sys|^/proc|^/dev": 이 옵션은 ClamAV가 특정 디렉터리(/sys, /proc, /dev)를 검사에서 제외하도록 지시합니다. 이러한 디렉터리에는 일반적으로 바이러스 검사에 유용하지 않은 시스템 파일, 가상 파일 시스템 또는 디바이스가 포함되어 있습니다.
4. 다운타임 없는 패치 관리
패치가 적용되지 않은 Linux 시스템의 취약점은 주요 공격 벡터입니다. 위험을 최소화하기 위해 제로 트러스트 아키텍처는 다운타임 없이 지속적인 패치가 필요하지만, 기존 패치 방식은 엔터프라이즈 환경에서 어려움을 겪습니다.
TuxCare의 KernelCare Enterprise 는 재부팅 없이 패치를 적용하여 시스템을 재부팅하거나 유지 관리 기간을 예약할 필요 없이 실행 중인 커널에 보안 패치를 적용할 수 있습니다. 패치 프로세스를 자동화하여 보안 업데이트가 제공되는 즉시 배포되도록 합니다.
KernelCare를 설치하면 재부팅 대기로 인한 취약성 기간을 없애고 엔터프라이즈 시스템에서 규정 준수를 더 쉽게 유지할 수 있습니다. KernelCare는 RHEL을 비롯한 모든 인기 있는 엔터프라이즈 Linux 배포판에 재부팅 없이 패치를 제공합니다, CentOS, AlmaLinux, CloudLinux, Rocky Linux, Ubuntu, Oracle Linux, 및 Amazon Linux.
최종 생각
기업 환경에서 제로 트러스트 아키텍처를 구현하려면 기존의 경계 기반 보안에서 동적인 ID 중심 접근 방식으로 전환해야 합니다. 강력한 인증, 마이크로 세분화, 지속적인 모니터링, 엄격한 액세스 제어를 시행함으로써 조직은 공격 표면을 크게 줄이고 측면 이동을 방지할 수 있습니다.
하지만 제로 트러스트는 일회성으로 구축하는 것이 아니라 진화하는 위협에 적응해야 하는 지속적인 전략입니다. 강력한 보안 태세를 유지하려면 정기적인 감사, 자동화된 보안 업데이트, 엄격한 정책 시행이 필수적입니다. 이러한 모범 사례를 따르면 Linux 관리자는 최신 사이버 위협으로부터 중요한 자산을 더욱 효과적으로 보호할 수 있습니다.
