Asana, 민감한 자격 증명 및 고객 데이터 보호를 위해 1Password 도입

모든 무단 액세스 시도 차단

하루 만에 1Password 배포

전 직원이 검증된 보안 디바이스 사용

결과

• 민감 시스템 전반에 걸친 보안 정책을 헬프데스크 부담이나 직원 생산성에 영향 없이 기본 디바이스 보안에서 완전한 적용 단계로 전환. 

• 모든 인증이 승인된 규정 준수 디바이스에서 이루어지도록 보장.

• Asana의 기업 및 정부 고객이 요구하는 보안 검토 및 요구 사항 간소화.

• 퇴사한 직원의 개인 디바이스 접근 권한을 즉시 회수하는 오프보딩 프로세스 강화.

• 생산성을 유지하면서 엔지니어링 팀이 자연스럽게 수용한 간편한 배포 방식으로 액세스 보안 확보.

가장 이상적인 보안 도구는 사용자에게 영향을 미치지 않고 IT 부서가 관리하기 쉬우며 본연의 기능을 수행하는 것입니다. 1Password는 이러한 요구 사항을 충족합니다.

Johan Dowdy
Global Head of IT and IT Security at Asana

도전 과제

Asana는 사람과 AI가 협력하여 개인의 스마트한 업무, 팀의 빠른 실행, 조직의 성과 달성을 돕는 업무 실행 시스템입니다.  전 세계 1,700명의 직원을 보유한 Asana는 자격 증명을 안전하게 관리하고 공유하면서, 민감한 시스템에 대한 접근이 승인된 규정 준수 디바이스에서만 이루어지도록 하는 보안 방식이 필요했습니다. 

Asana는 2019년부터 1Password 엔터프라이즈 패스워드 매니저를 사용해 왔으며, 2024년에는 제로 네트워크 보안 환경 구축 목표를 위해 1Password Device Trust를 추가 도입했습니다. 글로벌 IT 및 IT 보안 책임자인 Johan Dowdy는 몇 가지 주요 과제를 해결하기 위해 제로 트러스트 보안 환경 구축이라는 목표를 달성하기 위해 1Password를 선택했습니다:

• 자격 증명 관리. Asana는 분산된 팀 전반에서 자격 증명을 보호하고 공유할 수 있는 단일 보안 공간이 필요했습니다.

• 디바이스 규정 준수. 허용 가능한 사용 정책(AUP) 준수 여부를 검증하고 직원들이 승인된 디바이스에서만 시스템에 접근하도록 보장하는 방법이 필요했습니다.

• 규제 및 엔터프라이즈 요구 사항. FedRAMP 및 엔터프라이즈 고객 요구사항을 포함한 규정 준수 기대치가 높아지면서 더 강력하고 검증 가능한 디바이스 및 ID 보안 통제가 필요했습니다.

• 제로 트러스트 진입점. 대규모의 복잡한 툴링으로 인한 혼란 없이제로 트러스트 보안으로 진입할 수 있는 실용적인 방법이 필요했습니다.

제로 트러스트로 가는 길, 혼란 없이 발전을 선택

Dowdy의 목표는 제로 트러스트 네트워크 아키텍처를 구현해 Asana의 보안 태세를 강화하는 것입니다. 제로 트러스트 전략은 비용이 많이 들고 복잡하며, 비즈니스에 지장을 초래하는 다년간의 작업이 될 수 있습니다. 그래서 Dowdy는 제로 트러스트의 가장 핵심적인 부분인 엔드포인트, 특히 최종 사용자 디바이스 보안에 먼저 집중하는 실용적인 단계별 접근 방식을 선택했습니다. "엔드포인트가 안전하고, 최종 사용자가 신뢰할 수 있는 디바이스를 통해서만 시스템에 로그인하고 있다는 확신이 있어야 합니다."라고 Dowdy가 말합니다.

Dowdy는 두 가지 주요 이유로 1Password를 선택했습니다. 첫째, 1Password Enterprise Password Manager는 이미 Asana 내에서 널리 사용되고 신뢰받는 도구였습니다. 둘째, 1Password Device Trust는 신뢰할 수 없는 액세스를 차단하는 데 다른 솔루션보다 훨씬 간단하고 효과적인 방법을 사용합니다. 1Password Device Trust는 또한 Asana가 사용하는 ID 및 액세스 관리(IAM) 플랫폼인 Okta와의 원활한 통합을 제공했습니다. 

Dowdy가 가장 중요하게 생각한 것은 마찰을 최소화하고, 헬프 데스크의 부담을 최소화하면서, 최종 사용자 경험을 투명하게 제공하는 것이었습니다. 디바이스나 작업이 정책을 준수하지 않는 경우 액세스가 제한된다는 사실을 사용자에게 명확히 알립니다. 한편, 1Password의 하이터치 온보딩 및 고객 성공 지원을 통해 직원들에게 신속하게 배포하고 원활히 롤아웃할 수 있습니다.

1Password를 선택한 이유는 기본 보안 문제와 고급 보안 문제 모두에 효과적이고 사용자 친화적인 솔루션을 제공하기 때문이에요.

Johan Dowdy
Global Head of IT and IT Security at Asana

가장 중요한 곳에서 제로 트러스트 시작: 엔드포인트

1Password Device Trust는 Asana의 ID 제공업체인 Okta와 함께 작동하여 민감한 애플리케이션에 대한 액세스 권한을 부여하기 전에 디바이스를 검사합니다. 사용자가 관리되고, 안전하며, 신뢰할 수 있는 업무용 노트북을 사용하고 있는지 확인하여 제로 트러스트 보안의 핵심 원칙을 충족합니다.

1Password Device Trust는 IT 팀이 온보딩 프로세스에 대한 신뢰도를 높이는 데 기여합니다. 직원의 디바이스가 Device Trust에 의해 확인되면, 직원은 일반적인 SSO/Okta 흐름을 따라 1Password EPM을 잠금 해제하거나 Asana가 SSO를 통해 보호되는 앱에 대한 액세스 권한을 부여받습니다. 

“이 과정이 완료되면 직원들은 추가적인 조치 없이 평소처럼 업무를 수행할 수 있습니다.”라고 Dowdy는 설명합니다. “보안 도구는 사용자가 Okta로 인증할 때 화면이 잠깐 깜빡이는 것 외에는 눈에 띄지 않도록 설계되었습니다.”

최종 사용자 디바이스는 가장 중요한 엔드포인트입니다. 저희는 사람들이 저희가 신뢰하고 확인할 수 있는 디바이스에서 저희 시스템에 로그인하도록 하고 싶습니다. 1Password Device Trust가 이를 가능하게 합니다.

Johan Dowdy
Global Head of IT and IT Security at Asana

Dowdy의 팀은 1Password Device Trust를 체계적으로 배포하고 새로운 검사 및 정책을 단계적으로 도입해 혼란을 최소화했습니다. 이 접근 방식은 직원들의 업무에 대한 지장을 최소화하면서 주면서 제로 트러스트 보안을 향한 중요한 단계를 달성했습니다. “수용 가능한 사용 정책을 준수하는 수준을 넘어, 이제는 사용자가 프로토콜을 준수하고 있는지 확인할 수 있습니다.”라고 Dowdy가 말합니다.

생산성과 헬프 데스크 처리량을 유지하며 위협을 더 효과적으로 차단

Asana는 1Password Enterprise Password Manager를 사용하여 팀에서 비밀번호와 API 키 및 서버 관리 자격 증명과 같은 기타 비밀을 공유합니다. 이 솔루션 덕분에 Asana는 안전한 단일 공간에서 모든 자격 증명을 보호할 수 있습니다. 이는 프로덕션 시스템 키와 서버 로그인 같은 기밀 및 중요한 접근 정보가 스프레드시트 같은 안전하지 않은 형식으로는 절대 저장되지 않도록 보장합니다. 

1Password Device Trust가 완전히 구현되자 Asana는 디바이스 보안 제어가 거의 없는 환경에서 전 직원에 걸쳐 보안을 완전히 강화할 수 있게 되었습니다. Dowdy의 팀은 이제 사용자 행동 및 디바이스 액세스 패턴에 대한 가시성 등, 안정적인 모니터링 기능을 갖추게 되었습니다. 이러한 가시성을 통해 모든 인증이 승인된 규정 준수 디바이스에서 이루어지도록 보장합니다. 

그 결과, Asana는 장치 로그인의 대부분을 안전하게 보호했습니다. Asana 에코시스템의 모든 사용자는 이제 규정을 준수하는 알려진 디바이스를 보유하고 있습니다. 모든 무단 액세스 시도가 차단됩니다. Asana는 MDM, CS Falcon Sensor, macOS/Windows 업데이트, FileVault/디스크 암호화 등 다양한 검사 항목을 구현했습니다. 또한 엔터프라이즈 및 정부 고객을 위한 보안 심사에서 더 나은 결과로 이어지는 명확하고 검증 가능한 통제 체계를 갖추게 되었습니다

제로 트러스트 퍼즐의 첫 번째 조각으로 1Password 디바이스 트러스트부터 시작하면 훨씬 수월합니다. 몇 달 동안 솔루션을 운영해왔지만 지금까지 불만 사항은 없었습니다.

Johan Dowdy
Global Head of IT and IT Security at Asana

Asana는 기술을 빠르게 구현한 다음 비즈니스 요구와 사용자 준비 상태에 따라 적용 범위를 점진적으로 구체화할 수 있었습니다. 1Password는 오프보딩 과정에서도 IT 팀의 신뢰도를 높여주었습니다. 직원들은 첫날부터 불편함 없이 1Password Device Trust를 사용하며, 퇴사하는 즉시 개인 디바이스에 대한 액세스 권한이 회수됩니다. 1Password Device Trust는 또한 IT 팀에 보안을 한층 더 높여줍니다. 갑자기 퇴사한 직원이 회사 자격 증명을 보유하고 있더라도, 신뢰할 수 없는 개인 디바이스에서 회사 리소스에 로그인하는 것이 즉시 차단됩니다.

이 모든 것이 직원 경험에 미치는 영향을 최소화하면서 달성되었습니다. "1Password를 통해 생산성 손실이나 엔지니어링 팀의 저항 없이 중요한 보안 업그레이드를 달성했습니다."라고 Dowdy는 말합니다.

계층화된 제로 트러스트 구축 강력한 엔드포인트 무결성을 기반으로 한 아키텍처

Dowdy는 새로운 제로 트러스트 네트워크 아키텍처를 점진적으로 확장할 계획입니다. 디바이스가 검증되고 양호한 상태임을 보장하는 1Password Device Trust를 갖춘 Dowdy는 비즈니스를 더욱 안전하게 보호하는 데 필요한 기반을 확보했다고 확신합니다.

Dowdy는 Asana의 제로 트러스트 보안을 확장하면서 혼란을 최소화하고 채택을 극대화하기 위해 계속해서 실용적이고 부담이 적은 접근 방식을 취할 것입니다.

"사람과 기술의 교차점에서 성공적으로 운영한다는 것은 사람들이 생산적으로 일하는 데 필요한 디지털 접근성을 제공하는 동시에 시스템을 안전하고 규정에 맞게 유지한다는 것을 의미합니다."라고 Dowdy는 말합니다. "우리는 1Password와 함께 그것을 실현하고 있습니다."