아벤테일 스마트 SSL VPN - Korea-v3
Download
Report
Transcript 아벤테일 스마트 SSL VPN - Korea-v3
안전한 리모트 엑세스를 위한
아벤테일 스마트 SSL VPN
정세교 팀장/필라테크
Mail: [email protected]
Phone: 02-3443-8485
Cell: 016-849-7577
Aventail’s Smart SSL VPN: ASAP v8.5
세계 최초의 IPSec 대체 VPN
아벤테일사는 현재 사용중인 모든 리모트 엑서스 솔루션을
대체 할 수 있으며, 완벽한 제어 와 보안을 통하여 모든
어플리케이션에 대한 엑서스를 제공할 수 있는 유일한
솔루션을 가진 업체입니다.
•
•
•
•
•
모든 어플리케이션 지원
완벽한 보안 및 제어
사용 간편
관리 간편
모든 리모트 엑서스 시나리오 지원하는 IPSec 대체
원격 접속 환경 추세
1995: Network Perimeter
2010: Resource Perimeter
LAN Perimeter
VoIP
Users
Employee
Using a
Wireless
Hotspot
Traveling
Employee
Corporate Data Center
Employee
at a Kiosk
External Users
Customer
or Supplier
Behind a
Firewall
Business
Partner from
any Browser
Customer
or Supplier
Behind a
Firewall
Day
Extender
Internal
Users
Employee
PDA User
원격 접속 솔루션의 현재
Myth: 모든 원격 접속 문제가 해결됨
Reality: 원격 접속 기술이 발전해왔으나, 여전히 주요 문제들은
남아 있음
생산성
• 원격접속이 필요한 시간중 20-30% 시간은,
사용자가 필요로 하는 어플리케이션에
연결할 수 없음
보안 & 제어
• 현재의 네트워크 접속(IPSec)으로는 보안 과
정책 사이에 갭이 있음.
관리성
• 사용자 그룹과 자원간의 정책 설정 및
관리가 복잡하고 시간이 많이 소요됨
현재 솔루션의 문제점
전체 어플리케이션에 접근가능한 일반 VPN 솔루션들은 보안과
정책간에 갭이 있으며, 또한 관리할 대상이 분산되어 있으며,
복잡함.
Incomplete Solutions
• IPSec VPNs
• 네트워크 레이어의 접속 보안 취약
• 사전 세팅된 클라이언트 항상 필요
• 이동 근무자에 적합치 않음
• Other SSL VPNs
• 네트워크와 리소스기반의 정책이 혼재
• 복잡한 관리 및 사용
• “네트워크 접속”(IPSec)에 보안 갭이
존재함
• “통합” VPNs
• Worst of both worlds
• 복잡한 관리 및 사용
• 보안과 정책간의 갭을 가진 IPSec 접근
아벤테일 솔루션으로 문제 해결
Revolutionary
Aventail
technology:
only
complete 대체
solution
for있는,
혁신적인
아벤테일
기술
: 모든 기존the
VPN
솔루션들을
할수
all access,
enabling
replacement
of all previous VPN solutions
완벽한
엑세스가
가능한
유일한 솔루션
Aventail® Smart Access™
• 기술:
Aventail® Smart Policy™
•
통합 정책:
•
• 모든 어플리케이션 엑세스 및
완벽한 보안을 위한 Patentpending 기술y
•
• 클라이언트리스(외부) 와 회사내
환경 모두를 위한 단일 솔루션
• 어댑티브 엑서스
• 어댑티브 어드레싱과
라우팅으로 언제 어디서나
엑서스 제공
아벤테일 종단점 제어
•
• 모든 엑세스
•
정교한 접근제어를 통해
중앙관리 및 저렴한 관리
비용
양방향 정책 및 접속 제어를
통해 주요한 어플리케이션에
부가적인 보안제공: VoIP 와
리모트 헬프 데스크 helpdesk
진보된 데이터 보호
Aventail® Smart Tunneling™
혁신적인, 특허출원중인 터널링 아키텍쳐는 완벽한 보안과
제어를 통해 모든 어플리케이션과 리소스에 안전한 통신을 제공
WorkPlace 접속
기업내부 네트워크
(클라이언트리스 웹
접속)
®
Aventail
Smart Tunneling™
VoIP
어플리케이션
파일서버
Connect 접속
(클라이언트 설치 접속)
Client/Server
어플리케이션
VoIP와 같은 복잡한 어플리케이션을 포함 모든
어플리케이션 지원
웹브라우져(클라이언트리스)와 클라이언트 설치
옵션
어댑티브 어드레싱 과 라우팅
양방한 접근 통제를 포함, Layer 4-7 제어가
가능한및 Layer 3 터널링
아벤테일 통합정책과 결합
모든 어플리케이션 지원
스마트 터널링 기술을 통해, 아벤테일 VPN은 모든 어플리케이션과
자원에 엑서스를 제공:
• 웹기반 어플리케이션
•
OWA, iNotes, 모든 http기반의
어플리케이션
• 클라이언트/서버,
TCP
•
Exchange, Windows Terminal
Services, Telnet/”Green Screen”
• Non-TCP/UDP IP
프로토콜
•
ICMP (Ping, Traceroute)
• UDP
•
일방향 & 다방향 UDP (비디오, 컨퍼런싱
어플리케이션, 라이센스 확인,
서비스복구, 스트리밍 어플리케이션)
• 백컨넥트
(또는 양방향
어플리케이션)
•
XWindows, 엑티브 FTP, 원격네트워크
관리 및 제어, VoIP
• 파일 공유
모든 어플리케이션 지원 - VoIP
• 스마트 터널링 VoIP 보안이 가능하도록 설계
• 정교한 접근제어를 포함, 양방향 접근제어는 보안 갭을 제거
• 아벤테일 SSL VPN을 통해 내부 IP PBX와 통화를 하는 이동
PC에서 사용하는 소프트폰 지원
• 이동 근무자가 사무실 외부에서 근무하는 동안 전화 서비스가
필요
• An increasing number of mobile workers have NO OFFICE!
• 생산성 증대 및 비용 절감
• 3,4,5, 자리수 콜링을 사용함으로 생산성 증가
• 장거리전화비용 절감
• IP 단말기 혹은 소프트웨어 사용으로 관리비용 절감
모든 엑서스를 위한 웹 과 클라이언트 솔루션
장점: 단일 솔루션으로 모든 사용자 제공
타 VPNs: 웹 및 일부 어플리케이션을 엑세스를 위한 솔루션과 풀
액세스를 위한 또 다른 솔루션(IPSec) 공존
• 사용자에게 환경에 따른 솔루션 선택
• 사용자 단말에 따라 단일 솔루션으로 엑서스 지원이 안됨
• 기업사용자의 경우 엑세스 시나리오에 따라 두개의 시스템 관리 필요
아벤테일: 스마트 터널링 기술을 활용한 스마트 엑세스는 단일, 통합
솔루션으로 모든 엑세스 시나리오 및 사용자들을 지원
• 클라이언트리스/웹기반 엑세스와 클라이언트설치 엑세스
• 사용자가 랩탑, 키오스크 사용여부와 상관없이 하나의 엑세스 솔루션을
가짐
• 단일솔루션에서 SSL VPN 과 IPSec 을 지원
모든 엑세스를 지원하는 웹 과 클라이언트 솔루션
How it works: IT 부서 관리하의 장비 혹은 비관리 장비 모두를
위한 최고의 솔루션
내부 WorkPlace를 통한
엑세스 (클라언트리스
클라이언트
리스 가
필요한 환경
키오스크브라우져 기반)
사용자
엑스트라
넷
연장
근무자
XYZ
XYZ Incorporated
아벤테일 OnDemand Smart
터널이 내부 WorkPlace
포탈과 결합되어, 웹포탈을
통해 모든 어플리케이션에
대한 엑세스를 제공.
Full Network Access
Full Network Access
PDA
사용자
Connect 엑세스
(Windows 크라언트
기반)
회사내 환경
내부
직원
사용자
무선 랜
IT-부서 관리
단말기
아벤테일 Connect Smart
터널이 윈도우져 클라이언트를
통해 완젹한 네트워크 레벨의
엑세스를 제공, 완벽한 회사내
환경을 제공.
Adaptive Access
The Benefit: 언제 어디서나 사용자에게 엑세스 환경을 제공하여
관리자로 하여금 사용자 기술지원으로 인한 시간 및 비용 절감
타 VPNs: 복잡한 설정으로 인한 엑세스 장애로 100% 엑세스 구현
이 안됨.
Corporate Network
End Point
(Local Network)
• 어드레스 충돌의 가능성
App Servers
& File Shares
• 프록시 트래버스의 문제
• 라우터 수동 설정
192.168.100.122
192.168.100.123
192.168.100.123
Aventail: 사용자단의 단말 및 네트워크 환경에 따라 엑세스 자동
적으로 설정
스마트 터널링 기술로, 상존하는 어드레스, 프록시 트래버스, 라우터 문제를
자동적으로 능동적으로 해결
•
사용자에게 언제 어디서나 엑세스 환경 제공
Adaptive Access
How it Works: 어댑티브 어드레싱 과 라우팅
어댑티브 어드레싱
End Point
(Local Network)
• 종단점에서 로컬 네트워크에서
사용되는 어드레스풀에 대한 정보를
SSL VPN에 제공
• SSL VPN은 종단점 환경에 따라
엑세스 방법을 제공하여, 어드레싱 및
프록시 충돌을 사전에 차단.
Corporate Network
App Servers
and File Shares
Client Access
XYZ
XYZ Incorporated
Access
Control
List
Web Access
Local NW
Resources
어댑티브 라우팅
• 정책에 따라 설정된 내부 리소스들을
동적으로 엑세스를 해줌.
• 잠재적인 라우팅 충돌을 제거
Bidirectional Access Control
The Benefit: 모든 트래픽에 대한 보안 및 제어가 가능함으로, 제어
및 보안의 갭을 줄여줌
다른 VPNs: 보안 및 제어 취약성, (특히 모든 네트워크 접속이 가능한
IPSec의 경우)
• IPSec VPN은 어플리케이션 오픈 터널을 이용하기 때문에 어플리케이션
레벨이 아닌 네트워크 레벨의 제어만 가능
• 타 SSL VPNs은 쌍방향 제어가 안됨. “네트워크 접속” 옵션에 대한 별개의
정책은 보안 취약성을 가져옴.
아벤테일: 통합 정책 설정을 통해, 쌍방향 접속제어는 모든 트래픽에
대한 완벽한 보안을 제공
•
One central access control list for controlling all traffic, even “network
access”, increases security
•
Only VPN to offer full bidirectional control, designed for applications such as
VoIP, remote helpdesk, etc.
Bidirectional Access Control
How it Works: 정책과 접근제어
End Point
(Local Network)
Policy Control
Access Control
SmartTunneling 완벽한
양방향 정책제어를 제공하여
어떠한 방식의 통신이라도
보안을 제공합니다.
(user resource, user
user, and resource user)
이름기반의 resource
정책의 제공으로 정의된
모든 resource들로의
접근이 제어됩니다.
Access
Control
List
Client Access
XYZ
XYZ Incorporated
Web Access
Local NW
Resources
Corporate Network
http://host.yourapp.com
192.0.34.72 – 192.0.34.74
192.0.24.0 / 255.255.2550
in.yourcompany.com
example.com
Internal Users
Bidirectional Tunnel
Control
(e.g. VOIP, PC Anywhere,
etc.)
App Servers
& File Shares
Integrated with Aventail Unified Policy
The Benefit:
편리한 설정, 관리, 확장
Other VPNs: 제한된 정책통합으로 인한 관리의 복잡성
Policy
C/S
Tunnel
Resource
User / ACL
Web ACL Group
User /
Group
Resource
Configuration
File Share
ACL
User /
C/S
Group
Proxy ACL
User /
Group
Proxy
Settings
Resource
IP Address
Pools
Routes
Resource
Aventail: 통일된 정책으로 통합된 Smart Tunneling은
직관적이고 시간을 절약합니다.
Single ACL
User/
Group
Policy
Zone
Resource
Marketing
Trusted
CRM
All
Any
OWA
Sales
Semi &
Trusted
Citrix
Sales
Any
Sales Drive
Executive
Team
Any
Any
IP Address
Pools
Integrated with Aventail Unified Policy
How it Works: Integrated, granular access control model
• Easy to setup & configure- 최초 설정 시
추가된 내용은 단지 IP pool을 선택하는
것입니다.
• 하나의 access control rule list는
네트워크 접속을 포함한 모든 종류의
resource와 접근방법을 가지고 있습니다.
• 정책 설정을 위한 단일한 사용자
인터페이스
• 기존작업량의 1/3만으로 더 나은 제어
SmartTunneling: How it Works
Step #1: Access point는 Connect
Tunnel #1a (시스템 구동시
application을 실행하거나
수동실행) 또는OnDemand Tunnel
#1b (WorkPlace Portal을 통해 ) 중
하나를 사용
Access Point
(Local Network)
#1a
Client Access
XYZ
Step #4: SmartTunneling이 로컬
네트워크의 IP주소정보로 발생
가능한 IP충돌여부를 검사한 후
적절한 가상 IP 주소를 할당합니다.
Step #2: Aventail
Smart Tunneling은
SSL VPN으로 터널을
생성합니다.
Step #3: Access Point
SmartTunneling으로 로컬
네트워크의 IP 정보를
Corporate Network
전달합니다.
IP Address IP Address
App Servers
Pool #1
Pool #2
& File Shares
#4
#3
#2
XYZ Incorporated
Aventail SSL VPN
#1b
Web Access
Local NW
Resources
#6
Access
Control
List
#5
Step #5: SmartTunneling은 Aventail의
통합 정책 access control list을 검사하고
사용자에게 접속이 허용된 리소스를
기반으로 라우팅 정보와 함께 해당 access
point에게 제공합니다. 라우팅 정보는
라우팅 관련 충돌을 최소화하기 위하여
해당 resource를 사용할 때에만
사용됩니다.
http://host.yourapp.com
192.0.34.72 – 192.0.34.74
192.0.24.0 / 255.255.2550
in.yourcompany.com
example.com
Step #6: 클라이언트 장비의
어플리케이션들은 resource들에 대한
접속을 실행하고 역으로
resource들로부터의 접속을 허용합니다.
정책은 양방향을 지원합니다.
Additional Version 8.5 Benefits
정책관리, End Point Control, 사용의 편리성에서의 우세가 더욱
확장되었습니다.
• Cross Platform End Point Control • Strongest out of
box experience
• Policy Zone을 다수의 device profile과
함께 생성할 수 있습니다.
• Policy Zone 은 resources나 user와
같이 정책과 연동됩니다.
• WorkPlace sites
• 다수의 수정 가능한 WorkPlace Web
portal을 제공합니다.
• 다수의 brand, division, supplier를
보유하거나 사내직원과 고객에게
서로 다른 포탈을 제공하고자 하는
조직에 적합합니다.
• Setup Wizard 최초 기본 설치를
30분 이내로 단축시켰습니다.
• AMC Graphical monitoring이
현재 정보를 보여줍니다.
• 새로워진Log viewer는
troubleshooting의 기능을
강화시켰습니다.
Cross Platform EPC Interrogation and Zones
How it Works: Cross-platform interrogation은 다양한 end
point 장비들에 대한
Windows Mac
Linux
확인을 제공합니다.
Browsers Supported
IE
X
Safari
Firefox
X
X
X
X
X
X
Data Protection Capabilities
Aventail Cache Control
X
Aventail Secure Desktop
X
Device Profile Attributes
App/ Process
X
X
X
Directory/File name
X
X
X
File Size
X
X
X
File Timestamp
X
X
X
Registry
X
Domain
X
Anti-Virus
X
Personal Firewall
X
O/S Version
X
• 다수의 device profile로
된 Policy Zone들을
생성할 수 있습니다.
• 예: Trusted zone은
Windows device profile
과 Linux device profile을
포함할 수 있습니다.
• Policy Zones 은
resources 나 user와 같이
정책과 연동됩니다.
X
Bold/italics=
New in 8.5
WorkPlace Sites
• Workplace Sites 소개
• 유일한 identity를 이용한 extranet 구축을 원하고 있고 다양한 지역과 분산된
조직들로 구성되어 있는 대규모의 고객에게 이상적인 서비스를 제공합니다.
Employees : http://employees.xyzportal.com
XYZ
XYC Incorporated
Employee Intranet
XYZ
XYC Incorporated
Employee Intranet
• WorkPlace Sites
• 다수의 그룹에 대한 각각의 수정된
URL들과 WorkPlace Themes를 제공
• Themes는 WorkPlace의 color, logo
greeting text등의 수정을 제공
• Custom URLs은 realm selection
bypass를 제공 – URL이 realm과 연계
Partners : http://extranet.xyzportal.com
ABC
ABC Incorporated
An XYZ Company
XY Z
ABC
XYC Incorporated
Incorporated
ABC
Partner
Extranet
An
XYZ Company
• 1500 & 750모델에서 기본으로 제공
Setup Wizard
•
30분 이내에 테스트 설치가 가능합니다.
•
콘솔 연결이나 CLI형태의 작업이 필요치 않습니다.
•
Administrator는 기 설정된 주소로 브라우저를 통하여 접속하여
setup wizard의 안내대로 작업을 진행할 수 있습니다.
AMC Graphical Monitoring
• AMC 홈페이지는 다양한 그래프형태로 active user,
network bandwidth, disk 사용량, CPU 사용량 등을
정리하여 보여줍니다.
• 시간, 일, 주 단위로 그래프를 수정하여 게시할 수 있습니다.
Log Viewer
• AMC는 검색기능이 포함된 새로운 log viewer를 제공합니다.
• Wildcards 검색제공
• 순방향과 역방향 column sorting
Aventail Competitive Differentiation
Aventail Competitive Differentiation
The Aventail Smart SSL VPN
The only solution for universal application access with complete
control and security, enabling replacement of all previous
solutions
• Maximum Productivity and Accessibility
• Aventail Smart Access
• Aventail Smart Tunneling
• Adaptive Access
• Complete Security and Control
• Bidirectional Access Control
• End Point Control
• Easiest to Manage and Configure
• Object-based policy model
• Unified Policy
The Aventail Smart SSL VPN
최적의 접근 방식을 투명하게 제공함으로 접속종단 장비에 대한
IT인력의 관리에서 독립된 최상의 솔루션
WorkPlace Access
Clientless browser access for Web apps,
client/server apps and file shares.
• Web application access
Kiosk
Users
• Aventail® OnDemand™
for client/server access
Extranet
• Aventail® OnDemand
Tunnel for complete
network access
Day
Extenders
PDA Users
Connect Access
A Web-delivered Windows client, for complete
network access and unmatched ease-of-use
Internal
Users
Wireless
LANs
IT-Managed
Devices
Web-Based
Applications
Aventail Smart
SSL VPN
Appliances
File
Shares
Thin Client/
Server
Applications
• Aventail® Connect
Tunnel™ for complete
network access
Traditional
Client/Server
Applications
감사합니다!