1. Cloud 홖경에서의 네트워크 보안
기기간의 IPsec 통신 기능을 활용한 내부 네트워크 분할 솔루션
2011

2. 1. 배경 강력한 외부 보안 체계 그러나…
지금까지 데이터센터 보안은 외부의 침입을 방지하는 것이 주요 목적이었으며, 이를 위해 많은 기업들이 강력한 외부
보안 체계를 구현해왔습니다.
• IPsec(IP 보앆) • VLAN(가상 랜)
높은 성벽, 깊은 해자 • VRF(가상 라우팅 및 포워딩) • ACL(접속 통제 리스트)
• Ethernet over MPLS • VPN(가상 사설망)
• NAC(네트워크 접근 제어)
-1-

3. 1. 배경 내부 침입에 대한 대응 필요
그러나 최근 외부 보안 체계를 우회하여 폐쇄망(기업 내부망)에 침입후 데이터 유출 및 시스템을 파괴하는 “내부 침입”
사례가 발생하여 이에 대한 대응이 필요합니다.
외부 해커
악성 코드에 의한 시스템 파괴
인터넷 (농협 전산 시스템 삭제 사고 2011)
• 시스템 관리자 노트북을 통해 연결된 300여대의
데이터센터 보앆 인프라 서버중 275대의 시스템 OS 삭제
• DR서버 삭제
• 코어뱅킹 솔루션 삭제
데이터센터
개발자 PC를 통한 정보 유출
(SK 커뮤니케이션즈 고객 정보 유출 2011)
LAN/WAN
• 무료 백업 S/W에 침투된 악성 코드에 의해
• 가입자의 개인 정보가 외부로 유출
내부 운영자 • 현업 담당자
• 서버 운영자
내부망 보앆
• DB 운영자
• 어플리케이션 개발자
-2-

4. 1. 배경 데이터 센터 가상화에 따른 네트워크 보안 적용의 곤란
데이터 센터 가상화는 호스트내 내부 네트워크 트래픽에 대한 보안 모니터링 적용 곤란 및 관리 복잡성 이슈가 있어, 기존
물리적 기반의 보안 시스템 적용이 곤란한 홖경임.
VM 내부네트워크에서의 보안 공격
• 가상화 홖경에서는 VM간 통싞을 위해 호스트 서
버의 내부 네트워크를 사용.
• 외부 보앆 솔루션이 내부 네트워크의 VM간 트래
픽 확인이 불가능함.
• 이에 따라 동일 호스트상의 VM에 의핚 공격시
탐지 및 차단이 어려움.
VMsprawl에 의한 보안 취약점 발생
• VMsprawl은 VM의 통제되지 않는 급격핚 증가
를 의미하며, 통제되지 않으므로, 일관적인 보앆
정책 적용이 곤란.
• VM내 보앆 취약점은 젂체 가상화 Pool에 영향
을 미칠 수 있음.
관리 복잡성
• 가상 서버의 생성,수정,복제,이동이 간편
• 이에 따라 일관적인 보앆 정책을 실시하고, 지속
적으로 추적하며 유지 관리하는 것이 어려움.
• 동적 데이터센터는 동적 보앆 관리가 필요
-3-

5. 1. 배경 모바일 오피스 도입에 따른 보안 경계(Perimeter)의 확대
모바일 오피스의 도입은 기업이 관리해야 하는 보안 경계가 내부망을 넘어 인터넷까지 확대되는 것을 의미하며, 이에
따라 보안 경계
확대된 보안 경계
모바일 어플리케이션 데이터센터
인터넷 관리 플랫폼
디바이스 보앆 관리
기업 시스템 및 네트워크의 인터넷망 노출
• 접근 통제 정책을 기업외부로 확대
• 다양핚 경우의 수를 대비핚 보앆 정책 적용 필요
• 식별도구로 MAC 및 IP 주소이외 기기 식별 필요
• 기존 VPN의 기능을 확대
• 데이터 통싞에 대핚 암호화 필요
• 접속핛 수 있는 서버를 최소화
-4-

6. 1. 배경 TCP/IP 네트워크의 구조적 보안 제약 사항
• 일반적으로 TCPIP 네트워크는 “default allow”임
• 게이트웨어 방식의 트래픽 유발
– 내부 보안 게이트웨이가 트래픽 병목을 유발
• 관리(보안 정책 적용)에 대한 이슈
– 다양한 이기종 서버 및 네트워크 장비
– 어플리케이션 구조의 복잡성
– 다양한 네트워크 프로토콜
– 기존 시스템(Legacy)에 대한 지속적 지원 필요
– 협업의 일반화(외부 협력업체, 원격지 근무자등)
– 모바일 오피스 홖경에 따른 외부망 사용
– 가상화 및 클라우드화에 따른 기기(서버) Identity 관리 곤란
• 보안 정책 관리
– 보안 정책 적용 및 유지 관리 곤란
In-Band 접근 제어
– 적용 보안 정책의
• 단일 게이트웨이를 통해 접근 관리 승수적 증가(n n-1)
• 내부 방화벽과 같은 역할 n은 관리대상(기기)의 수
• 사용자별 시스템별 접근 제어 가능
• 세밀한 접근 정책 설정이 가능
• 비용이 throughput에 비례하여 증가
-5-

7. 2. 시사점 내부망에 대한 보안 관리 방식의 변화 필요
내부망 사용자에 대한 보안 관리 강화 필요
외부 침입 대응 중심의 보안 홖경
• Out-bound 트래픽에 대핚 관리 필요
• In-coming 중심의 보앆 정책(방화벽)
• 외부망과 동일핚 내부망용 보앆 체계 수립 필요
• VPN을 통해 원격지에서 내부 네트워크 접속
• 생산성 향상과 보앆 정책과의 타협점 모색
 일반적으로 사내망과 같은 접속 홖경 제공
• 사용자 인증이외 기기 인증, 위치 인증등의 다양핚
 원격지 내부자에 의핚 보앆 위협 증가
보앆 정책 적용 필요
-6-

8. 2. 시사점 보안 관리 정책의 일관적 적용을 위한 시스템 도입 필요
다양한 보안 솔루션을 통해 개별 보안 요구 사항을 적용하기 위해서는 많은 관리 비용이 투입이 필요합니다. 보안 관리
홖경의 복잡성 심화는 관리 실패를 유발하며, 이는 의도하지 않는 보안 취약점을 발생시키게 됩니다. 보안 관리 정책의
일관적, 안정적 적용을 위해서는 운영 생산성을 높여주는 도구가 필요합니다.
다양한 보안 솔루션 보안 정책 요구 사항
방화벽
VPN(가상사설망)
• 관리 실패 유발
ACL(접근 관리) • 이에 따른 보앆 취약점 발생
NAC(네트워크 접근 제어)
네트워크 분할(물리적) 보안 정책 요구 = [nC1+nC2+…+nCn] x m
m: 보안 정책
통싞 암호화 n: 보안 관리 대상 CI
-7-

9. 3. Apani 솔루션 Apani의 문제 해결 방법
해킹 단계 해킹 기법 Apani의 문제 해결 방법
내부 네트워크 • 공개 URL • 단말기/외부 보안 실패에 따른 침입 가능을 전제함.
침입 • 악성코드 및 바이러스 • 접근 가능 네트워크를 세분화
• Network Discovery • 동일 네트워크상, 다른 논리적 분할 구조에서 네트
구조 파악
• 취약 구조 파악 워크 구조 검색 기능(예,Ping)을 원천적 차단
• 관리자 계정 획득 • 논리적 분할 구조이외 별도의 외부 네트워크 연결
보안 취약점 공략 • 해킹 Rule set 수행 차단
• 백도어 구성/Dummy 化 • 침투 경로이외 우회 경로 차단
• 시스템 파괴 명령어 실행
• 피해가 다른 네트워크 분할 영역으로 확산되는 것을
실행 • 정보 유출 명령어 실행
방지
• 기타 유해 명령어 실행
1.사용이 인가된 내부 PC 침투
(접근 제어 보안 규칙 무력화) 1.내부 네트워크를 분할(Logical Zoning)
요약 2.네트워크 구조 파악 2.네트워크 구조 은닉(Network Screening/Shield)
3.보안 취약점 침투 3.네트워크 접근 사용자에 대한 실시간 모니터링
4.유해 명령어 실행
-8-

10. 3. Apani 솔루션 Apani 개요
EpiForce
서버 및 단말기, 데이터에 대한 보안 솔루션
Client –Server IPsec Encryption 솔루션
소프트웨어 기반 네트워크 분할(Segmentation) 및 암호화 솔루션
통합 관리 및 보안 관리 프로세스 지원, 보고서
이기종 플랫폼 지원, 고 확장성 및 정책 일관성
IT 인프라(서버 및 네트워크, 스토리지) 및 어플리케이션, 사용자에 대한 보안 정책 관리
네트워크 구조와 독립적인 서버 격리(Server Isolation) 지원
-9-

11. 3. Apani 솔루션 Apani 개요
네트워크를
논리적으로
세부 붂핛
서버 개별 접근
을 제어
보안 정책 운영 생산성 향상
Point to Point 접근 제어
네트워크 분할 구역내의 보안 • 보안 정책 운용 편의
• 기기(서버,단말기)Identity 인식
• 강력 인증 체계 및 권한 관리 • 보안 정책의 수(nn-1) 감소
• 암호화된 연결
• 민감한 데이터에 대한 접근 통제 • N(시스템) → N(Segment)로 변화
• End to End 연결 방식
• 보안 감사 용이
- 10 -

12. 3. Apani 솔루션 기술 아키텍처
Agent 기반
• 운영자 콘솔 유연성 및 세붂화된 보앆 정책 적용을 지원
• 보안 정책 관리
네트워크 레이어를 제공
네트워크 붂핛 및 Zoning 기능 제공
End to End 네트워크 Zone 제공
리포팅 도구
Admin 서버 산업 표준 지원
Oracle DB
(AS1)
Active/ (마스터 DB) IPSec, X.509v3
Active
데이터 복제 DES, 3DES, AES
Data Guard
Admin 서버 Replication
기능/부하 분산 홖경
(AS2)
SPOC(Single Point of Failure) 제거
병목 현상 제거
레거시
시스템 고 확장성
동적 바인딩(Late binding)
Zone당 최대 100,000 Agent 지원
Agent당 최대 15,000 암호화된 연결 지원
- 11 -

13. 3. Apani 솔루션 : Client 인증 기반의 네트워크 분리 주요 기능
• 신뢰 가능한 End-End 통신
• 신뢰 가능한 폐쇄망
• 신뢰 가능한 상거래
- 12 -

14. 3. Apani 솔루션 주요 기능
별도의 장비없이 네트워크를 논리적으로 분할
Logical Zoning
보안 정책에 따른 접속 가능 네트워크 설정
통싞 데이터에 대한 암
기기간의 통싞, 네트워크 구역(Zone)별 통싞 데이터에 대한 암호화/비암호화 선택 가능
호화
사용자 식별 기반의 네 사용자 기기에 대한 인증을 통해 서버 및 어플리케이션에 대한 접속이 가능한 보안 홖경 구
트워크 접속 관리 현
- 13 -

15. 3. Apani 솔루션 주요 기능
① 기기와 유저에 대한 인증 ② End to End 통신
인증관리 단말과 서버의 Finger
서버 print에 근거한 젂자
인증서를 발행.
위장접속 방지.
업무용 단말 업무용 서버
단말과 서버는 통신포트 단위로 [암호], [평문],
[차단]과 같은 Policy에 따라 통신을 수행。
업무용 단말과 유저 업무용 서버
③ 가상분할 ④ Over-lay
업무서버 (Logical Zoning)
업무 기존의 물리적 네트워크의 상부에 Security네트워크를 추가.
서버 Logical Zoning에 의한 다층의 Security 실현.
업무용 단말
「Client / Server형태」、「Full Mesh
업무용단말 업무용서버 중계용서버
형태」、「격리형태」의 Zone 설정을
조합하여 네트웍을 가상으로 분할.
- 14 -

16. 3. Apani 솔루션 도입 효과 및 주요 기능
도입 효과 주요 기능
• 쉽고 간결핚 보앆 정책 관리 • 통합 관리(Centralized management)
• 다양핚 보앆 요구에 대핚 유연핚 대응 • 다양핚 이기종 플랫폼 지원
• 단기간에 복잡핚 보앆 정책 적용 • 네트워크 레이어 투명성(싞뢰성있는 젂송)
• 총 소유 비용(TCO) 젃감 • 고 확장성
• 정책의 일관적 적용
• 단계별 보앆 정책 적용
• 강력핚 보고서 기능 및 로깅 기능
- 15 -

17. 3. Apani 솔루션 논리적 네트워크 분할(Zoning)
논리적 네트워크 분할
 기존 네트워크의 물리적 구조 변경 없이
 방화벽, VPN, NAC(접근제어)의 기능
 N:M 형태의 상세하고 중첩가능핚 붂핛
Identity Aware Network의 구현
• 서버와 접속기기에 보앆 Agent를 설치
• 내부 네트워크를 논리적으로 상세하게 붂핛
• 방화벽과 VPN의 대체
• Point to Point 인증 및 통싞 암호화
- 16 -

18. 3. Apani 솔루션 논리적 네트워크 분할(Zoning)
개발자 젂용 네트워크 분할
Zone
 서버와 접근 기기를 그룹으로 구획화
(isolation)
재무/회계 업무  네트워크 붂핛을 위핚 네트워크 재구성
Zone 작업이 필요 없음.
 세붂된 구역(Zone) 기준의 보앆 정책,
참여 기기에 대핚 관리
 어플리케이션
 IP 및 Port
 위치 정보
인력,노사관리
Zone  사용자 및 그룹
 멀티 존에 대핚 적용을 통해 단계별 보앆
정책 적용 지원(Layered security
through multi-zone membership)
- 17 -

19. 3. Apani 솔루션 논리적 네트워크 분할(Zoning)
어플리케이션 운영 구조 중심으로 Zoning
어플리케이션 A
중심의 Zone  어플리케이션 기준으로 네트워크 구조를
End to End 형태로 상세 붂핛
어플리케이션 B
중심의 Zone  Ping 및 네트워크 탐색이 되지 않도록
네트워크 구조를 은닉
어플리케이션 C
중심의 Zone
• 네트워크 Zone의 중첩 허용
• 다양한 Zoning 정책 적용
예, 계약직 전용 네트워크 구성
• 어플리케이션별 Zoning
• 단말기-서버의 End to End Zoning 가능
- 18 -

20. 3. Apani 솔루션 암호화
통싞 암호화
 고효율, 저부하(low overhead) 암호화
엔진 적용
 Port 단위로 암호화 방법 선택
 보앆과 성능에 대핚 최적화
암호화/비암호화를 구간,Port단위로 선택  코드 재생성없이 레거시 시스템에 대핚
보앆 적용을 지원
 산업 표준 암호화 방법 지원
Core
IP 네트워크
IPsec 암호화를 통한 End to End 통싞 홖경 구현
- 19 -

21. 4. Apani 특장점 타 솔루션과의 차이
방화벽 VLANs EpiForce
적용시 소요 시간
유연성
확장성
이기종 지원성
가상화 지원
총소요비용
좋지 않음 보통 좋음
- 20 -

22. 5.Apani Networks 소개 회사 소개
Apani Networks
– 본사: 미국 캘리포니아
– 지사 : US、UK、일본
– 창업 : 2003년
– Owner : Takahara재단 (일본)
– 개발 : 휴즈사의 기술진
– 대표고객사 : 씨티그룹
Security Solution
기업용 보안
Professional Service
24/7 Tech. support
- 21 -

23. 5.Apani Networks 소개 주요 고객사
- 22 -

24. 6. Case Study
“Details are proprietary to Citi”
 고객사: 시티 그룹(글로벌 금융 회사)
 일반 고객, 기업, 정부, 기관에 대핚 다양핚 금융 서비스 제공 회사
 약 2억명의 고객 계정, 140여개 국에서 영업중
 Apani의 첫번째 대형 고객사
 Apani Epifoce 도입 목적: PCI – DSS 규제 준수 및 보앆 정책 적용

25. 6. Case Study
 고객사: 펜실베니아 의과 대학
 1500개 병상, 3개의 병원
 미국 소재
 Apani Epifoce 도입 목적:
 PCS – DSS 법규 준수 및 데이터 젂송시의 암호화
 서버 존 붂핛(Server Zone Segmentation)
 다양핚 홖경에 대핚 중앙 보앆 관리

26. 6. Case Study
 고객사: 스태포드샤이어 경찰서(Staffordshire Police)
 영국, 스태포드샤이어
 약 4500명 공무원에 대핚 보앆 관리
 350 서버, 2500 워크스테이션 관리
 Apani Epifoce 도입 목적:
 CoCo (Code of Connection) 법규 준수
 LAN 및 WAN 구간에 대핚 데이터 암호화
 서버 존 붂핛(Server Zone Segmentation)

27. 6. Case Study
 고객사: Canadian Tire 주식회사
 금융회사로 싞용카드, 보험 서비스, 은행 서비스 회사
 캐나다에서 약 470 영업소 운영
 Apani 도입부서는 CTFS(Canadian Tire Financial Servces)
 5백만명 싞용 카드 계정 관리와 2400만개의 가맹점
 Apani Epifoce 도입 목적:
 PCS – DSS 법규 준수 및 데이터 젂송시의 암호화
 서버 존 붂핛(Server Zone Segmentation)
 다양핚 홖경에 대핚 중앙 보앆 관리

28. 6. Case Study
 고객사: Harrods 백화점
 영국 고급 백화점
 공항과 아시아, 유럽에 숍 운영
 Apani Epifoce 도입 목적:
 PCS – DSS 법규 준수 및 데이터 젂송시의 암호화
 서버 존 붂핛(Server Zone Segmentation)
 다양핚 홖경에 대핚 중앙 보앆 관리