이 상 옥 / 차장 developer & platform evangelist ( 주 ) 한국마이크로소프트
DESCRIPTION
Microsoft 보안 인프라 구축 가이드. 이 상 옥 / 차장 Developer & Platform Evangelist ( 주 ) 한국마이크로소프트. 강사 소개. Windows Server 2003, 보안 , SQL Server 분야에서 Evangelist 로 활동 중이며 , 플랫폼 커뮤니티 컨텐츠 지원 . Microsoft Korea 경력 9 년 . 관심분야 소프트웨어 보안 플랫폼 (OS, Application) 아키텍처 데이터베이스 모델링 커뮤니티 활동 - PowerPoint PPT PresentationTRANSCRIPT
이 상 옥 / 차장Developer & Platform Evangelist( 주 ) 한국마이크로소프트
Microsoft 보안 인프라 구축 가이드
강사 소개• Windows Server 2003, 보안 ,
SQL Server 분야에서 Evangelist 로 활동 중이며 , 플랫폼 커뮤니티 컨텐츠 지원 . Microsoft Korea 경력 9 년 .
• 관심분야– 소프트웨어 보안– 플랫폼 (OS, Application) 아키텍처– 데이터베이스 모델링
• 커뮤니티 활동– .NET Advisor
대상 기술범위 :
• 보안 정책과 전략• 보안요구사항• 향후 전략 계획• 제품 테스트• 검증에 필요한 요구사항• 보안담당자 , 인프라 기술 담당자 , 기술적 의사 결정자
이 주제를 이해하는 데 필요한 지식
Level 100Level 100
• Microsoft Internet Security and Acceleration Server• Microsoft System Management Server• Windows Update• Active Directory• IPSec• 스마트카드• VPN
목차
• 마이크로소프트 IT 환경• 위험관리 방법• 위험 관리를 위한 보안팀의 역할• 보안 솔루션 구축• 요약
마이크로소프트 IT 환경OTG (Operations and Technology Group)• 전세계 400 여곳• 컴퓨터 300,000• 직원 : 55,000 명• 기간업무 어플리케이션 160 여개• 전자우편
• 하루 8 백만 개의 전자우편 처리• 내부 전자우편 4 백 만개
• 네트워크• TCP/IP 사용• Synchronous Optical network (SONET)• 초당 170GB AT 백본
마이크로소프트 IT 환경보안 환경• 매달 대략 100,000 건의 침입 시도 경험• 매달 125,000 건 이상의 전자메일 바이러스 발견 및
치료 및 분리• 보안이 요구되는 제품의 개발 , 테스트 , 및 지원을
위해 독자적인 IT 환경을 보유• 제품의 품질을 향상하기 위해서 도구의 한계를 조사
마이크로소프트 IT 환경보안 원칙
범주 보안 원칙
조직적 측면위험 관리와 보안 인식에 대한 경영진 지원
비즈니스 목표조직 상의 역할과 책임 정의안전한 설계안전한 운영
사용자 및 데이터인증 , 사용자 개별 정보 보호 및 데이터 권한 관리를 포함
가능한 최소한의 권리 부여데이터 분류와 올바른 사용개인정보 및 ID 정보 보호데이터 무결성정확한 ID 사용 모니터링가용성
마이크로소프트 IT 환경보안 원칙
어플리케이션 및 시스템 개발시스템 설계 및 개발
제품 수명주기에 보안 고려방어대책 설계공격 대상 서비스의 감소단순성
운영 및 유지보수안전한 시스템을 구축 , 유지 및 운영하기 위한 사람 , 절차 , 및 기술적인 측면
시스템 유지보수 계획 수립보안 구성 및 강화 기법모니터링 및 감사상황 대응 연습재난 복구에 대한 검증
마이크로소프트 IT 환경보안 원칙
• 사용자 ID 손상 되지 않는다 .• 사용자가 필요한 리소스는 안전하게 사용
– 변조나 인증되지 않은 액세스로부터 안전– 보안 취약점으로 부터안전– 가용성
• 사용자의 데이터 와 통신 보호• 위협에 대해 시기 적절한 조치
위험관리 방법위험 관리
• 위험을 수용 가능한 수준까지 끌어 내려서 효과적인 통제환경을 개발할 때 비로서 위험 관리의 이점을 경험 할 수 있다 .
위험관리 방법보안팀 프레임워크
• 위험을 평가한다 .• 정책을 정의 한다 .• 컨트롤들을 구현 한다 .• 감사하고 평가한다 .
위험관리 방법위험 평가 구성 요소
• 위험요소 평가 팀– 위험관리 전문가 , 보안 분석가 , 데이터 소유자 , 보안설계자
• Microsoft 는 가치에 따라 자산을 분류하는 시스템 사용
위험관리 방법데이터 분류• 최고 가치
– 가장 가치 있는 마이크로소프트 디지털 자산– 예제 : Windows 소스코드
• 높은 가치– 대부분의 데스크톱 컴퓨터 , 서버 , 서비스– 예제 : 파일고유서버 , 전자우편 서버 , 경영계획 및 분석
서버
• 낮은 가치– 위험 정도가 낮고 , 보안 제어가 잘 허용 되지 않는 자산– 예제 : 테스트 랩
위험관리 방법위험과 제어
데이터 종류 OTG 서비스 예 보안 제어 예
최고 가치 최고 수준의 OTG- 관리 서비스
소스 코드 액세스 인사 데이터 관리
사용자 : 두 가지 요소 인증 , 명시적인 사용자 권한 허용이
필요합니다장치 : 명시적인 사용자 및
컴퓨터 권한을 가지는 IPSec 이요구됩니다
높은 가치OTG- 관리 서비스 파일 공유메일
사용자 : 한 가지 요소 인증 , 사용자 정의 그룹에 대한 권한
허용장치 : IPSec 이 필요합니다
낮은 가치
기본 OTG 네트워크 서비스 인트라넷 브라우징이나 VPN 을
위한 네트워크 연결 적합성 검사를 허용하는 제한된
네트워크 연결
인증 : 한 가지 요소 , 제한된서비스 ( 예를 들어 Outlook Web Access 에만 국한된 서비스 )
위험관리 방법보안시스템
• 네트워크– 데이터 전송 및 인프라 장치
• 호스트– 운영체제 및 핵심 서비스
• 어플리케이션– 내 , 외부적 개발된 App
• 트러스트– AD 서비스 매핑된 관리 모델– 인증서 기반의 트러스트
위험관리 방법사례 : IPSec 프로젝트 위험평가• 자산 - 최고 가치 및 높은 가치 데이터의 자산 보호• 위협 - 인증되지 않은 액세스 , 데이터 손상 , 정보수집• 영향 - 수익에 손실 발생 , 직원 생산성 감소• 취약점 - 네트워크 수준의 위협 , 잘못된 시스템 구성• 현재 제어
– 안티 바이러스 , 방화벽 , 패치관리 , 중앙관리
• 가능성 - 높음• 현재 위험수준
– 1 년 이내 중간 내지는 높은 수준 발생 가능성 있음 .
위험관리를 위한 보안 팀의 역할위험관리 역할작업 소유 권한 ( 역할 ) IPSec 프로젝트의 기능
1. 기업 내에 발생한 IT 위험들을 확인하고 우선
순위를 정합니다 .
Corporate Security Group 이 주요 권한을 가집니다 .
Corporate Security Group 은 확인되고 우선순위가
매겨진 위험 목록을 관리되지 않은 컴퓨터에서 관리된
컴퓨터로 전달합니다 .
2. 위험을 수용 가능한 범위로까지줄일 수
있는 보안 정책을세웁니다 .
Corporate Security Group 이 주요 권한을 가집니다 . 그리고
OTG 와 비즈니스 담당자들이 협력하여 적적할 정책을
수립하도록합니다 .
Corporate Security Group 은 확인된 위험을완화시킬수
있도록관리되는 컴퓨터와 관리되지 않는 컴퓨터를 구분하는 보안 요구 사항
문서를 제공합니다 .
위험관리를 위한 보안 팀의 역할위험관리 역할작업 소유 권한 ( 역할 ) IPSec 프로젝트의 기능
3. 위험을줄이기 위한 솔루션을 개발합니다 .
OTG 운영 및엔지니어링 팀이 주요 권한을 가지며 Corporate
Security Group 의 도움이필요합니다 .
인프라 설계자와 네트워크 엔지니어들이 IPSec 기술을
기반으로 솔루션을 설계합니다 . 운영 팀이 IPSec
프로젝트를 구현 , 배포 , 모니터링 합니다 .
4. 솔루션을 효과적으로운영합니다 .
OTG 운영 팀이 주요 권한을가집니다 .
모든지원 계층을교육하고 지원 프로세스를 제공합니다 .
5. 적합성을 평가하기 위해 감사하고 모니터링
합니다 .
Corporate Security Group 이 정책을실행합니다 .
배포 단계 중에 , 그리고 배포가끝나고 난 다음에
Corporate Security Group 은 솔루션의 효과를 감사하고
평가합니다 .
위험관리를 위한 보안 팀의 역할위험관리의 각 팀의 역할
•각각의 역할과 의무를 확실하게 정의하는 것이 위험 관리 프로세스에 도움이 된다 .•보안 전문가들은 종종 비즈니스에 대한 위험을 평가하고 이에 대한 의견을 공유한다 .
위험관리를 위한 보안 팀의 역할IT 보안 위험 관리
• 위협 , 위험분석 및 정책– 보안정책 , 위험 평가 , 위험 관리 프레임워크
• 평가 및 적합성– 보안서비스 관리 , 보안 평가 서비스 , 적합성 및 해결작업
• 모니터링 , 침입탐지 , 및 상황 대응– 침입탐지 , 중요 상황 대응 , Tier1 보안지원 , 데이터복구
• 공유 서비스 운영– 보안 인프라 지원 , 액세스 관리
보안 솔루션 구축네트워크 경계의 보안 강화• 원격 액세스를 위한 스마트 카드• 안전한 원격 사용자• 안전한 무선 액세스• 경계 메시징 방화벽• 전자 우편 안티 바이러스• 안전한 엑스트라넷과 파트너 연결
Active Directory 계정사용 Windows XP Professional 도메인 로그온 Windows XP 에서 VPN 도메인 로그온 스마트 카드 로그온
Demo: Demo: 안전한 계정 사용안전한 계정 사용
보안 솔루션 구축네트워크 내부의 강화• 공유 서비스 계정 취약점의 감소• 로컬 관리자 계정을 통합• 취약한 암호를 삭제• Windows NT 4.0 도메인을 Windows 2003
Active Directory 마이그레이션• 관리자를 위한 스마트 카드• IPSec 을 사용하여 네트워크 분할
보안 솔루션 구축핵심 자산의 보호• 관리되는 소스 코드• 소스코드 서버 분할• 안전한 도메인 컨트롤러
보안 솔루션 구축모니터링 및 감사• 네트워크 침입탐지• 취약점 관리• 보안패치 관리
안전한 소프트웨어 배포 안티 바이러스 , 스파이 웨어 소프트웨어 배포 Windows 업데이트 사이트 라이센스 소프트웨어 배포
Demo: Demo: 보안 업데이트보안 업데이트
세션 요약• Microsoft OTG 보안 환경• OTG 의 위험관리 방법• 위험관리를 위한 보안팀의 역할• 보안 솔루션 구축
– 네트워크 경계의 보안– 네트워크 내부의 보안– 핵심 자산의 보호– 모니터링 및 감사
참고 자료
• 기술백서 :마이크로소프트는 어떻게 보안을 유지하는가 ? – http://www.microsoft.com/korea/technet/itsolutions/msit/
security/mssecbp.asp
마이크로소프트는 IT 를 어떻게 관리하고 유지하는가 ?– http://www.microsoft.com/korea/technet/itsolutions/msit/def
ault.asp
• 웹 문서마이크로소프트 보안 가이드– http://www.microsoft.com/korea/security/default.asp
추천서적 : Microsoft PressIT 전문가를 위한 고급 정보
최신 기술서적에 대한 정보는 여기서 참조하세요 .
www.microsoft.com/learning/books/
추천서적 : Microsoft Press아키텍처 전문가를 위한 고급 정보
최신 기술서적에 대한 정보는 여기서 참조하세요 .
www.microsoft.com/learning/books/
이 서적은 국내 대형서점에서 판매되며 , 온라인 서점에서도 판매 됩니다 .
추천서적 : IT 전문가를 위한 참고서적
Microsoft 교육센터IT 전문가를 위한 교육정보• 무료 오프라인 세미나
– 매월 TechNet 보안 세미나 진행
• 무료 보안 교육– http://www.microsoft.com/korea/seminar/security.asp
자세한 교육정보는 Microsoft 공식 교육기관 또는 인터넷에서 통해서
얻을 수 있습니다 .
www.microsoft.com/learning
참고자료 : IT 전문가를 위한 Microsoft 인증
여러분의 여러분의 Microsoft Microsoft 기술 능력 평가기술 능력 평가
Microsoft Skills Assessment 무엇인가 ?• 현재 제품 및 기술 솔루션에 대한 능력 평가• Windows Server 2003, Exchange Server 2003, Windows
Storage Server 2003, Visual Studio .NET, Office 2003• 무료 , 온라인 , 누구나 사용 가능• 평가결과를 기초로 Microsoft 교육 프로그램을
제안합니다 .• 평가항목과 최고점수 표시
• 방문하세요 ! www.microsoft.com/assessment
Microsoft Certified Systems Administrator(MCSA) 가 되자 !
• MCSA 무엇인가 ?– Microsoft Windows Server 기반의 시스템 , 네트워크
유지보수와 관리를 하는 IT 전문가를 위한 인증제도
• 어떻게 MCSA(Windows Server 2003) 합격 ?– 3 개 코어 시험 통과– 1 개 선택 과목
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcsa
Microsoft Certified Systems Engineer (MCSE) 가 되자 !
• MCSE 무엇인가 ?– Microsoft Windows Server System 기반의 비즈니스
솔루션 , 인프라스트럭처의 설계 , 도입계획 , 도입방법 , IT 운영자의 요구분석 능력을 인증하는 제도
• 어떻게 MCSE(Microsoft Windows 2003) 합격 ?– 6 개 코어 시험 통과 – 1새 선택 시험 통과
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcse
Microsoft Certified Desktop Support Technician(MCDST) • What is the MCDST certification?
– Microsoft Windows 오퍼레이팅 시스템에서 실행되는 데스크톱 환경의 문제해결 및 전문가의 기술지원 능력을 인증하는 제도
• 어떻게 MCDST(Microsoft Windows XP) 합격 ?– 2 개 코어 시험 통과
• 오퍼레이팅 시스템• 데스크톱 애플리케이션 지원
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcse
Specialization 인증을 도전하세요 .• MCSA/MCSE specializations?
– IT 전문가를 위한 메시징 , 보안 전문분야의 인증제도
• 현재 인증 가능한 전문 ?– MCSA: Security – MCSA: Messaging– MCSE: Security – MCSE: Messaging
• 자세한 정보는 아래 URL 를 참고하세요 ?
www.microsoft.com/mcsa or www.microsoft.com/mcse
www.microsoft.com/technet/subscriptions
TechNet 에 가입하세요 .최신 기술 뉴스를 받고 싶으세요 ?
평가기간 없는 소프트웨어 !: Technet Plus 가입자는 평가 목적으로 Microsoft 정품제품을 다양하게 시험을 할 수 있다 .
무료 기술지원 : 가입자는 2 개의 무료 기술지원을 받을 수 있으며 , 중요한 문제해결을 위해 시간을 절약할 수 있다 .
최신 TechNet 정보를 오프라인에서 사용 : TechNet 사이트의 Microsoft 평가 , 설치 , 솔루션의 정보를 CD 또는 DVD 로 받을 수 있다 .
어디서 정보를 얻을 수 있나요 ?• 웹 캐스트 또는 온라인 채팅
www.microsoft.com/technet/community/chatswww.microsoft.com/technet/community/webcasts
• 뉴스그룹 목록www.microsoft.com/technet/community/newsgroups
• Microsoft 커뮤니티 사이트www.microsoft.com/technet/community
• 커뮤니티 이벤트www.microsoft.com/technet/community/events
• 커뮤니티 컬럼www.microsoft.com/technet/community/columns