원격 재택근무환경의비즈니스연속성구현 보안의현주소는 · 2 days ago ·...
TRANSCRIPT
© 2020 Akamai1
원격/재택근무환경의비즈니스연속성구현
보안의현주소는?
원격/재택근무환경의비즈니스연속성구현, 보안의현주소는?
22nd Apr 2020
Yongkhi Paek Senior Enterprise Security Executive
Akamai Technologies
© 2020 Akamai2
A Lot Has Changed…
© 2020 Akamai3
사회적 거리두기가 적용 될때의 업무 활동?
권고사항
o 시간제근무
o 시차출퇴근
o 탄력적근로시간
o 원격/재택근무
o 온라인/ 화상회의
© 2020 Akamai4
© 2020 Akamai5
한국 - 총265개 글로벌 기업 대상 Survey
(2020.03.02 ~ 03.09)
© 2020 Akamai6
Security
Two concerns on IT
Application Access(Email, ERP, Groupware, SSH, RDP,
VNC…etc) with Secured Clients
Communication(Webex, Zoom, MS teams, Hangouts, Anymeeting, Discord, Jitsi Meet ..etc)
Technologies to Work From Anywhere
Today’s topic
© 2020 Akamai7
A New Model For A Secure Workforce Is Needed
위치중심이아니라 ID 중심의보안 애플리케이션단위의접근통제
Network Security as a service
• ZTNA• Cloud SWG• WAAPaaS• FWaaS• DNS • RBI
SASE(Secure Access Service Edge)SASE(Secure Access Service Edge)
악성멜웨어로부터사용자와디바이스보호
© 2020 Akamai8
A Digital Transformation Has Happened
API
API
IaaSAPI
SaaS
People & Things
Complex Infrastructure
IaaS & SaaS
Apps & APIs
API
© 2020 Akamai9
애플리케이션은 어디에나 있을 수 있으며사용자는 어디에서나 이에 접속해야 합니다.
뿌리부터 흔들리고 있는 기업'내부·외부'라는 개념
…하지만 누구나 모든 것에 접속할 수있어야 하는 것은 아닙니다.
© 2020 Akamai10
원격 근무 환경의 보안 문제
공격면확대
다이렉트 인터넷접속(DIA), SaaS, 클라우드 서비스, 모바일, IoT로 인해공격면이 급격히 증가
최신표적 위협
위협의 정교함과 규모가증가하고 있으며공격자들은 방어 체계를우회하고 있음
보안의복잡성
보안의 복잡성과 컨트롤포인트 문제로 인해보안 취약점 발생
보안스킬
보안 전문 인력의부족으로 인해 보안팀의능력 저하
© 2020 Akamai11
제로 트러스트(ZeroTrust) 보안 모델
외부사용자외부방화벽
Active Directory
Front End
443
53 and 443내부 사용자
SQL서버
Index, Query, Application,Central Administration
Servers
Index, Query, Application,Central Administration
Servers
웹 서버
HWLB
방화벽방화벽
(Domain Bound Servers)
외부 DMZ 내부 DMZ Intranet
내부 네트웍경계 네트웍
전통적인 트러스트 모델 TrustedNot Trusted
내부사용자
외부사용자
Internet
SaaS
IaaS
Not TrustedZero Trust Security Model
우리가 신뢰했던 경계는 사라지고 있습니다.
© 2020 Akamai12
전통적인방식의원격접속기술
현황과문제점
© 2020 Akamai13
Traditional VPN Methodology
Other Apps
Corporate Directory (AD)
VPN Client
……
Intranet (Sharepoint)
Jenkins(Dev Ops)
Oracle EBS (Expense)
Account Payable
Mail (Exchange)
ContactsInternet
Corporate Perimeter
Desktop with VPN(left)
VPN Connector
VPN IPSec Tunnel IPSec Tunnel
© 2020 Akamai14
인터넷
기업
원격 접속 문제
사용자앱
고가의 경계, 클라이언트 소프트웨어, 사내 악성 공격자
클라이언트
● DMZ는 비용과 복잡성이 높음● 방화벽은 의도한 대로 구성되지 않음
● VPN은 전체 네트워크 접속을 허용함● 악성 사용자가 네트워크에 침투할 수 있음
VPNADC프록시인증모니터링:
DMZ
© 2020 Akamai15
https://arxiv.org/pdf/1701.04940.pdf
Lateral movement freely within the network
“Network level” connection by using Remote Access
Phishing attack hijacked access
Cyber attack : Real world case study
© 2020 Akamai16
VPN 문제점 – 성능측면고려사항[서버용량증설]
VPN 장비스펙
o SMB/Mid-Range/Enterprise/Data Center 구분
o CPU/Memory/Storage/NIC Capacity 상이
o 이중화(HA) 구성
동시접속자수
o 장비당접속사용자수
(100/1,000/3,000/10,000명등)
o 도입시실사용원격근무자수를고려했으나동시사용자수폭증에대한대비책요구
고려요소
o 교체연한을넘긴장비들은성능상의문제발생
(주기적인교체가요구됨)o 해외지점속도저하문제
발생
o 타솔루션연동/커스터마이징및안정화기간고려
© 2020 Akamai17
VPN 문제점 – 운영측면고려사항[설정및구축]
사전준비
o 구성협의(네트워크환경, 위치)
o VPN 접근을위한방화벽port 요청및설정
o 사용자및애플리케이션사이징
제품입고
o 장비배송및납품
o Rack 마운트 / 제품납품검수
o 장애대비추가장비및네크워크
구성
구 축
o VPN 장비설정및
커스터마이징내역반영
o 물리적구성작업
o 네트워크구성변경및설치
o 다양한인증방식지원을위한추가구성
o 보안설정및네트워크변경이필요
테스트
o 사용자 VPN 접속
테스트[단위/통합]
o 사용자서비스
단계별이관및요청사항
반영o 정책관리및데이타관리필요
o 서비스에따라별도의
S/W설치필요
교육및종료
o 관리자교육(운영및
트러블슈팅)
고려요소
o 최소1.5개월의구축기간소요
o Clientless 구현및운영의어려움
o Elastic한구축및
운영구조가아님
© 2020 Akamai18
VPN 문제점 – 보안측면고려사항[VPN취약점]
보안취약점업데이트
VPN 보안취약점(CVE) 발표직후해킹시도추세
2019년: IT, 통신, 석유및
가스, 항공, 정부및보안
부문의회사들타겟
지속적인관리포인트
발생(Live 패치작업수행) 및제로데이보안취약점에무방비
노출
방화벽포트오픈
VPN 연결을허용하도록방화벽
구성
외부에공개된 VPN장비 IP 및
서비스 Port에다양한공격발생
보안정책변경(Public
IP/서비스 Port/접근제어등)
래터럴무브먼트(Lateral movement, 내부망이동)
네트워크레이어기반의터널
기술 – VPN터널접속후모든
내부네트워크에대한접근
시도가능
“East-West” 공격기법에
노출됨 /감염된외부사용자로
인한내부네트워크위험증가
공격자가내부망에서타
시스템으로공격
확산(PowerShell)
오리진(Origin) 서버정보노출
VPN을통한접속의경우
IP/Port 스캔수행시
사내의어플리케이션노출
사설 IP 및오픈포트번호
노출
고려요소
기업별로외부오픈웹싸이트
다수발견(VPN/보안장비없이)
–Security Hole 존재(DMZ Zone)
© 2020 Akamai19
원격접속기술고려사항
검토시확인사항
© 2020 Akamai20
Priority for your company?• Fastest to deploy?
• Easiest to deploy?
• Cheapest to deploy?
• Best user experience?
• Will work for the most users?
• Provides the best security?
© 2020 Akamai21
Answer for the following questions• Is everything on-premises, or do you have cloud or SaaS apps?• What applications do you need to support? Are these all web apps,
or Windows apps?• Do you already have experience with VDI, and have you already
done that engineering? Is there an already-running VDI environment you can expand?
• Do your users already have laptops they will be taking home, or will they need to find new devices? (If new, will you be providing them or are the users on their own?)
• How do you manage laptops today? e.g. SCCM, AD, and GPOs? Or with a cloud-based, real-time unified endpoint management platform?
© 2020 Akamai22
Answer for the following questions• Do you already have a VPN? Do you have enough licenses for all
your remote users?• Do you have enough bandwidth for your remote users? Have you
thought about how your bandwidth needs will change? e.g. Can you support all that increase in corporate internet traffic?
• Are there “easy” things you can do to free up corporate internet bandwidth? e.g. Enable split tunneling for VPN users.
• Are there any regulatory requirements dictating certain technology decisions? e.g. some regulation that says no customer data can be stored locally on a device, etc.
© 2020 Akamai23
ZTNA 접속기술
필요성과기대효과
© 2020 Akamai24
문제 해결책제로 트러스트 네트워크 접속
제로 트러스트 네트워크 접속(ZTNA)은 애플리케이션 또는애플리케이션 집합에 대한 ID와 컨텍스트 기반의 논리적접속 경계를 만듭니다.
애플리케이션(시스템)을 외부 노출에서 숨기고 신뢰할 수있는 브로커를 통해 선정된 개체 집합으로 접속이제한됩니다.
출처: Market Guide for Zero Trust Network Access, Gartner - 2019년 4월
© 2020 Akamai25
Gartner의 제로 트러스트 네트워크 접속 예측
2022년이면 생태계 파트너에게 공개된 새로운 디지털비즈니스 애플리케이션 중 80%는 제로 트러스트 네트워크 접속(ZTNA)을 통해 접속될 것입니다.
2023년이면 기업의 60%가 ZTNA를 위해 원격 접속 가상프라이빗 네트워크(VPN)의 대부분을 단계적으로 폐지할것입니다.
출처: Market Guide for Zero Trust Network Access, Gartner - 2019년 4월
© 2020 Akamai26
옵션 1네트워크 분할(Network Segmentation)
옵션 2소프트웨어 정의 경계(Software Defined Perimeters)
옵션 3ID 인지 프록시(Identity Aware Proxies)
제로 트러스트를 구현하기 위한 다양한 방식
© 2020 Akamai27
ZTNA
Corporate Directory (AD)
ZTNA Client
Intranet (Sharepoint)
Jenkins(Dev Ops)
Oracle EBS (Expense)
Account Payable
Mail (Exchange)
Contacts
Corporate Perimeter
ZTNA Connector
Internet
SaaS
mTLS
SAML 2.0
TLSWebsockets > HTTPs
Firewall
Desktop
ZTNAEdge
ZTNA Clientless
© 2020 Akamai28
Never Trust, Always Verify
Owned Apps
AuthenticationAuthorization
App A
App B
App C
Access via ZTNA
Owned Apps
App A
App B
App C
Traditional VPN
WAN
Malicious
Partner
Overseas affiliates
Checked when connecting Reduce damage by authentication, in case of invasion
Freely moves over NW Protect by server authentication
Partner
Overseas affiliates
Malicious
© 2020 Akamai29
VPN 문제점에 대한 해결방안(ZTNA 기대효과)
보안 강화o 외부에서 들어오는모든 인바운드 포트를차단 가능함으로강화된 보안 정책 적용
o 필요한 사람에게필요한 애플리케이션만접근 허용함으로강력한 통제 및 Audit가능
o 외부로부터의 Lateral movement 방지(SSL VPN대비)
o WAF 지원
성능 향상o 캐싱 및 가속 지원
o 전 세계적으로 분산된환경에서 빠른 사용가능(성능개선)
o 3배 빠른 속도(SSL VPN 대비)
안정성o 부하 분산 및 이중화구성으로 안정된 운영환경 보장(무중단 운영가능)
o 클라우드 기반 서비스:장비 패치 등의 작업이필요 없으며, 동시사용자 폭증시수용 가능
o 100% SLA 제공
구현 및 운영o 중앙 집중식 보안 및접근제어 가능(데이터센터와클라우드 운영환경에모두 적용)
o 모든 애플리케이션지원(웹, C/S 모두 지원)
o 애플리케이션의 빠른일회성 구축 및 사용지원 가능(운영의유연성)
o 빠른 애플리케이션배포 가능(몇 분이내) : 비즈니스 가속화 효과
비용 절감o 클라우드 운영환경에서 신규 투자비용 절감
(별도의 보안 솔루션구매 불필요)
o MPLS(Multi-Protocol Label Switching) 네트워크 비용감소(회선 비용 절감효과)
© 2020 Akamai30
ZTNA(Zero Trust Network Access)
ZTNA Centralized ID+AuthN+
AuthZ MFA/SSO TLS Encrypted Communication
데이터센터
Apps/OS
AD/LDAP
IaaS
SaaS
IdP(e.g.Okta, OneLogin)
② ID authentication and authorization check
③ Secure proxy connection
employees
Subcontractors
Collaborative research partners
① Connection request
Office 365
Salesforce
Azure
AWS
Remote Workers
© 2020 Akamai31
공격자
Internet
데이터센터
ZTNAConnector
Apps
필요한 사람에게필요한
어플리케이션만 접속
방화벽 외부에서 내부로접근할 필요가 없음 원격
사용자
문제시 공격 대상이한정적(전파 불가)
ZTNA(Zero Trust Network Access)
© 2020 Akamai32
Manage based on least privileges
Subcontractors
Sales Team
Finance TeamHR / Finance Apps
New Business Apps
Quote Apps Malicious
Prevents intrusion into apps, even if the Remote worker's device is compromised.
© 2020 Akamai33
Device Posture shuts down attackers
Subcontractors
Sales Team
Finance TeamHR / Finance Apps
New BusinessApps
Quote Apps Malicious
Eliminates Attackers
● Risky device’s access are stopped OS detail information
(version, auto update, disk encryption, firewall status, etc.)
© 2020 Akamai34
안전한 파트너/써드파티 접속기업 접속 권한을 제공하지 않아도 파트너/써드파티 협력업체가 내부 애플리케이션에 접속
클라우드 접속VPN을 설정할 필요 없이 퍼블릭 클라우드에 배포된 애플리케이션에 안전하게 접속
애플리케이션 접속을 위한 MFA 추가빠른 MFA 활성화로 사용자에게 애플리케이션 접속을 허용하기 전에 추가 보안 검증 레이어를 제공
복잡한 변경 없는 애플리케이션 임시 접속매우 민첩하고 유연한 원격 앱 접속 제공
제로 트러스트 네트워크 접속 사용 사례
© 2020 Akamai35
SWG(Secure Web Gateway)
보안웹게이트웨이 Architecture
© 2020 Akamai36
SWG (Secure Web Gateway)
Internet
WWWThreats
C&C
AUP
DNS
Internal User
Mobile
IoT
Remote
ON
-NET
OFF
-NET
DNS 요청 검사
URL 요청 검사
Payload 검증
© 2020 Akamai37
Secure Web Gateway rDNS Web proxy Threat protection
PhishingMalwareC&C
SaaS and other secure comms.
IdP(e.g.Okta, OneLogin)
② Threat check
employees
Subcontractors
Collaborative research partners
①Connection request
③ Secure proxy connection
Office 365
Insecure communications
Malicious
Salesforce
Remote Workers
SWG (Secure Web Gateway)
© 2020 Akamai38
SWG를사용한웹요청검증플로우 – 악성/Risky 도메인
ClientConnector
C&C
Threats
Internet
Device
SWGIPS/IDS
인터넷
리졸버DNS서버
ClientConnector
Device www.badsite.com
SWG
사내 네트워크
SWG Block Page IP응답
DNS Deny
SWG Cloud
DashboardSIEM
SWG Client
Off-Net/Roaming
On-Net
AUP
© 2020 Akamai39
Reference Architecture
ZTNA + SWG
© 2020 Akamai40
Use Case #1 : 데이터센터 + SaaS 기반서비스
Data Center
AS-IS
Corporate Directory (AD)
VPN
회계시스템
워크플로우
업무시스템약 100종
SFDCO365
SaaS
인터넷접속
목적지중간Component
출발지
내부직원
해외직원
UTM
© 2020 Akamai41
Data Center
To-Be
Corporate Directory (AD)
ZTNA connector
회계시스템
워크플로우
업무시스템약 100종
SFDCO365
SaaS
목적지인터넷출발지
내부직원
해외직원
UTM
ZTNA + SWGEdge
SAML
인터넷접속
IDP
Use Case #1 : 데이터센터 + SaaS 기반서비스
© 2020 Akamai42
Use Case #2 : 데이터센터 + IaaS + SaaS 기반서비스
Data Center
AS-IS
Corporate Directory (AD)
VPN
회계시스템
워크플로우
업무시스템약 100종
SFDC
IaaS
SaaS
인터넷접속
목적지중간Component
출발지
내부직원
해외직원
CSP
UTM
각부문서버(윈도우 or Linux)
O365
© 2020 Akamai43
Use Case #2 : 데이터센터 + IaaS + SaaS 기반서비스
Data Center
To-Be
Corporate Directory (AD)
회계시스템
워크플로우
업무시스템약 100종
SFDC
IaaS
SaaS
인터넷접속
목적지출발지
내부직원
해외직원
CSP
UTM
각부문서버(윈도우 or Linux)
O365
ZTNA – C1
ZTNA – C2
IDP
인터넷접속
ZTNA + SWGEdge
인터넷
© 2020 Akamai44
Internet
ZTNA(IAP) + SWG Architecture
Datacenter/IaaS
Perimeter Security
SWG IPSIDSDLP
IaaS
Users
SaaS
File Server
DB Servers App
Internet
Datacenter
DB ServerApp File
ServerDB
Server AppFile Server
IdentityAPT
Identity Aware Proxy
Firewall
Internet
IT User
HR User 3rd-Party Remote
Worker
AUPDNS Protection
Firewall
© 2020 Akamai45
Datacenter
Apps/OS
AD/LDAP
IaaS
SaaS
IdP(e.g.Okta, OneLogin)
employees
Subcontractors
Collaborative research partners
ZTNA Centralized ID+AuthN+
AuthZ MFA/SSO
Secure Web Gateway rDNS Malware&C2 Phishing
Office 365
Salesforce
Azure
AWS
Remote Workers
Unified Access with ZTNA + SWG
Malicious① Protection against Targeted ThreatsShutting down “Scan & Attack” actions
② Productivity improvementSame UX for users from everywhere
© 2020 Akamai46
Key Takeaways Understand the vulnerability of traditional network
security perimeter
Consistency, Interoperability, Security and Increased
workforce productivity
Reduced costs and improved scalability
Authorizations based on user identity
Secure access to business critical application
Implement threat protection, application performance
and security services all at the edge
© 2020 Akamai47