Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
NetSpliter V2.0 제품소개서
NetSpliter를 이용한 사용자PC환경 망분리 구성 방안
2019. 12
I. 제품 소개
II. 주요 기능
III. 망분리 적용 방안(案)
IV. 구축 사례
※ 별첨
제품 소개
1. 제품 개요
2. 제품 구성
3. 제품 아키텍처
4. 제품 특장점
5. 제품 규격
Ⅰ
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 4 -
1. 제품 개요
NetSpliter는 어플라이언스형 암호화 게이트웨이 장치와 클라이언트장치를 이용하여 사용자 PC는 별도의 LAN Cable 공사
없이 2PC 환경으로 물리적으로 분리하고, 사용자 네트워크는 VPN 기반으로 논리적으로 분리하는 순수 국내 기술로 개발된
망분리에 최적화된 가상사설망 솔루션 입니다.
어플라이언스형 클라이언트장치와 암호화 게이트웨이장치를 이용하여 네트워크 추가 공사 없이 사용자 PC 환경을 2PC 기반으로 물리적으로 분리할 수 있는 환경을 제공하고, 네트워크 구간은 VPN 기술을 이용하여 논리적으로 분리
인터넷 전용PC는 클라이언트장치의 보안채널포트와 암호화 게이트웨이장치간 VPN 터널링을 통해 인터넷 접근 가능
업무 전용PC는 클라이언트장치의 일반포트를 통해 업무망 접근만 가능
업무 전용PC의 인터넷 접근은 암호화 게이트웨이장치에서 차단
업무 전용PC와 인터넷 전용PC간 상호 접속은 클라이언트장치에서 차단
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 5 -
구성 항목 주요 기능
게이트웨이장치
(NetSpliter Gateway)
• 고성능 네트워크 프로세서를 탑재한 VPN 기반의 어플라이언스형 장치
• NetSpliter Client 장치를 통해서만 접속 가능
• SSL VPN 보안 채널을 제공하여 기 구축된 네트워크 환경을 업무망과 인터넷망으로 분리
• 업무PC와 인터넷PC의 네트워크 트래픽 분리
• 업무PC의 인터넷 영역 접근 차단 및 인터넷PC의 업무영역 접근 차단
• NetSpliter Client 관리 기능(등록, 삭제, 정지)
• 보안 감사(조회, 검색) 및 모니터링 기능
• 인증 및 식별 정보 관리 기능
• 시스템 관리 기능(관리자 계정, 관리자 접속 IP, 네트워크, 라이선스, 무결성, 인증서 관리 등)
• 시스템 설정 기능(hostname, Time, NTP서버, Mail서버 등 설정)
• 전용OS(NSOS) 및 DBMS 탑재
• Web기반의 관리환경 제공
클라이언트장치(NetSpliter Client)
• VPN 기반의 어플라이언스형 장치• 추가 LAN Cable 공사 없이 1인 2PC환경의 물리적 망분리 환경 제공• 일반포트와 보안채널포트 제공• 보안채널포트를 통해 게이트웨이장치와 VPN 터널 제공• 일반포트에 연결되는 PC는 업무망 접속만 가능• 보안채널포트에 연결되는 PC는 게이트웨이장치를 통해 인터넷 접속만 가능• 업무PC와 인터넷PC간 네트워크 접속 차단• 인증 및 식별 기능• 무결성 검증 기능• 전용OS(NSOS) 탑재
2. 제품 구성
NetSpliter는 게이트웨이장치와 클라이언트장치로 구성됩니다.
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 6 -
3. 제품 아키텍처
NetSpliter는 전용OS가 탑제된 어플라이언스형 암호화 게이트웨이장치와 클라이언트장치로 구성됩니다.
설명
NetSpliter는 전용OS가 탑재된 Appliance 제품으로 구성
클라이언트장치는 Client Cosole포트를통해서만 네트워크 설정이 가능하며, 보안정책은 Admin Console을 통해 관리가능
클라이언트장치의 로그는 게이트웨이장치로전송되며 게이트웨이 장치와클라이언트장치의 로그는 게이트웨이 장치에저장
관리자PC는 웹 브라우저 기반의 관리 콘솔을통해 게이트웨이장치에 대한 시스템 모니터링, 보안정책 설정 및 클라이언트장치 관리
클라이언트장치는 외부 LED를 통해 장치상태 확인
NetSpliter 관리 콘솔
Web Browser
OS
NetSpliter Client
• NetSpliter Client SW-VPN Module-Monitoring Module-Bridge Module-Log transfer Module-LED Module-Setting Module
Client Console
OS (NSOS)
NetSpliter Gateway Core
• NetSpliter Gateway SW-Authentication Module-Certification Module-VPN Module-Monitoring Module-Bridge Module-Log Module-Setting Module-Packet Filter Module-Management Module
Admin Console
Database
OS (NSOS)
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 7 -
4. 제품의 특장점
가. 개요
• 국정원 CC인증 제품
• 사용자PC 환경을 업무 전용PC와 인터넷 전용PC로물리적으로 분리
• 1대의 PC에서 업무PC영역과 인터넷PC 영역을S/W적으로 분리할 때 발생하는 잠재적인 보안위협 해소
• 기존의 물리적인 네트워크 구조를 그대로 사용 가능
• 인터넷용 사용자 네트워크 구축을 위한 별도의 LAN공사불필요
• 지부의 인터넷용 WAN 구간 회선공사 불필요
• 구축 기간 단축
• 가상화솔루션과 PC보안솔루션간 호환성 이슈 없음(각종 커스터마이징 불필요)
• 업무/인터넷 영역간 ActiveX 충돌 이슈 없음
• OS종속성 및 장치종속성 이슈 없음
• 구축 이후 지원 업무 증가 이슈 없음
• 자원 사용의 한계로 인한 프로그램 구동 이슈 없음(대용량 프로그램의 경우 등)
• 인터넷망 구성을 위한 네트워크 장비 도입 최소화
• 인터넷망 구성을 위한 LAN 공사 불필요
• 인터넷망 구성을 위한 WAN 공사 불필요
• 구축 비용 및 운영관리 비용 절감
• 논리적 망분리 구축시 발생하는 MS라이선스 구매이슈(년간 라이선스) 없음
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 8 -
4. 제품의 특장점 (계속)
나. 국정원 CC인증 제품
보안성제품명 : NetSpliter V2.0
인증번호 : NISS-0832-2017
보안등급 : EAL2
평가기준 : 정보보호시스템 공통평가기준 V3.1 R2
인증일 : 2017. 10. 19 / 만료일 : 2020. 10. 18
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 9 -
4. 제품의 특장점 (계속)
다. 사용자PC환경 물리적 분리
보안성
1대의 PC에서 업무PC영역과 인터넷PC 영역을 S/W적으로 분리할 때 발생하는 잠재적인 보안위협 해소
업무전용PC는 업무망 접근만 가능
인터넷전용PC는 인터넷 접근만 가능
사용자 PC환경을 업무전용PC와 인터넷전용PC로 물리적으로 분리
설명
SBC방식의 경우 ‘전용 에뮬레이터 사용 및 제어서버를 통한 인증을 수행하지만, 기본적으로논리적인 분리이므로 물리적 네트워크 분리 방안에비해 안전도 감소’(“국가·공공기관 업무전산망분리 실무 매뉴얼”, 2007. 4 국가정보원)
‘사용자가 서버를 통해서만 인터넷에 접근 하지만외부의 악의적인 사용자에 의한 업무PC의 로컬자원 및 네트워크 자원에 대한 접근과 정보 유출가능성 존재’(“국가·공공기관 업무전산망 분리실무 매뉴얼”, 2007. 4 국가정보원)
PC가상화 방식의 경우 ‘가상화 OS가 실제 OS의커널에 종속적이기 때문에 실제 OS가 해킹 당하면가상화 OS 영역에도 영향을 끼칠 우려 상존, 반대로 가상화 OS가 해킹 당하면 이를 통해 실제OS의 관리자 권한을 획득할 가능성 여부도 검증요망(“국가·공공기관 업무망과 인터넷간 안전한자료전송 가이드라인”, 2010. 9 국가정보원)
사용자 PC 논리적 분리 시 고려사항
업무전용PC에서는 업무망 접근만 가능하고, 인터넷전용PC에서는 인터넷 접근만 가능.
클라이언트장치에 연결된 업무전용PC와 인터넷전용PC간 상호 접근 원천 차단.
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 10 -
전산센터
업무영역
사용자영역
4. 제품의 특장점 (계속)
라. 잠재적 보안위협 해소
보안성
게이트웨이장치 외부 인터페이스는 IP정보를 가지지 않는 Stealth Mode 로만 동작
클라이언트장치는 장치에서 제공하는 Serial Port를 통해서만 OS영역 접근이 가능하도록 제작
네트워크를 논리적으로 분리함에 따른 보안위협 대응방안 마련
설명
외부의 해커가 업무망과 인터넷망 접점에위치한 암호화 게이트웨이장치를 점유하여업무망 접근을 시도하는 것을 차단하기 위해게이트웨이장치 외부 포트는 IP주소가 없이Stealth Mode 로만 동작하여 외부에서의접근은 원천 차단됨
암호화 게이트웨이장치는 내부의 지정된관리자 PC에서만 접근 가능
게이트웨이장치 점유를 통한 업무망 접근원천 차단
클라이언트장치 접근을 통한 업무망 위협을원천 차단하기 위해 클라이언트장치는네트워크를 통한 접근은 불가능
클라이언트의장치 OS영역 접근은 장치에서제공하는 Serial Port를 통해서만 접근가능하도록 제작됨
클라이언트장치는 네트워크를 통한OS영역 접속 원천 차단
업무 시스템
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 11 -
4. 제품의 특장점 (계속)
마. 기존 N/W 구조변경 최소화
편의성
인터넷용 사용자 네트워크 구축을 위한 별도의 LAN공사 불필요
지부 사용자를 위한 인터넷용 WAN 구간 회선 구축 불필요
신규 인터넷 네트워크 구성을 위한 네트워크 장비 및 보안장비 최소화
추가 네트워크(LAN/WAN) 공사 없이 사용자PC 환경을 업무망과 인터넷망으로 분리
본부 지부#1 지부#n
인터넷망업무망
업무망B/B 인터넷B/B
게이트웨이장치
전산센터
망연계시스템
클라이언트장치
업무망 인터넷
접속구간
사용자영역
본부 지부#1 지부#n
인터넷망업무망
업무망B/B 인터넷B/B
전산센터
업무망 인터넷
접속구간
사용자영역
망연계시스템
전용선(or VPN)
전용선(or VPN)
전용선(or VPN)
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 12 -
망분리 구축 방안
4. 제품의 특장점 (계속)
바. 망분리에 따른 각종 이슈 해소
안정성가상화솔루션을 이용하여 사용자PC 환경 분리시 발생하는 안정성 및 호환성 이슈 없음가상화 영역의 한정된 자원 설정에 따른 성능 저하 이슈 및 LAN 구간 트래픽 증가에 따른 처리속도 저하 이슈 없음OS 종속성 이슈, 장치 종속성 이슈 및 구축 이후 관리자 지원 업무 증가 이슈 없음가상영역 사용에 대한 MS 윈도우 년간 라이선스 구매 이슈 없음
망분리 추진시 발생하는 각종 이슈 사항 해소
VPN터널
논리적망분리
안정성 호환성 성능저하
OS 및 장치 종속성 관리자 업무 증가 MS라이선스 이슈
물리적망분리
구축비용 이슈
인터넷PC와 업무PC를물리적으로 분리
사용자 네트워크를논리적으로 분리
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 13 -
※ 상기 구축 비용은 망분리 구축시 도입되는 PC, 네트워크 장비 및 각종 보안 솔루션을 포함한 금액이며, 고객사 업무 환경에 따라 달라질 수 있음.
4. 제품의 특장점 (계속)
사. 망분리 구축비용 절감
TCO 절감망분리 구축비용 절감 - 네트워크 장비, 보안 장비 도입 최소화 및 LAN 공사 및 WAN구간 회선 공사 불필요도입 장비 최소화에 따른 유지보수비용 절감MS 윈도우 년간 라이선스 구매 비용 절감- CBC방식과 VDI방식의 경우, MS 윈도우 년간 라이선스 구매가 필요함.
구축비용 및 운영비용 절감 (기존 물리적 망분리 대비)
물리적 망분리 / VDI 방식 NetSpliter를 이용한 방식 CBC 방식
NW장비, LAN공사 및 WAN구간 회선공사 비용 절감(VDI방식대비, 서버및스토리지구축비용절감)
인터넷PC 보안관리솔루션구축비용필요(NAC, PC보안/PMS, 매체관리등)
약 100만원 /1인
약 140만원 / 1인
약 220만원 /1인
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개
- 14 -
5. 제품 규격
구분 세부 사양
• 고속의 Network 전용 Processor 장착 (고속의 패킷을 실시간으로 분석하여 패킷의 경로 지정)
• CPU : 750MHz Dual Core
• Memory 512MB, Flash 256MB
• Interface : 10/100/1000Base-T 3port (LAN 1 Port, 업무PC 1 Port, 인터넷PC 1 Port), Serial 1 port
• 소모전력 : 6W 이하NSC-100
NSG 200 NSG 500 NSG 1000 NSG 3000
제품 이미지
Operation Mode Bridge Mode Bridge Mode Bridge Mode Bridge Mode
CPU 3.7 GHz 2Core x 1 3.2 GHz 4Core x 1 3.3GHz 4Core x 1 2.4 GHz 10Core x 2
Memory 8GB 8GB 16GB 32GB
CF 4GB 4GB 4GB 4GB
HDD500GB 500GB 1TB (500GB x 2) 2TB (1TB x 2)
- - RAID 1 지원 RAID 1 지원
Giga Port(Copper) 6 6 8 4
Giga Port(Fiber) - - 4 4
10G Port - - - 4
권장 동시 접속자 수 200 500 1,000 3,000
구분 모델명
주요 기능
1. 보안관리
2. 네트워크 구성
3. 장애 및 운영관리
Ⅱ
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 16 -
1. 보안관리
클라이언트장치는 일반포트와 보안채널포트를 제공하며, 일반포트는 업무망 접속만 가능하고, 보안채널포트는 인터넷 접속만
가능합니다.
기능 설명
클라이언트장치는 LAN포트, 일반포트, 보안채널포트 및 Serial 포트 제공
기존의 사용자 업무PC에 연결된 LAN 케이블을클라이언트장치의 LAN포트에 연결
업무전용PC는 일반포트, 인터넷전용PC는보안채널포트에 연결하며, Serial포트는클라이언트장치 접속시 사용
포트 구성
일반포트에 연결된 장비(PC)는 내부 네트워크접속만 가능하고,
보안채널 포트에 연결된 장비(PC)는 외부네트워크 접속만 가능
포트별 접근통제
일반포트에 연결된 장비(PC)와보안채널포트에 연결된 장비(PC)간 상호 접근불가능
포트간 접근통제접근차단
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 17 -
1. 보안관리(계속)
승인된 클라이언트장치를 통해서만 외부 네트워크 접속이 가능하고, 인가된 관리자PC만 관리자메뉴 접근이 가능합니다.
기능 설명
게이트웨이장치의 관리자 메뉴에서클라이언트장치 접속 승인관리 수행
클라이언트장치 접속 승인관리
승인한 클라이언트장치의 보안채널포트에연결된 인터넷전용PC만 네트워크 접속 가능
승인장치 통제
인가된 관리자PC만 게이트웨이의 관리자 메뉴
접근 가능
관리자 메뉴 접근통제
미승인 또는 사용중지된 클라이언트장치의보안채널포트에 연결된 인터넷전용PC는네트워크 접속 불가
미승인 및 사용중지 장치 통제
접근 허용 접근차단
네트워크접근가능 네트워크접근불가
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 18 -
2. 네트워크 구성
NetSpliter 게이트웨이 장치는 유연한 네트워크 구성을 지원합니다.
기능 설명
Fail-Over 기능 지원(Active-Active, Active-Standby)
별도의 L4스위치 없이 이중화 구성 가능(정책동기화)
1대의 Master와 다수의 Slave로 구성 가능
클라이언트장치는 Master 게이트웨이 장치주소만 설정 하며, 최초 접속시 Master 게이트웨이장치에 등록된 HA 정보 수신
High Availability
링크(Link)간 Active-Active / Active-Standby, 802.3ad 지원
링크(Link)간 Fail-over 기능 제공
대역폭 확장 및 Mash 구성 가능
Link Aggregation
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 19 -
VLAN 100 VLAN 200 VLAN nnn
2. 네트워크 구성(계속)
NetSpliter는 인터넷PC에 대하여 그룹별 별도의 VLAN 구성을 지원합니다.
기능 설명
NetSpliter 클라이언트장치에 연결되는인터넷PC에 대한 VLAN Tagging 기능지원(802.1q VLAN Tag 지원)
NetSpliter Gateway의 외부 인터페이스 트렁크포트 기능 지원
NetSpliter 클라이언트장치별 VLAN 정책 설정 및관리는 게이트웨이 장치에서 통합 관리
인터넷PC에 대한 Group별 별도의 네트워크 부여및 관리 가능
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 20 -
3. 장애 및 운영관리
NetSpliter는 웹 기반 관리 환경을 제공합니다.
기능 설명
게이트웨이 장치 및 클라이언트잗치 운영 상태모니터링(서비스, 시스템, 클라이언트 현황 등)
대시보드
클라이언트장치 관리(승인대기 장치, 등록장치, 사용중지 장치) 클라이언트 정책관리(보안정책, 정책 백업 및 복구 등)
장치관리
게이트웨이 관리로그, 시스템 로그, 비인가접속 로그, 사용추이 등클라이언트 접속 로그, 관리로그
로그관리
관리자 설정정보 관리네트워크 설정정보 관리VPN 설정정보 관리시스템 설정정보( 호스트 Name, 시스템시간, 무결성, 펌웨어, 업데이트, HA, SNMP, 라이선스 등)
시스템관리
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 21 -
3. 장애 및 운영관리(계속)
클라이언트장치의 보안채널포트에 연결된 인터넷PC는 전산센터 인터넷영역에 설치된 NAC 등의 보안솔루션에서 해당 PC의
ARP, DHCP 관리가 가능하며, PC간 단일 네트워크 구성이 가능합니다.
기능 설명
보안채널포트에 연결된 인터넷PC는게이트웨이 장치 외부 인터페이스에 연결된인터넷영역 네트워크 접근제어 시스템 등의보안솔루션에서 해당 인터넷PC에 대한 ARP, DHCP 관리가 가능하여 네트워크 접근제어통제가 가능
인터넷 PC 접근제어
보안채널포트에 연결된 인터넷PC간은 상호통신이 가능하며, 단일 네트워크로 구성 가능
인터넷 PC 네트워크 구성
전산센터
사용자영역
게이트웨이 장치
네트워크접근제어 시스템
차단
인터넷PC의 ARP, DHCP 관리 가능
VPN 터널
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 22 -
※ 클라이언트장치 장애시에도 클라이언트장치 전원만 들어오면 업무PC는 정상 동작하여 업무연속성 보장
※ 클라이언트장치 전원 장애시에는 클라이언트장치 LAN포트에 연결된 케이블을 업무PC에 연결하여 업무 수행 가능
3. 장애 및 운영관리(계속)
클라이언트장치의 펌웨어 오류시에도 일반포트에 연결된 업무PC는 정상 동작합니다.
기능 설명
클라이언트장치 장애시에도 일반포트에 연결된장비(PC)는 전원만 공급되어도 정상 동작
일반포트 연결 장비 동작
클라이언트장치 장애 시 보안채널포트에연결된 장비(PC)는 통신 불가
보안채널포트 연결 장비 동작
VPN 터널
암호화 게이트웨이
업무망인터넷
Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능
- 23 -
3. 장애 및 운영관리(계속)
클라이언트장치의 LED를 통하여 클라이언트장치 상태 관리가 가능합니다.
기능 설명
Config 설정 없음. 콘솔 연결 후 클라이언트장치 설정
미설정 장치
게이트웨이장치와 클라이언트장치간 통신 상태확인
게이트웨이장치 통신 불가
클라이언트와 게이트웨이간통신포트(TCP55443) 상태 확인
최초 펌웨어 다운로드 실패
클라이언트와 게이트웨이간통신포트(TCP55443) 상태 확인
HA정책 수신 실패
콘솔 연결 후 인증서 발급인증서 없음
클라이언트와 게이트웨이간통신포트(TCP55443) 상태 확인
정책 수신 실패
“사용중지장치” 관리 화면에서 클라이언트장치등록
사용중지 장치
“승인대기장치” 관리 화면에서 클라이언트장치등록
승인대기 장치
READY INT. EXT. 상태
클라이언트장치 부팅
미설정 장치
게이트웨이장치 통신 불가
최초 펌웨어 다운로드 실패
네트워크 정상
HA정책 수신 실패
인증서 없음
정책 수신 실패
사용중지 장치
승인대기 장치
VPN 접속 완료
구분 표시등 설명
상태정보
Power 전원연결 상태
Ready 시스템 구동 상태
Int. 제1네트워크 연결 상태
Ext. 제2네트워크 연결 상태
링크정보
LAN LAN포트 연결 상태
Int. PC Int. PC 포트 연결 상태
Ext. PC Ext. PC 포트 연결 상태
망분리 적용 방안
1. 물리적 구성도
2. 논리적 구성도
3. 외부로부터의 보안위협에 대한 대응 방안
4. 내부의 비인가 접속 차단 방안
Ⅲ
Ⅳ 구축 사례Ⅱ 주요기능Ⅰ 제품소개 Ⅲ 망분리 적용 방안(案)
- 25 -
1. 물리적 구성도
구성방안
망분리 장치 설치
인터넷 접점 구간에 암호화 게이트웨이 설치
사용자 PC 영역에 클라이언트장치 설치
※ 사용자PC에 연결된 기존의 LAN 케이블을클라이언트장치 LAN 포트에 연결
사용자PC 설치
업무 전용PC는 클라이언트장치 내부망용포트(Int. PC 포트)에 연결
인터넷 전용PC는 클라이언트장치의외부망용 포트(Ext.PC포트)에 연결
전산센터
사용자영역
업무망
망관리PC보안/PMS
매체관리…
내부 메일
망관리PC보안/PMS
매체관리…
외부 메일
층간스위치
업무망 B/B 인터넷 B/B
게이트웨이 장치
자료전송시스템
인터넷
클라이언트장치
업무영역서버 인터넷영역서버
Ⅳ 구축 사례Ⅱ 주요기능Ⅰ 제품소개 Ⅲ 망분리 적용 방안(案)
- 26 -
2. 논리적 구성도
구성의 특징
사용자PC는 물리적 분리
전산센터
사용자영역
자료전송시스템
사용자PC는 업무전용PC와 인터넷전용 PC로물리적으로 분리
업무전용PC는 업무영역 접근만 가능하고 인터넷영역 접근 불가
인터넷전용PC는 인터넷 영역 접근만 가능하고, 업무 영역 접근 불가
사용자 네트워크는 논리적 분리
사용자 네트워크는 가상사설망 장치를 이용하여VPN으로 논리적으로 분리
게이트웨이 장치와 클라이언트장치간 SSL VPN 터널링을 이용하여 사용자용 신규 인터넷네트워크를 구성하고, 업무 트래픽과 인터넷트래픽 분리
망관리PC보안/PMS
매체관리…
내부 메일
업무망 B/B
층간스위치
업무영역서버 망관리PC보안/PMS
매체관리…
외부 메일
인터넷 B/B
게이트웨이장치
클라이언트장치
VPN 터널
인터넷영역서버
Ⅳ 구축 사례Ⅱ 주요기능Ⅰ 제품소개 Ⅲ 망분리 적용 방안(案)
- 27 -
3. 외부로부터의 보안위협에 대한 대응 방안
구성방안
외부의 해커가 업무망과 인터넷망 접접에위치한 암호화게이트웨이를 점유하여 업무망접근을 시도하는 것을 차단하기 위해 암호화게이트웨이 외부 포트는 IP 주소가 없이Stealth Mode 로만 동작
암호화게이트웨이는 내부의 지정된 관리자PC에서만 접근 가능
게이트웨이 외부 포트는 IP주소가 없이Stealth Mode로 운영
클라이언트장치 접근을 통한 업무망 위협을원천 차단하기 위해 클라이언트 장치는네트워크를 통한 접근은 불가능
클라이언트의 OS영역 접근은 장치에서제공하는 Serial Port를 통해서만 접근 가능
클라이언트장치는 네트워크 접속 차단
인터넷PC의 모든 트래픽은 게이트웨이장치와클라이언트장치의 보안채널포트간 Bridge Mode 로만 동작하는 VPN 터널을 통해인터넷망 백본스위치로만 전달됨
업무망으로의 악성코드 전파 차단사용자영역
전산센터
암호화 게인트웨이 및 클라이언트 장치를 통한 업무망 접근 원천 차단
암호화게이트웨이 외부 포트는 IP주소 없이 동작하는 Stealth Mode로만 운영
클라이언트장치에 대한 외부로부터의 모든 접근 경로 차단
인터넷 전용PC에 의한 업무망으로의 악성코드 전파 불가능
업무 시스템
Ⅳ 구축 사례Ⅱ 주요기능Ⅰ 제품소개 Ⅲ 망분리 적용 방안(案)
- 28 -
4. 내부의 비인가 접속 차단 방안
구축 사례
1. 지부/소속기관 사용자 PC환경 망분리
2. 본부 사용자 PC환경 망분리
3. 업무가상화(문서중앙집중화) + 망분리
4. 일부사용자 2PC환경 망분리
5. 년도별 도입 고객사 현황
Ⅳ
Ⅲ 망분리 적용 방안(案)Ⅱ 주요기능Ⅰ 제품소개 Ⅳ 구축사례
- 30 -
1. 지부/소속기관 사용자 PC환경 망분리
물리적 구성도
지부
본부
업무망 인터넷망
자료전송시스템
인터넷 server Farm
보안관리 영역
인터넷전용PC 영역
인터넷전용 PC게이트웨이 장치
업무용 server Farm
보안관리 영역
사용자 영역
업무전용 PC
업무망
보안관리 영역
게이트웨이 장치
업무용 server Farm
보안관리 영역
사용자 영역
업무전용 PC
인터넷 server Farm
인터넷전용PC 영역
인터넷전용 PC
600여개 지부 600여개 지부
FW/VPN
업무전용PC 업무전용PC 인터넷전용PC 인터넷전용PC
600여개 지부
인터넷망
클라이언트장치
VPN 터널
자료전송시스템
FW/VPN
Ⅲ 망분리 적용 방안(案)Ⅱ 주요기능Ⅰ 제품소개 Ⅳ 구축사례
- 31 -
2. 본부 사용자 PC환경 망분리
물리적 구성도
업무망 인터넷망
사용자영역
인터넷 보안관리영역
VPN 터널
업무서버영역
업무망보안관리영역
DMZ서버팜
인터넷 보안관리영역
업무서버영역
업무망보안관리영역
DMZ서버팜
전산센터
Ⅲ 망분리 적용 방안(案)Ⅱ 주요기능Ⅰ 제품소개 Ⅳ 구축사례
- 32 -
3. 업무가상화(문서중앙집중화) + 망분리
변경 전
전산센터
업무망 인터넷망
업무용 server Farm
보안관리영역
사용자영역
가상PC(인터넷영역)
서울지부
보안관리 영역
인터넷 server Farm
자료전송시스템
본부(제주) + 지부
업무전용PC 업무전용PC
업무망 인터넷망
전산센터
보안관리영역
사용자영역
업무용 server Farm
보안관리 영역
인터넷 server Farm
자료전송시스템
업무망접속단말(Zero Client)
인터넷 전용PC(기존PC)
업무망접속단말(Zero Client)
인터넷 전용PC(기존PC)
서울지부 본부(제주) + 지부
업무가상화 Server Farm
가상PC(인터넷영역)
클라이언트장치
Ⅲ 망분리 적용 방안(案)Ⅱ 주요기능Ⅰ 제품소개 Ⅳ 구축사례
- 33 -
4. 일부사용자 2PC환경 망분리
적용 전
전산센터
업무망 인터넷망
업무용 server Farm
보안관리영역
사용자영역
VDI 접속 터미널(인터넷접속용)
보안관리 영역
인터넷 server Farm
자료전송시스템
업무전용PC 업무전용PC
VDI 접속 터미널(인터넷접속용)
VDI Server Farm
사용자영역
일반사용자 2PC 망분리 전환 사용자
VDI 접속 터미널(인터넷접속용)
업무전용PC 업무전용PC 인터넷전용PC
클라이언트장치
업무망 인터넷망
업무용 server Farm
보안관리영역
보안관리 영역
인터넷 server Farm
자료전송시스템
VDI Server Farm
전산센터
Ⅲ 망분리 적용 방안(案)Ⅱ 주요기능Ⅰ 제품소개 Ⅳ 구축사례
- 34 -
5. 년도별 도입 고객사 현황
년도 도입기관
2019년
2018년
2017년
2016년
2015년
다수의 고객기관에서 NetSpliter를 이용한 사용자PC 망분리 환경을 구축하여 운영중입니다.
1. 특허등록증
2. 국정원 검증필 암호모듈 적용
3. 망분리 방식별 비교
- 37 -
별첨 1. 특허등록증
- 38 -
별첨 2. 국정원 검증필 암호모듈 적용
- 39 -
구분융합형방식
(NetSpliter이용)물리적망분리 논리적망분리(VDI) 논리적망분리(CBC)
망분리형태
• 사용자PC – 물리적 분리• 네트워크 – 논리적 분리
• 사용자PC – 물리적 분리• 네트워크 – 물리적 분리
• 사용자PC – 논리적 분리• 네트워크 – 논리적 분리
• 사용자PC – 논리적 분리• 네트워크 – 논리적 분리
장점
• 보안성 보장• 기존 네트워크 구조 변경 최소화• 안정성, 호환성 및 성능 이슈 없음• 구축 비용 절감(물리적 망분리 대비)• 사후 관리의 편리함(논리적 망분리 대비)
• 보안성 보장• 안정성, 호환성 및 성능 이슈 없음• 사후 관리의 편리함(논리적 망분리 대비)
• 사용자 인터넷PC에 대한 중앙집중 관리 가능
• 기존 네트워크 구조 변경 최소화
• 구축 비용 절감• 기존 네트워크 구조 변경 최소화
단점
• 관리대상 장비 수 증가 • 구축 비용 증가• 별도의 인터넷 회선 구축 부담• 대규모 네트워크 구조 변경 필요• 관리 대상 장비 수 증가
• 인터넷 서비스 제약 및 안정성이슈
• 가상화솔루션과 PC보안솔루션간의 호환성 이슈(별도의커스트마이징 필요)
• LAN구간 N/W 부하 증가로 인한서비스 속도 지연 이슈 (Boot Storm 등)
• MS라이선스 이슈(년간 라이선스구매 필요)
• 공인인증서 사용 방안 이슈• 관리자의 사후 관리 업무 증가
• 인터넷 서비스 제약 및 안정성이슈
• 가상화솔루션과 PC보안솔루션간의 호환성 이슈(별도의커스트마이징 필요)
• PC 성능 저하 이슈• 인터넷 서비스 속도 저하 이슈• MS라이선스 이슈(년간 라이선스
구매 필요)• 관리자의 사후 관리 업무 증가
구축 비용 약 140만원 / 1人 약 220만원 / 1人 약 220만원 / 1人 약 100만원 / 1人
개념도
업무서버
인터넷전용PC
업무서버
게이트웨이장치
Client 장치
인터넷전용PC
※ 상기 구축 비용은 망분리 구축시 도입되는 각종 보안 솔루션을 포함한 금액이며, 고객사 업무 환경 및 망분리 구성 방안에 따라 달라질 수 있음.
업무서버
접속Agent
가상화서버
업무서버
가상화Client
암호화 G/W
별첨 3. 망분리 방식별 비교