NetSpliterV2.0 제품소개서NetSpliterV2.0 제품소개서 NetSpliter를이용한사용자PC환경망분리구성방안 2019. 12 I. 제품소개 II. 주요기능 III. 망분리적용방안(案)

NetSpliter V2.0 제품소개서

NetSpliter를 이용한 사용자PC환경 망분리 구성 방안

2019. 12

I. 제품 소개

II. 주요 기능

III. 망분리 적용 방안(案)

IV. 구축 사례

※ 별첨

제품 소개

1. 제품 개요

2. 제품 구성

3. 제품 아키텍처

4. 제품 특장점

5. 제품 규격

Ⅰ

Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅱ 주요 기능Ⅰ 제품 소개

- 4 -

1. 제품 개요

NetSpliter는 어플라이언스형 암호화 게이트웨이 장치와 클라이언트장치를 이용하여 사용자 PC는 별도의 LAN Cable 공사

없이 2PC 환경으로 물리적으로 분리하고, 사용자 네트워크는 VPN 기반으로 논리적으로 분리하는 순수 국내 기술로 개발된

망분리에 최적화된 가상사설망 솔루션 입니다.

어플라이언스형 클라이언트장치와 암호화 게이트웨이장치를 이용하여 네트워크 추가 공사 없이 사용자 PC 환경을 2PC 기반으로 물리적으로 분리할 수 있는 환경을 제공하고, 네트워크 구간은 VPN 기술을 이용하여 논리적으로 분리

인터넷 전용PC는 클라이언트장치의 보안채널포트와 암호화 게이트웨이장치간 VPN 터널링을 통해 인터넷 접근 가능

업무 전용PC는 클라이언트장치의 일반포트를 통해 업무망 접근만 가능

업무 전용PC의 인터넷 접근은 암호화 게이트웨이장치에서 차단

업무 전용PC와 인터넷 전용PC간 상호 접속은 클라이언트장치에서 차단


- 5 -

구성 항목 주요 기능

게이트웨이장치

(NetSpliter Gateway)

• 고성능 네트워크 프로세서를 탑재한 VPN 기반의 어플라이언스형 장치

• NetSpliter Client 장치를 통해서만 접속 가능

• SSL VPN 보안 채널을 제공하여 기 구축된 네트워크 환경을 업무망과 인터넷망으로 분리

• 업무PC와 인터넷PC의 네트워크 트래픽 분리

• 업무PC의 인터넷 영역 접근 차단 및 인터넷PC의 업무영역 접근 차단

• NetSpliter Client 관리 기능(등록, 삭제, 정지)

• 보안 감사(조회, 검색) 및 모니터링 기능

• 인증 및 식별 정보 관리 기능

• 시스템 관리 기능(관리자 계정, 관리자 접속 IP, 네트워크, 라이선스, 무결성, 인증서 관리 등)

• 시스템 설정 기능(hostname, Time, NTP서버, Mail서버 등 설정)

• 전용OS(NSOS) 및 DBMS 탑재

• Web기반의 관리환경 제공

클라이언트장치(NetSpliter Client)

• VPN 기반의 어플라이언스형 장치• 추가 LAN Cable 공사 없이 1인 2PC환경의 물리적 망분리 환경 제공• 일반포트와 보안채널포트 제공• 보안채널포트를 통해 게이트웨이장치와 VPN 터널 제공• 일반포트에 연결되는 PC는 업무망 접속만 가능• 보안채널포트에 연결되는 PC는 게이트웨이장치를 통해 인터넷 접속만 가능• 업무PC와 인터넷PC간 네트워크 접속 차단• 인증 및 식별 기능• 무결성 검증 기능• 전용OS(NSOS) 탑재

2. 제품 구성

NetSpliter는 게이트웨이장치와 클라이언트장치로 구성됩니다.


- 6 -

3. 제품 아키텍처

NetSpliter는 전용OS가 탑제된 어플라이언스형 암호화 게이트웨이장치와 클라이언트장치로 구성됩니다.

설명

NetSpliter는 전용OS가 탑재된 Appliance 제품으로 구성

클라이언트장치는 Client Cosole포트를통해서만 네트워크 설정이 가능하며, 보안정책은 Admin Console을 통해 관리가능

클라이언트장치의 로그는 게이트웨이장치로전송되며 게이트웨이 장치와클라이언트장치의 로그는 게이트웨이 장치에저장

관리자PC는 웹 브라우저 기반의 관리 콘솔을통해 게이트웨이장치에 대한 시스템 모니터링, 보안정책 설정 및 클라이언트장치 관리

클라이언트장치는 외부 LED를 통해 장치상태 확인

NetSpliter 관리 콘솔

Web Browser

OS

NetSpliter Client

• NetSpliter Client SW-VPN Module-Monitoring Module-Bridge Module-Log transfer Module-LED Module-Setting Module

Client Console

OS (NSOS)

NetSpliter Gateway Core

• NetSpliter Gateway SW-Authentication Module-Certification Module-VPN Module-Monitoring Module-Bridge Module-Log Module-Setting Module-Packet Filter Module-Management Module

Admin Console

Database

OS (NSOS)


- 7 -

4. 제품의 특장점

가. 개요

• 국정원 CC인증 제품

• 사용자PC 환경을 업무 전용PC와 인터넷 전용PC로물리적으로 분리

• 1대의 PC에서 업무PC영역과 인터넷PC 영역을S/W적으로 분리할 때 발생하는 잠재적인 보안위협 해소

• 기존의 물리적인 네트워크 구조를 그대로 사용 가능

• 인터넷용 사용자 네트워크 구축을 위한 별도의 LAN공사불필요

• 지부의 인터넷용 WAN 구간 회선공사 불필요

• 구축 기간 단축

• 가상화솔루션과 PC보안솔루션간 호환성 이슈 없음(각종 커스터마이징 불필요)

• 업무/인터넷 영역간 ActiveX 충돌 이슈 없음

• OS종속성 및 장치종속성 이슈 없음

• 구축 이후 지원 업무 증가 이슈 없음

• 자원 사용의 한계로 인한 프로그램 구동 이슈 없음(대용량 프로그램의 경우 등)

• 인터넷망 구성을 위한 네트워크 장비 도입 최소화

• 인터넷망 구성을 위한 LAN 공사 불필요

• 인터넷망 구성을 위한 WAN 공사 불필요

• 구축 비용 및 운영관리 비용 절감

• 논리적 망분리 구축시 발생하는 MS라이선스 구매이슈(년간 라이선스) 없음


- 8 -

4. 제품의 특장점 (계속)

나. 국정원 CC인증 제품

보안성제품명 : NetSpliter V2.0

인증번호 : NISS-0832-2017

보안등급 : EAL2

평가기준 : 정보보호시스템 공통평가기준 V3.1 R2

인증일 : 2017. 10. 19 / 만료일 : 2020. 10. 18


- 9 -


다. 사용자PC환경 물리적 분리

보안성

1대의 PC에서 업무PC영역과 인터넷PC 영역을 S/W적으로 분리할 때 발생하는 잠재적인 보안위협 해소

업무전용PC는 업무망 접근만 가능

인터넷전용PC는 인터넷 접근만 가능

사용자 PC환경을 업무전용PC와 인터넷전용PC로 물리적으로 분리

설명

SBC방식의 경우 ‘전용 에뮬레이터 사용 및 제어서버를 통한 인증을 수행하지만, 기본적으로논리적인 분리이므로 물리적 네트워크 분리 방안에비해 안전도 감소’(“국가·공공기관 업무전산망분리 실무 매뉴얼”, 2007. 4 국가정보원)

‘사용자가 서버를 통해서만 인터넷에 접근 하지만외부의 악의적인 사용자에 의한 업무PC의 로컬자원 및 네트워크 자원에 대한 접근과 정보 유출가능성 존재’(“국가·공공기관 업무전산망 분리실무 매뉴얼”, 2007. 4 국가정보원)

PC가상화 방식의 경우 ‘가상화 OS가 실제 OS의커널에 종속적이기 때문에 실제 OS가 해킹 당하면가상화 OS 영역에도 영향을 끼칠 우려 상존, 반대로 가상화 OS가 해킹 당하면 이를 통해 실제OS의 관리자 권한을 획득할 가능성 여부도 검증요망(“국가·공공기관 업무망과 인터넷간 안전한자료전송 가이드라인”, 2010. 9 국가정보원)

사용자 PC 논리적 분리 시 고려사항

업무전용PC에서는 업무망 접근만 가능하고, 인터넷전용PC에서는 인터넷 접근만 가능.

클라이언트장치에 연결된 업무전용PC와 인터넷전용PC간 상호 접근 원천 차단.


- 10 -

전산센터

업무영역

사용자영역


라. 잠재적 보안위협 해소

보안성

게이트웨이장치 외부 인터페이스는 IP정보를 가지지 않는 Stealth Mode 로만 동작

클라이언트장치는 장치에서 제공하는 Serial Port를 통해서만 OS영역 접근이 가능하도록 제작

네트워크를 논리적으로 분리함에 따른 보안위협 대응방안 마련

설명

외부의 해커가 업무망과 인터넷망 접점에위치한 암호화 게이트웨이장치를 점유하여업무망 접근을 시도하는 것을 차단하기 위해게이트웨이장치 외부 포트는 IP주소가 없이Stealth Mode 로만 동작하여 외부에서의접근은 원천 차단됨

암호화 게이트웨이장치는 내부의 지정된관리자 PC에서만 접근 가능

게이트웨이장치 점유를 통한 업무망 접근원천 차단

클라이언트장치 접근을 통한 업무망 위협을원천 차단하기 위해 클라이언트장치는네트워크를 통한 접근은 불가능

클라이언트의장치 OS영역 접근은 장치에서제공하는 Serial Port를 통해서만 접근가능하도록 제작됨

클라이언트장치는 네트워크를 통한OS영역 접속 원천 차단

업무 시스템


- 11 -


마. 기존 N/W 구조변경 최소화

편의성

인터넷용 사용자 네트워크 구축을 위한 별도의 LAN공사 불필요

지부 사용자를 위한 인터넷용 WAN 구간 회선 구축 불필요

신규 인터넷 네트워크 구성을 위한 네트워크 장비 및 보안장비 최소화

추가 네트워크(LAN/WAN) 공사 없이 사용자PC 환경을 업무망과 인터넷망으로 분리

본부 지부#1 지부#n

인터넷망업무망

업무망B/B 인터넷B/B


전산센터

망연계시스템

클라이언트장치

업무망 인터넷

접속구간

사용자영역

본부 지부#1 지부#n

인터넷망업무망

업무망B/B 인터넷B/B

전산센터

업무망 인터넷

접속구간

사용자영역

망연계시스템

전용선(or VPN)

전용선(or VPN)

전용선(or VPN)


- 12 -

망분리 구축 방안


바. 망분리에 따른 각종 이슈 해소

안정성가상화솔루션을 이용하여 사용자PC 환경 분리시 발생하는 안정성 및 호환성 이슈 없음가상화 영역의 한정된 자원 설정에 따른 성능 저하 이슈 및 LAN 구간 트래픽 증가에 따른 처리속도 저하 이슈 없음OS 종속성 이슈, 장치 종속성 이슈 및 구축 이후 관리자 지원 업무 증가 이슈 없음가상영역 사용에 대한 MS 윈도우 년간 라이선스 구매 이슈 없음

망분리 추진시 발생하는 각종 이슈 사항 해소

VPN터널

논리적망분리

안정성 호환성 성능저하

OS 및 장치 종속성 관리자 업무 증가 MS라이선스 이슈

물리적망분리

구축비용 이슈

인터넷PC와 업무PC를물리적으로 분리

사용자 네트워크를논리적으로 분리


- 13 -

※ 상기 구축 비용은 망분리 구축시 도입되는 PC, 네트워크 장비 및 각종 보안 솔루션을 포함한 금액이며, 고객사 업무 환경에 따라 달라질 수 있음.


사. 망분리 구축비용 절감

TCO 절감망분리 구축비용 절감 - 네트워크 장비, 보안 장비 도입 최소화 및 LAN 공사 및 WAN구간 회선 공사 불필요도입 장비 최소화에 따른 유지보수비용 절감MS 윈도우 년간 라이선스 구매 비용 절감- CBC방식과 VDI방식의 경우, MS 윈도우 년간 라이선스 구매가 필요함.

구축비용 및 운영비용 절감 (기존 물리적 망분리 대비)

물리적 망분리 / VDI 방식 NetSpliter를 이용한 방식 CBC 방식

NW장비, LAN공사 및 WAN구간 회선공사 비용 절감(VDI방식대비, 서버및스토리지구축비용절감)

인터넷PC 보안관리솔루션구축비용필요(NAC, PC보안/PMS, 매체관리등)

약 100만원 /1인

약 140만원 / 1인

약 220만원 /1인


- 14 -

5. 제품 규격

구분 세부 사양

• 고속의 Network 전용 Processor 장착 (고속의 패킷을 실시간으로 분석하여 패킷의 경로 지정)

• CPU : 750MHz Dual Core

• Memory 512MB, Flash 256MB

• Interface : 10/100/1000Base-T 3port (LAN 1 Port, 업무PC 1 Port, 인터넷PC 1 Port), Serial 1 port

• 소모전력 : 6W 이하NSC-100

NSG 200 NSG 500 NSG 1000 NSG 3000

제품 이미지

Operation Mode Bridge Mode Bridge Mode Bridge Mode Bridge Mode

CPU 3.7 GHz 2Core x 1 3.2 GHz 4Core x 1 3.3GHz 4Core x 1 2.4 GHz 10Core x 2

Memory 8GB 8GB 16GB 32GB

CF 4GB 4GB 4GB 4GB

HDD500GB 500GB 1TB (500GB x 2) 2TB (1TB x 2)

- - RAID 1 지원 RAID 1 지원

Giga Port(Copper) 6 6 8 4

Giga Port(Fiber) - - 4 4

10G Port - - - 4

권장 동시 접속자 수 200 500 1,000 3,000

구분 모델명

주요 기능

1. 보안관리

2. 네트워크 구성

3. 장애 및 운영관리

Ⅱ

Ⅳ 구축 사례Ⅲ 망분리 적용 방안(案)Ⅰ 제품소개Ⅱ 주요 기능

- 16 -

1. 보안관리

클라이언트장치는 일반포트와 보안채널포트를 제공하며, 일반포트는 업무망 접속만 가능하고, 보안채널포트는 인터넷 접속만

가능합니다.

기능 설명

클라이언트장치는 LAN포트, 일반포트, 보안채널포트 및 Serial 포트 제공

기존의 사용자 업무PC에 연결된 LAN 케이블을클라이언트장치의 LAN포트에 연결

업무전용PC는 일반포트, 인터넷전용PC는보안채널포트에 연결하며, Serial포트는클라이언트장치 접속시 사용

포트 구성

일반포트에 연결된 장비(PC)는 내부 네트워크접속만 가능하고,

보안채널 포트에 연결된 장비(PC)는 외부네트워크 접속만 가능

포트별 접근통제

일반포트에 연결된 장비(PC)와보안채널포트에 연결된 장비(PC)간 상호 접근불가능

포트간 접근통제접근차단


- 17 -

1. 보안관리(계속)

승인된 클라이언트장치를 통해서만 외부 네트워크 접속이 가능하고, 인가된 관리자PC만 관리자메뉴 접근이 가능합니다.

기능 설명

게이트웨이장치의 관리자 메뉴에서클라이언트장치 접속 승인관리 수행

클라이언트장치 접속 승인관리

승인한 클라이언트장치의 보안채널포트에연결된 인터넷전용PC만 네트워크 접속 가능

승인장치 통제

인가된 관리자PC만 게이트웨이의 관리자 메뉴

접근 가능

관리자 메뉴 접근통제

미승인 또는 사용중지된 클라이언트장치의보안채널포트에 연결된 인터넷전용PC는네트워크 접속 불가

미승인 및 사용중지 장치 통제

접근 허용 접근차단

네트워크접근가능 네트워크접근불가


- 18 -

2. 네트워크 구성

NetSpliter 게이트웨이 장치는 유연한 네트워크 구성을 지원합니다.

기능 설명

Fail-Over 기능 지원(Active-Active, Active-Standby)

별도의 L4스위치 없이 이중화 구성 가능(정책동기화)

1대의 Master와 다수의 Slave로 구성 가능

클라이언트장치는 Master 게이트웨이 장치주소만 설정 하며, 최초 접속시 Master 게이트웨이장치에 등록된 HA 정보 수신

High Availability

링크(Link)간 Active-Active / Active-Standby, 802.3ad 지원

링크(Link)간 Fail-over 기능 제공

대역폭 확장 및 Mash 구성 가능

Link Aggregation


- 19 -

VLAN 100 VLAN 200 VLAN nnn

2. 네트워크 구성(계속)

NetSpliter는 인터넷PC에 대하여 그룹별 별도의 VLAN 구성을 지원합니다.

기능 설명

NetSpliter 클라이언트장치에 연결되는인터넷PC에 대한 VLAN Tagging 기능지원(802.1q VLAN Tag 지원)

NetSpliter Gateway의 외부 인터페이스 트렁크포트 기능 지원

NetSpliter 클라이언트장치별 VLAN 정책 설정 및관리는 게이트웨이 장치에서 통합 관리

인터넷PC에 대한 Group별 별도의 네트워크 부여및 관리 가능


- 20 -

3. 장애 및 운영관리

NetSpliter는 웹 기반 관리 환경을 제공합니다.

기능 설명

게이트웨이 장치 및 클라이언트잗치 운영 상태모니터링(서비스, 시스템, 클라이언트 현황 등)

대시보드

클라이언트장치 관리(승인대기 장치, 등록장치, 사용중지 장치) 클라이언트 정책관리(보안정책, 정책 백업 및 복구 등)

장치관리

게이트웨이 관리로그, 시스템 로그, 비인가접속 로그, 사용추이 등클라이언트 접속 로그, 관리로그

로그관리

관리자 설정정보 관리네트워크 설정정보 관리VPN 설정정보 관리시스템 설정정보( 호스트 Name, 시스템시간, 무결성, 펌웨어, 업데이트, HA, SNMP, 라이선스 등)

시스템관리


- 21 -

3. 장애 및 운영관리(계속)

클라이언트장치의 보안채널포트에 연결된 인터넷PC는 전산센터 인터넷영역에 설치된 NAC 등의 보안솔루션에서 해당 PC의

ARP, DHCP 관리가 가능하며, PC간 단일 네트워크 구성이 가능합니다.

기능 설명

보안채널포트에 연결된 인터넷PC는게이트웨이 장치 외부 인터페이스에 연결된인터넷영역 네트워크 접근제어 시스템 등의보안솔루션에서 해당 인터넷PC에 대한 ARP, DHCP 관리가 가능하여 네트워크 접근제어통제가 가능

인터넷 PC 접근제어

보안채널포트에 연결된 인터넷PC간은 상호통신이 가능하며, 단일 네트워크로 구성 가능

인터넷 PC 네트워크 구성

전산센터

사용자영역

게이트웨이 장치

네트워크접근제어 시스템

차단

인터넷PC의 ARP, DHCP 관리 가능

VPN 터널


- 22 -

※ 클라이언트장치 장애시에도 클라이언트장치 전원만 들어오면 업무PC는 정상 동작하여 업무연속성 보장

※ 클라이언트장치 전원 장애시에는 클라이언트장치 LAN포트에 연결된 케이블을 업무PC에 연결하여 업무 수행 가능


클라이언트장치의 펌웨어 오류시에도 일반포트에 연결된 업무PC는 정상 동작합니다.

기능 설명

클라이언트장치 장애시에도 일반포트에 연결된장비(PC)는 전원만 공급되어도 정상 동작

일반포트 연결 장비 동작

클라이언트장치 장애 시 보안채널포트에연결된 장비(PC)는 통신 불가

보안채널포트 연결 장비 동작

VPN 터널

암호화 게이트웨이

업무망인터넷


- 23 -


클라이언트장치의 LED를 통하여 클라이언트장치 상태 관리가 가능합니다.

기능 설명

Config 설정 없음. 콘솔 연결 후 클라이언트장치 설정

미설정 장치

게이트웨이장치와 클라이언트장치간 통신 상태확인

게이트웨이장치 통신 불가

클라이언트와 게이트웨이간통신포트(TCP55443) 상태 확인

최초 펌웨어 다운로드 실패


HA정책 수신 실패

콘솔 연결 후 인증서 발급인증서 없음


정책 수신 실패

“사용중지장치” 관리 화면에서 클라이언트장치등록

사용중지 장치

“승인대기장치” 관리 화면에서 클라이언트장치등록

승인대기 장치

READY INT. EXT. 상태

클라이언트장치 부팅

미설정 장치

게이트웨이장치 통신 불가

최초 펌웨어 다운로드 실패

네트워크 정상

HA정책 수신 실패

인증서 없음

정책 수신 실패

사용중지 장치

승인대기 장치

VPN 접속 완료

구분 표시등 설명

상태정보

Power 전원연결 상태

Ready 시스템 구동 상태

Int. 제1네트워크 연결 상태

Ext. 제2네트워크 연결 상태

링크정보

LAN LAN포트 연결 상태

Int. PC Int. PC 포트 연결 상태

Ext. PC Ext. PC 포트 연결 상태

망분리 적용 방안

1. 물리적 구성도

2. 논리적 구성도

3. 외부로부터의 보안위협에 대한 대응 방안

4. 내부의 비인가 접속 차단 방안

Ⅲ

Ⅳ 구축 사례Ⅱ 주요기능Ⅰ 제품소개 Ⅲ 망분리 적용 방안(案)

- 25 -

1. 물리적 구성도

구성방안

망분리 장치 설치

인터넷 접점 구간에 암호화 게이트웨이 설치

사용자 PC 영역에 클라이언트장치 설치

※ 사용자PC에 연결된 기존의 LAN 케이블을클라이언트장치 LAN 포트에 연결

사용자PC 설치

업무 전용PC는 클라이언트장치 내부망용포트(Int. PC 포트)에 연결

인터넷 전용PC는 클라이언트장치의외부망용 포트(Ext.PC포트)에 연결

전산센터

사용자영역

업무망

망관리PC보안/PMS

매체관리…

내부 메일


매체관리…

외부 메일

층간스위치

업무망 B/B 인터넷 B/B


자료전송시스템

인터넷


업무영역서버 인터넷영역서버


- 26 -

2. 논리적 구성도

구성의 특징

사용자PC는 물리적 분리

전산센터

사용자영역


사용자PC는 업무전용PC와 인터넷전용 PC로물리적으로 분리

업무전용PC는 업무영역 접근만 가능하고 인터넷영역 접근 불가

인터넷전용PC는 인터넷 영역 접근만 가능하고, 업무 영역 접근 불가

사용자 네트워크는 논리적 분리

사용자 네트워크는 가상사설망 장치를 이용하여VPN으로 논리적으로 분리

게이트웨이 장치와 클라이언트장치간 SSL VPN 터널링을 이용하여 사용자용 신규 인터넷네트워크를 구성하고, 업무 트래픽과 인터넷트래픽 분리


매체관리…

내부 메일

업무망 B/B

층간스위치

업무영역서버 망관리PC보안/PMS

매체관리…

외부 메일

인터넷 B/B



VPN 터널

인터넷영역서버


- 27 -

3. 외부로부터의 보안위협에 대한 대응 방안

구성방안

외부의 해커가 업무망과 인터넷망 접접에위치한 암호화게이트웨이를 점유하여 업무망접근을 시도하는 것을 차단하기 위해 암호화게이트웨이 외부 포트는 IP 주소가 없이Stealth Mode 로만 동작

암호화게이트웨이는 내부의 지정된 관리자PC에서만 접근 가능

게이트웨이 외부 포트는 IP주소가 없이Stealth Mode로 운영

클라이언트장치 접근을 통한 업무망 위협을원천 차단하기 위해 클라이언트 장치는네트워크를 통한 접근은 불가능

클라이언트의 OS영역 접근은 장치에서제공하는 Serial Port를 통해서만 접근 가능

클라이언트장치는 네트워크 접속 차단

인터넷PC의 모든 트래픽은 게이트웨이장치와클라이언트장치의 보안채널포트간 Bridge Mode 로만 동작하는 VPN 터널을 통해인터넷망 백본스위치로만 전달됨

업무망으로의 악성코드 전파 차단사용자영역

전산센터

암호화 게인트웨이 및 클라이언트 장치를 통한 업무망 접근 원천 차단

암호화게이트웨이 외부 포트는 IP주소 없이 동작하는 Stealth Mode로만 운영

클라이언트장치에 대한 외부로부터의 모든 접근 경로 차단

인터넷 전용PC에 의한 업무망으로의 악성코드 전파 불가능

업무 시스템


- 28 -

4. 내부의 비인가 접속 차단 방안

구축 사례

1. 지부/소속기관 사용자 PC환경 망분리

2. 본부 사용자 PC환경 망분리

3. 업무가상화(문서중앙집중화) + 망분리

4. 일부사용자 2PC환경 망분리

5. 년도별 도입 고객사 현황

Ⅳ

Ⅲ 망분리 적용 방안(案)Ⅱ 주요기능Ⅰ 제품소개 Ⅳ 구축사례

- 30 -

1. 지부/소속기관 사용자 PC환경 망분리

물리적 구성도

지부

본부

업무망 인터넷망


인터넷 server Farm

보안관리 영역

인터넷전용PC 영역

인터넷전용 PC게이트웨이 장치

업무용 server Farm

보안관리 영역

사용자 영역

업무전용 PC

업무망

보안관리 영역



보안관리 영역

사용자 영역

업무전용 PC


인터넷전용PC 영역

인터넷전용 PC

600여개 지부 600여개 지부

FW/VPN

업무전용PC 업무전용PC 인터넷전용PC 인터넷전용PC

600여개 지부

인터넷망


VPN 터널


FW/VPN


- 31 -

2. 본부 사용자 PC환경 망분리

물리적 구성도


사용자영역

인터넷 보안관리영역

VPN 터널

업무서버영역

업무망보안관리영역

DMZ서버팜

인터넷 보안관리영역

업무서버영역

업무망보안관리영역

DMZ서버팜

전산센터


- 32 -

3. 업무가상화(문서중앙집중화) + 망분리

변경 전

전산센터



보안관리영역

사용자영역

가상PC(인터넷영역)

서울지부

보안관리 영역



본부(제주) + 지부

업무전용PC 업무전용PC


전산센터

보안관리영역

사용자영역


보안관리 영역



업무망접속단말(Zero Client)

인터넷 전용PC(기존PC)

업무망접속단말(Zero Client)

인터넷 전용PC(기존PC)

서울지부 본부(제주) + 지부

업무가상화 Server Farm

가상PC(인터넷영역)



- 33 -

4. 일부사용자 2PC환경 망분리

적용 전

전산센터



보안관리영역

사용자영역

VDI 접속 터미널(인터넷접속용)

보안관리 영역



업무전용PC 업무전용PC


VDI Server Farm

사용자영역

일반사용자 2PC 망분리 전환 사용자


업무전용PC 업무전용PC 인터넷전용PC




보안관리영역

보안관리 영역



VDI Server Farm

전산센터


- 34 -

5. 년도별 도입 고객사 현황

년도 도입기관

2019년

2018년

2017년

2016년

2015년

다수의 고객기관에서 NetSpliter를 이용한 사용자PC 망분리 환경을 구축하여 운영중입니다.

http://www.krace.or.kr/contents/main/index.do

1. 특허등록증

2. 국정원 검증필 암호모듈 적용

3. 망분리 방식별 비교

- 37 -

별첨 1. 특허등록증

- 38 -

별첨 2. 국정원 검증필 암호모듈 적용

- 39 -

구분융합형방식

(NetSpliter이용)물리적망분리 논리적망분리(VDI) 논리적망분리(CBC)

망분리형태

• 사용자PC – 물리적 분리• 네트워크 – 논리적 분리

• 사용자PC – 물리적 분리• 네트워크 – 물리적 분리

• 사용자PC – 논리적 분리• 네트워크 – 논리적 분리

• 사용자PC – 논리적 분리• 네트워크 – 논리적 분리

장점

• 보안성 보장• 기존 네트워크 구조 변경 최소화• 안정성, 호환성 및 성능 이슈 없음• 구축 비용 절감(물리적 망분리 대비)• 사후 관리의 편리함(논리적 망분리 대비)

• 보안성 보장• 안정성, 호환성 및 성능 이슈 없음• 사후 관리의 편리함(논리적 망분리 대비)

• 사용자 인터넷PC에 대한 중앙집중 관리 가능

• 기존 네트워크 구조 변경 최소화

• 구축 비용 절감• 기존 네트워크 구조 변경 최소화

단점

• 관리대상 장비 수 증가 • 구축 비용 증가• 별도의 인터넷 회선 구축 부담• 대규모 네트워크 구조 변경 필요• 관리 대상 장비 수 증가

• 인터넷 서비스 제약 및 안정성이슈

• 가상화솔루션과 PC보안솔루션간의 호환성 이슈(별도의커스트마이징 필요)

• LAN구간 N/W 부하 증가로 인한서비스 속도 지연 이슈 (Boot Storm 등)

• MS라이선스 이슈(년간 라이선스구매 필요)

• 공인인증서 사용 방안 이슈• 관리자의 사후 관리 업무 증가

• 인터넷 서비스 제약 및 안정성이슈

• 가상화솔루션과 PC보안솔루션간의 호환성 이슈(별도의커스트마이징 필요)

• PC 성능 저하 이슈• 인터넷 서비스 속도 저하 이슈• MS라이선스 이슈(년간 라이선스

구매 필요)• 관리자의 사후 관리 업무 증가

구축 비용 약 140만원 / 1人 약 220만원 / 1人 약 220만원 / 1人 약 100만원 / 1人

개념도

업무서버

인터넷전용PC

업무서버


Client 장치

인터넷전용PC

※ 상기 구축 비용은 망분리 구축시 도입되는 각종 보안 솔루션을 포함한 금액이며, 고객사 업무 환경 및 망분리 구성 방안에 따라 달라질 수 있음.

업무서버

접속Agent

가상화서버

업무서버

가상화Client

암호화 G/W

별첨 3. 망분리 방식별 비교

Documents

NetSpliterV2.0 제품소개서NetSpliterV2.0 제품소개서 NetSpliter를이용한사용자PC환경망분리구성방안 2019. 12 I. 제품소개 II. 주요기능 III. 망분리적용방안(案)