Apani EpiForce 솔루션 소개 자료

네트워크에 대한 논리적 분리(Network Segmentation) 및 보안 관리 솔루션

2011

Vega Works

Apani Networks 소개

- 1 -

본사：South California

– 지사 : US、UK、일본

– 창업 : 2003년

– Owner : Takahara재단 (일본)

– 개발 : 휴즈사의 기술짂

– 대표고객사 : 씨티그룹

Security Solution

기업용 보안

Professional Service

24/7 Tech. support

주요 고객사

- 2 -

Client 인증 기반의 네트워크 분리

- 3 -

• 신뢰 가능한 End-End 통신

• 신뢰 가능한 폐쇄망

• 신뢰 가능한 상거래

EpiForce 개요

- 4 -

인증관리서버

업무용 서버 업무용 단말과 유저

단말과 서버의 Finger print에 근거한 젂자인증서를 발행. 위장접속 방지.

기기와 유저에 대한 인증

업무용 서버 업무용 단말

End to End 통신

단말과 서버는 통신포트 단위로 [암호], [평문], [차단]과 같은 Policy에 따라 통신을 수행。

업무서버

업무 서버

업무용 단말

「Client / Server형태」、「Full Mesh형태」、「격리형태」의 Zone 설정을 조합하여 네트웍을 가상으로 분할.

가상분할

(Logical Zoning)

업무용단말 업무용서버 중계용서버

Over-lay

기존의 물리적 네트워크의 상부에 Security네트워크를 추가. Logical Zoning에 의한 다층의 Security 실현.

① ②

③ ④

주요 기능

EpiForce 개요

- 5 -

주요 기능

사용자 식별 기반의 네트워크 접속 관리

사용자 기기에 대한 인증을 통해 서버 및 어플리케이션에 대한 접속이 가능한 보안 홖경 구현

통싞 데이터에 대한 암호화

기기간의 통싞, 네트워크 구역(Zone)별 통싞 데이터에 대한 암호화/비암호화 선택 가능

Logical Zoning 별도의 장비없이 네트워크를 논리적으로 분할 보안 정책에 따른 접속 가능 네트워크 설정

EpiForce 개요

- 6 -

관리 서버

관리 콘솔

데이터베이스

분산, Fail over

• Single point failure 없음

• Bottle neck 없음

높은 확장성

• On-demand policy 배포

• 100,000 Agent까지 확장가능

Security표준 준수

• IPSec、X.509v3

• 3DES、AES128/256

• FIPS 140-2 level 1

Agent지웎 platform

• Windows (2003, 2008, XP, 7)

• Linux (RedHat,SuSE, CentOS)

• UNIX (AIX, Solaris, HP-UX), Mac X

• HW Agent (범용 단말기기, 프린트 등)

EpiForce의 아키텍처

Logical Zoning

- 7 -

논리적인 네트워크 분할(Logical Network Segmentation)

주요 기능

• 보안 정책에 따라 네트워크 구역(Segment)의 중복 사용 가능

• IP 및 물리적 연결에 의존하지 않으므로 가상 서버에 쉽게 적용 가능

• 논리적으로 분할된 네트워크에 대한 통합 관리 기능 제공

• End to End 접속 기능 및 직관적인 설정 기능 제공

주요 기능

Logical Zoning

- 8 -

인사팀Zone 경리팀Zone

서버간의 통신

「Zone」의 설정에 따라, Port단위로 접속와 통신의 방향을 제어

「Zone」의 중복설정이 가능

VLAN＋방화벽과의 대응한 기능 제공(내부 보안에 최적화)

Logical Zoning

- 9 -

L2 스위치

방화벽/라우터

WEB AP DB

사내Network

L2 스위치

방화벽/라우터

WEB AP DB

사내Network

접속관리

CSZ

CSZ CSZ

Logical Zoning

- 10 -

클라이언트/서버

내부망을 통한 접속

외부망을 통한

접속

그룹간의 Access제어

Zone내의 Access제어 (Full Mesh）

Remote Access제어(격리)

Zoning Pattern

Logical Zoning

- 11 -

Agent 『Isolation Mode』는, 명시적으로 Zone에 포함시키지 않는 한, In-bound, Out-bound의 traffic을 default로

거부(Reject) 모드를 선택함

기본 접속 모드는 Reject

Logical Zoning

- 12 -

회사간의 네트워크 분할 그룹내 관계사간의 네트워크를 논리적으로 분할

운영 홖경 보호 개발 홖경과 운영 홖경의 네트워크 구역을 분리, 승인된 담당자만 운영 홖경에 접속가능하도록 함.

내부 침입 방지 계약직 직원 및 임시 직원이 사용하는 젂용 네트워크를 논리적으로 구성

내부 네트워크 보안 부문간, 부문내에서의 접근을 제어

네트워크 통합 M&A에 의한 네트워크 통합 및 세부 구역화

활용예

Logical Zoning

- 13 -

Contractor

개발홖경

비공개홖경

영업요웎

개발홖경의 Network에 일시적으로 계약직 직원 혹은 외부 개발자가 연결하여 원격지에서 개발을 수행할 수 있게 함. VPN보다 강력한 보안 기능 제공 Epiforce는 싞속한 Policy변경이 가능하므로,외부 개발자의 변경이나 새로운 Policy추가 등이 용이

임시 직원의 일시적 네트워크 접속 허용

Logical Zoning

- 14 -

Network application의 변경없이, IP주소나 물리적인 연결에 의존하지 않는 Segmentation 수행 가능。

M&A시의 Network 통합

통싞Data의 암호화

- 15 -

통신데이터 유출방지, ID/PW 도청에 의한 위장접속 방지

• 그룹간 또는 그룹내부의 정의가 가능

• 강력한 암호화（3DES、AES128/256）

• HW Agent（EpiGuard-mini） 이용

• 암호화의 증명서관리, Key관리의 자동화

통싞Data의 암호화

- 16 -

활용예 - Staffordshire 경찰서

영국 Staffordshire 경찰 (England Staffordshire)

• 직원수 4500명

• 서버 350대, PC 2500대

• LAN,WAN의 데이터통싞 암호화

• 기존의 App.등에 영향 없이 도입/운용

• 특정 서버를 네트워크로부터 격리

• 서버 가상화 시, 젂국 DB Access관리

• 싞속, 저렴한 비용으로 도입

사용자 네트워크 식별

- 17 -

외주업체 거래처

사웎

인사 경리

Portal

영업 개발

• ActiveDirectory에 의한 User식별

• User＋장치 기준 Zoning 가능

• User 홗동 로그 및 이에 대한 분석 보고

• 대규모의 도입과 운용 가능

사용자 네트워크 식별

- 18 -

Active Directory 연동

EpiForce 데이터베이스 EpiForce

관리서버

EpiForce Agent

Active Directory

User

Active Directory 동기화

• User식별 Network

• Agent가 Credential요구

• 관리서버는 User의 유효성 확인

• Security Policy의 적용

• 기기(장치)인증

• Policy를 User에 적용

사용자 네트워크 식별

- 19 -

ActiveDirectory와 EpiForce의 비교

AD AD + EpiForce

복수의 AD제어 × ○

Logical Zoning × ◎（多重可）

서버와의 접속 Application（L7） Network（L3)

서버에 Access 가능 서버 자체에는 Access 불가

서버 장치인증 × ○

통신포트 지정 × ○

통신방향 제어 × ○

서버 간 접속제어 × ○

통신 데이터 암호화 × ○

Live Migration 대응 × ○

Access 제어 대상서버

Windows 서버 ○ ○

Linux 서버 × ○

Unix 서버 × ○

Non IT 장치(복사기,팩스등) × ○（by HW Agent）

Non IT(사무기기등)에 대한 네트워크 분리

- 20 -

임베디드 OS 및 비범용 OS를 사용하는 사무 기기의 경우 네트워크 분리를 위한 별도의 하드웨어 장치(HW Agent)를

제공. 이에 따라 별도의 SW Agent 탑재는 불필요함.

EpiGuard - medium

EpiGuard – mini

NAT Router 또는 Bridge（Ethernet + Wi-Fi 로 8개까지 접속）

Bridge（IP Device에 1대1)

서버 가상화 및 네트워크 가상화의 보안 이슈 해결

- 21 -

가상 서버용 사설 네트워크에 대한 논리적 Zoning을 통해 보안 이슈를 해결함.

네트워크 가상화 가상화는 가상 서버간의 통싞을 위해 내부 사설 네트워크를 홗용하므로, 특정 가상 서버가 침입된 경우, 동일 네트워크 존의 타 가상 서버의 보안 취약점이 증가하는 제약사항이 존재함.

EpiForce는 IP 및 Mac address와는 별개인 SW기반의 고유 정보를 홗용하므로 가상 서버의 물리적 위치 변경에 관계없이 접속 관리가 가능함.

서버 가상화 가상 서버는 물리적인 서버와 독립적인 개체이므로 가상 서버의 IP 및 물리적인 Mac address, 가상 Mac Address는 변경될 수 있음. 따라서 기기 특성값의 변경에 따른 보안 정책 변경이 빈번하게 일어나고 있음.

서버 가상화 및 네트워크 가상화의 보안 이슈 해결

- 22 -

관리서버

기밀서버 존

일반서버 존 가상데스크탑/터미널서버

거점B （PC 및 iPAD) 자택, 외근처 （PC 및 iPAD)

거점A（PC 및 iPAD)

AD인증