27
Copyright © Mobile Convergence All rights reserved. 전용선 비용 절감을 위한 대안 Trusted Biz-Line 2016.04

1. trusted biz line 160401

  • Upload
    -

  • View
    62

  • Download
    2

Embed Size (px)

Citation preview

Page 1: 1. trusted biz line 160401

Copyright © Mobile Convergence All rights reserved.

전용선 비용 절감을 위한 대안

Trusted Biz-Line2016.04

Page 2: 1. trusted biz line 160401

2 Mobile Convergence Properties

Contents

• 해외 네트워크 이용 현황

• TIPN 기반 해외 네트워크 이용 방안

• TIPN 기반 서버 통신 방안

※별첨. TIPN(Trusted IP Network) 소개

Page 3: 1. trusted biz line 160401

3 Mobile Convergence Properties

1. 해외 네트워크 이용 현황

Page 4: 1. trusted biz line 160401

4 Mobile Convergence Properties

해외 망 이용에 따른 이슈사항

해외 지사의 네트워크

본사 및 각 지점간의 안정적인 네트워킹 및

데이터 전송시 속도 및 보안을 위해 전용선

/VPN 사용

해외 지사의 전용선/VPN 사용시 문제점

보안취약성

고비용

속도/대역폭 안정성

해외 지사 네트워크 구성 예시

국내 기업의 해외 진출이 가속화 됨에 따라, 보안성과 안정성이 보장되는 효율적인 네트워크 구축이 필요함

Page 5: 1. trusted biz line 160401

5 Mobile Convergence Properties

전용회선 서비스

특정 가입자가 전용계약에 의해 독점적으로 사용할 수 있는 특정 지점간 직통으로 연결되어 있는 공중전기 통신회선

전용회선 서비스 : 전용회선을 가입자에게 설치/임대해 주는 서비스

전용회선 서비스는 국내와 국제전용회선(International Private Leased Circuit)으로 나뉨

전용회선 서비스 중 디지털 서비스는

‐ 디지털전용회선서비스(Digital Leased-line Service : DLS)

‐ 국제디지털 전용회선서비스(International Digital Leased-line Service : IDLS)로 나뉨

구분 제공속도 사용용도

DSO 이하 56/64Kbs 시내 · 시외 음성 및 저속 데이터 통신, 비상벨 등

Fractional T1(FT1) 64Kbs시내 · 시외 인터넷 게임방, 기업 통신망,

통신/SI, 금융기관 회선 등

DS1/DS31.544Mbps/

22.736Mbps시내 · 시외 · 대형 기업통신망, 고속데이터 통신

국내 전용회선 서비스 방식

Page 6: 1. trusted biz line 160401

6 Mobile Convergence Properties

VPN(Virtual Private Network)

인터넷을 전용선처럼 사용할 수 있도록 특수 통신체계와 암호와 기법을 제공하는 서비스로, 단순 내부정보 획득을 위한

일회성 접속, 사전 지정된 거점을 기반으로 한 접속 환경 제공에 활용 가능

VPN 이용 배경

‐ 정보의 공유를 위한 네트워크의 확장 필요

‐ 전용 회선 사용 증가에 따른 비용 증가

주요 기능

‐ 터널링 기법을 이용한 네트워크 보안 및 데이터 보안 지원

‐ 사용자 인증 기능

‐ VPN 장비별 개별 인증 및 사용자 관리

‐ 데이터 암호화

특장점

‐ 비 인가된 사용자로부터 내부 자원을 보호

‐ 내부의 허용된 서비스만을 안전하게 공개

‐ 외부의 불법적인 행동들에 대해 내부의 서버들을 보호

Page 7: 1. trusted biz line 160401

7 Mobile Convergence Properties

2. TIPN 기반 해외 네트워크 이용 방안

Page 8: 1. trusted biz line 160401

8 Mobile Convergence Properties

IP Network 이슈 사항

IP Network 의 개방성으로 인해 비 인증 상태에서도 Connectivity와 Visibility가 유지됨에 따라

보안성이 취약함.

사이버 공격은 비 인증 상태에서 네트워크 접속으로 인해 발생함.

8

보안 이슈의 원인

• Visibility• “Access with

undetermined trust”

IP Network

Server

LAN LAN LAN LAN

“Access withUndetermined Trust”

Page 9: 1. trusted biz line 160401

9 Mobile Convergence Properties

TIPN 기술의 특장점

TIPN 솔루션을 기반으로 인증 후 네트워크 접속을 통해 Trusted Networking 유지

No Visibility, No Connectivity 속성을 유지 한 후 인증 된 상태에서만 네트워크 접속 가능

(After Authentication, Authorized Connectivity Only)

구분 기존 IP Network TIPN 비고

Before Authentication

Visibility ○ Zero

Connectivity ○ Zero

AuthenticationOpen

Authentication ServerIsolated

Authentication Server

After Authentication

Visibility△

(False Positive, False Negative)

Connectivity△

(False Positive, False Negative)

Page 10: 1. trusted biz line 160401

10 Mobile Convergence Properties

TIPN 기반 Trusted Biz-Line

TIPN(Trusted IP Network) 기반의 네트워크 가상화를 통해 기관/기업 등에 보안성 및 안정성을 보장하여 믿을 수 있는

네트워크를 제공하는 서비스

적용 예시

‐ 본사와 지점간의 네트워크(국내/해외)

‐ 기업간의 제휴를 위한 네트워크

주요 기능

‐ 가상화 기술 기반으로 필요한 만큼의 분리된 네트워크 생성

‐ 통합 인증 및 사용자 관리

‐ 계층적 다중 터널링(Mobile IP VPN, L3 VPN)

특장점

‐ 관제 네트워크와 서비스 네트워크의 분리를 통해 믿을 수 있는 네트워크 환경 구축

‐ 서버 주소 은닉을 통해 외부의 공격 원천 차단

Page 11: 1. trusted biz line 160401

11 Mobile Convergence Properties

기업용 전용 네트워크 서비스 비교

VPN 전용선 Trusted Biz-Line

회선구성 다중회선(최대 4회선) 단일회선 제한 없음

대역폭 인터넷 회선 속도 구성에 따라 다름 인터넷 회선 속도

회선 비용 55,000원(회선/월) 30만원(Gbps/월) -

서비스 유형 구축/임대형 임대형 구축형

구성 VPN G/W, 회선 전용선TIPN Agent for Server,

TIPN G/W, TIPN Manager

관제 ○(고객사) 통신사 ○(고객사)

확장성 ★★★☆☆ ★☆☆☆☆ ★★★★★

Page 12: 1. trusted biz line 160401

12 Mobile Convergence Properties

네트워크 구성

Trusted Biz Line 대체 가능 여부는 업무 속성과 Traffic 규모에 따라 판단이 필요함.

ATM

콜센터

인터넷뱅킹

영업점

외부기관

코어 뱅킹 시스템

FRONT 단위 시스템

외부데이터

CORE AP SERVER

업무처리서비스

수신

여신

수출입

외환

대행

자동이체

상품 Factory

DBIO

DWIO

OCORE

BCORE

업무 Log

조회 Log

에러 Log

DW Log

연합회 신용정보 카드사

CCRM 중금 방카

자금관리 유가증권 재무회계

해외점포 국제금융 퇴직신탁

전용선/VPN

전용선/VPN

전용선

전용선

인터넷

전용선/VPN

해외지점

Page 13: 1. trusted biz line 160401

13 Mobile Convergence Properties

투자비용 비교(1)

전용선 vs. TIPN Gateway

설치 국가

전용선 TIPN Gateway(이중화)

대역폭(Mbps)

월간 사용료 연간 사용료연간 사용료

(10회선 이용시)수량 단가 금액

중국 10 7 84 840

2 500 1,000미국 6 2 24 240

인도네시아 8 12 144 1,440

(단위 : 백만원)

* TIPN Gateway는 국가에 상관없이 TIPN Gateway 설치시 TIPN 사용 가능* 10개 지점 기준

Page 14: 1. trusted biz line 160401

14 Mobile Convergence Properties

소요 장비

VPN TIPN Gateway

수량 단가 금액 수량 단가 금액

10개 지점 10 50 500 1 200 200

50개 지점 50 50 2,500 2 500 1,000

500개 지점 500 50 25,000 4 700 2,800

투자비용 비교(2)

VPN vs. TIPN Gateway

* User당 Agent 비용 동일 금액 가정

(단위 : 백만원)

Page 15: 1. trusted biz line 160401

15 Mobile Convergence Properties

3. TIPN 기반 서버 통신 방안

Page 16: 1. trusted biz line 160401

16 Mobile Convergence Properties

Server to Server – TIPN 적용 모델

구분 구성 방안 비고

TIPN Switch 전용 TIPN Switch를 제휴사 데이터센터에 설치하여

TIPN Gateway와 연동하여 금융기관 Server에 접속

Switch 제조 업체와 제휴/추가 개발 필요

TIPN Agent for Server제휴사 업무 Server에 TIPN Server Agent를 설치하여

TIPN Gateway와 연동하여 금융기관 Server에 접속

Server OS Linux로 한정/추가 개발 필요

Page 17: 1. trusted biz line 160401

17 Mobile Convergence Properties

Server to Server - TIPN Switch

Internet

제휴사

TIPNSwitch(전용)

금융기관

Switch용 Agent

Server #1

Server #N

TIPN Gateway TIPN Gateway

Server #N

Server #1

Page 18: 1. trusted biz line 160401

18 Mobile Convergence Properties

Server to Server - TIPN Agent for Server

Internet

Server용 Agent TIPN Gateway TIPN Gateway

Server #N

Server #1Server #1

Server #N

제휴사 금융기관

Page 19: 1. trusted biz line 160401

19 Mobile Convergence Properties

※별첨. TIPN(Trusted IP Network) 소개

Page 20: 1. trusted biz line 160401

20 Mobile Convergence Properties

TIPN 개요

네트워크 가상화 기술을 활용하여 기존 네트워크를 기반으로 외부 네트워크와 격리된 가상 네트워크를 구성하고, 권한이 있는 사용자만이 위·변조가 불가능하고 격리된 유일한 전송 경로를 통해 언제 어디서든 안전하게 정보를유통할 수 있는 환경을 제공하는 솔루션 임.※ 미국 국방부가 IP Network를 이용하여 중요 정보를 유통하기 위해 개발한 GIG 3.0을 벤치마킹하여 개발한 상용 솔루션

TIPN(Trusted IP Network)

• 인가된 사용자 만이 TIPN에 접속할 수 있으며, 정책기반으로부여된 권한이 있는 네트워크에만 접속 가능

IP Network

• IP Network의 특징인 연결성과 확장성으로 인해 두 개의 서로 다른 네트워크가 접속되면 하나의 네트워크로 전환

내부 Network

IP Network TIPN

IP Network

내부 Network

인가 사용자 非 인가 사용자 인가 사용자 非 인가 사용자

• Visibility : ○• Accessibility : ○

• Visibility : ○• Accessibility : ○

• Visibility : ○• Accessibility : ○• (권한이 있는

서버만 가능)

• Visibility : ו Accessibility : ×

TIPN Manager

하나의네트워크로 전환

Stealth NetworkTIPN

Gateway

가상 네트워크 기반상호 격리된 독립 네트워크 구성

기존 네트워크와 연결

Page 21: 1. trusted biz line 160401

21 Mobile Convergence Properties

TIPN 구성

TIPN 구성 요소 : TIPN Agent, TIPN Gateway, TIPN Manager

TIPN Agent TIPN ManagerTIPN Gateway

단말(사용자 단말/WiFi AP)과 TIPN Gateway간 인증 및 터널 생성∙관리∙종료를 위해 단말에 설치되는 S/W

TIPN Gateway와 연동하여 TIPN 전체시스템의 중앙집중형 관제 역할을 수행하는S/W

Tunnel 접속제어 기능, 가상 네트워크 생성 및 관리 기능을 수행하는 장비

Terminal (TIPN Agent)

LAN

WiFi

3G/LTE

인터넷

Access Network

Microwave

VR

VR

VR

VR

VR

VR

통합관제플랫폼

관제 네트워크 VPT

TIPN Gateway TIPN Gateway

VRn

VR2

VR1

Tunnel List

White ListWhite List

Page 22: 1. trusted biz line 160401

22 Mobile Convergence Properties

TIPN 주요 특징 – 네트워크 가상화

네트워크 가상화 : 기존 네트워크를 활용하여 “상호 격리된 가상 네트워크” 구성

네트워크 가상화 : 기존 네트워크를 활용하여 “상호 격리된 가상 네트워크” 구성

Terminal

ServerTIPN

Gateway

TIPNManager

기존

네트워크

가상 네트워크 #N

가상 네트워크 #1

관제 네트워크

TIPNGateway

관제네트워크

가상네트워크

#1…

가상네트워크

#N

서비스 Network관제 Network

Network Virtualization

관제 및 서비스 네트워크 분리

VR-16 VR-16

TIPN Gateway TIPN Gateway

VR-17 VR-17

VR-n VR-n

. . .

. . .

VR-0

VR-18 VR-18

Control Plane

TIPNData Plane

VR-0

ME0 ME0

Management Plane

TIPN Gateway 가상 네트워크 구성

구분 내용

Management Plane• Out-of-Band Management• In-Band Management

• 기존 체계

Control Plane • TIPN Signaling and Control • 관제용 네트워크

Data Plane

Virtual Routing • TIPN Data Plane • 격리된 서비스 네트워크

Global Routing • Global Routing • 기존 IP Network 연결

Page 23: 1. trusted biz line 160401

23 Mobile Convergence Properties

TIPN 주요 특징 – 중앙 집중 관제

주요 기능

• TIPN Manager : 전체 TIPN Gateway VPT 관리

• VPT : TIPN Gateway내 개별 TEP(Tunnel End Point)의 White List 관리

접속 제어 관리 체계 : TIPN Manager → VPT (Tunnel List) → TEP (White List)

TIPN 네트워크 접속 제어 : TIPN Manager를 통한 중앙 집중 관제

TIPNManager

VPT

Tunnel List

TEP TEP TEP. .

White List White List White List

VPT

Tunnel List

TEP TEP TEP. .

White List White List White List

. . .

TIPN Gateway #1 TIPN Gateway #N

Page 24: 1. trusted biz line 160401

24 Mobile Convergence Properties

TIPN 주요 특징 – 안정적인 사용자 인증

격리된 관제 네트워크 구성

• TIPN 관련 인증 및 제어 관련 Flow만 격리된 관제망으로 전달 (非 인증용 Flow 차단, 인증 서버 보호)

인증 안정성 확보 방안 : 인증서버 격리 (Global Routing Domain 직접 접속 차단)

관제 네트워크격리 구성

네트워크 가상화 기술을 활용하여 관제 네트워크(VR-16)와 서비스 네트워크를 상호 격리

Flow 기술 기반인증 정보 처리

Authentication Flow을 TIPN 관제 네트워크로 전달 (Flow Classifier)

인증 서버 보호

인증 서버 격리 Authentication용 Alias IP Address와

Redirection 기능을 활용하여 TIPN Control Domain에 위치한 TIPN Manager를 통해인증 수행

인증 서버에 대한 DDoS 공격 방어 비정상적 행위를 통한 인증서버 공격에 대해

방어 기능으로 인증 서버에 대한 DDoS Detection and Mitigation 기능 제공(패턴, 주기, 횟수 등 설정 가능)

인증 안정성 확보 방안인증 프로세스

TIPNManager

Terminal

...

...

VR-16

VR-18

VR-n

VR-0

TIPN Gateway

VPT

Tunnel List

A

B C D

A

B

C

D

Authentication Alias IP Address

TIPN Control Flow

DDoS Detection and Mitigation

Authentication Redirection

① 인증 요청

④ AuthenticationRedirection

⑤ 인증 결과 회신

③ DDoS 확인

② TIPN Authentication Flow

Page 25: 1. trusted biz line 160401

25 Mobile Convergence Properties

TIPN Gateway

VRTEP

TIPN 주요 특징 – 네트워크 격리

유일한 전송경로와 가상 네트워크를 통해 정책기반으로 부여된 권한이 있는 네트워크만 접속

• 격리된 전송 경로(Tunnel) : 단말 ↔ TIPN Gateway 간 구성되는 위·변조가 불가능한 터널

• VR(Virtual Router) : TEP 이후 구간의 독립성을 유지하여 개별 폐쇄 네트워크 구성

네트워크 격리 : 격리된 전송 경로(Tunnel) 및 VR을 연계하여 개별 폐쇄 네트워크 구성

VPN

TIPN

Terminal

IP Network

Server

VPNDevice

단일네트워크

Terminal

TIPN Gateway Server

IP Network … …

개별 폐쇄네트워크

구성

VRTEP

격리된 전송 경로(Tunnel)

격리된 전송 경로(Tunnel)VR(Virtual Router) 기반 독립 네트워크

• Visibility : ו Accessibility : ×

• Visibility : ○• Accessibility : ○

격리 기능 부재

Page 26: 1. trusted biz line 160401

26 Mobile Convergence Properties

TIPN 주요 특징 – 기존 VPN의 취약성 개선

인증 서버 보호 기능 (인증서버 주소 노출, DDoS 공격에 대한 취약점 등)의 취약성 개선

이동성이 보장되는 Mobile IP VPN Tunnel 구현 (IP-in-IP Tunnel 기술)

기존 VPN의 취약성 개선 : 인증 강화, Mobile IP Tunnel 이동성 보장

• Authentication

IPSec VPN Tunnel

• VPN Tunnel (IP-in-IP Tunnel)

• IPSec Encryption(Point to Point Encryption)

• Authentication 기능 부재

Mobile IP

• Mobile IP Tunnel

Enhanced Authentication(관제망 격리, 중앙 집중 관제)

TIPN Tunnel

Mobile IP VPN Tunnel

End-to-End Encryption(Optional)

기존 기술의 문제점

• 인증서버 보호 대책 취약

• IPSec VPN Tunnel과 Mobile IP Tunnel간의 연계시 통합 관리 및인증 체계 부재

TIPN 기반 대응 방안

• 격리된 관제 네트워크 구성

• 인증 서버 격리

• 중앙 집중 관제

• Mobile IP Tunnel의 이동성 보장

통합

관리

불가

연계

Page 27: 1. trusted biz line 160401

TIPN(Trusted IP Network)www.mobilecvg.com

T

㈜모바일컨버전스TEL : 02-521-3936

E-mail : [email protected]/mobilecvg