Security Webinar November 2019 Korean · 2019-11-18 · • cisco asa에서. ssl vpn 인증 • 인증은사외기관에서발행한증명서cn 참조 • pac에의해aws의squid를경유하여,

제로트러스트(Zero Trust)베스트프랙티스(Best Practice)

백용기Senior Enterprise Security ExecutiveEnterprise Security APJ

© 2019 Akamai | Confidential2

#제로 트러스트의 일반적인 생태계

• 여러 곳에 분산되어 있는 모바일사용자들

• 구매• 내부• 써드파티 서비스

• 인수합병• M&A

• 공급업체• 써드파티 개발자• 써드파티 테스터

• SaaS• 하이브리드 클라우드 인프라• IaaS & PaaS

AppsServers

• 보안 아키텍트 취약점• 멀웨어, 피싱, 데이터 유출• 인증정보 도용• 싱글 팩터 인증• 네트워크 측면 이동

외부로 이동하는사용자 & 애플리케이션

직원 외주직원 임시직원

제로트러스트는새로운보안접근방식

핵심 5가지원칙:

• 네트워크가항상위협적이라고가정

• 내부및외부위협이네트워크에항상존재

• 네트워크위치는네트워크신뢰여부를결정하기에충분하지않음

• 모든디바이스,사용자,네트워크플로우를인증 &권한확인

• 정책은동적이며최대한많은데이터소스로부터계산해서정책생성

| Intelligent Edge Security | © 2019 Akamai4

옵션 1네트워크 분할(Network Segmentation)

옵션 2소프트웨어 정의 경계(Software Defined Perimeters)

옵션 3ID 인지 프록시(Identity Aware Proxies)

제로 트러스트를 구현하기 위한 다양한 방식


전통적인애플리케이션접속

Internet

On Prem DC

App 1

App 2

AD

IaaS/PaaSAWS/Azure/GCP

App

VPN

VPN

TraditionalAccess


Internet

온프라미스(데이터센터)

App 1

App 2

AD

IaaS/PaaS

App

SaaS

Zero Trust(IdP)

인증과권한인가확인

• 멀티팩터인증(MFA)- SMS- Email- Token

- 클라이언트 인증서- 사용자 ID/Password

• 단말기보안상태• Anti-Virus• OS Patch• Firewall• Security Policies

새로운접속경로

SSO/SAML2.0

Zero Trust Connector

(VM)

Zero Trust Connector

(VM)

ZT기반의애플리케이션접속

직원(사용자) 클라우드


제로 트러스트 레퍼런스 아키텍처

일반적인 환경에서 제로 트러스트를 적용하는 방법을 설명하는 시각적 가이드

8

• 본사 PC 약10000대• 영업점 PC 약5000대• Windows10(Win7)• 500대(국내300) Mac OS• AnyConnect（VPN사용중）• PAC파일(Cloud Proxy용)

• iPhone,iPad 약50000대• AnyConnect（VPN사용중）• PAC파일

(VPN 경유로 AWS 상의Squid Proxy용)

• MDM은 Meraki/Airwatch

Router

DB 관련

Data Center

FW

BOX

WAN

Cisco ASA사원 PC용

Router업무앱점포용앱

AWS（IaaS）

• PartnerPC• OS 다종/다양• 소프트웨어 설치어려움• 브라우저베이스(SSL포트포워딩)

Cisco ASA모바일용

DMZ

Router

인터넷access

yahoo.com

AS-IS접속

device목적지 방식

본사PC

사내시스템DC, AWS, Azure, GCP

• Cisco ASA에서 SSL VPN 인증• 인증은 사내에서 발행한 증명서의 CN 참조.• 수신처가 AWS, Azure, GCP 의 경우는 개별회선경유• 각 서버는 kerberos 인증

SaaS 애플리케이션O365, BOX

• PAC에 의해 Cloud Proxy를 경유하여 ADFS, AzureAD로인증

• O365, BOX에도 Coud Proxy경유로 접속

SaaS 애플리케이션기타

• PAC에 의해 Cloud Proxy를 경유하여 개별 인증 후액세스

인터넷접속 • PAC에 의해 Cloud Proxy를 경유하여 접근

iPhone/iPad

사내 시스템DC, AWS, Azure, GCP

• Cisco ASA에서 SSL VPN 인증• 인증은 사외기관에서 발행한 증명서 CN 참조• 수신처가 AWS, Azure, GCP 의 경우는 개별회선경유• 각 서버는 kerberos 인증


• Cisco ASA에서 SSL VPN 인증• 인증은 사외기관에서 발행한 증명서 CN 참조• PAC에 의해 AWS의 SQUID를 경유하여, ADFS,

AzureAD로 인증• O365, BOX에도 AWS의 SQUID경유로 접속


• Cisco ASA에서 SSL VPN 인증• 인증은 사외기관에서 발행한 증명서 CN 참조• PAC에 의해 AWS의 SQUID를 경유하여 개별인증 후

액세스

인터넷 접속• Cisco ASA에서 SSL VPN 인증• 인증은 사외기관에서 발행한 증명서 CN 참조• PAC에 의한 AWS의 SQUID 경유

PartnerPC

사내 시스템• Juniper MAG에서 SSL 포트 포워딩• 인증은 Juniper Local DB 혹은 AD를 참조

Juniper MAG벤더용

・・・

ADADFS

Router업무앱

Azure（IaaS）

Router업무앱

GCP（IaaS）

O365（SaaS）AzureAD O365

점포/지점VLANs

VLANs RouterRouter

개별 SaaS X?

SQUID

Cloud Proxy

인터넷

9





Router

DB 관련

Data Center

FW

BOX

WAN



AWS（IaaS）



DMZ

Router

인터넷access

yahoo.com


・・・

ADADFS

Router업무앱

Azure（IaaS）

Router업무앱

GCP（IaaS）


점포/지점VLANs

VLANs RouterRouter

개별 SaaS X?

SQUID

Cloud Proxy

인터넷

접속device

목적지 방식

본사PC









iPhone/iPad








액세스


PartnerPC


AS-IS

10





Router

DB 관련

Data Center

FW

BOX

WAN



AWS（IaaS）



DMZ

Router

인터넷access

yahoo.com


・・・

ADADFS

Router업무앱

Azure（IaaS）

Router업무앱

GCP（IaaS）


점포/지점VLANs

VLANs RouterRouter

개별 SaaS X?

SQUID

Cloud Proxy

인터넷

접속device

목적지 방식

본사PC









iPhone/iPad








액세스


PartnerPC


AS-IS

11

문제점및해결방안항목 문제점 내용

사용자의편리성

속도(늦다) • VPN 접속에 시간이 걸리는 경우가 있다.해외로부터의 액세스에서는, VPN의오버헤드나 Internet 구간의 지연이 영향을 주는 일이 있다.

번거로움 • PC와 모바일에서 인터넷 접근 방식이 다르다.• 모바일이라면 항상 VPN을 접속할 필요가 있다.

번거로움 • 접속지/접속자에 따라 인증 방법이 다르다.기억해 둘 수 없다.• 모바일에서 사내 애플리케이션(Kerberos)에 접속할 때는 SSO할 수 없다.

보안

정보유출 • 접속지/접속자에 따라 인증방법이 달라 간단한 패스워드 설정이나 PC에 메모장저장하고 있을 가능성이 나온다.이것에 의해, 패스워드 크랙이 용이하게 된다.

기준이모호하다 • 모바일은 SQUID 경유, PC는 Cloud Proxy 경유가 되고 있어 보안 기준이 동일하지않다.

정보유출 • PartnerPC에 파일을 자유롭게 다운로드 할 수 있는 등, DLP 대책(가시화·제어)이부족하다.

정보유출• 기본적으로 네트워크 레벨로의 VPN 접속으로 하고 있기 때문에, 원격 디바이스가

DMZ상에 있는 상태가 되고 있다.이 때문에, 만일 원격 디바이스가 말웨어에감염되었을 경우 사내의 모든 접속자에게 피해가 초래될 가능성이 있다.

Web이외의접속 • Web 통신은 PAC를 이용해 Proxy 서버로 보안을 보장하고 있지만, 그 이외의프로토콜에 대해서는 대응하고 있지 않다.

운용

일관성결여회선운용비용의낭비

• Internet에 직접 접근할 수 있는 것(O365, BOX등)과 VPN경유로 개별 회선을 지날필요가 있는 것(IaaS)이 혼재하고 있다.

• 문제가 생기면 그 원인을 규명하는 데 시간이 더 필요할 수도 있다

가용성이낮다 • CASB도 검토하고 있지만, VPN 클라이언트와 경합하므로 이용할 수 없다.

번거로움• PaaS와의 통신에 개별회선을 이용하는 경우, 이용하지 않는 경우가 존재하여 PAC로관리하는 것도 매우 번거롭다.

• 특히 O365는 PAC의 운용이 번거롭다.

장래성 확장성문제 • 사내 업무 어플리케이션은 DC에서 클라우드로 이행하게 되면 데이터센터 중심으로생각할 필요가 없어지지만 네트워크나 보안이 따라오지 못하고 있다.

Zero Trust Architecture

편리성의향상

운용성의향상

탈개별회선

탈데이터센터 중심

접근의유연성

아키텍쳐의평준화

12

• 본사 PC약 10000대• 영업점 PC약 5000대• Windows10(현재는 Win7)• 500대(국내 300)정도 Mac

• iPhone, iPad약 50000대• MDM은 Meraki/Airwatch

Router

DB관련

Data Center

FW

BOX

업무용앱점포용앱

AWS（IaaS）

• PartnerPC• OS다종/다양• 소프트웨어 설치어려움

DMZ

Router

인터넷Access

TO-BE

・・・

ADADFS

업무용앱

Azure（IaaS）

업무용앱GCP（IaaS）


점포/지점VLANs

VLANs RouterRouter

개별 SaaS X ？

WAN

Zero Trust

IDP

SP

SP

SP

• IaaS에대해서는 DC와의개별회선을폐지하고 Zero Trust를경유하여접속

• Proxy 서버나클라우드 Proxy를 Full Proxy로 변경.

• Connector를배치하여 Zero Trust Base로접근가능한환경구축

• O365을비롯한 SaaS 애플리케이션은Zero Trust를 IDP으로 SAML 연계

• VPN에의한원격접근방식제거

• Directory를 AD로집약

인터넷


제로 트러스트의 지향점• 인터넷이 기업의 네트워크

• 모든 오피스는 핫스팟

• 모든 애플리케이션이 SaaS애플리케이션처럼 작동

• Passwords와 VPN 필요 없음

© 2019 Akamai 14

제로트러스트베스트프랙티스

1. 인증및인가된권한인지확인

2. 방어경계를클라우드로이동

3. 애플리케이션스트림보호

4. 멀티클라우드지원제공

5. 최신및레거시인증모두지원

6. 단계적전환경로제공 – VPN에서 ZT로

7. 지원서비스(보안/가속)추가

8. 악성인터넷접속으로부터사용자보호

© 2019 Akamai 15

제로 트러스트를 위한 8가지 단계1 2 3 4 5 6 7 8

경계 중심의 보안 모델 뛰어넘기제로 트러스트를 향한 종합 가이드

앱 사전 체크 접속 프록시준비

테스트 랩등록

보안업그레이드

성능업그레이드

외부 사용자등록

내부 사용자등록

VLAN 마이그레이션

© 2019 Akamai 16

1. 애플리케이션사전체크

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB

Server AppFile Server

Identity FirewallFirewall VPN

1. 사용자와애플리케이션식별

2. VM(Connectors)설치

Internet

IT User

HR User 3rd-Party Test

VPN Client VPN Client VPN Client VPN Client

© 2019 Akamai 17

IAP(프록시)의요구사항을충족하는지확인.

● 현재경계내에있는애플리케이션과사용자는서로직접연결가능(IP)

● 애플리케이션이지원되는프로토콜(예: HTTP, HTTPS, RDP 또는 SSH)인지확인. C/S

애플리케이션일경우에는터널모드지원

● 아웃바운드프록시가있는지확인

리버스프록시

● 커넥터(VM)를설치

● 일부원격사용자는애플리케이션전환단계일경우 VPN을계속사용

● 관리형기기식별이필요한경우 MDM과같은일부방법을통해최종사용자컴퓨터에인증서설치.


© 2019 Akamai 18

원격액세스의가장큰문제점이있는

애플리케이션은?

해당애플리케이션을사용하는사용자그룹은?

애플리케이션호스팅위치?

사용중인가상환경은?


© 2019 Akamai 19

2. 접속프록시준비

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


Identity

Internet

IT User


VPN

IAP 구성

Identity Aware Proxy

Firewall Firewall


© 2019 Akamai 20

애플리케이션과관련된보안및액세스권한으로인식할 IAP(프록시)를구성한다.

IAP 준비

● IAP를통해액세스할수있는애플리케이션을구성하고, 몇개의

애플리케이션으로시작하여구축

● IdP(Identity Provider)에대한액세스설정

● 액세스권한및사용자그룹을정의하고구성

● 멀티팩터인증(MFA) 구성

● SSO 및인증요구사항구성


© 2019 Akamai 21

아웃바운드프록시사용여부?

사용자인증에사용하는디렉터리서비스는?

응용프로그램과함께사용중인 MFA가있으십니까?

온프라미스및클라우드로 SSO(Single Sign-On)를

확장하려고하십니까?


© 2019 Akamai 22

3. 테스트랩등록

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


IdentityVPN

테스트사용자등록


Firewall Firewall

Internet

IT User



© 2019 Akamai 23

애플리케이션의기능적무결성을검증할책임이있는초기테스트사용자들을선정하고, 테스트

사용자는 Active Directory 그룹에서정의

제로트러스트테스트준비사항

● 애플리케이션을 CNAME 처리

● 이후에는, 테스트맴버들은제공된 CNAME을통해애플리케이션에접근하려고할때마다

제로트러스트제공자의네트워크로향하게된다.

테스트랩멤버

● 인증이올바르게작동하는지확인

● 멀티팩터인증은적절하게구성

● Single Sign-On이이전에탑재된다른모든애플리케이션에서작동하는지확인

● 해당애플리케이션의기능적정확성에관한심층테스트를실행


© 2019 Akamai 24

현재사용자는이러한애플리케이션에어떻게

액세스하고있는가?

테스트대상사용자그룹지정

개념증명중에성공적인결과기준은무엇인가?

사용자테스트기간


© 2019 Akamai 25

Internet

4. 보안업그레이드

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


IdentityVPN

웹방화벽(Web Application Firewall)고려


Firewall Firewall

Internet

IT User



AUPDNS Protection

DNS 보안추가

© 2019 Akamai 26

제로트러스트상에서향상된고급보안기능사용

제로트러스트보안강화● Geoblocking 및 IP 기반제한사용● 인증서를사용하는경우, 관리되지않는시스템에서시작된모든연결을거부할수있도록인증기관인증서를제로트러스트에업로드

DNS보안● 온넷및오프넷사용자에대해 DNS 위협보호사용● 필요한경우허용가능한사용정책(유해싸이트차단) 배포

웹방화벽SQLi, XSS and command injection 공격같은위협으로부터보호하기위해

자동화된공격그룹사용


© 2019 Akamai 27

Geo-제한이필요한가?

사용자에게 DNS를어떻게제공하시겠습니까?

어떤종류의 MDM 솔루션이준비되어있는가?

WAF가필요할것인가?

고려중인다른보안요구사항은?


© 2019 Akamai 28

Internet

5. 성능업그레이드

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


IdentityVPN

애플리케이션성능향상(Performance)


Firewall Firewall

Internet

IT User



AUPDNS Protection

© 2019 Akamai 29

캐싱및인터넷관련최적화를통해애플리케이션가속화지원

애플리케이션가속● 응용프로그램성능업그레이드필요성이있는지파악

Advanced CDN 기능추가가능● 캐싱● 경로최적화(Route optimization)● Forward error correction (FEC)● 패키복제(Packet replication)


© 2019 Akamai 30

사용자위치는어디인가?

응용프로그램위치는?


© 2019 Akamai 31

Internet

6. 외부사용자등록

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


IdentityVPN

고위험군외부사용자등록및VPN 제거


Firewall Firewall

Internet

IT User


VPN Client VPN Client VPN Client

AUPDNS Protection

© 2019 Akamai 32

이단계에서애플리케이션은제로트러스트보안모델기반으로온보딩및

액세스가능하도록만들어졌으며, 보안업그레이드및성능향상적용등을

마쳤기에, 내부테스트랩(필요시외부확대)에서예상한대로작동하는지

테스트실시

외부사용자에게단계적으로접근허용하고더많은직원들에게배포및사용

● 외부사용자는위험성이있음을인지

● 많은테스트대상애플리케이션이필요하지않음

● 대상외부사용자에대한애플리케이션엑세스시에 VPN 제거


© 2019 Akamai 33

현재네트워크에액세스하는써드파티

외주직원이있는가?

원격액세스는어떻게제공되고있는가?

이기존모델에대한문제점은무엇인가?

액세스권한에따른원격사용자그룹이

분류되어있는가?


© 2019 Akamai 34

Internet

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


IdentityVPN

내부사용자로확대적용하고, 애플리케이션도필요시추가


Firewall Firewall

Internet

IT User


VPN Client

AUPDNS Protection

7. 내부사용자등록

© 2019 Akamai 35

더많은애플리케이션과내부사용자까지확대적용

● DNS에서내부애플리케이션에대한모든참조제거● 공통 CNAME 항목을추가● 이후모든사용자는 IAP(프록시)를사용하여응용프로그램에액세스하기시작

애플리케이션에대한직접적인내부액세스가제거되면, 응용프로그램이 ZT로전환됨


© 2019 Akamai 36

특정애플리케이션에액세스해야하는다른그룹은?

현재원격액세스는어떻게제공되고있는가?

이기존모델에대한문제점은무엇인가?

특정사용자외부의그룹이특정한애플리케이션에

액세스할수있는가?


© 2019 Akamai 37

Internet

8. VLAN 마이그레이션

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB


IdentityVPN

애플리케이션을분리된 VLAN으로이동하여보안정책강화


Firewall

Internet

IT User


VPN Client

AUPDNS Protection

Firewall

© 2019 Akamai 38

애플리케이션을기업정책에따라차단된 VLAN으로이동

애플리케이션에대한모든직접 IP 액세스가제거되고, 애플리케이션이

IAP( 프록시)를통하지않고는접근불가

이단계가완료되면, 응용프로그램은완전히제로트러스트로전환된다.


© 2019 Akamai 39

네트워크제어는어떻게시행되고있는가?

현재애플리케이션에대해어떤유형의

네트워크레벨액세스가존재하는가?

이러한애플리케이션을세분화할수있는가?

네트워크이해당사자는누구인가?


© 2019 Akamai 40

각애플리케이션과애플리케이션그룹에대한반복수행

제로트러스트이행작업반복하기

제로 트러스트를 위한 8가지 단계1 2 3 4 5 6 7 8

앱 사전 체크 접속 프록시준비

테스트 랩등록

보안업그레이드

성능업그레이드

외부 사용자등록

내부 사용자등록

VLAN 마이그레이션

리스크 감소를 위한 종합적이고 실현 가능한 로드맵

금융권 DDoS 공격Trend

정덕진Security Technical Project Manager


금융권 DDoS 공격 TREND


DDoS – 공격이벤트2017년 11월~2019년 4월


DDoS – 공격대상기업수2017년 11월~2019년 4월


공격밀도 – 최고 bps(Bits Per Second)


공격밀도 – 최고 pps(packet per second)


DDoS 공격2017년 11월~2019년 4월


국내 L7 DoS 공격사례


국내 L7 layer 공격사례

Attack Type: Volumetric attack

Duration: 5 min, 490K requests

Mitigation: using Akamai Rate control

Source IP(s): Various (40 IPs)

Attacking IP Location(s): Various (25 countries)

User-Agent: Various (10 UAs)






DDoS 공격대응


DDoS 공격대응DDoS 대응훈련

• 실제공격과의다른점• 대응매뉴얼의점검 / 대응솔루션의점검


DDoS 공격대응DDoS 대응계획

• SPOF 의식별• 방어능력에대한현실인식• 보호해야할대상과비즈니스영향도파악• 공격차단시간에대한요구사항파악• DDoS 방어서비스에대한사전준비• DDoS 대응매뉴얼개발• DDoS 공격대응훈련


• 커뮤니케이션관리• 공격발생시외부커뮤니케이션계획• 전사공지를위한계획

• 주요인물에대한식별및연락방안• 의사결정권자식별• 서비스/벤더연락처• 연락처업데이트

• 중요정보에대한접근성확보• 대응매뉴얼 offline 저장

DDoS 공격대응DDoS 대응매뉴얼


Q&A

Documents

Security Webinar November 2019 Korean · 2019-11-18 · • cisco asa에서. ssl vpn 인증 • 인증은사외기관에서발행한증명서cn 참조 • pac에의해aws의squid를경유하여,