www.cloudsec.com | #cloudsec

Zero Trust At The Edge

김 현철| Akamai Korea

#cloudsec

클라우드 전환(Cloud Migration)

“ 애플리케이션, 데이터, 인프라 등,비즈니스 영속을 위한 IT 자산을

클라우드 환경으로 이동하는 과정.. ”

하이브리드클라우드 구현

멀티 클라우드보안 구현

피크 트래픽스케일링 지원

기업의애플리케이션글로벌 확산

#cloudsec

전통적인 보안 모델 –Corporate Network

#cloudsec

전통적인 보안 모델 –Corporate Network

Internet

외부 사용자외부방화벽

Active Directory

Front End

443

53 and 443내부 사용자

SQL서버

Index, Query, Application,Central Administration

Servers

Index, Query, Application,Central Administration

Servers

웹 서버

HWLB

방화벽방화벽

(Domain Bound Servers)

외부 DMZ 내부 DMZ Intranet

내부 네트웍경계 네트웍

전통적인 트러스트 모델 TrustedNot

Trusted

외부 DMZ 내부 DMZ

#cloudsec

변화하는 환경

외부 사용자외부방화벽

Active Directory

Front End

443

53 and 443내부 사용자

SQL서버

Index, Query, Application,Central Administration

Servers

Index, Query, Application,Central Administration

Servers

웹 서버

HWLB

방화벽방화벽

(Domain Bound Servers)

외부 DMZ 내부 DMZ Intranet

내부 네트웍경계 네트웍

전통적인 트러스트 모델 TrustedNot

Trusted

외부 DMZ 내부 DMZ

내부사용자

외부사용자

Internet

SaaS

IaaS

#cloudsec

변화하는 환경

IaaS

App #3

App #4

SaaS

App #5

Data Center

App #2

App #1

IaaS

App

App

App

App

▪ 지속적인 클라우드 도입 확대

▪ 일관적인 보안 정책 적용

#cloudsec

Edge Cloud 보안으로 이동

App

App

App

App

App

AppApp

전통적인 보안

App

App

App

App

App

AppApp

Edge Cloud 보안

#cloudsec

Zero Trust 모델로 이동

외부 사용자외부방화벽

Active Directory

Front End

443

53 and 443내부 사용자

SQL서버

Index, Query, Application,Central Administration

Servers

Index, Query, Application,Central Administration

Servers

웹 서버

HWLB

방화벽방화벽

(Domain Bound Servers)

외부 DMZ 내부 DMZ Intranet

내부 네트웍경계 네트웍

제로 트러스트 모델Not Trusted

외부 DMZ 내부 DMZ

내부사용자

외부사용자

Internet

SaaS

IaaS

Not Trusted

Zero Trust is the new approachKey principles:

● The network is always assumed to be hostile.

● External and internal threats exist on the network at all times.

● Network locality is not sufficient for deciding trust in a network.

● Every device, user, and network flow is authenticated and authorized.

● Policies must be dynamic and calculated from as many sources of data as possible.

#cloudsec

Zero Trust 출발점

App 1

App 2

App 3

App 4

App 5

App 6

App1

App 2

App 3

사용자 Application

사용자

내부사용자그룹

아웃소싱사용자

파트너사용자

고객

사용자와 어플리케이션이 여러 네트워크에 혼재

“기본적으로 신뢰하지 않고 항상 인증하여 어플리케이션 접속”

어플리케이션 기준 접근

#cloudsec

Zero Trust 모델 적용 사례

https://www.usenix.org/conference/enigma2018/presentation/hildebrandt

#cloudsec

Zero Trust 모델 적용 방안Option #1

Network Segmentation

Option #2

Software Defined Perimeters

Option #3

Edge-based Identity Aware Proxies

#cloudsec

Akamai Zero Trust Offering

ThreatsApp

C&C

App

App

AUP

• 사용자 확인 및 어플리케이션 접근제어 (AuthN/AuthZ)

• 멀티팩터(MFA) 인증을 통한 Single Sign On

• 어플리케이션의 성능 및 보안 향상

• 멀웨어와 데이터 탈취에 대한 선제적 대응

• SIEM 연동

• 어플리케이션에 대한 DDoS 방어

Akamai Intelligent Platform to secure all enterprise apps & users.

#cloudsec

Akamai Enterprise Application Access

1

2

E A A

Co n n e c t o r

W e b

A PP s

3

－E A A E d g e－

회사 내부

집으로 이동

EAA 특장점

- SSO- 다단계 인증- 통합 ID 기반

IaaS

(AWS, Azure등..)

클라우드

방화벽 외부에서 내부로의 접근이 필요하지 않음

데이터 센터

사내 웹 어플리케이션

(Sharepoint 등..)

사내 디렉토리 서비스 연동(Active Directory / LDAP)

Windows / Linux 서버

(RDP / SSH)

필요한 사람에게 필요한 어플리케이션만 접근 허용

제로 트러스트 클라우드의 경계선

SaaS(SFDC, 오피스365등..)

협력사, 파트너사

원격 접속

임직원 접속

외부 관계자 접속

HTML5를 사용하여 클라이언트 필요없이 브라우저로 어플리케

이션 액세스 (HTTP/S, RDP, SSH, VNC 호환)

차세대 원격 액세스 솔루션

아카마이 인텔리전트 플랫폼

#cloudsec

사용자 접속 화면

1

2

E A A

Co n n e c t o r

W e b

A PP s

3

－E A A E d g e－

회사 내부

집으로 이동

EAA 특장점

- SSO- 다단계 인증- 통합 ID 기반

IaaS

(AWS, Azure등..)

클라우드

방화벽 외부에서 내부로의 접근이 필요하지 않음

데이터 센터

사내 웹 어플리케이션

(Sharepoint 등..)

사내 디렉토리 서비스 연동(Active Directory / LDAP)

Windows / Linux 서버

(RDP / SSH)

필요한 사람에게 필요한 어플리케이션만 접근 허용

제로 트러스트 클라우드의 경계선

SaaS(SFDC, 오피스365등..)

협력사, 파트너사

원격 접속

임직원 접속

외부 관계자 접속

HTML5를 사용하여 클라이언트 필요없이 브라우저로 어플리케

이션 액세스 (HTTP/S, RDP, SSH, VNC 호환)

차세대 원격 액세스 솔루션

아카마이 인텔리전트 플랫폼

Akamai & EAA

300+ Applications6500+ Users

#cloudsec

여전히 존재하는 위협

• 2018년 랜섬웨어 공격은 줄었지만 지능화된 공격 증가 source : Trend Micro 2018 Midyear Security Roundup

• 51%의 데이터 유출 사고에 malware가 연관 source: Verizon 2017 Data Breach Investigation Report

• 데이터 유출에 따른 평균 손실액은 40억 source: Ponemon Institute - 2016 Cost of Cybercrime)

• 68% 기업이 Cyber Attack에 대한 재정적 영향에 대해 고려해 보지 않음 source: MMC 2016 Cyber Handbook

• 2016 Q3에만 1,800만개 개의 새로운 malware가 감지 source: Padasecurity 2017 cyber security statistics

• 매일 39만개 신규 malware가 감지 source: AVTEST malware staticstics

• Malware도 C&C 서버 통신에 DNS 사용

• Malware는 DNS를 통해 데이터를 유출하는 기법을 사용하기도 함.

• 대부분 기업은 내부 망으로부터의 Outbound 트래픽 보다는 주로 외부에서 들어오는 Inbound 공격 트래픽에 대한

보안/관제에 더 집중

#cloudsec

시그니처 기반의 방어

C&C

Threats

Internet

Device

Device

SWG

AV

AV

IPS/IDS

허용된 IP주소, 프로토콜애플리케이션을통한악성코드유입차단불가

파일기반악성코드탐지불가

허용된사이트를통해유입되는악성코드차단불가

신종악성코드탐지/차단불가

인터넷

정형화 된 시그니처 기반의 방식을 통해 악성코드/ malware/ 악의적 행위 등을 방어

#cloudsec

사용자 접속 화면DNS lookupTime to first

byte

Initial connection

Content download

malware.com 70 ms 60 ms 60 ms 140 ms

91.3% 알려진 bad malware 는 DNS 사용

#cloudsec

도메인 접속 단계

사내 DNS

Root DNS

Internet

SaaS Apps

WWW

Mobile Apps

HD Video

Cloud

Command & Control Infrastructure

Advanced Threats

Unacceptable Contentwww.akamai.com

1

2

3

#cloudsec

Edge CloudSECURITY

INTELLIGENCE

Edge Cloud를 통한 차단

사내DNS

Root DNS

Internet

SaaS Apps

WWW

Mobile Apps

HD Video

Cloud

Command & Control Infrastructure

Advanced Threats

Unacceptable Content

www.akamai.com

1

3

4

Akamai ETP

확인먼저!!

2

#cloudsec

실제 적용1단계 : DNS설정 변경 2단계 : 정책 설정 3단계 : 모니터링 시작

#cloudsec

실시간 모니터링

#cloudsec

기대 효과

백신

다층

방어

AKAMAI ETP DNS보안

APT 솔루션

Email보안

URL 필터안티스파이웨어

IPS

FW

CASB

EDR

시그니처 기반취약점 차단

부정메일의차단첨부파일의차단

첨부 파일 차단알려지지 않은말웨어 차단

말웨어를 전달하는사이트통신을 블록

알려진말웨어차단

말웨어감염후의부정한행위탐지

통신포트기반차단

악성사이트로의통신차단

ETP Proxy에서파일페이로드인스펙션을

실시

말웨어전달차단

알려진 말웨어차단

말웨어감염후의부정한행위탐지

표적형메일 Watering hole 공격

알려진 IP 차단

ETP Proxy에서파일페이로드인스펙션을

실시

알려진 악성도메인 차단

알려진 악성도메인 차단

C&C 통신(HTTP/HTTPS)

C&C 통신(HTTP/HTTPS 외)

암호화인프라에대한통신차단

랜섬웨어

도메인단위의쿼리분석으로탐지

파일공유/채팅

Inbound방어 Outbound 방어

#cloudsec

ETP 적용 사례

• Provide protection to all staff and students

• Protects against Malware, Phishing & CnC traffic

• Enforces Acceptable Use Policy (AUP)

• Blocks Anonymisers

• Enforces SafeSearch

https://www.n4l.co.nz/how-does-n4l-help-protect-schools-against-ransomware/

뉴질랜드의 모든 학교에 적용

#cloudsec

IT운영환경의변화

4 of the top 5 most valuable companies in Asia7 of the top 10 Asian airlines9 of the top 10 global auto manufacturers9 of the top 10 global computer hardware manufacturersAll top 50 global carriersOver 400 banks worldwide

TRUSTED BY THE WORLD’S LEADING BRANDS

40 million hits per second2+ trillion deliveries per day50+ terabits per second

ACCELERATING DAILY TRAFFIC OF

240,000 servers1,700 networks3,900 locations137 countries

A GLOBAL Cloud PLATFORM

전세계인터넷의 25 – 40% 처리

Akamai Edge Cloud Platform

#cloudsec

아카마이 소개

#cloudsec

Zero Trust At Akamai - WHY?

We believe a network-centric approach to security and segregation is no longer sufficient to protect our company’s assets

o “Firewalls and VPNs are great…if you don’t have any users”

We don’t trust what we don’t know

We require more fine-grained access control

NAC was great on paper, but was too difficult and expensive to implement

We want to give our employees the same seamless and secure experience across any device from any location

#cloudsec

The Internet As The Corporate Network

Akamai has always believed that the Internet is THE network

NO VPN

2000’s

Network and

Application

Controls● Client Certificates

for all

● Network dot1x - 2FA

● Federated Auth -

SAML

● No internal wireless

● Bastion mgmt hosts

● Default no outbound

internet

Akamai on Akamai

Launches

● Applications

externally

available via

Akamai on Akamai

(AoA) internal IT

hack (inbound

proxy)

● Global Traffic Mgmt

● Site Shield

2011

No Passwords

● 2FA moves to

cert+Push MFA

● Passwords are

largely eliminated

from the

environment

● 3rd party access

(Soha)

2016

Akamai Enterprise

Security Products

● Enterprise

Application

Access (EAA)

replaces AoA IT

hack

● Enterprise Threat

Protector (DNS

based threat intel)

● Akamai’s “100 in

100” Challenge

2017

Zero Trust● EAA (zero trust)

client deployed

successfully to

hundreds of

internal users

● Kona Site Defender

(WAF)

● Bot Manager

2018+

Akamai’s Path to Zero Trust

#cloudsec

What is this?Answers:

A. Apple Watch

B. Expensive!

C. My Password

D. All of the above

#cloudsec

Akamai Workflow User Experience

https://oracle-ebs.akamai.com/OA_HTML/OA.jsp?OAFunc=OAHOMEPAGE#

#cloudsec

Akamai WorkflowData exchange

• Refer to SSO Login - EAA

• Challenge for client certificate

• Confirm user identity from certificate and user has authorization to access the app

• Check for valid EAA IDP Cookie

• If not present challenge user for MFA to confirm access request

https://oracle-ebs.akamai.com/OA_HTML/OA.jsp?OAFunc=OAHOMEPAGE#

If IDP cookie already present and valid

Akamai & EAA

300+ Applications6500+ Users

#cloudsec

Our VisionOne edge platform to secure all enterprise apps & users

Threat Protection▪ Malware, phishing & DNS-based data

exfiltration protection with inline payload analysis

Application Access Identity, single sign-on & multi-factor

authentication

Inline app access, app performance & app security

Office Cafe

The WebDC

IaaS

SaaS

App #1 App #2

App #3 App #n

App #1

App #2

Zero Trust Is A Journey

Are you ready to start?

www.cloudsec.com | #cloudsec

THANK YOU

김 현철 | Akamai Korea