ibm의보안솔루션소개 - dbguide.net · …ibm 보안솔루션은시스템접근이...
TRANSCRIPT
© 2004 IBM Corporation
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
IBMIBM의의 보안보안 솔루션솔루션 소개소개
- Integrated Identity Management Solution -
한국 IBM 이풍연부장 011-898-6127. [email protected]
© 2004 IBM Corporation2
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
정보보안 뿐 아니라 기업 경쟁력 강화의 초석이 되는 내부 보안
Perimeter Defense
Control Layer
전통적인 보안 솔루션들이외부 침입으로부터의 방어 기능에 초점이 맞추어져 있는 반면
방화벽, VPN, 안티 바이러스, 침입탐지
…IBM 보안 솔루션은 시스템 접근이허락된 사람들에 대한 효과적인통제와 관리에 초점이 맞추어져있다.
Control Layer• 접근 권한을 부여 받은 사용자 관리에 드는 비용 감소
• 매출 증대
• 생산성 증가와 사용자 만족도 증가
• 기업 내 또는 법적인 보안 정책에 대한 준수
© 2004 IBM Corporation3
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
아이덴티티는 Control Layer의 기본
현재, 기업내의 아이덴티티 데이타는 분산 되어 있고, 통합되어 있지 않으며, 완벽한 관리구조 체계를 가지고 있지 않다.
아이덴티티 데이터는 다음을 기반으로 한다• 접근 통제• 셀프 서비스• 권한 부여• 개인별 정책
사용자에 대한 정보• 임직원• 계약직• 협력업체• 고객
웹어플리케이션
기 개발된어플리케이션
운영체제레거시업무
트랜젝션보안시스템
접근권한에 대한 정보• 사용자 계정별 특권• 자격, 권한
데이터저장소
디렉토리
사용자
© 2004 IBM Corporation4
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
End-to-End Identity Management Solution Portfolio
Directory Integrator (디렉토리 통합/동기화)
{
사용자 & 어플리케이션
Federated Identity Management
전사적 계정관리 전사적 접근제어 개인 정보보호
TIM (EIM)
Privacy Manager
아이덴티티 관리
어플리케이션TAM (EAM/SSO)
AMOS (SecureOS)
아이덴티티 데이터
인프라 { Directory Server (LDAP)
사용자 & 자원 “IBM is becoming an Identity Management Powerhouse”
- Assessing IBM’s Identity Management Strategy: Preparing for Web ServicesThe Burton Group 4/18/03
© 2004 IBM Corporation5
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Tivoli Identity Manager 개요
정책 기반의 프로비저닝서비스는 e-비즈니스의 보안인프라의 필수불가결한 요소
Tivoli Identity Manager
사용자정보변경 요청
HR Systems/ Identity Stores
승인프로세스
확인
접근정책확인
사용자 정보변경
70여개가 넘는 업계 최고의 폭넓은 에이전트 리스트 보유 &
에이전트 생성 툴킷 보유
70여개가 넘는 업계 최고의 폭넓은 에이전트 리스트 보유 &
에이전트 생성 툴킷 보유
Databases
OperatingSystems
Applications
DatabasesDatabases
OperatingSystemsOperatingSystems
ApplicationsApplications
Detect and correct local privilege settings
© 2004 IBM Corporation6
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Identity Manager
Provisioning/Deprovisioning 기능을 이용한 일관된 사용자 관리 기능
단시간 내에 신규 사용자에 대한 사내 자원에 접근할 수 있는 권한 부여
Work-flow 엔진에 의한 사용자 계정 수정에 관한 승인 프로세스 정립
시스템 계정 및 데이터베이스, 어플리케이션의 사용자 정보 연동 관리로 인한 통합 계정 관리
환경 구축
Self-care 기능을 이용하여 사용자 정보를 수정함으로써, 헬프데스크 및 관리자의 생산성을 높임
Provisioning/Deprovisioning 기능을 이용한 일관된 사용자 관리 기능
단시간 내에 신규 사용자에 대한 사내 자원에 접근할 수 있는 권한 부여
Work-flow 엔진에 의한 사용자 계정 수정에 관한 승인 프로세스 정립
시스템 계정 및 데이터베이스, 어플리케이션의 사용자 정보 연동 관리로 인한 통합 계정 관리
환경 구축
Self-care 기능을 이용하여 사용자 정보를 수정함으로써, 헬프데스크 및 관리자의 생산성을 높임
DIR
ReportingAuditing
Identity Data
Web Self-Regist, Self-Care, Pwd ResetWorkflow, Approval
ProvisioningSecurity Policies, Management
OS NOS DIRs Security-Rep DB Web-Apps Apps
© 2004 IBM Corporation7
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Identity Manager도입 효과
시스템 별 사용자 계정 생성 사용자 계정이 유효화 되기까지 12일정도 소요
패스워드 관리 패스워드 Reset 요청에 따르는 helpdesk 비용이 약 24,000원 정도 소요(Gartner Group)직원당 년 평균 3~4회의 패스워드 Reset 요청 (Meta Group)
사용자 계정 삭제 시스템에 존재하는 계정 중, 30~60%는 휴면 계정임
통합 사용자 계정 관리로 시스템 보안 향상
공용 계정, 휴면계정, 유령계정, 과다권한계정 등으로 인한 보안위협 감소
사용자 정보 관련 보고서 자동화로 보안 담당자의 업무 로드 감소
Help Desk 비용 감소 (예. 직원수 1,000명 x 3.5회 x 24,000원 = 8천4백만원/년)
신입/부서이동 직원의 계정부재로 인한 업무공백 기간 감소로 인한 생산성 증대
예) 년간 신입/이동직원 200명일 경우, 200명 x 10일 x 10만원/Day = 2억원/년
© 2004 IBM Corporation8
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Identity Manager구축 사례
국내 :
K사 : Mainframe(RACF) 과 분산환경 시스템(UNIX, Windows), 어플리케이션(Groupware), RDBMS(Oracle) 통합 관리
S사 : 이기종 시스템의 (UNIX, Windows) 통합 계정관리
국내 :
K사 : Mainframe(RACF) 과 분산환경 시스템(UNIX, Windows), 어플리케이션(Groupware), RDBMS(Oracle) 통합 관리
S사 : 이기종 시스템의 (UNIX, Windows) 통합 계정관리
© 2004 IBM Corporation9
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
TIM의 업계 평가 - Identity/User Provisioning 솔루션분야
가장 많은 시스템 Agent를 확보한 계정관리 솔루션으로서, 엔터프라이즈 환경에서 폭넓은 계정관리
인프라를 구축할 수 있음
Best Identity Management 솔루션으로서 Crossroad A-List Awards 2003 수상
2003년 Gartner 보고서에 따르면 계정관리 솔루션 분야에서 최고의 평가를 받음
Gartner Analysis – January 2003 Gartner Analysis – 2002
© 2004 IBM Corporation10
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access Privacy통합인증 및 접근권한통제시스템(SSO/EAM)
적용 솔루션Pain 기대 효과
복수의 ID/Password 관리, 반복적인 Sign-On외부에서의 사내 업무 접속 불편
사용자 정보 업데이트 (신규등록, 변경, 폐기)에 따른 Help Desk 업무
증가로 시스템 운영업무의 생산성
저하
통합 사용자 정보관리와 통합 인증
시스템 및 체계적인 시스템 접근
관리 체제의 부재
Single Sign-On
SSL VPN
Centralized Management Tool
Authorization : ACL…Centralized Mgmt Encryption
* EAM : Extranet Access Mgmt
사용자
운영자
관리자
어플리케이션 신규/추가 개발 시
보안모듈의 개발 필요
(전체 개발 공수의 30%차지)통합 인증/접근 관리 시스템
개발자
사용 편의성 증대인터넷을 통한편리한 접속 가능
중앙 집중식 사용자인증 및 통합 권한
관리로 인한 생산성향상
체계적인 보안
인프라를 통한
보안성과 안정성 획득
개발 비용 및 시간절감
개발 효율성 증가
TivoliAccessManager
© 2004 IBM Corporation11
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
TAMeb 의 통합 인프라
MainframeMainframe
WebSphereMQ
도입 이전
INTRANET
INTERNETINTERNET
DMZ
도입 이후
Singleuser registry
Singleuser registryUnified
policyUnified policy
ProxyProxy Plug-InPlug-In
Access Manager Security ServicesAccess Manager Security Services
SingleResource
view
SingleResource
view
기억해야할 패스워드가 너무 많다.관리인력과 관리 툴이 너무 많다.관리 툴이 통합되지 않는다.사용자와 접근권한 정보가 분산되어 있다.보안기능은 어플리케이션 개발자가 구현해야한다.
웹 단일로그온관리 일원화관리툴의 통합사용자와 접근권한 정보 통합 관리HTML&SOAP 트랜젝션을 안전하게 구현
© 2004 IBM Corporation12
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Access Manager
• Tivoli Access Manager for e-business : 웹 보안
사용자Browser
WebSEALWebSEAL
…
WebSEALWebSEALTAMTAM
Reverse Proxy Web Server
Internet
어플리케이션
Session 1 Session 2
128-bit SSL 암호화
SSO
128-bit SSL 암호화
Reverse Proxy server 역할로 웹 보안 기능 수행 : TAM은 사용자 요청이 시작되는 front-end 부터 TAM의 보안 모듈까지
128-bit SSL 암호화 채널을 지원한다. 또한 모든 TAM 컴포넌트사이에 주고받는 데이터도 상호인증 기반의 암호화된 통신을
제공함으로써 보안성을 강화시켰다.
© 2004 IBM Corporation13
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Access ManagerTivoli Access Manager for Operating System : UNIX 시스템 보안
UNIX, Linux 서버 자원에 대한 접근 통제 기능 제공
보안관리서버
관리자
접근통제적용자동조치
이벤트 DB
관리 대상 서버 (AIX, Solaris, HP-UX, Linux, zLinux)
통합콘솔
불법 접근/접근통제/감사
이벤트 전송Audit 기능
다양한 경보
Tivoli Access Manager for Operating SystemTivoli Enterprise Console
시스템사용자/개발자
사용자 로그인 제어
패스워드 보안 정책 구현
파일 및 디렉토리에 대한 다양한 permission
level로 접근 제어
프로세스에 대한 접근 제어
네트워크 서비스에 대한 접근 제어
보안 위반 사항 및 보안 변경 사항, 자원 접근
내역에 대한 내용 감사 –감사에 대비
용이한 관리 기능
보안 현황 실시간 모니터링을 위한 Tivoli
Enterprise Console (전사 통합이벤트
관리)연동
보안 정책 simulation 기능
© 2004 IBM Corporation14
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Tivoli Access Manager for e-business : 2003년 1월에 Gartner 그룹에서 발표한 EAM솔루션 분야의 Magic Quadrant 자료에 따르면, IBM 이EAM분야의 리더로서 확고한 위치를 차지하고 있음을 알 수 있습니다.
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Access Manager
IBM Tivoli Positioned in the Leader Quadrant in Gartner’s Magic Quadrant, IBM Maintains Strong Ability to Execute
© 2004 IBM Corporation15
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
연합 아이덴티티 관리 (Federated Identity Management)
연합 아이덴티티 관리 (Federated Identity Management) 는 ‘business agreements, technical agreements and policies) 의 집합이다. 기업은 연합 아이덴티티 시스템을 통하여사용자 정보 관리에 드는 비용을 절감할 수있으며 사용자의 시스템 사용 만족도를 높일 수있다.
효과
사용자 정보관리 비용 절감
기업은 더 이상 “사용자” 또는“아이덴티티”정보를 통제 하거나 관리할필요가 없이, 안전하게 비즈니스에 더욱충실할 수 있다.용이한 사용
사용자는 자신의 단일 로그인 아이덴티티관리만으로 다양한 웹 사이트간 접속을용이하게 할 수 있다.단일화된 연동
기업간 또는 어플리케이션간 아이덴티티를연결하는 공통의 방식 사용으로 사용자정보 통합이 용이해진다.
User
Company E
Travel Agent
Company C
Insurance Provider
Pension Holder
Company A
Credit Union
Company D
Stock Broker
Company B
© 2004 IBM Corporation16
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Privacy Manager
아래와 같은 경우에 접근 허용:• 비즈니스 목적에 의해 승인된 경우• 고객에 의해 접근이 허용된 경우 고객 데이타
개인정보 접근에 대한 감사
Privacy Manager
의료 정보 데이타
직원이 고객의개인정보에 대한 접근 개인 재정 데이타
개인적인 정보데이타
© 2004 IBM Corporation17
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Privacy Manager
Tivoli Privacy Manager는 어플리케이션 단위 뿐 아니라, 세부 데이터 컬럼 단위까지 사용자 접근권한을 통제할 수 있습니다. TPM의 접근 통제 대상은 일반 RDBMS, LDAP directory, text file 등대부분의 데이터 저장소를 지원합니다.
데이터 사용에 대한 접근권한 통제Tivoli Privacy Manager는 데이터 컬럼 수준까지 세분화된 접근 권한을 통제할 수 있는 솔루션입니다. Tivoli Privacy Manager는 아래와 같은 정보를 기반으로 데이터 사용권한을 통제합니다.
- 접근하고자 하는 데이터 종류- 사용자 소속 그룹- 데이터를 사용하고자 하는 목적(Purpose)- 정보 제공자(정보 소유자)의 동의여부(Consent)
프라이버시 정책 관리정보 제공자의 프라이버시가 보장되어야 할 데이터를 지정하고, 정보제공자로부터 데이터 사용허가(Consent)여부를 관리합니다.
감사로그 기록누가, 어떠한 목적으로, 어떠한 데이터에 대한 사용을 시도하였는지 허가/거부된 모든 접근에대한 상세한 기록을 남깁니다.
보고서Tivoli Privacy Manager은 프라이버시 정책에 의거하여 데이터 필드 접근기록에 대한 상세 보고서를 제공합니다. 보고서는 기본적으로 웹 브라우저를 통해 열람할 수 있습니다.
© 2004 IBM Corporation18
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Tivoli Directory Integrator
IBM Directory Integrator는 통합 디렉토리 환경을 구현하기 위한 infrastructure로 정의되어 질 수 있다. 기업이보유하고 있는 다양한 유형의 저장소를 IDI를 통해 통합하여 관리하고 정보간 동기화를 구현할 수 있다.
... ... ......
Native OS Directories (e.g.... ZOS, AIX, Linux)
Application Directory (e.g.... Websphere Directory)Active Directory
LDAP Directory (e.g.... IBM Directory Server)
NDS
Oracle, Microsoft SQL Server, DB2 Native access, or ODBC
ERP Directories(e.g.... Peoplesoft, SAP)
© 2004 IBM Corporation19
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Directory IntegrationDirectory
Identity Access PrivacyIBM Directory Integrator
100% Java 어플리케이션
IBM Directory Integrator는 100% 자바 어플리케이션이므로 엔터프라이즈 분산환경의 모든 플랫폼을지원합니다.
Open Architecture
IBM Directory Integrator는 특정 LDAP 디렉토리 기반으로 동작하지 않습니다, IDI는 대부분의 Leading Directory 정보들을 연동하여 그 기반에서 동작합니다.
확장성과 성능
IDI는 대규모 데이터를 연동해야 하는 경우에도 확장이 매우 용이한 아키텍쳐를 지원합니다. 대부분의메타디렉토리 솔루션들이 대규모 데이터 연동 시 병목현상의 우려가 있지만 IDI는 여러 개의 Assembly Line을 지원함으로써 single-point of failure 문제를 해소함과 동시에 대규모 시스템에서도 적합한구조입니다.
빠른 개발 속도
IDI는 새로운 종류의 Connector도 손쉽게 개발할 수 있습니다. IDI는 차세대 메타디렉토리 솔루션으로서configuration 및 새로운 connector 개발이 매우 용이합니다. 반면 타 메타디렉토리 솔루션은 새로운connector 개발환경이 복잡하고 어렵기 때문에 구축기간이 길어집니다.
실시간 동기화
IDI는 EventHandler를 동기화 대상 시스템마다 지원함으로써 데이터 변경사항을 실시간으로 탐지할 수있습니다. 이 기능을 통해 데이터 소스 사이의 실시간 동기화가 가능합니다.
© 2004 IBM Corporation20
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
How and Why do Security Vulnerabilities Arise?
“Through 2005, 90 percent of cyber attacks will continue to exploit known security flaws for which a
patch is available or a preventive measure is known.” – Mark Nicolett, Research VP at Gartner
AND attacks are on the rise
From CERT/Coordination Center Incident Reports, 2000-2003:
What is causing the vulnerabilities that are being exploited?
Software defects
Lack of technical security controls
Why has good security practice been so difficult to proliferate?
Vendors have been shipping unconfigured systems to users
Users don’t know how to properly configure their systems
Users are afraid to disrupt operations with patches or security settings
114,85582,09452,65821,756Incidents
2003 Q1-3200220012000Year
© 2004 IBM Corporation21
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Security Compliance Manager (SCM) Overview
IBM Tivoli Security Compliance Manager is a security policy compliance product that checks systems and applications for vulnerabilities and identifies violations against security policies
Key benefits to our customers:
Helps to secure corporate data and integrity
Identifies software security vulnerabilities
Decreases IT costs though automation and centralization
Assists in complying with regulations and standards
© 2004 IBM Corporation22
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Example Use of Security Compliance Manager
4. SCM audits the new policy and reports are generated on status
1. A Microsoft vulnerability is announced targeting Windows systems using the rpc protocol
5. Users or IT Operations are notified with instructions on how to fix non-compliant systems
2. Scared of a repeat of MSBlaster, a SCM policy is created which forbids Windows systems from running rpc
3. The new SCM security policy is instantly deployed across Microsoft desktops and servers
Note: This same scenario applies to other types of vulnerabilities such as weak passwords, forbidden accounts, antivirus policies, common hacker exploits, black listed services, etc.
© 2004 IBM Corporation23
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
IBM과 Cisco의 전략적제휴를 통하여 새롭게 통합된 기업 보안 모델제시
아키텍처, 제품, 서비스 분야에 대한 양사 통합솔루션 제시
새로운파트너쉽
CISCO + IBM = 토탈 보안 솔루션
기대효과
IBM Identity Blue Print 와 Cisco 보안&관리 제품의 연동으로 사용자 라이프 싸이클 관리
비용 절감 (TIM과 Cisco ACS와의 연동)
Cisco 의 단말 보안 기술을 IBM 의 플랫폼 보안에 접목시켜, IBM 플랫폼의 보안수준 향상
IBM 이 Cisco Network Admission Control 프로그램에 참여하여, 단말 보안 기술 과
엔터프라이즈 보안 기술 향상 도모
© 2004 IBM Corporation24
통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나
Tivoli 의 통합 아이덴티티 관리 솔루션 포트폴리오
Directory Integrator
사용자 & 어플리케이션
Federated Identity Management
아이덴티티 관리어플리케이션 { Identity
ManagerAccess Manager
Privacy Manager
아이덴티티 데이터인프라 { Directory Server
사용자 & 자원 “IBM is becoming an Identity Management Powerhouse”
- Assessing IBM’s Identity Management Strategy: Preparing for Web ServicesThe Burton Group 4/18/03