APO통합보안관제서비스 영업교육

Download Report

Transcript APO통합보안관제서비스 영업교육 

효율적인 인터넷 환경을 위한
APO 네트워크 보안서비스
㈜더존정보보호서비스
DUZON Information Security Service
DUZON is IT Leader
1. APO통합보안관제서비스
APO 보안관제서비스는 웜, 바이러스, 불법 해킹 등으로부터 중요 정보와 시스템의 손상을 막기
위해 고객사의 보안시스템 또는 업무시스템을 원격지에서 실시간 모니터링 및 분석하며, 이상
발생 시 즉각 대응하는 서비스입니다.
DUZON is IT Leader
2
2. APO 네트워크보안 주요 기능
APO 네트워크보안은 Firewall, IPS 등 네트워크 보안에 필요한 보안기능을 하나의 장비를 통해
서비스하는 One-Stop Network Protection System 입니다.
이를 통해 외부에서의 침입이나 사용자의 부주의로 인한 정보 유출을 원천적으로 차단해 줍니다.
지점/공장/대리점
-
FireWall (방화벽) : 침입차단시스템
IPS (Intrusion Protection System) : 침입방지시스템
VPN (Virtual Private Network) : 가상 사설망
SSL VPN : 원격지 접속자를 위한 S/W기반 가상 사설망
중요서버(ERP 서버 등)에 대한 보안기능 제공 (DMZ 구성)
다중 회선 수용기능 : 2회선까지 수용이 가능하여 장애복구
및 회선 분배 가능
본사
엄무용서버
공인IP 사용
DUZON is IT Leader
3
Internet
2. APO 네트워크보안 주요 기능
1.1 고객사 위협성 점검사례 (1)
* A 고객사 : 중국발 해킹이 발생된 곳 ( 웹을 이용 )
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.2 고객사 위협성 점검사례 (2)
* W 고객사 : 유럽국가에서 서버로 침입시도가 이루어진 곳
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.3 고객사 위협성 점검사례 (3)
* S 고객사 : 해킹이 이루어져 서버가 다른 외부로 공격을 시도하는 공격 경유지로 사용되고 있는 곳
DUZON is IT Leader
2. APO 네트워크보안 주요 기능
1.4 FireWall (방화벽) : 침입차단시스템
구성도
필요성
 들어오는 접속에 대한 접근제어
접근이 허가된
사용자
접근이 허가되지
않은 사용자
 외부에서 DMZ구간의 웹서버, 메일서버 등으로의
접근에 대해 통제가 가능함.
 내부 사용자와의 통신에 대해서도 통제 가능
 불필요한 외부접속 차단
 내부 사용자가 외부로의 접근에 대해서도 선별적
으로 허용 가능 ( EX : 메신저 차단, 특정 사이트
차단 , P2P 차단 등으로 네트워크 회선 속도 향상)
Internet
DMZ 구간
비인가 접속
 방화벽의 한계
 IP와 Port만 가지고 확인을 하므로 허용된 사용자
가 공격을 할 경우 차단 불가능
 특정 서비스의 경우 외부에 무조건 노출시켜야 함
(EX : 웹서버의 경우 모든 사용자에게 80포트 허용
해야 함.)
APO Gate
웹, 메일, 파일
서버 등
관리자
DUZON is IT Leader
ADSL/CABLE/
VDSL/전용선 등
허가된 접속
Switch
일반 내부사용자
7
출발지IP
출발지
Port
목적지 IP
목적지
Port
정책
any
any
211.5.1.2
80
allow
211.11.1.10
any
211.5.1.3
any
deny
2. APO 네트워크보안 주요 기능
1.5 IPS (Intrusion Protection System) : 침입방지시스템
구성도
필요성
 외부에서 들어오는 유해 트래픽 차단
 외부의 사용자에 의한 해킹 시도 탐지 및 차단
 웜이나 기타 악성코드 차단
 내부사용자의 불법행위 탐지
 내부 사용자가 DMZ 구간에 있는 서버에 해킹시도
를 할 경우, 이를 탐지하고 차단시킴
Internet
DoS Attack
유해 트래픽
DMZ 구간
ADSL/CABLE/
VDSL/전용선 등
APO Gate
웹, 메일, 파일
서버 등
 아래의 그림과 같은 구조로 대부분 탐지하게 됨. 때문에,
패턴의 개수는 곧 탐지 수준을 좌우하게 됨.
(상용제품 중 가장 많은 패턴보유, 대략 4,000여 개이
며 일반 사용 제품의 경우 2,000~3,000개 수준)
정상 트래픽
Switch
관리자
DUZON is IT Leader
공격탐지패턴
일반 내부사용자
8
1
AAAAAAAAAAAAA
2
BBBBAAAAAAABBCC
3
DCDJKDKJSJKWJ
4
SFDFEQRFDFSSDFA
2. APO 네트워크보안 주요 기능
1.6 VPN (Virtual Private Network) : 가상 사설망
구성도
필요성
 지점과의 연동으로 마치 하나의 네트워크 구성
내부사용자
지방 지사
 VPN으로 네트워크 망을 구성하게 되면 본사와 지
사간은 마치 하나의 네트워크로 구성된 듯한 효과
가 나타나게 됨.
 때문에, 지사의 내부사용자가 본사의 서버에 마치
본사의 직원이 접근하듯이 접근 가능함.
 송수신 데이터의 안전성 확보
 VPN 구간을 터널링 구간이라고도 하는데, 이 구간
APO Gate
ADSL
에서는 모든 데이터가 암호화되어 송수신 되므로
유출 우려가 없음
Internet
서울본사
 ERP 서버가 주요 대상이 됨. 각 지사와 본사간의 통신
이 필요한 경우 적절한 모델임.
 일부 그룹웨어 경우, 메시지 전송 시 FTP를 통해서 첨부
된 파일을 업로드 하는데 보안상 문제(FTP 계정 노출
DMZ 구간
ADSL
APO Gate
같은 네트워크로
인식. 내부직원끼리
통신하듯이 통신하게 됨
등)가 있으므로, 본사, 지사로 구분된 경우 VPN을 통해
반드시 안전성을 확보할 필요가 있음.
웹, 메일, 파일
서버 등
DUZON is IT Leader
9
2. APO 네트워크보안 주요 기능
1.7 SSL VPN (원격지 접속자를 위한 모델) (APO Gate-120E, APO Gate 220/220E)
구성도
필요성
 지점/공장 등의 소수인원 본사 접속이 이루어지는 경우
내부사용자
 SSL VPN 기능으로 외부 근무자(지점/공장, 외근
자, 출장자 등)의 PC에 Client 설치 후 일반인터넷
을 활용하여 VPN 서비스 제공. 본사의 네트워크망
같은 네트워크로 인식.
내부네트워크 통신처럼
통신이 가능함
에 바로 접속 하게 됨.
ADSL
 때문에 지사의 내부사용자나, 외근자가 본사의 서
지점/공장
버에 마치 본사의 직원이 접근하듯이 접근 가능함.
 송수신 데이터의 안전성 확보
Internet
ADSL
APO Gate
내부서버
 SSL VPN 구간을 장비와 외부 사용자 PC 구간을
SSL VPN
Agent를
통해 언제
어디서든
본사
네트워크
접속
터널링으로 연결하여, 이 구간에서는 모든 데이터
가 암호화되어 송수신 되므로 유출 우려가 없음
 SSL VPN을 구성함에 있어 본사에 고정 공인 IP가 필요
없음.
 ERP 서버 등 주요 서버 접속하여 업무를 진행하는 경우
대상이 됨. 다수의 원격지에서 소수의 인원이 본사간의
통신이 필요한 경우 적절한 모델임
 본사에만 장비 필요함.
본사
 외부의 다수 지점에서 소수의 인원들이 본사 접속 업무
내부사용자
를 볼 때 적합한 모델임.
DUZON is IT Leader
10
2. APO 네트워크보안 주요 기능
1.8 SSL VPN (원격지 접속자를 위한 모델) (APO Gate-120E, APO Gate 220/220E)
•
기존 네트워크 구성에 대한 보안성 강화
-
지점, 공장, 대리점의 본사 업무 서버에 대한 보안 접속을 위해 SSL VPN 구성
(외부에서 고정 IP를 통해 접속하는 방식을 원천적으로 개선)
-
본사 network 보안을 위해 네트워크보안 도입 구축 : 내 외부 접속자는 보안 장비를 거쳐 서버 접속
가능
-
고정 공인 IP 사용으로 인한 외부의 무분별한 웜 등의 공격에 대응하기 위해 서버를 비롯한 PC 등의
내부 IP를 전부 사설 IP로 변경 (네트워크보안 장비의 NAT 기능 활용)
•
도입 후 기대 효과
-
SSL VPN 구현으로 언제, 어디서든 인터넷 연결만 가능하면 회사 내부망에 있는 서버/PC에 안전한
접속 보장 및 송수신 데이터 보안성 유지
-
본사 서버의 공인 IP 대신 사설 IP 적용으로 외부로부터 해킹 등의 비인가자의 접근과 웜 등으로부터
시스템 보호
-
APO네트워크 보안장비를 통해서 외부로부터의 해킹, 웜 등의 위험에 원천적으로 방어하며 업무서버
에 대한 보안안전성을 극대화하여 원활한 업무환경 구축
DUZON is IT Leader
11
2. APO 네트워크보안 주요 기능
1.9 중요서버(ERP 서버 등)에 대한 보안기능 제공
구성도
필요성
 네트워크 구성 변화 없음
• 기존 네트워크에 어떤 변화도 없이 설치가 용이
• 기존 서비스에 장애 발생 없으며, 개인사용자에게
도 전혀 문제가 없음
 IPS 기능으로 침해사고 탐지 및 예방
• 중요 서버 앞 단에 장비를 둠으로써, 내/외부에서
접근하는 모든 패킷에 대해서 유해 트래픽인지 또
는 공격성이 있는 패킷 인지 탐지 가능
Internet
DMZ 구간
DoS Attack
유해 트래픽
ADSL/CABLE/
VDSL/전용선 등
• 방화벽을 이용해서 별도의 세밀한 접근제어가 가
능하므로 기존 방화벽에 변화 필요 없음
기존 방화벽
또는 VPN
ERP 또는
중요서버
내/외부로부터의 접근이 필요한 ERP 서버에
APO Gate
대한 안정적인 운영과 데이터 보안 모델 제공
일반 내부사용자
DUZON is IT Leader
12
2. APO 네트워크보안 주요 기능
1.10 다중 회선 지원 기능
구성도
필요성
 다중회선 지원
Internet
ADSL/CABLE/
VDSL/전용선 등
 2개의 회선을 동시에 수용함으로 내부 사용자들의
인터넷 업무 환경을 원활히, 빠르게 할 수 있음
 회선 장애 시 끊김 없는 인터넷 업무 가능
 회선의 장애가 발생 할 시 중단 되었던 인터넷
업무를 다중 회선을 수용 함으로 1개의 회선에
장애가 발생하더라도 또 다른 회선을 사용하여
인터넷 업무를 볼 수 있으므로 중단 없는 업무를
DMZ 구간
가능하게 할 수 있음
APO Gate
웹, 메일, 파일
서버 등
관리자
DUZON is IT Leader
Switch
일반 내부사용자