별첨5. 서비스 구성 및 특장점
Download
Report
Transcript 별첨5. 서비스 구성 및 특장점
클라우드 기반 Symantec OTP 서비스 제공!
Symantec OTP서비스 제안서
목차
I
제안 개요
II
서비스 개요
III
서비스 구성 및 특장점
IV
고객 제공 가치
V
레퍼런스
1
I. 제안 개요
1. 시장 현황
단순한 패스워드관리와 주요시스템에 대한 무분별한 접속등으로 인하여 해킹 피해 사례는 지속적으로 증가하고
있습니다. 2011년 한해 1200여개의 기업이 해킹과 APT공격으로 주요정보들이 유출되거나 비지니스가 마비되는
피해를 당했습니다.
옥션 해킹 사고
회원 1,800만명
개인정보유출
2008년
농협 전산망 해킹
7개월 이상 준비
치밀한 사이버 테러
소니 해킹 사고
회원 7,700만건
개인정보유출
현대캐피탈 해킹
회원 175만명
개인정보유출
2011년04월
SK컴즈 해킹 사고
회원 3,500만명
개인정보유출
2011년 07월
넥슨 해킹 사고
회원 1,300만명
개인정보유출
2011년 11월
국내 주요 침해사고 사항
계속해서 증가하고 있는 APT 공격
2
I. 제안 개요
2. 패스워드 취약성
일반적인 패스워드는 기술적인 취약성으로 이미 그 기능을 상실하고 있으며, 특히 기업외부로 공개되어 있는 기업
의 주요시스템은 가장 악용하기 쉬운 해킹의 표적이 되었습니다.(VPN접근)
패스워드 취약성
VPN, VDI, 기업포털은 internet에 무방비로 노출되
어 있음
내부 사설망 vs 공인망의 접근편의성은?
계정만 도용당한다면 기업내 모든 시스템에 접근가
능
한국인들이 즐겨쓰는 Password 사전이 지하 세계
에서 유통(이미 한국의 계정정보는 거래)
3
II. 서비스 개요
1. 제안 목적
기업 내 중요 시스템에 대한 다양한 접근 환경과 최근 잇다르고 있는 APT 등 표적공격 및 해킹사고를 방지하고자
Cloud OTP를 활용한 안전한 인증 시스템 구축을 목표로 합니다.
제안 목적
패스워드 취약성 해킹,
정보 유출사고 방지
관리∙기술적 취약요소인 패스워드기반의 네트워크 및 주요 기업내 주
요 시스템을 OTP기술과 통합하여 이중 인증 체제로 강화함으로서
인가되지 않은 사용자의 접근을 차단하고 보안사고를 미연에 방지
강력한 인증 손쉬운 관리
단 한차례도 노출되지 않은 안전한 알고리즘을 기반으로 OTP
보안성을 제공하여, 안전한 사용자 확인 및 사용자 편의성 확보
Cloud OTP
활용한
안전한
클라우드 기반 서비스
안정성
클라우드 기반의 서비스로서 시만텍의 강력한 보안관리하에 24시간
365일 지속적인 가용성을 극대화하여 안정적인 인증접근관리 시스템
을 구현
시스템 관리 효율성
관리부담 최소회
물리적 인증시스템이 기업에 존재하지 않아 관리자의 관리부담(서비
스 모니터링, 성능 및 백업 등)을 최소화 하며, 최소한의 투자비용으로
강력한 보안인증을 구현하며, 추후 다양한 서비스로의 인증범위 확대
4
다중사용자 인증
시스템 구축
II. 서비스 개요
2. 대상 및 범위
기업 정보 자산의 안전한 접근을 위하여 현재에 단일 인증 체계가 아닌 OTP 기반의 이중 인증 기술로 정보 자산의
접근 제어를 강화하고자 하는 모든 기업을 대상으로 합니다.
대상 및 범위
Enterprise 고객
(기업 내부 서비스)
Symantec OTP
(B2B)
Gateway
Enterprise 고객
(대 고객 서비스)
Symantec OTP
(B2B2C)
VIP Customer
Application
(B2B,C 인증서버)
OTP DB
Symantec OTP 서비스
5
ID :
Your ID
PW :
******
OTP :
481879
II. 서비스 개요
3. 서비스 제공방법
모든 인증시스템 구성은 시만텍 Cloud에서 서비스를 제공하고 있으며, OTP는 시만텍 홈페이지에서 무료로 다운
로드하여 사용할 수 있습니다. 기업내부 서비스(B2B) 구축시 ‘OTP Gateway 1식’이 필요합니다.
서비스 제공방법
6
III. 서비스 구성
1. 서비스 구성도
보안코드(OTP) 를 생성하는 하드웨어 또는 소프트웨어 Token인 VIP(Validation and ID Protection) Credential
을 활용하여, 사용자 인증을 수행할 때 사용자 계정 및 패스워드와 함께 사용하는 강력한 보안 서비스를 제공합니
다.
서비스 구성도
DMZ
SOAP over HTTPS
(Web Service SDK 연동)
OTP 사용자
OTP 사용자
OTP 인증서버
WEB Server
VDI / System
Enterprise Gateway
OTP 관리서버
OTP 사용자
SSL VPN 등
LDAP, 인사DB
OTP 사용자 서버
DB
내부 개발어플
7
III. 서비스 구성
2. 인증방식의 종류
Symantec OTP 에서 제공되는 인증 방안은 아래와 같습니다.
Symantec OTP 인증방식의 종류
1.
하드웨어 방식의 보안 토큰(옵션)
- 시간 방식 인증
- 요청 방식 인증
[그림1]
Token 타입
- 보안 카드
2.
인텔 칩셋에 기본탑재 / 브라우져 플러그인(무료)
3.
Mobile 기반 OTP(무료) : 800+ 기종 이상의 모바일 기기 지원
[그림2]
카드 타입
https://vipmobile.verisign.com/supportedphones.v (지원되는 모바일 기기 확인)
3.
데스크 탑에서 VIP 인증(무료)
4.
SMS 를 통한 인증코드 전송(옵션)
인텔 IPT(칩셋 OTP)
Mobile
브라우져 플러그인
8
Desktop
SMS
IV. 서비스 특장점
1. 특장점
글로벌 기업인 시만텍 Cloud OTP를 제공하므로 투자비 절감 및 운용의 안정성을 확보한 24시간 365일 글로벌
인증이 가능합니다.
Cloud OTP의 특장점
Cloud OTP서비스
기존 OTP서비스
내부에 인증시스템을 구축
vs.
OTP Software
IT 담당자
Server
Firewall
Database
OTP 운영인력
저렴한 구축 비용(70% 이상 절감)
DR/클러스터
빠른 구축 시간(1 Business Day)
OTP Data Center
다양한 확장성 및 시스템 연동 제공
내부에 인증시스템을 구축시 많은 비용과 복잡성,
유지관리 및 인적소요가 발생
365일 24시간 기술지원
업계최고의 고가용성 제공
(최근 5년 100% Uptime)
9
IV. 서비스 특장점
2. 특장점 소개(1)
Symantec OTP는 기업내 불필요한 인증서버를 관리하지 않고 클라우드 기반의 서비스로 제공하며, 모바일 및 소
프트웨어 형태의 OTP를 무료로 제공하여 타사 OTP솔루션과 비교시 70%이상의 저렴한 비용으로 구축을 할 수 있
습니다.
저렴한 구축 비용
시나리오: 5,000명의 사용자가 3년이상 OTP를 사용하였을때(50%는 software)
Hardware 토큰 비용 : 60,000 * 2,500 = 1억 5천
Software 토큰비용 : 40,000 * 2,500 = 1억원
라이센스 / 셋업비 : 40,000 * 5,000 = 2억원
서버비용 : 2,000만 * 4대(이중화) = 8천만
유지보수비용 : 년간 1억원
하드웨어 토큰 리뉴얼비용 : 3년후 1억 5천
3년기준 총계 : 9억 8천만
인증서버
Mobile 토큰비용 : 무료
Software 토큰비용 : 무료
Cloud OTP
Gateway
Corporate
Network
10
라이센스 비용 : 년간 20,000 * 5,000 = 1억
셋업비 : 600만
서버비용 = Gateway 무료(기존서버 활용)
유지보수비용 : 년간 리뉴얼
3년기준 총계 : 3억원
IV. 서비스 특장점
2. 특장점 소개(2)
Cloud 기반의 Symantec OTP는 고객의 환경에 복잡한 시스템을 요구하지 않습니다. 간단히 계정을 신청하고 내
부의 기간시스템과의 연동을 거치는 작업만으로 OTP를 활성화 하여 사용할 수 있습니다.
빠른 구축 시간(1 Business Day)
1
고객사 계정 신청(30일간 무료)
2
내부 VIP Enterprise Gateway 설치(30분)
VPN, VDI연동시 약 2시간내 완료
3
사용자 모바일 Credential 다운로드(App 마켓)
4
관리자 및 사용자 교육
11
IV. 서비스 특장점
2. 특장점 소개(3)
Symantec OTP는 기업이 사용하는 웹어플리케이션의 연동 이외에 기업내에서 운영되어지는 다양한 시스템들과
의 연동을 지원합니다. 일반적으로 RADIUS 인증을 지원하는 시스템과는 간단한 적용절차로 연동이 완료되어 사
용될 수 있습니니다.
다양한 확장성 및 시스템 연동 제공
IPSec 및 SSL VPN 제품군
- Cisco, Juniper, F5, Array, Barracuda, SonicWALL , CheckPoint
- Microsoft UAG, Citrix AG, Outlook Web Access
Web 접근제어 솔루션 및 Single Sign-On 솔루션
- Tivoli AM, Oracle AM, PingIdentity PingFederate, CA SiteMinder
중요서버 로그인 통합
- Unix PAM, Windows GINA, OpenSSO
기타 RADIUS연동이 가능한 모든 어플리케이션 지원 / 웹서비스 지원
12
IV. 서비스 특장점
2. 특장점 소개(4)
업계최고의 고가용성 제공 (최근 5년 100% Uptime)
업계최고의 고가용성 제공 및 24x7 서비스 지원
VIP 클라우드 서비스
Symantec VIP Cloud
•글로벌 로드발랜싱 시스템 서비스
Load Balancer
Enterprise Gateway #1
SILO 1
SILO 2
Proxy
Proxy
Proxy
Proxy
Self Service Portal
Authentication Server
Authentication Server
Authentication Server
Current Authentication
Server validates OTP.
Current Authentication
Server validates OTP.
Current Authentication
Server validates OTP.
Updated Authentication
Server will validate PKI,
OTP, and other device and
user credentials via SAML
Updated Authentication
Server will validate PKI,
OTP, and other device and
user credentials via SAML
Updated Authentication
Server will validate PKI,
OTP, and other device and
user credentials via SAML
Includes Management
Policies. Needs to be
extensible to add new
policies.
HA User Store (Oracle 11i)
Keygen Server 1
•365x24x7 서비스 지원
SILO N
User data,
X registered credentials
Audit Logs
Validity Check
Pre-generated Keypairs
•Uptime 99.9995%(5년 통계)
- 서비스 중단 없음
Enterprise Gateway #2
다중화 지원방안
• Load balancing
• DNS Roundrobbin
• 2rd RADIUS auth
Keygen Server N
Existing MPKI/ Device
Platform
No new development
Independently scales, but
must be forcasted.
HSM 1
HSM N
Symantec Global Load-balancing
기업내부 인프라 이중화
13
Symantec Global Support
IV. 서비스 특장점
2. 특장점 소개(5)
지난 15년간 인증서비스의 기술력과 안정적인 서비스 이외에 진화하고 있는 기업의 리스크를 감소하기 위한 기술
을 OTP시스템에 지속적으로 통합함으로서 기업고객의 비지니스 생산성 향상을위한 최고의 솔루션입니다.
제안의 특장점
최고의 기술력
리스크 기반 인증
15년 인증서비스 노하우
400,000 이상의 고객
웹 사이트, 사용자 및 장치에 대한 전세
계 고객 서비스
안전한 인증서비스
사용자 디바이스 인증기술
사용자 행동패턴 분석기술
글로벌 리스크 분석 대입 인증
리스크에 따라 추가적인 인증 제공
합리적인 가격
일일 30억건의 인증서비스
별도 시스템의 투자 및 관리 불필요
최근 5년간 무중단 서비스
모든 어플리케이션 OTP 무료
가장 안정적인 SaaS모델
손쉬운 기업시스템 통합
관리자 업무 경감
14
V. 기대효과
1. Symantec OTP 도입 기대효과
Symantec OTP 서비스는 신규로 OTP를 도입하려는 고객과 기존 타 OTP를 사용하고 있는 고객 모두에게 낮은 소
유비용과 편리한 확장성 및 신뢰성을 바탕으로 고객의 안전한 인증시스템을 구현하기 위한 최고의 가치를 제공합
니다.
Symantec OTP 도입 기대효과
기업내 다양한 네트워크 디바이스,
서버, 어플리케이션과의 유연한
연동
많은 투자비용 없이 빠르고 손쉽게
기업의 인프라와 연동
Cloud
OTP
단일벤더에서 제공하는 기능으로
다양한 인증요구, 기술발전을
지속적으로 서비스 받음
클라우드 기반의 충분한 확장성
제공
15
V. 기대효과
2. Symantec OTP 효과
Symantec OTP 서비스는 고객의 환경과 요구사항에 따라 안전한 인증 시스템을 구현하여 기업내 인증의 리스크
를 최소화, 비지니스 생산성 및 고객의 브랜드 가치 향상을 제공합니다.
Symantec OTP 효과
고객 리스크 최소화
비지니스 생산성
향상
고객 브랜드
가치 향상
• Symantec이 제공하는 업계 유일의 클라우드 인증 서비
스
• 기업내 전방위 시스템과의 OTP통합으로 해킹 및 불법
적인 접근으로 인한 주요 데이터 유출 및 업무중단의
리스크를 최소화
• 비지니스를 위한 핵심 서비스에 대한 강력한 인증을 통
하여 안전한 업무환경 구축
• 업무 연속성 및 보안을 위한 최고의 솔루션 지원
• 각종 규제 등 기업의 컴플라이언스 준수
• 대 고객서비스 등의 다양한 확대를 통한 기업 이미지
및 브랜드의 가치 향상
16
VI. 레퍼런스
게임, 포털, 쇼핑 산업 및 일반 기업고객 등 40만 이상의 고객사에 대하여 글로벌 레퍼런스 확보하고 있으며,
매년 2,000개 이상의 고객사가 추가되고 있습니다.
※ 구축사례 고객은 시만텍과 고객사간 협의를 통해 제공한 내용임
17
별첨1. 서비스 구성 및 특장점
고객의 요구사항에 따라 다양한 보안 인증 서비스를 제공하며, 일반 휴대전화, 국제표준(OATH 등) 지원 및 기업
인프라 통합을 위한 다양한 어플리케이션을 지원합니다.
솔루션 특장점
• 클라우드 기반의 2-factor 인증 서비스
• 다양한 OTP credential의 포맷 지원
– OATH credential 지원
– 800+ 휴대전화 / Intel IPT
– RSA, VASCO 지원
• 기업 인프라 통합
– VPN, OWA, SSO, 그룹웨어 등 다양한
기업 어플리케이션과 통합
– API연동을 통한 다양한 어플리케이션
통합
18
별첨2. 연동 가능한 솔루션 목록
상용 솔루션( VPN, VDI, OS Server, 접근제어 솔루션 등)
IBM
Tivoli Access Manager
소닉 월
Aventail SSL VPN
F5 네트웍스
FirePass 시리즈
체크 포인트
보안 게이트웨이
HP-UX Pluggable Authentication Modules
바라쿠다 네트웍스
Barracuda SSL VPN
HP
IceWall SSO
Active Directory Federation Service
VMWa r e
VMWare View
Credential Provider
얼라이드 텔레시스
AR 제품군
Forefront Threat Management Gateway
어레이 네트웍스
Array AccessDirect SSL VPN
Forefront Unified Access Gateway
Oracle Access Manager
GINA
오라클
Oracle OpenSSO
마이크로 소프트
Solaris Pluggable Authentication Modules
시스코
시트릭스
Internet Security and Acceleration Server
ASA5500 시리즈
Outlook Web Access2003
ASA5500 시리즈 (AnyConnect 대응)
Outlook Web Access2007
Secure ACS
Outlook Web Access2010
Access Gateway
Share Point 2007
NetScaler
Share Point 2010
XenApp
주니퍼 네트웍스
Internet Information Services
레드햇
Linux Pluggable Authentication Modules
※ RADIUS 표준 프로토콜 전체를 지원함으로 상기 항목
이외의 기업용 솔루션도 지원 가능
SA 시리즈
Steel-Belted Raduis
기타 어플리케이션(Web, 그룹웨어, Mobile apps 등)
별도의 개발 API(무료제공) 연동을 통한 지원(온라인 상 모든 어플리케이션 지원 가능)
모바일 어플리케이션 개발등은 별도 협의
19
별첨3. 연동 가능한 서비스 목록
IPSec 및 SSL VPN
- Cisco, Juniper, F5, Array, Barracuda, SonicWALL , CheckPoint
- Microsoft UAG, Citrix AG, Outlook Web Access
Web Access Managers 및 SSO solution
- Tivoli AM, Oracle AM, PingIdentity PingFederate, CA SiteMinder 등
Service login 통합
- Unix PAM, Windows GINA, OpenSSO
기타 RADIUS 지원 어플리케이션
윈도우 GINA 연동 (예)
20
별첨4. 도입 기대효과
구분
주요 장점
고객가치
기업내에 별도의 인증서버를 두지 않고 무료로
제공되는 OTP를 이용
타 OTP 사용고객
시스템 관리 및 OTP관리에 대한 인력, 시간, 비
용투자가 없음
기존 시스템 마이그레이션 지원
간편한 구축 라이센스
OTP 신규 도입고객
고객데이터는 Cloud에 전송되지 않음
전세계 글로벌 DR시스템으로 안정적 서비스
15년 이상의 인증 서비스 경험
확장성 및 신뢰성
공
통
기업시스템 통합
낮은 TCO 비용
Cloud 기반 솔루션의 안정성 확보
다양한 무료 OTP로 편리성
간편한 배포 관리(사용자에 의한 관리)
타사 OTP대비 최대 90% 구축비용 절감
안전한 기업 인증 서비스 구축
손쉬운 통합 및 OTP 관리
시스템 투자없이 OTP서비스 확대 가능
24시간 안정적인 인증 환경 구축
확장을 위한 개발소스 제공
기업 내부 및 파트너, 대고객용 서비스 구축
초당 1000건의 인증 허용
추가 시스템 투자비용 없음
250ms미만의 빠른 응답속도
기업 주요자산 보호
최근 5년동안 100% 가동
컴플라이언스 준수
RADIUS 표준지원 시스템 100%연동
통합에 필요한 리소스 최소화
고객사 어플리케이션 연동
다양한 서비스에 OTP 통합
고객환경에 맞는 커스터마이징 API
기업 브랜드 가치 확대
21
별첨5. 서비스 구성 및 특장점
1. Symantec OTP 구성요소(1)
지난 15년간 인증서비스의 기술력과 안정적인 서비스 이외에 진화하고 있는 기업의 리스크를 감소하기 위한 기술
을 OTP시스템에 지속적으로 통합함으로서 기업고객의 비지니스 생산성 향상을위한 최고의 솔루션입니다.
제안의 특장점
구성요소
설명
VIP Enterprise Gateway
VPN, Windows desktops, Linux servers, routers, 방화벽 등을 클라우드 기반으로
VIP Service를 하나의 플랫폼으로 제공.
VIP Enterprise Gateway에서 VIP Validation Server, Self Service Portal, VIP Manager
제공.
VIP Validation Server
사용자가 응용프로그램 이나 VPN을 통하여 인증을 요청하면 RADIUS 인증을 통해
서 유효성 검사를 하는 서비스 제공
VIP Manager
인증서관리, 사용자관리, Credential관리, VIP administrator, Credential 보안 설정을
하며 VIP Manager를 통해서 수동으로 사용자 등록, 수정, 삭제를 제공
VIP Self Service Portal
사용자가 VIP Credential 을 등록 할 수 있도록 제공하는 서비스 제공
별첨5. 서비스 구성 및 특장점
1. Symantec OTP 구성요소(2)
기업 내부의 VPN, VDI 시스템, 서버 및 각종 기업내부 어플리케이션과 연동하기 위하여 Symantec OTP는 기업내
부 시스템과 인증연동(Proxy)을 위한 VIP Enterprise Gateway를 필요로 합니다. 본 시스템은 다중화 및 고가용성
을 기본으로 지원하며 고객에게 S/W가 무료로 제공됩니다.
VIP Enterprise Gateway
•
•
•
VIP Enterprise Gateway load balancing.
VIP Manager와 VIP Self Service Portal 이중화.
Log 적재 3가지 방식 제공
(VIP Enterprise Gateway자체 flat file, Oracle Database, Syslog Server)
고가용성
이중화
VIP Enterprise Gateway_1가 장애가 발생을해도
VIP Enterprise Gateway_2에서 데이터 처리.
VIP Manager와 Self Service Portal IdP 앞에
VIP Enterprise Gateway를 두고 이중화 구성
VIP Manager
VIP Enterprise
Gateway_1
VIP SSP
VIP Manager
VIP SSP
VIP Enterprise
Gateway_2
VIP Enterprise
Gateway
VIP Enterprise
Gateway
별첨5. 서비스 구성 및 특장점
1. Symantec OTP 구성요소(3)
안전하고 신뢰할 수 있는 클라우드 인증시스템에 웹페이지로 지원되는 VIP Manager는 고객의 OTP인증 정책을
적용하고 사용자 및 시스템을 관리할 수 있습니다.
VIP Manager
•
•
•
•
관지라 중심 Web-base UI 관리.
License 관리, User 관리, Credential관리, Credential Security 관리, VIP Administrator 관리.
트랜잭션 별로 VIP Manager와 VIP SSP 의 Audit Report생성.
Credential 수동으로 보정 및 등록.
별첨5. 서비스 구성 및 특장점
1. Symantec OTP 구성요소(4)
VIP Self Service Portal은 사용자에게 제공되는 페이지로 자신의 Credential을 등록 및 테스트 관리, 임시비밀번
호 발급 등 관리자의 개입없이 사용자 스스로 OTP를 관리할 수 있는 사용자 관리 포털을 제공합니다.
VIP Self Service Portal
•
•
•
사용자 중심으로 Web-base UI 메뉴 제공.
Credential(OTP) 보정 메뉴 제공.
사용자가 직접 Credential 등록 및 관리.
별첨5. 서비스 구성 및 특장점
2. Credential 등록, 배포, 인증절차(1)
Credential 등록 절차
•
•
•
VIP Manager
- VIP Manager Login – End User Management – Credential Type 선택 – Credential ID 입력 –
Security Code 입력
VIP Self Service Potal
- VIP SSP Login – Credential ID 입력 – Security Code 입력
IT Help Desk 등록 (Symantec)
- IT Help Desk 관리자가 로그인하여 VIP Manager를 통해서 사용자를 찾아서 등록
- 네트워크가 이상으로 접속이 안되면 이메일, 전화를 통해서 IT Help Desk 관리자에게
등록 요청
Credential
등록 페이지
Credential
ID 확인
Security
Code 입력
Security
Code 확인
등록 완료
메시지 출력
등록 확인
3회 실패
성공
에러 메시지
출력
실패
별첨5. 서비스 구성 및 특장점
2. Credential 등록, 배포, 인증절차(2)
Credential 배포 절차
•
•
•
•
•
•
Credential 생산 요청 확인
Credential ID를 관리하여 추후에 발생되는 Credential ID의 연속성을 확보
Credential 생산 및 선적
고객 전달 및 Credential 배포
Software Credential 배포는 VeriSign에서 제공하는 사이트에서 다운로드 설치
다운로드 내용 추가
하드웨어 Credential 배포
Credential ID
입력 및 관리
구매 요청
생산
고객
선적
고객 전달
고객
Symantec
별첨5. 서비스 구성 및 특장점
2. Credential 등록, 배포, 인증절차(3)
Credential 인증 절차
•
•
•
•
로그인시에 계정을 확인
계정이 등록되어있으면 Security Code 입력하고 안되어 있으면 Credential 등록
기본 설정 인증 10회 실패 시 Credential 상태가 Lock으로 변경 사용 불가능
관리자에게 연락해서 Lock 해제 요청
VIP 로그인
페이지
User ID,
Password 입력
Account
확인
인증 실패
인증 성공
Credential
등록 페이지
Credential
ID, Code 입력
Security
Code 확인
Security
Code 입력
인증
10회 실패
Credential
잠김
로그인 성공
인증 실패
성공
Credential
확인
실패