아카마이솔루션웨비나...eaa 구성 internet enterprise application access 기업내부...
Post on 14-Aug-2020
0 Views
Preview:
TRANSCRIPT
아카마이 솔루션 웨비나원격 근무 급증에 대처하는 기술적 대응 방안 및 사례
220+ 한국 고객들
엔터프라이즈Global 전자업체Global 자동차
게임상위 6대게임사
전자상거래상위 5대
전자상거래사
소셜/포털상위 2대
Social/Potral사
금융 산업은행
가상화폐거래소보험/증권사
커머스 산업항공사
인터넷 비지니스
공공/학교웹싸이트
평창동계올림픽
미디어/방송Global OTT
미디어 비지니스
Why Akamai - We Are Trusted Akamai is Trusted by:
© 2020 Akamai4
사회적인 이슈로 인한 원격근무환경의 문제점- [현황] 국가별 원격/재택 근무
- [성능] VPN 서버 용량 증설- [운영] 빠르고 쉬운 구축 및 운영- [보안] VPN 취약점
© 2020 Akamai5
집에서 일하는 것은 더 이상 특권이 아니라 필수미국
• 블룸버그는 코로나바이러스 영향으로 다수의 기업들이 원격업무를 확대 고려중임을 발표(2020년 2월6일)
• 8 백만 명이상이 집 에서 풀 타임 으로 원격작업 시행중(2017년 기준)
• 미국 스탠퍼드대 연구에 따르면, 편안한 재택 근무환경이 업무 수행 향상에 도움(2015년)
세계 최대 규모의 재택 실험중국
• IT 기업들이 전염병 예방과 통제 기간 동안 정상적인 업무와 연구를 위해 재택근무 독려
• 13% 생산성 향상(중국 최대 온라인 여행사 시트립 콜센터 직원들이 재택근무를 실시한 결과)
• 텐센트와 알리바바 노동자는 재택근무 시행(2020년 2월)
✓ DingTalk/WeChat Work와 같은 화상 회의 서비스 및 직장 협업 앱 사용 폭증으로 인한 다운 발생(2020년 2월)
일본 기업의 절반 이상이 재택 근무 제공일본
• 사회적 이슈발생으로 인해 재택근무를 장려하거나, 부분적으로 도입해 출퇴근 시간을 조정
✓이른 아침 출근이나 늦은 점심 출근을 인정하며, 특히 50세 이상 사원이나 임산부, 지병을 갖고 있는 사람은 재택근무를 장려
• IT업계에서도 LINE이나 GMO인터넷 등 대기업을 중심으로 재택근무가 확대되고 있는 추세
• 일본 마이크로소프트(2016년 취업규칙 변경을 통해 근무장소에 구애받지 않고 일할 수 있는 제도 도입)
✓"현재도 자택에서 업무를 처리하거나 온라인으로 회의에 참여하는 직원이 많다"며 "현 시스템으로도 비상사태상황에 대처가 가능하다“ 발표
국가별 원격/재택근무 현황[1/2]
© 2020 Akamai6
국가별 원격/재택근무 현황[2/2]
원격근무의일상화싱가포르/홍콩• 현재 10 명의싱가포르인중 6 명이상이, 주단위로 3일이상원격으로일함(2018 IWG Flexible Working Survey)
• 홍콩정부직원들(17만명) 원격근무명령(1/29일~2/2일) 및민간기업에도비슷한수준으로권고(2020년 2월)
• 의심국가/지역방문후복귀시 2주간강제재택근무시행
갑작스런재택근무로인한불편한국‘국제적공중보건비상사태 (PHEIC)’선포(세계보건기구(WHO))(2020년1월30일)
✓아시아태평양지역에서의대중교통이용과사무용공간출입을최소화하도록기업의재택근무를권고
• '코로나19' 사태여파로직장을폐쇄하거나재택근무를권장하는기업들증가
• 금융사직원도필수인력에한해 '재택근무’ 허용[망분리예외조치시행](2020년 2월10일)
✓금융위는비조치의견서를통해감염병등의질병으로인해업무연속성을확보하기곤란한수준으로인력이줄거나그럴가능성이현저히높으면원격접속을통한
재택근무를할수있다고발표
© 2020 Akamai7
VPN 문제점 – 성능측면 고려사항[서버 용량 증설]
VPN 장비스펙
SMB/Mid-Range/Enterprise/Data Center
구분
CPU/Memory/Storage/NIC Capacity 상이
이중화(HA) 구성
동시접속자수
장비당 접속사용자수
(100/1,000/3,000/10,000명 등)
도입시 실 사용 원격근무자수를 고려했으나
동시사용자수 폭증에 대한 대비책 요구
고려요소
교체 연한을 넘긴 장비들은
성능상의 문제 발생
(주기적인 교체가 요구됨)
해외 지점 속도 저하 문제 발생
타 솔루션 연동/커스터마이징 및
안정화 기간 고려
© 2020 Akamai8
VPN 문제점 – 운영측면 고려사항[설정 및 구축]
사전준비
구성협의
(네트워크환경,
위치)
VPN 접근을위한
방화벽 port 요청
및설정
사용자및
애플리케이션
사이징
제품입고
장비배송및납품
Rack 마운트 /
제품납품검수
장애대비추가
장비및네크워크
구성
구 축
VPN 장비설정
및커스터마이징
내역반영
물리적구성작업
네트워크구성
변경및설치
다양한인증
방식지원을위한
추가구성
보안설정및
네트워크변경이
필요
테스트
사용자 VPN 접속
테스트[단위/통합]
사용자서비스
단계별이관및
요청사항반영
정책관리및
데이타관리필요
서비스에따라
별도의 S/W설치
필요
교육및종료
관리자교육
(운영및트러블
슈팅)
고려요소
평균
수주~1달간의
구축기간소요
Clientless 구현
및운영의어려움
Elastic한구축
및운영구조가
아님
© 2020 Akamai9
VPN 문제점 – 보안측면 고려사항[VPN취약점]
•VPN 보안취약점(CVE) 발표직후해킹시도추세
✓2019년: IT, 통신, 석유및가스, 항공, 정부및보안부문의회사들타겟
•지속적인관리포인트발생(Live 패치작업수행) 및제로데이보안취약점에무방비노출보안취약점업데이트
•VPN 연결을허용하도록방화벽구성
•외부에공개된 VPN장비 IP 및서비스 Port에다양한공격발생
•보안정책변경(Public IP/서비스 Port/접근제어등)방화벽포트오픈
•네트워크레이어기반의터널기술 – VPN터널접속후모든내부네트워크에대한접근시도가능
•“East-West” 공격기법에노출됨 /감염된외부사용자로인한내부네트워크위험증가
•공격자가내부망에서타시스템으로공격확산(PowerShell)
래터럴무브먼트(Lateral
movement, 내부망이동)
•VPN을통한접속의경우 IP/Port 스캔수행시(Demo 시연)
✓사내의어플리케이션노출
✓사설 IP 및오픈포트번호노출오리진(Origin) 서버정보노출
•2019년 Gartner 발표
✓VPN은 1990년대기술로 Agility가결여/2023년까지기업의 60%이상이 VPN을제거예상
•기업별로외부오픈웹싸이트다수발견(VPN/보안장비없이) –Security Hole 존재(DMZ Zone)고려요소
© 2020 Akamai10
더욱 안전하고 간편한 원격접속 관리,
Akamai EAA(Enterprise Application Access)
- VPN 문제점에 대한 해결 방안
- EAA 레퍼런스 아키텍처 소개
- 도입에 필요한 고객 준비 사항 및 환경 변화
- 긴급 구현 절차
| Intelligent Edge Security 11
사용자
클라우드경계(Cloud
Parameter)
내부애플리케이션 1
Enterprise Connector
Firewall
내부애플리케이션 2
데이터 센터(IDC) & 클라우드
• No 방화벽 보안홀 – 아웃바운드만 허용
• No 복잡한 구성 – 빠른 구성(몇분 이내)
• No 클라이언트 Agent – HTML5 브라우저
• No lateral movement – L7 레이어 엑세스
Global LB
DDoS
FW/IPS
RAS/VPN
WAN Opt
Internal LB
MFA
DMZ
더욱 간편하고 안전한 원격 접속 기술
| Intelligent Edge Security 12
EAA 구성
Internet
Enterprise Application Access
기업 내부
Enterprise Connector
Apps
사용자
Admin EAA 구성 및 관리- - 애플리케이션 및 인증 방식 설정- - Connector 관리
1. Connector에서 EAA관리용 Cloud에접속하여 시스템 상태 및 정책 설정 확인
EAA Edge
EAA Management Cloud
Connector에서 아카마이EAA Edge로 연결 (TLS)
애플리케이션 접속을 위한사용자는 EAA Edge에 접속
ConnectionFrom Connector to Application
내부애플리케이션
(웹, C/S)
EnterpriseConnector
• 강력한 인증과 권한 관리
• MFA, SSO 연동
• WAF(웹방화벽) 추가
• 성능 향상(캐싱과 가속) 추가
TLS암호화통신Internet
내부애플리케이션
(웹, C/S)
EnterpriseConnector
Internet
SaaS
IaaS
Data Center
VPC
AD/LDAP
TLSEdge Server
Edge Server
Hybrid-Cloud 지원
클라우드 보안 경계
사용자
13
Edge Server
On-Premise와 동시에 모든 종류의 Multi Cloud 환경 지원
HTTPS
TLS
인증
© 2020 Akamai14
VPN 문제점에 대한 해결방안(EAA 기대효과)
보안 강화외부에서 들어오는 모든
인바운드 포트를 차단
가능함으로 강화된 보안 정책
적용
필요한 사람에게 필요한
애플리케이션만 접근
허용함으로 강력한 통제 및
Audit 가능
외부로부터의 Lateral
movement 방지(SSL VPN대비)
Akamai WAF 지원
성능 향상캐싱 및 가속 지원
전 세계적으로 분산된 환경에서
빠른 사용 가능(성능개선)
3배 빠른 속도(SSL VPN 대비)
안정성부하 분산 및 이중화 구성으로
안정된 운영 환경 보장(무중단
운영 가능)
클라우드 기반 서비스: 장비
패치 등의 작업이 필요 없으며,
동시사용자 폭증시 수용 가능
100% SLA 제공
구현 및 운영중앙 집중식 보안 및 접근제어
가능
(데이터센터와 클라우드
운영환경에 모두 적용)
모든 애플리케이션 지원
(웹, C/S 모두 지원)
애플리케이션의 빠른 일회성
구축 및 사용 지원 가능(운영의
유연성)
빠른 애플리케이션 배포 가능(몇
분이내) : 비즈니스 가속화 효과
비용 절감
클라우드 운영 환경에서 신규
투자 비용 절감
(별도의 보안 솔루션 구매
불필요)
MPLS(Multi-Protocol Label
Switching) 네트워크 비용
감소(회선 비용 절감 효과)
| Intelligent Edge Security 15
Akamai
Zero Trust Reference Architecture
(레퍼런스 아키텍처)
© 2020 Akamai16
© 2020 Akamai17
© 2020 Akamai18
EAA 적용을 위한 고객 준비 사항
EAA Connector – VM 준비
(내부시스템과네트워크통신가능위치)
Docker
Google Cloud Computing Engine (GCE)
IBM Softlayer
Microsoft Azure/ Microsoft Hyper-V
OpenStack/ KVM
Oracle VirtualBox/ VMware/ AWS EC2/VPC
Outbound Port open 443 Outbound Port
EAA Trial 요청
korea-marketing@akamai.com
02-2193-7200
EAA 빠른구현절차착수 – 30분
이내/애플리케이션 구동가능
(고객사환경사전준비완료조건)
© 2020 Akamai 20
대상 사용자와 애플리케이션의 유연하면서도 신속한 적용
EAA PoC 및 긴급 구현 절차
EAA 적용을 위한 7가지 단계1 2 3 4 5 6 7
Trial 신청EAA Connector 준비
및 환경체크(AD/SSO/MFA)
대상애플리케이션선정 및 적용
[선택]보안업그레이드
[선택]성능업그레이드
사용자와애플리케이션 확대
[선택]VLAN 마이그레이션
| Intelligent Edge Security 21
EAA 적용 업무(애플리케이션) 영역
파트너/Dealer 접속 및 주문 접수/정보 공유
콜센터 업무용 애플리케이션(오리진 접속)
원격 개발자들을 위한 독립적인 개발 환경(지방/해외)
보안 관리자의 보안 장비 콘솔 원격 접속용
(SSH, PuTTY 등을 통한 F/W 세팅)
대리점 물량 조회 업무
해외지점 직원들의 한국 오리진 접속 업무용
직원들의 외근 업무용(보험 상담/주문서/발주서 등)
①
②
③
④⑤
⑥ ⑦
© 2020 Akamai22
기술 데모
- EAA 국내 사례
- EAA 화면 구성- VPN vs. EAA- EAA 적용 절차
© 2019 Akamai23
EAA 국내 사례
- 전자부품연구원
© 2019 Akamai24
전자부품연구원(KETI) EAA 기반 제로 트러스트보안 환경 구축KETI는 국가적 4차 산업 혁명에 대한 중요성이 높은 신사업 창출과 중소/중견기업의 혁신 성장을 지원하는전문 생산 연구기관 입니다.
도전과제
• 직원들의 외부 업무 증가 및 재택 근무로 인한 원격 접속 인원 증가
• 지역 연구원에서 내부 서비스 접근 시 SSL VPN Agent 설치 및 연결의 불안정화 등으로 많은 VOC 접수
• SSL VPN 장비의 잦은 Hardware Fault로 서비스 가용성에 대한 문제
• ZeroTrust Trend 에 맞는 보안 환경 구축 필요
EAA 적용 어플리케이션
• 그룹웨어
• 웹 메일
• MIS 시스템
• 개발 시스템
• 외 30개 Application
© 2019 Akamai25
전자부품연구원(KETI) EAA 기반 제로 트러스트보안 환경 구축
Akamai를 통한 문제 해결 방법
• 웹 기반의 어플리케이션의 경우 별도의 Agent 설치가 필요 없음(모바일 포함)
• 장비를 설치 하지 않아도 되는 SaaS 기반의 솔루션으로 Hardware Fault 로 인한 관리자의 운영 영역 축소
• 모든 인바운드 방화벽 포트를 닫는 방식으로 작동하여 어플리케이션에 사용자가 직접 접속 하는 것 방지
그 외 EAA를 통한 장점
• 어플리케이션 Deploy의 신속성
• 보안 강화
• 사용자 관점의 편의성 증대 및 기존 SSL VPN 대비 속도 개선 (VOC감소)
• Akamai 에서 제공하는 MFA
© 2019 Akamai26
Akamai EAA Demo Scenario
Demo 1 : 운영자 관점의 EAA 구현 방법쉽고 빠르게 배포되는 EAA 구현
Demo 2 : 사용자 관점의 EAA간편하게 접속 가능한 어플리케이션 접근
Demo 4 : 사용자 활동 로그Access 단위의 사용자 로그와 가시성 있는 DashBoard
Demo 3 : VPN과 EAA 의 비교VPN 대비 안전한 EAA를 통한 접속
© 2020 Akamai27
EAA(Enterprise Applications Access)심플하고 안전한원격 애플리케이션 접근 솔루션
보안강화 CX향상
• 방어 경계를 클라우드로 이동
• 인증 및 인가된 권한인지 확인
• 애플리케이션 스트림 보호
• 하이브리드/멀티 클라우드 지원
• 최신 및 레거시 인증 모두 지원
• 단계적 전환 경로 제공 – VPN에서 EAA로
• 추가 지원 서비스(보안/가속)
• 악성 인터넷접속으로부터 사용자 보호
Takeaway
연락처 : 윤영한 전무 (010-8915-2368) / gitsales@goodmit.co.kr
감사합니다.
top related