물리적 망분리 망연계 구축의 통제요소 case...
TRANSCRIPT
물리적 망분리/망연계 구축의 통제요소 Case Study
정보보안팀 홍보성 팀장
CDNetworks
USB Thief
• 인터넷이 불가능한 망에서 데이터를 수집한 후 인터넷이 가능한 망에서는 유출을 시도
• 안티바이러스 및 디버깅 도구 우회 기능으로 자기 보호 기능 탑재
• USB 고유 ID와 파일생성시간을 암호화 키로 사용하여 AES-128bit 암호화
• 유출될 자료는 타원곡선 암호화로 저장 출처 : https://itsecuritything.com/usb-thief-trojan/
망분리의 기본
• 보호해야 할 대상을 인터넷위협으로부터 원천 분리하고,
• 망간 이동을 일관성 있게 차단하며,
• 필요한 망간 연계를 명확히 통제하여야 한다.
물리적 망분리의 선택 배경
• 사업의 특성 – 보호해야 할 업무망에 연결된 서비스 시스템들이 서비스 특성상
인터넷에 열려있어야 하는 형태임
– 젂 세계에 분포된 IDC와 사무실을 망분리, 통제해야 함
• 성능 이슈 – 당시 서버기반 망분리인 VDI를 적용한 기술은 화면 표시 속도로
인해 업무 효율 저하가 발생함
– VDI 개별 OS에 설치된 백신의 로드 문제 (비 업무적 I/O로 인한 성능 이슈)
• 관리 포인트의 증가, 비용의 차이 – 젂 법인의 가상화 솔루션 투자 및 운영 증가 비용 보다 PC와
Network 장비의 증가 비용이 더 저렴함
자사 망분리 단위 구조 및 위치별 통제 요소
• CDN Service 망분리 단위 구성도
자사 망분리 단위 구조 및 위치별 통제 요소
• 위치별 통제 요소
Grey Network
Clean Network
Network Access Control
Gateway SystemAuthentication System
File/e-document System
Patch Management System
Configuration Management System
Gateway/FirewallAnti APT System
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 네트워크 단말기 접근 제어
Network Access Control
• 모든 Client의 MAC을 등록하고 등록된 네트워크로만 접속이 가능하도록 통제
• 모든 망 (Clean, Grey, Black)에 대한 MAC 감시
• Switch 1port – 1PC/1MAC • DHCP로 Static IP 할당
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 인증 통합관리
• Activedirectory 통합 인증 • 상용 OTP 인증 – OTP 중앙통제
• OTP 재사용 불가 • 특정 임계 기간 미 사용자 자동 차단 • 동일 OTP를 여러 단말기에 사용 불가
• 단말기 인증 – 외부 VPN • 자사에서 제작한 OS 연결만 허용
Authentication System
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 젂송간 위협 탐지/차단
• 모든 사무실간, 망은 Subnet으로 상세 분리하여 Anti-APT, Firewall을 통하도록 구성
• 망간 통신은 Firewall에서 ACL로 엄격하게 관리
• Anti-APT로 데이터 이동을 모니터링하고 차단
Gateway/FirewallAnti APT System
자사 망분리 단위 구조 및 위치별 통제 요소
• 망통제 – 서비스망 접근을 중앙 통제
Gateway System • 모든 서비스망의 시스템에 접근할 때에는 반드시 Gateway System을 접속하여야 함
• 자사는 SSH Shell, RDP를 위한 2종류의 Gateway를 운영
• 사용자는 반드시 2Factor 이상의 인증을 통과해야 함 (OTP, Key, Password)
• 사용자는 root권한을 위해 root 암호를 알 필요가 없음 (Role base)
• 엄격한 유휴 세션 시간 제한 • 사용자 명령에 대한 제한 및 기록, 알람 • 파일 전송 및 인터넷 접근 불가
자사 망분리 단위 구조 및 위치별 통제 요소
• 망연계 – 망간 파일 및 문서 이동을 위한 연계
• File/e-document System • 사내 Wiki를 통한 문서 및 파일 공유 • Https만 사용하고 SMB/CIFS는 사용 불가
• 통합인증 및 페이지별 사용자 권한관리
• IP ACL 통제 • 대용량 전송 시 자사 개발한 전용
Client 사용
File/e-document System
Patch Management System
Configuration Management System
자사 망분리 단위 구조 및 위치별 통제 요소
• 망연계 – 망간 패치제공을 위한 연계
File/e-document System
Patch Management System
Configuration Management System
• Patch Management System • 인터넷을 통한 패치 배포 최소화 • OS Patch Repository • Anti-virus Repository
자사 망분리 단위 구조 및 위치별 통제 요소
• 망연계 – 서비스 제어 및 설정을 일괄 통제 연계
File/e-document System
Patch Management System
Configuration Management System
• Configuration Management System • 서비스/시스템 설정을 중앙에서 일괄 통제하여 배포
• 사람이 직접 개별 서버 설정 행위를 최소화
망분리 환경의 통제 핵심 요약
1. 데이터 흐름의 통제 I. 필수 데이터 흐름을 중앙으로 집중하고 감시한다.
II. 최종 데이터 이동은 시스템이 처리한다.
III. 모든 데이터는 이동할 때 마다 위협을 확인한다.
2. 사용자 행동의 흐름을 통제 I. 티켓 기반의 요청/승인/처리 젃차를 상호견제하여 처리한다.
II. 2Factor 이상의 인증 및 사용자 명령을 제한/감사한다.
III. 서비스망의 단말기 형태를 제한한다.
3. 모든 흐름은 단일 경로로 집중
마치며
• 향후과제
– 망 연계의 데이터 이동에 대한 승인요청/허가 젃차의 개선
– Windows OS 필수 사용자의 망분리 적용 고민 (예외 관리)
