1. Apani EpiForce 솔루션 소개 자료
네트워크에 대한 논리적 분리(Network Segmentation) 및 보안 관리 솔루션
2011
Vega Works

2. Apani Networks 소개
본사：South California
– 지사 : US、UK、일본
– 창업 : 2003년
– Owner : Takahara재단 (일본)
– 개발 : 휴즈사의 기술짂
– 대표고객사 : 씨티그룹
Security Solution
기업용 보안
Professional Service
24/7 Tech. support
-1-

3. 주요 고객사
-2-

4. Client 인증 기반의 네트워크 분리
• 신뢰 가능한 End-End 통신
• 신뢰 가능한 폐쇄망
• 신뢰 가능한 상거래
-3-

5. EpiForce 개요 주요 기능
① 기기와 유저에 대한 인증 ② End to End 통신
인증관리 단말과 서버의 Finger
서버 print에 근거한 젂자
인증서를 발행.
위장접속 방지.
업무용 단말 업무용 서버
단말과 서버는 통신포트 단위로 [암호], [평문],
[차단]과 같은 Policy에 따라 통신을 수행。
업무용 단말과 유저 업무용 서버
③ 가상분할 ④ Over-lay
업무서버 (Logical Zoning)
업무 기존의 물리적 네트워크의 상부에 Security네트워크를 추가.
서버 Logical Zoning에 의한 다층의 Security 실현.
업무용 단말
「Client / Server형태」、「Full Mesh
업무용단말 업무용서버 중계용서버
형태」、「격리형태」의 Zone 설정을
조합하여 네트웍을 가상으로 분할.
-4-

6. EpiForce 개요 주요 기능
별도의 장비없이 네트워크를 논리적으로 분할
Logical Zoning
보안 정책에 따른 접속 가능 네트워크 설정
통싞 데이터에 대한 암
기기간의 통싞, 네트워크 구역(Zone)별 통싞 데이터에 대한 암호화/비암호화 선택 가능
호화
사용자 식별 기반의 네 사용자 기기에 대한 인증을 통해 서버 및 어플리케이션에 대한 접속이 가능한 보안 홖경 구
트워크 접속 관리 현
-5-

7. EpiForce 개요 EpiForce의 아키텍처
분산, Fail over
• Single point failure 없음
• Bottle neck 없음
데이터베이스
높은 확장성
관리 콘솔
• On-demand policy 배포
• 100,000 Agent까지 확장가능
Security표준 준수
• IPSec、X.509v3
• 3DES、AES128/256
• FIPS 140-2 level 1
관리 서버
Agent지웎 platform
• Windows (2003, 2008, XP, 7)
• Linux (RedHat,SuSE, CentOS)
• UNIX (AIX, Solaris, HP-UX), Mac X
• HW Agent (범용 단말기기, 프린트 등)
-6-

8. Logical Zoning 주요 기능
논리적인 네트워크 분할(Logical Network Segmentation)
주요 기능
• 보안 정책에 따라 네트워크 구역(Segment)의 중복 사용 가능
• IP 및 물리적 연결에 의존하지 않으므로 가상 서버에 쉽게 적용 가능
• 논리적으로 분할된 네트워크에 대한 통합 관리 기능 제공
• End to End 접속 기능 및 직관적인 설정 기능 제공
-7-

9. Logical Zoning
「Zone」의 설정에 따라, Port단위로 접속와 통신의 방향을 제어
「Zone」의 중복설정이 가능
VLAN＋방화벽과의 대응한 기능 제공(내부 보안에 최적화)
서버간의 통신
인사팀Zone 경리팀Zone
-8-

10. Logical Zoning
CSZ CSZ
WEB AP DB WEB AP DB
접속관리
CSZ
L2 스위치 L2 스위치
방화벽/라우터 방화벽/라우터
사내Network 사내Network
-9-

11. Logical Zoning Zoning Pattern
클라이언트/서버
그룹간의
Access제어
내부망을 통한 접속
Zone내의
Access제어
(Full Mesh）
Remote Access
제어(격리) 외부망을 통한
접속
- 10 -

12. Logical Zoning 기본 접속 모드는 Reject
Agent 『Isolation Mode』는, 명시적으로 Zone에 포함시키지 않는 한, In-bound, Out-bound의 traffic을 default로
거부(Reject) 모드를 선택함
- 11 -

13. Logical Zoning 활용예
내부 네트워크 보안 부문간, 부문내에서의 접근을 제어
내부 침입 방지 계약직 직원 및 임시 직원이 사용하는 젂용 네트워크를 논리적으로 구성
개발 홖경과 운영 홖경의 네트워크 구역을 분리, 승인된 담당자만 운영 홖경에 접속가능하
운영 홖경 보호
도록 함.
회사간의 네트워크 분할 그룹내 관계사간의 네트워크를 논리적으로 분할
네트워크 통합 M&A에 의한 네트워크 통합 및 세부 구역화
- 12 -

14. Logical Zoning 임시 직원의 일시적 네트워크 접속 허용
Contractor
개발홖경 개발홖경의 Network에 일시적으로 계약직 직원
혹은 외부 개발자가 연결하여 원격지에서 개발을
수행할 수 있게 함.
비공개홖경 VPN보다 강력한 보안 기능 제공
Epiforce는 싞속한 Policy변경이 가능하므로,외부
개발자의 변경이나 새로운 Policy추가 등이 용이
영업요웎
- 13 -

15. Logical Zoning M&A시의 Network 통합
Network application의 변경없이, IP주소나 물리적인 연결에 의존하지 않는 Segmentation 수행 가능。
- 14 -

16. 통싞Data의 암호화
통신데이터 유출방지, ID/PW 도청에 의한 위장접속 방지
• 그룹간 또는 그룹내부의 정의가 가능
• 강력한 암호화（3DES、AES128/256）
• HW Agent（EpiGuard-mini） 이용
• 암호화의 증명서관리, Key관리의 자동화
- 15 -

17. 통싞Data의 암호화 활용예 - Staffordshire 경찰서
영국 Staffordshire 경찰 (England Staffordshire)
• 직원수 4500명
• 서버 350대, PC 2500대
• LAN,WAN의 데이터통싞 암호화
• 기존의 App.등에 영향 없이 도입/운용
• 특정 서버를 네트워크로부터 격리
• 서버 가상화 시, 젂국 DB Access관리
• 싞속, 저렴한 비용으로 도입
- 16 -

18. 사용자 네트워크 식별
• ActiveDirectory에 의한 User식별
경리 영업
인사 개발 • User＋장치 기준 Zoning 가능
• User 홗동 로그 및 이에 대한 분석 보고
Portal
• 대규모의 도입과 운용 가능
거래처 외주업체
사웎
- 17 -

19. 사용자 네트워크 식별 Active Directory 연동
EpiForce
EpiForce 데이터베이스
관리서버
Active Directory 동기화
• User식별 Network
• Agent가 Credential요구
Active Directory
• 관리서버는 User의 유효성 확인
• Security Policy의 적용
User
EpiForce • 기기(장치)인증
Agent • Policy를 User에 적용
- 18 -

20. 사용자 네트워크 식별 ActiveDirectory와 EpiForce의 비교
AD AD + EpiForce
복수의 AD제어 × ○
Logical Zoning × ◎（多重可）
서버와의 접속 Application（L7） Network（L3)
서버에 Access 가능 서버 자체에는 Access 불가
서버 장치인증 × ○
통신포트 지정 × ○
통신방향 제어 × ○
서버 간 접속제어 × ○
통신 데이터 암호화 × ○
Live Migration 대응 × ○
Access 제어 대상서버
Windows 서버 ○ ○
Linux 서버 × ○
Unix 서버 × ○
Non IT 장치(복사기,팩스등) × ○（by HW Agent）
- 19 -

21. Non IT(사무기기등)에 대한 네트워크 분리
임베디드 OS 및 비범용 OS를 사용하는 사무 기기의 경우 네트워크 분리를 위한 별도의 하드웨어 장치(HW Agent)를
제공. 이에 따라 별도의 SW Agent 탑재는 불필요함.
EpiGuard - medium NAT Router 또는 Bridge（Ethernet + Wi-Fi 로 8개까지 접속）
EpiGuard – mini Bridge（IP Device에 1대1)
- 20 -

22. 서버 가상화 및 네트워크 가상화의 보안 이슈 해결
가상 서버는 물리적인 서버와 독립적인 개체이므로 가상 서버의 IP 및 물리적인 Mac
서버 가상화 address, 가상 Mac Address는 변경될 수 있음. 따라서 기기 특성값의 변경에 따른 보안
정책 변경이 빈번하게 일어나고 있음.
EpiForce는 IP 및 Mac address와는 별개인 SW기반의 고유 정보를 홗용하므로 가상 서버
의 물리적 위치 변경에 관계없이 접속 관리가 가능함.
가상화는 가상 서버간의 통싞을 위해 내부 사설 네트워크를 홗용하므로, 특정 가상 서버가
네트워크 가상화 침입된 경우, 동일 네트워크 존의 타 가상 서버의 보안 취약점이 증가하는 제약사항이 존재
함.
가상 서버용 사설 네트워크에 대한 논리적 Zoning을 통해 보안 이슈를 해결함.
- 21 -

23. 서버 가상화 및 네트워크 가상화의 보안 이슈 해결
관리서버
가상데스크탑/터미널서버 일반서버 존
기밀서버 존
AD인증
자택, 외근처 （PC 및 iPAD)
거점B （PC 및 iPAD)
거점A（PC 및 iPAD)
- 22 -