경계를 넘어 (Moving Beyond The Perimeter)Software Defined Perimeter SDP 컨트롤러에서 최소 권한 전달을 목적으로 신원확인 및 인증을 중앙에서 관리

Akamai Security Summit World Tour | Seoul1

경계를 넘어(Moving Beyond The Perimeter)

한준 기술컨설턴트 @ Akamai


Zero Trust 란 무엇인가?

Zero Trust

사용자와 어플리케이션이 여러 네트워크에 혼재“기본적으로 신뢰하지 않고 항상 인증하여 어플리케이션 접속”어플리케이션 기준 접근

App 1

App 2

App 3

더이상 신뢰할 수 있는 내부 네트워크란없음 (클라우드 전환)

App 2

App 1

App 3

내부 네트워크= 신뢰할 수 있는 네트워크?

내부 네트워크에 사용자와 어플리케이션이 존재“기본적으로 신뢰하고 필요시 인증절차 진행”전체 네트워크 접근 가능


Zero Trust 모델의 발전 단계

● 데이터 센터 자산 간에 네트워크 액세스관리

● 모든 내부 어플리케이션 (IaaS 와 온프레미스)에 대한 최소한의 권한

● 데이터 센터 자산 간에 액세스 관리● 클라우드 서비스 접속 시 인증 및 액세스

관리 제공● 강력한 인증 및 권한 관리● 필요한 사용자에 필요한 어플리케이션

액세스● 모든 내부 어플리케이션 (IaaS 와 온프레미스)

에 대한 최소한의 권한 제공

• 데이터 센터 자산 간에 액세스 관리• 클라우드 서비스 접속 시 인증 및 액세스 관리 제공• 강력한 인증 및 권한 관리• 필요한 사용자에 필요한 어플리케이션 액세스• 모든 어플리케이션 (Iaas, Saas, 온프레미스) 에 대한

최소한의 권한 제공• VPN 제거 가능• 쉬운 서비스 추가• 클라우드 보안 서비스 적용 가능• 어플리케이션 성능 개선• 고급 위협에 대한 개선된 보안 적용 가능

Micro-segmentation Software Defined Perimeter Identity Aware Proxy


Micro-segmentation●공격대상을 작게 하기 위해 네트워크를 작은

논리 세그먼트로 나눕니다. (서브넷 혹은 VLAN)○인증된 사용자만 액세스 할 수 있습니다.○문제 발생시 공격 대상을 줄이는 효과가 있습니다.

●보통네트워크 세그먼트 간 보안 연결은방화벽이 사용 됩니다.○보안 정책을 개별적으로 관리 합니다.○트래픽을 안전하게 유지 하기 위해 프리미터를 될 수

있으면 더 작게 관리 합니다.


Software Defined Perimeter●SDP 컨트롤러에서 최소 권한 전달을 목적으로

신원확인 및 인증을 중앙에서 관리 합니다.

●인증및권한 획득 후 포트 노킹 방법을 사용해어플리케이션에 대해 터널을 엽니다.

●SDP 클라이언트는 사용자 디바이스에 설치되어 DMZ에 있는 SDP 게이트웨이에 연결합니다.


Identity Aware Proxy●필요한어플리케이션에 필요한 사용자만 인증

및 권한 부여 합니다.

●기업이사용하고 있는 모든 데이터 센터 모든IaaS 어플리케이션, 모든 SaaS 어플리케이션에서 인라인으로 검증 합니다.

●기업어플리케이션의 모든 요청에 대한 전체레이어 7 보안을 적용 할 수 있습니다.

●클라이언트 없이 적용 가능 합니다.


아카마이 Zero Trust

API

API

Enterprise Threat Protector기업 내부 외부에서어플리케이션에 대한 멀웨어공격을 방어

IAAS

Enterprise Application Access필요한 사람이 필요한어플리케이션만 접근하게 할 수있는 차세대 원격 접속 솔루션

SaaS


기존 서비스 방식의 어려움

전용 장비 / 라이센스 / S/W 설치 / 보안정책 변경 등이 필요함

Enterprise

App #2

App #3

App #4

App #1IdentityIDP, SSO & MFA

AccessVPN & Client/Server

SecurityNetwork Segmentation, WAF, DLP, SWG & NGFW

App DeliveryADC

PerformanceWOC

Traditional Perimeter / DMZ

App #5Perimeter

/ DMZ

SaaS App Logging

Inside = Trusted


이렇게 한다면?

Enterprise

App #2

App #3

App #4

App #1

App #5Perimeter

/ DMZ

SaaS App

Zero Trust

IdentityIDP, SSO & MFA

E.g. Duo, Okta

AccessVPN & Client/Server

E.g. Junos, Cisco

SecurityNetwork Segmentation, WAF, DLP, SWG & NGFWE.g. Citrix

App DeliveryADC

E.g. F5

PerformanceWOC

E.g. Riverbed

Perimeter / DMZ

Logging

Enterprise Application AccessSimple, secure access as a service

EAA

EAA


1

2

EAA Connector

Web APPs

3

－EAA Edge－

회사 내부

집으로 이동

EAA 특장점

- SSO- 다단계 인증- 통합 ID 기반

IaaS

(AWS, Azure등..)

클라우드

방화벽 외부에서 내부로의 접근이 필요하지 않음

데이터 센터

사내 웹 어플리케이션 (Sharepoint 등..)

사내 디렉토리 서비스 연동(Active Directory / LDAP)

Windows / Linux 서버 (RDP / SSH)

필요한 사람에게 필요한 어플리케이션만 접근 허용제로 트러스트 클라우드의 경계선

SaaS(SFDC, 오피스365등..)

협력사, 파트너사

원격 접속

임직원 접속

외부 관계자 접속

HTML5를 사용하여 클라이언트 필요없이 브라우저로 어플리케 이션 액세스 (HTTP/S, RDP, SSH, VNC 호환)차세대 원격 액세스 솔루션

아카마이 인텔리전트 플랫폼

EAA 구조


차세대 원격 접속 솔루션아카마이의 차세대 원격 접속 솔루션은 Zero Trust 정책을 기반으로 필요한 사람이 필요한 어플리케이션만 전세계어디서나 빠르고 안전하게 접속할 수 있는 서비스이며 EAA (Enterprise Application Access) 와 ION (어플리케이션 가속솔루션)의 2가지 요소로 구성됩니다.

4 개인 컨텐츠에 가속 적용협업 컨텐츠에 가속 및 캐시 적용


멀웨어에 대한 대응 - 지금까지 우리는?

C&C

Threats

Internet

Device

Device

SWG

AV

AV

IPS/IDS

허용 된 IP주소, 프로토콜애플리케이션을 통한 악성코드 유입차단 불가

파일 기반악성코드 탐지 불가

허용된 사이트를 통해유입되는 악성코드 차단 불가

신종 악성코드탐지/차단 불가

정형화 된 시그니처 기반의 방식을 통해 악성코드/ malware/ 악의적 행위 등을 방어

인터넷


아카마이 ETP (Enterprise Threat Protector)멀웨어, 랜섬웨어, 피싱, DNS데이터 유출, 정교한 제로데이 공격 등 다양한 표적 위협을선제적으로 탐지/차단 합니다.

1. ETP 는 DNS를 이용합니다.• Good domain은 정상 IP반환• Bad domains 은 TCP 연결이 이루어 지기 전에 차단• Risky domains은 URL검사 및 payload 분석을 위해 Akamai의 프록시로 전달

2. Risky Domain에만 Proxy 적용:• 최소의 latency• 네트워크 성능 개선


ETP 를 사용한 웹 요청 검증 플로우 – 악성 도메인

ClientConnector

C&C

Threats

Internet

Device

SWGIPS/IDS

인터넷

리졸버DNS서버

ClientConnector

Device www.badsite.com

Akamai

Akamai ETP

사내 네트워크

ETP Block Page IP응답

DNS Deny


ETP 를 사용한 웹 요청 검증 플로우 – Risky 도메인

ClientConnector

C&C

Threats

Internet

Device

SWGIPS/IDS

인터넷

리졸버DNS서버

ClientConnector

Device

www.risky.com

Akamai

Akamai ETP

사내 네트워크

Akamai Proxy IP전달

Akamai Proxy IP전달

Akamai Proxy IP 접속

ETP Proxy

ETP Block Page 응답




아카마이 ETP 보안 모델 (1/3)Akamai Intelligent Edge PlatformTM

DNS Inspection Layer DNS Inspection Layer• 모든 DNS요청은 ETP로 전달

• Akamai 가 보유한 위험 도메인과 User가요청한 도메인 비교

• 정상 도메인일 경우 정상 Query 응답값전달

• malicious 도메인 요청은 자동으로 DNS레벨에서 차단

• Risky 도메인으로 의심될 경우 Akamai의Proxy로 전달하여 위협 행위 감시

Safe_domain.com/* = allow request

Bad_domain.com/* = block request

Risky_domain.com/* = forward request to proxy



DNS Inspection Layer URL Inspection Layer• 모든 Risky 요청이 Akamai Proxy로 보내지면,

Akamai URL Threat intelligence 과 비교

• Malicious URL 요청이 확실하면 자동 차단

• 그 외의 모든 Risky도메인은 Proxy를 통해HTTP/S 요청




Risky_domain.com/bad_url = block request

Risky_domain.com/files/* = retrieve content via proxy

URL Inspection Layer



DNS Inspection Layer Payload Analysis Layer

• Malware 분석 엔진으로 전송된페이로드 검사

• 악의적인 내용, Zero day 위협으로 판단될 경우 자동 차단

• 오직 안전한 컨텐츠에 대해서만 허용




Risky_domain.com/bad_url = block request

Risky_domain.com/files/* = retrieve content via proxy

URL Inspection Layer

Risky_domain.com/files/bad.pdf = block content

Risky_domaim.com/files/good.pdf = allow content

Payload Analysis Layer


아카마이 ETP 장점

선제적인 대응

• 실질적 피해 발생 전 공격 탐지• 이미 공격이 유입되어 있는 경우

2차 피해 예방

운영시간 단축

• 사고/사건을 줄여 사고 발생 후 조치를취하는 시간 해소

• 빠른 구현과, 직관성 있는 실시간모니터링

Akamai CSI

• Cloud 기반의 빅데이터 분석을 통해지속적으로 업데이트 수행

• Machine과 사람의 이중화 된 접근 및분석

• Offline 행위 분석 가능

성능

• 기존 보안 장비 등에서분석/시그니처 매핑 등을 하기위해 지연 되던 시간 단축


EAA (Enterprise Application Access)

공격자

Internet

Enterprise

Enterprise Connector

Apps

필요한 사람에게필요한

어플리케이션만 접속

방화벽 외부에서 내부로접근할 필요가 없음 원격

사용자

문제시 공격 대상이한정적


ETP (Enterprise Threat Protector)

Internet

WWWThreats

C&C

AUP

DNS

Internal User

Mobile

IoT

Remote

ON-

NET

OFF

-NET

DNS 요청 검사 URL 요청 검사 Payload 검증


데모


Documents

경계를 넘어 (Moving Beyond The Perimeter)Software Defined Perimeter SDP 컨트롤러에서 최소 권한 전달을 목적으로 신원확인 및 인증을 중앙에서 관리