ibm의보안솔루션소개 - dbguide.net · …ibm 보안솔루션은시스템접근이...

© 2004 IBM Corporation

통합적 내부 보안체계 구축을 위한 컨설팅 및 솔루션 세미나

IBMIBM의의 보안보안 솔루션솔루션 소개소개

- Integrated Identity Management Solution -

한국 IBM 이풍연부장 011-898-6127. [email protected]

© 2004 IBM Corporation2


정보보안 뿐 아니라 기업 경쟁력 강화의 초석이 되는 내부 보안

Perimeter Defense

Control Layer

전통적인 보안 솔루션들이외부 침입으로부터의 방어 기능에 초점이 맞추어져 있는 반면

방화벽, VPN, 안티 바이러스, 침입탐지

…IBM 보안 솔루션은 시스템 접근이허락된 사람들에 대한 효과적인통제와 관리에 초점이 맞추어져있다.

Control Layer• 접근 권한을 부여 받은 사용자 관리에 드는 비용 감소

• 매출 증대

• 생산성 증가와 사용자 만족도 증가

• 기업 내 또는 법적인 보안 정책에 대한 준수



아이덴티티는 Control Layer의 기본

현재, 기업내의 아이덴티티 데이타는 분산 되어 있고, 통합되어 있지 않으며, 완벽한 관리구조 체계를 가지고 있지 않다.

아이덴티티 데이터는 다음을 기반으로 한다• 접근 통제• 셀프 서비스• 권한 부여• 개인별 정책

사용자에 대한 정보• 임직원• 계약직• 협력업체• 고객

웹어플리케이션

기 개발된어플리케이션

운영체제레거시업무

트랜젝션보안시스템

접근권한에 대한 정보• 사용자 계정별 특권• 자격, 권한

데이터저장소

디렉토리

사용자



End-to-End Identity Management Solution Portfolio

Directory Integrator (디렉토리 통합/동기화)

{

사용자 & 어플리케이션

Federated Identity Management

전사적 계정관리 전사적 접근제어 개인 정보보호

TIM (EIM)

Privacy Manager

아이덴티티 관리

어플리케이션TAM (EAM/SSO)

AMOS (SecureOS)

아이덴티티 데이터

인프라 { Directory Server (LDAP)

사용자 & 자원 “IBM is becoming an Identity Management Powerhouse”

- Assessing IBM’s Identity Management Strategy: Preparing for Web ServicesThe Burton Group 4/18/03



Tivoli Identity Manager 개요

정책 기반의 프로비저닝서비스는 e-비즈니스의 보안인프라의 필수불가결한 요소

Tivoli Identity Manager

사용자정보변경 요청

HR Systems/ Identity Stores

승인프로세스

확인

접근정책확인

사용자 정보변경

70여개가 넘는 업계 최고의 폭넓은 에이전트 리스트 보유 &

에이전트 생성 툴킷 보유

70여개가 넘는 업계 최고의 폭넓은 에이전트 리스트 보유 &

에이전트 생성 툴킷 보유

Databases

OperatingSystems

Applications

DatabasesDatabases

OperatingSystemsOperatingSystems

ApplicationsApplications

Detect and correct local privilege settings



Directory IntegrationDirectory

Identity Access PrivacyIBM Tivoli Identity Manager

Provisioning/Deprovisioning 기능을 이용한 일관된 사용자 관리 기능

단시간 내에 신규 사용자에 대한 사내 자원에 접근할 수 있는 권한 부여

Work-flow 엔진에 의한 사용자 계정 수정에 관한 승인 프로세스 정립

시스템 계정 및 데이터베이스, 어플리케이션의 사용자 정보 연동 관리로 인한 통합 계정 관리

환경 구축

Self-care 기능을 이용하여 사용자 정보를 수정함으로써, 헬프데스크 및 관리자의 생산성을 높임

Provisioning/Deprovisioning 기능을 이용한 일관된 사용자 관리 기능

단시간 내에 신규 사용자에 대한 사내 자원에 접근할 수 있는 권한 부여

Work-flow 엔진에 의한 사용자 계정 수정에 관한 승인 프로세스 정립

시스템 계정 및 데이터베이스, 어플리케이션의 사용자 정보 연동 관리로 인한 통합 계정 관리

환경 구축

Self-care 기능을 이용하여 사용자 정보를 수정함으로써, 헬프데스크 및 관리자의 생산성을 높임

DIR

ReportingAuditing

Identity Data

Web Self-Regist, Self-Care, Pwd ResetWorkflow, Approval

ProvisioningSecurity Policies, Management

OS NOS DIRs Security-Rep DB Web-Apps Apps




Identity Access PrivacyIBM Tivoli Identity Manager도입 효과

시스템 별 사용자 계정 생성 사용자 계정이 유효화 되기까지 12일정도 소요

패스워드 관리 패스워드 Reset 요청에 따르는 helpdesk 비용이 약 24,000원 정도 소요(Gartner Group)직원당 년 평균 3~4회의 패스워드 Reset 요청 (Meta Group)

사용자 계정 삭제 시스템에 존재하는 계정 중, 30~60%는 휴면 계정임

통합 사용자 계정 관리로 시스템 보안 향상

공용 계정, 휴면계정, 유령계정, 과다권한계정 등으로 인한 보안위협 감소

사용자 정보 관련 보고서 자동화로 보안 담당자의 업무 로드 감소

Help Desk 비용 감소 (예. 직원수 1,000명 x 3.5회 x 24,000원 = 8천4백만원/년)

신입/부서이동 직원의 계정부재로 인한 업무공백 기간 감소로 인한 생산성 증대

예) 년간 신입/이동직원 200명일 경우, 200명 x 10일 x 10만원/Day = 2억원/년




Identity Access PrivacyIBM Tivoli Identity Manager구축 사례

국내 :

K사 : Mainframe(RACF) 과 분산환경 시스템(UNIX, Windows), 어플리케이션(Groupware), RDBMS(Oracle) 통합 관리

S사 : 이기종 시스템의 (UNIX, Windows) 통합 계정관리

국내 :

K사 : Mainframe(RACF) 과 분산환경 시스템(UNIX, Windows), 어플리케이션(Groupware), RDBMS(Oracle) 통합 관리

S사 : 이기종 시스템의 (UNIX, Windows) 통합 계정관리



TIM의 업계 평가 - Identity/User Provisioning 솔루션분야

가장 많은 시스템 Agent를 확보한 계정관리 솔루션으로서, 엔터프라이즈 환경에서 폭넓은 계정관리

인프라를 구축할 수 있음

Best Identity Management 솔루션으로서 Crossroad A-List Awards 2003 수상

2003년 Gartner 보고서에 따르면 계정관리 솔루션 분야에서 최고의 평가를 받음

Gartner Analysis – January 2003 Gartner Analysis – 2002




Identity Access Privacy통합인증 및 접근권한통제시스템(SSO/EAM)

적용 솔루션Pain 기대 효과

복수의 ID/Password 관리, 반복적인 Sign-On외부에서의 사내 업무 접속 불편

사용자 정보 업데이트 (신규등록, 변경, 폐기)에 따른 Help Desk 업무

증가로 시스템 운영업무의 생산성

저하

통합 사용자 정보관리와 통합 인증

시스템 및 체계적인 시스템 접근

관리 체제의 부재

Single Sign-On

SSL VPN

Centralized Management Tool

Authorization : ACL…Centralized Mgmt Encryption

* EAM : Extranet Access Mgmt

사용자

운영자

관리자

어플리케이션 신규/추가 개발 시

보안모듈의 개발 필요

(전체 개발 공수의 30%차지)통합 인증/접근 관리 시스템

개발자

사용 편의성 증대인터넷을 통한편리한 접속 가능

중앙 집중식 사용자인증 및 통합 권한

관리로 인한 생산성향상

체계적인 보안

인프라를 통한

보안성과 안정성 획득

개발 비용 및 시간절감

개발 효율성 증가

TivoliAccessManager



TAMeb 의 통합 인프라

MainframeMainframe

WebSphereMQ

도입 이전

INTRANET

INTERNETINTERNET

DMZ

도입 이후

Singleuser registry

Singleuser registryUnified

policyUnified policy

ProxyProxy Plug-InPlug-In

Access Manager Security ServicesAccess Manager Security Services

SingleResource

view

SingleResource

view

기억해야할 패스워드가 너무 많다.관리인력과 관리 툴이 너무 많다.관리 툴이 통합되지 않는다.사용자와 접근권한 정보가 분산되어 있다.보안기능은 어플리케이션 개발자가 구현해야한다.

웹 단일로그온관리 일원화관리툴의 통합사용자와 접근권한 정보 통합 관리HTML&SOAP 트랜젝션을 안전하게 구현




Identity Access PrivacyIBM Tivoli Access Manager

• Tivoli Access Manager for e-business : 웹 보안

사용자Browser

WebSEALWebSEAL

…

WebSEALWebSEALTAMTAM

Reverse Proxy Web Server

Internet

어플리케이션

Session 1 Session 2

128-bit SSL 암호화

SSO

128-bit SSL 암호화

Reverse Proxy server 역할로 웹 보안 기능 수행 : TAM은 사용자 요청이 시작되는 front-end 부터 TAM의 보안 모듈까지

128-bit SSL 암호화 채널을 지원한다. 또한 모든 TAM 컴포넌트사이에 주고받는 데이터도 상호인증 기반의 암호화된 통신을

제공함으로써 보안성을 강화시켰다.




Identity Access PrivacyIBM Tivoli Access ManagerTivoli Access Manager for Operating System : UNIX 시스템 보안

UNIX, Linux 서버 자원에 대한 접근 통제 기능 제공

보안관리서버

관리자

접근통제적용자동조치

이벤트 DB

관리 대상 서버 (AIX, Solaris, HP-UX, Linux, zLinux)

통합콘솔

불법 접근/접근통제/감사

이벤트 전송Audit 기능

다양한 경보

Tivoli Access Manager for Operating SystemTivoli Enterprise Console

시스템사용자/개발자

사용자 로그인 제어

패스워드 보안 정책 구현

파일 및 디렉토리에 대한 다양한 permission

level로 접근 제어

프로세스에 대한 접근 제어

네트워크 서비스에 대한 접근 제어

보안 위반 사항 및 보안 변경 사항, 자원 접근

내역에 대한 내용 감사 –감사에 대비

용이한 관리 기능

보안 현황 실시간 모니터링을 위한 Tivoli

Enterprise Console (전사 통합이벤트

관리)연동

보안 정책 simulation 기능



Tivoli Access Manager for e-business : 2003년 1월에 Gartner 그룹에서 발표한 EAM솔루션 분야의 Magic Quadrant 자료에 따르면, IBM 이EAM분야의 리더로서 확고한 위치를 차지하고 있음을 알 수 있습니다.


Identity Access PrivacyIBM Tivoli Access Manager

IBM Tivoli Positioned in the Leader Quadrant in Gartner’s Magic Quadrant, IBM Maintains Strong Ability to Execute



연합 아이덴티티 관리 (Federated Identity Management)

연합 아이덴티티 관리 (Federated Identity Management) 는 ‘business agreements, technical agreements and policies) 의 집합이다. 기업은 연합 아이덴티티 시스템을 통하여사용자 정보 관리에 드는 비용을 절감할 수있으며 사용자의 시스템 사용 만족도를 높일 수있다.

효과

사용자 정보관리 비용 절감

기업은 더 이상 “사용자” 또는“아이덴티티”정보를 통제 하거나 관리할필요가 없이, 안전하게 비즈니스에 더욱충실할 수 있다.용이한 사용

사용자는 자신의 단일 로그인 아이덴티티관리만으로 다양한 웹 사이트간 접속을용이하게 할 수 있다.단일화된 연동

기업간 또는 어플리케이션간 아이덴티티를연결하는 공통의 방식 사용으로 사용자정보 통합이 용이해진다.

User

Company E

Travel Agent

Company C

Insurance Provider

Pension Holder

Company A

Credit Union

Company D

Stock Broker

Company B




Identity Access PrivacyIBM Tivoli Privacy Manager

아래와 같은 경우에 접근 허용:• 비즈니스 목적에 의해 승인된 경우• 고객에 의해 접근이 허용된 경우 고객 데이타

개인정보 접근에 대한 감사

Privacy Manager

의료 정보 데이타

직원이 고객의개인정보에 대한 접근 개인 재정 데이타

개인적인 정보데이타




Identity Access PrivacyIBM Tivoli Privacy Manager

Tivoli Privacy Manager는 어플리케이션 단위 뿐 아니라, 세부 데이터 컬럼 단위까지 사용자 접근권한을 통제할 수 있습니다. TPM의 접근 통제 대상은 일반 RDBMS, LDAP directory, text file 등대부분의 데이터 저장소를 지원합니다.

데이터 사용에 대한 접근권한 통제Tivoli Privacy Manager는 데이터 컬럼 수준까지 세분화된 접근 권한을 통제할 수 있는 솔루션입니다. Tivoli Privacy Manager는 아래와 같은 정보를 기반으로 데이터 사용권한을 통제합니다.

- 접근하고자 하는 데이터 종류- 사용자 소속 그룹- 데이터를 사용하고자 하는 목적(Purpose)- 정보 제공자(정보 소유자)의 동의여부(Consent)

프라이버시 정책 관리정보 제공자의 프라이버시가 보장되어야 할 데이터를 지정하고, 정보제공자로부터 데이터 사용허가(Consent)여부를 관리합니다.

감사로그 기록누가, 어떠한 목적으로, 어떠한 데이터에 대한 사용을 시도하였는지 허가/거부된 모든 접근에대한 상세한 기록을 남깁니다.

보고서Tivoli Privacy Manager은 프라이버시 정책에 의거하여 데이터 필드 접근기록에 대한 상세 보고서를 제공합니다. 보고서는 기본적으로 웹 브라우저를 통해 열람할 수 있습니다.




Identity Access PrivacyIBM Tivoli Directory Integrator

IBM Directory Integrator는 통합 디렉토리 환경을 구현하기 위한 infrastructure로 정의되어 질 수 있다. 기업이보유하고 있는 다양한 유형의 저장소를 IDI를 통해 통합하여 관리하고 정보간 동기화를 구현할 수 있다.

... ... ......

Native OS Directories (e.g.... ZOS, AIX, Linux)

Application Directory (e.g.... Websphere Directory)Active Directory

LDAP Directory (e.g.... IBM Directory Server)

NDS

Oracle, Microsoft SQL Server, DB2 Native access, or ODBC

ERP Directories(e.g.... Peoplesoft, SAP)




Identity Access PrivacyIBM Directory Integrator

100% Java 어플리케이션

IBM Directory Integrator는 100% 자바 어플리케이션이므로 엔터프라이즈 분산환경의 모든 플랫폼을지원합니다.

Open Architecture

IBM Directory Integrator는 특정 LDAP 디렉토리 기반으로 동작하지 않습니다, IDI는 대부분의 Leading Directory 정보들을 연동하여 그 기반에서 동작합니다.

확장성과 성능

IDI는 대규모 데이터를 연동해야 하는 경우에도 확장이 매우 용이한 아키텍쳐를 지원합니다. 대부분의메타디렉토리 솔루션들이 대규모 데이터 연동 시 병목현상의 우려가 있지만 IDI는 여러 개의 Assembly Line을 지원함으로써 single-point of failure 문제를 해소함과 동시에 대규모 시스템에서도 적합한구조입니다.

빠른 개발 속도

IDI는 새로운 종류의 Connector도 손쉽게 개발할 수 있습니다. IDI는 차세대 메타디렉토리 솔루션으로서configuration 및 새로운 connector 개발이 매우 용이합니다. 반면 타 메타디렉토리 솔루션은 새로운connector 개발환경이 복잡하고 어렵기 때문에 구축기간이 길어집니다.

실시간 동기화

IDI는 EventHandler를 동기화 대상 시스템마다 지원함으로써 데이터 변경사항을 실시간으로 탐지할 수있습니다. 이 기능을 통해 데이터 소스 사이의 실시간 동기화가 가능합니다.



How and Why do Security Vulnerabilities Arise?

“Through 2005, 90 percent of cyber attacks will continue to exploit known security flaws for which a

patch is available or a preventive measure is known.” – Mark Nicolett, Research VP at Gartner

AND attacks are on the rise

From CERT/Coordination Center Incident Reports, 2000-2003:

What is causing the vulnerabilities that are being exploited?

Software defects

Lack of technical security controls

Why has good security practice been so difficult to proliferate?

Vendors have been shipping unconfigured systems to users

Users don’t know how to properly configure their systems

Users are afraid to disrupt operations with patches or security settings

114,85582,09452,65821,756Incidents

2003 Q1-3200220012000Year



Security Compliance Manager (SCM) Overview

IBM Tivoli Security Compliance Manager is a security policy compliance product that checks systems and applications for vulnerabilities and identifies violations against security policies

Key benefits to our customers:

Helps to secure corporate data and integrity

Identifies software security vulnerabilities

Decreases IT costs though automation and centralization

Assists in complying with regulations and standards



Example Use of Security Compliance Manager

4. SCM audits the new policy and reports are generated on status

1. A Microsoft vulnerability is announced targeting Windows systems using the rpc protocol

5. Users or IT Operations are notified with instructions on how to fix non-compliant systems

2. Scared of a repeat of MSBlaster, a SCM policy is created which forbids Windows systems from running rpc

3. The new SCM security policy is instantly deployed across Microsoft desktops and servers

Note: This same scenario applies to other types of vulnerabilities such as weak passwords, forbidden accounts, antivirus policies, common hacker exploits, black listed services, etc.



IBM과 Cisco의 전략적제휴를 통하여 새롭게 통합된 기업 보안 모델제시

아키텍처, 제품, 서비스 분야에 대한 양사 통합솔루션 제시

새로운파트너쉽

CISCO + IBM = 토탈 보안 솔루션

기대효과

IBM Identity Blue Print 와 Cisco 보안&관리 제품의 연동으로 사용자 라이프 싸이클 관리

비용 절감 (TIM과 Cisco ACS와의 연동)

Cisco 의 단말 보안 기술을 IBM 의 플랫폼 보안에 접목시켜, IBM 플랫폼의 보안수준 향상

IBM 이 Cisco Network Admission Control 프로그램에 참여하여, 단말 보안 기술 과

엔터프라이즈 보안 기술 향상 도모



Tivoli 의 통합 아이덴티티 관리 솔루션 포트폴리오

Directory Integrator

사용자 & 어플리케이션

Federated Identity Management

아이덴티티 관리어플리케이션 { Identity

ManagerAccess Manager

Privacy Manager

아이덴티티 데이터인프라 { Directory Server

사용자 & 자원 “IBM is becoming an Identity Management Powerhouse”

- Assessing IBM’s Identity Management Strategy: Preparing for Web ServicesThe Burton Group 4/18/03

ibm의보안솔루션소개 - dbguide.net · …ibm 보안솔루션은시스템접근이...

Documents