제로 트러스트 액세스 탐색
제로 트러스트 액세스(ZTA)는 기본적으로 어떤 사용자나 장치도 신뢰할 수 없다고 가정하는 보안 모델입니다.
ZTA는 애플리케이션 및 데이터에 대한 모든 액세스가 사용자의 신원 확인 및 위험 평가 후에만 최소 권한 기준으로 부여되도록 합니다.
제로 트러스트 - 정책 기반 세션 액세스
ServiceNow® 제로 트러스트 - 정책 기반 세션 액세스(세션 액세스)를 통해 조직은 IP 주소, 위치, 인증 방법, 사용자 역할, 그룹, MFA가 있는 사용자 및 ID 공급자(IDP)가 공유하는 특성을 비롯한 다양한 요소를 기반으로 웹 세션에서 사용자 권한을 동적으로 줄일 수 있습니다. 이렇게 하면 권한이 높은 사용자가 신뢰할 수 없는 장치 또는 위치에서 애플리케이션에 액세스하는 경우에도 무단 액세스 및 데이터 침해로부터 조직을 보호할 수 있습니다.
이를 통해 보안 관리자는 적응식 인증 정책을 사용하여 IP 주소, 위치, ID 제공자 속성 및 사용자 속성을 기반으로 세션에서 사용자 액세스를 줄이거나 제한할 수 있습니다.
- 세션 액세스 구성은 security_admin 역할로만 수행할 수 있습니다. 역할을 security_admin로 승격해야 합니다.
- 세션 액세스는 통합을 지원하지 않습니다.
- 축소되거나 제한된 역할이 사용자에게 할당되지 않은 경우 세션 액세스는 영향을 주지 않습니다. 이 경우 로그인한 세션은 변경되지 않습니다. 사용자는 할당된 권한으로 인스턴스에 계속 액세스할 수 있습니다.
- 사용자가 이미 인스턴스에 로그인되어 있고 동시에 관리자가 정책을 구성하는 동안에는 세션 액세스가 영향을 미치지 않습니다. 정책을 적용하려면 사용자가 세션에서 로그아웃해야 합니다.
- 사용자가 신뢰할 수 있는 네트워크에 있다가 나중에 세션 내에서 VPN(위치 또는 네트워크 변경)으로 전환할 때 세션 액세스는 영향을 주지 않습니다.
- 세션 액세스는 로그인 시 적용됩니다. 세션 중에 위험 매개 변수를 변경해도 액세스 권한이 감소하지 않습니다. 예를 들어 세션을 설정한 후 사용자가 회사 네트워크에서 신뢰할 수 없는 네트워크로 전환해도 사용자가 로그아웃했다가 다시 로그인하지 않는 한 액세스 권한이 감소하지 않습니다.
사용 사례
다음은 제로 트러스트 액세스의 몇 가지 사용 사례입니다.
- 세션과 관련된 위험에 따라 권한을 줄입니다. 예를 들어 신뢰할 수 있는 네트워크 외부에서 로깅하는 이행자 역할 사용자는 세션에 대한 요청자 역할만 갖도록 구성할 수 있습니다.
- 사용자가 신뢰할 수 없는 장치를 사용하는 경우 사용자 세션에 대한 침입 탐지 및 방지(IDP) 응답에 따라 액세스를 줄입니다. 자세한 내용은 세션 액세스를 위한 IDP 속성 구성 문서를 참조하십시오.
이 역할 강등은 사용자가 세션에서 다른 기존 권한을 갖지 않도록 합니다. 사용자가 신뢰할 수 있는 네트워크에서 로그인하는 경우 세션에 대해 기존의 모든 권한이 할당됩니다.
여러 IP 조건과 여러 역할 또는 그룹 할당을 정책의 일부로 정의할 수 있습니다.
제로 트러스트 액세스 - 모바일
적응식 인증 정책 내에서 제로 트러스트 액세스 - 세션 액세스 정책을 사용하여 모바일에서 특정 세션의 역할 또는 권한을 줄일 수 있습니다.
제로 트러스트 액세스 - 세션 액세스 모바일은 시스템 속성 테이블에서 glide.authenticate.session_access.mobile.enabled 를 활성화하여 활성화할 수 있습니다.
IDP 속성과 함께 제로 트러스트 액세스 - 세션 액세스 모바일을 사용하려면 glide.authenticate.session_access.mobile.refresh_token_interval 필드를 구성할 수 있습니다. 이를 통해 관리자는 새로 고침 토큰을 기반으로 세션 액세스를 효과적으로 제어할 수 있습니다.
자세한 내용은 Configure Zero Trust Access for mobile 문서를 참조하십시오.