GENIANS WHITEPAPER 낙 (NAC) 알 못 저는 NAC 를하나도모르는데요... GENIANS, INC. Next-Gen Network Access Control for the IoT era 본자료및내용문의 : c2019 Geni

Size: px

Start display at page:

Download "GENIANS WHITEPAPER 낙 (NAC) 알 못 저는 NAC 를하나도모르는데요... GENIANS, INC. Next-Gen Network Access Control for the IoT era 본자료및내용문의 : c2019 Geni"

보근 배
4 years ago
Views:

1 GENIANS WHITEPAPER 낙 (NAC) 알 못 저는 NAC 를하나도모르는데요... GENIANS, INC. Next-Gen Network Access Control for the IoT era 본자료및내용문의 : mkt@genians.com

네트워크는내부에국한되지않고클라우드 (CLOUD), BYO- D(Bring Your Own Device), 사물인터넷 (IoT) 등으로확장되고있습니다. 원격업무와재택근무등으로외부네트워크와내부네트워크를정확히구분하기는불가능해졌습니다. 증가하는사용자와단말들이네트워크에접속하면서상황을정확하게파악하기어려워졌습니다.

2 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 1 Introduction 과거조직의대표적인보안정책은외부로부터의침입차단 (Prevention) 이었습니다. 그결과우리의보안솔루션은외부에서침입하는악성코드, 해킹, 서비스거부공격 (DDoS) 등을차단하기위한 방화벽 / IDS( 침입탐지 ) / IPS( 침입차단 ) / AV( 백신 ) 등에집중되어있었습니다. 하지만오늘날기업의상황은그어느때보다복잡합니다. 관리환경은급변하고보안위협은지능적으로발전하고있습니다. 네트워크는내부에국한되지않고클라우드 (CLOUD), BYO- D(Bring Your Own Device), 사물인터넷 (IoT) 등으로확장되고있습니다. 원격업무와재택근무등으로외부네트워크와내부네트워크를정확히구분하기는불가능해졌습니다. 증가하는사용자와단말들이네트워크에접속하면서상황을정확하게파악하기어려워졌습니다. 가시성 (Visibility) 을확보하는것은더욱더어려워지고있습니다. 컴퓨터, 스마트폰, 태블릿 PC를포함한 IoT 기기들의연결은불과몇년사이에큰폭으로증가되고있습니다. 사용자는지리적제한없이내부와외부그리고클라우드를통하여 24시간서비스를제공받기희망하고있습니다. 이러한환경에서어떻게조직의네트워크를보호하고효과적으로보안정책을수립하고운영할수있을까요? 앞으로 가시성 (Visibility) 과 보안 (Security) 에대한요구사항은어떻게변하게될까요? 우리는무엇을준비해야할까요? 이러한고민이존재한다면이제 NAC 솔루션에대한이해가필요한시점입니다. NAC Use Cases Emergine Use Cases IoT Discovery Cloud Management Interface IT and OT Convergence Cloud Workload Visibility Use Cases Visiblity Guest Access Management Endpoint Compliance Secure BYOD Network Segmentation Interoperability Next-Generation Firewalls Private-Key Infrastructure Advanced Threat Protection Identity and Access Management Security Information and Event Management Enterprise Mobility Management 2018 Gartner, Inc NAC Use Cases (Gartner, July 2018)

3 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 2 NAC 란무엇인가? 2005년글로벌시장조사기업인가트너 (Gartner) 는증가하는비인가단말 ( 랩톱등 ) 로인한보안위협에대응하기위한방법으로 NAC에대한개념을처음제시하였습니다. 이후다양한기술발전과솔루션의출시가이어졌으며 2007년스마트폰출시이후 BYOD(Bring Your Own Device) 등의 IT Consumerization이확대되면서 NAC는빠르게성장하여현재에이르게되었습니다. NAC(Network Access Control, 네트워크접근제어 ) 는네트워크에접속하는단말에대한접근가능여부를확인하여인가된단말만이접근할수있도록제한하는것에서출발하였습니다. 즉, 단말이사내네트워크에접근하기전보안정책의준수여부를검사하여네트워크사용을제어하는것입니다. 과거다수의네트워크접근제어는 802.1X라불리는기술을통하여제공되었는데이때 AAA(Authentication, Authorization, Accounting) 라불리는 3가지중요한기능이제공됩니다. 인증 (Authentication) 네트워크에접속하는사용자나단말을검증하는과정입니다. 일반적으로사용자명과비밀번호를통해검증되며경우에따라단말의 MAC 주소가인증수단으로사용되기도합니다. 권한부여 (Authorization) 단말이네트워크에연결되어정상적인통신이이루어지기이전에수행되는작업들을의미합니다. 단말이네트워크에연결하고자할경우, 단말에서제공되는 사용자명 / 비밀번호 / 인증서 / MAC 주소 와같은신원정보를이용하여단말을식별하고인증을진행하게됩니다. 이과정을통해네트워크에접속가능한단말로인가되지못하면네트워크연결이거부됩니다. 계정관리 (Accounting) 단말이네트워크에접속한기록을통해향후보안관리의목적으로사용할수있도록하는과정입니다. 이과정을거치면서어떤단말을 누가, 언제, 어디서, 어떠한목적으로사용했는지확인할수있습니다. 이와같이 AAA는네트워크접근제어의기본기능으로오랜기간사용되어왔습니다. 그러나최근네트워크에접속하는단말들로인한보안문제가증가하면서단말의보안준수상태에따라네트워크접속가능여부를결정하도록요구사항이증가하고있습니다. 이에따라단말사용자의인증및식별을뛰어넘어단말의종류, 현재보안설정, 단말상태등을확인하여관리자가정한조건을만족하는단말만이네트워크에접속할수있게하는솔루션을 NAC라부르게되었습니다. 네트워크연결시점을기준으로 NAC 를살펴보면, 연결이이루어지기이전단계에서수행되는작업과연결이후수행되는작업으로구분하여 설명할수있습니다. NAC 연결이전단계 (Pre-Connect) 단말이네트워크에연결되어정상적인통신이이루어지기이전에수행되는작업들을의미합니다. 단말이네트워크에연결을시도하는경우단말에서제공되는 사용자명 / 비밀번호 / 인증서 / MAC 주소 와같은신원정보를이용하여단말을식별하고인증을진행하게됩니다. 이과정을통해네트워크에접속가능한단말로인가되지못하면네트워크연결이차단 ( 거부 ) 됩니다.

4 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 3 NAC 연결이후단계 (Post-Connect) 단말이 Pre-Connect 단계에서요구사항을충족하면주어진권한에따라사내네트워크를사용할수있습니다. 이때 NAC는지속적으로단말의상태와정보를수집하여관리자의요구조건을충족하는지모니터링하게됩니다. 만약단말이보안정책을위반하는상태로변경되는경우즉시단말을네트워크로부터격리합니다. 단말의상태를지속적으로모니터링하기위해선택적으로에이전트를사용할수있습니다. 에이전트는단말에설치되어시스템의상태를모니터링하면서변경이감지되면즉시 NAC 정책서버로변경사실을알려새로운정책을적용받도록합니다. NAC 의발전과정 Technology Evolution NAC 2.0 NAC 3.0 Security Automation & Orchestration(SAO) Solution NAC 4.0 Artificial Intelligence & Machine Learning based NAC solution Future NAC Technology should include cognitive capabilities with the growing maturity of AI & ML applications Automated threat response, security alerts with contextual information, seamless integration with best-ofbreed security technologies, and improved capacity of security team in speeding up threat remediation. NAC 1.0 Secure network provisioning of BYOD devices and guess access to corporate network Driven by BYOD, WYOD, and widespread adoption of IoT-enabled devices, NAC 2.0 facilitated comprehensive network visibility and access control of all endpoint into corporate networks. Safe and scalable onboarding and safety of managed endpoint devices Focus on strict authentication and authorization of managed device. First generation of NAC Technology could not find much adoption due to its complex implementation and unclear benefits Time NAC Technology Trend (Quadrant, Jul 2018) 태동기 - 1 세대 NAC 초기의 NAC 솔루션은 802.1X( 네트워크접속사용자인증프로토콜 ) 기반의제품이주를이루었습니다. 이는스위치및무선접속장치 (AP 등 ) 에서제공되는 802.1X 표준을이용하여인터페이스에연결이감지되면, 정해진인증서버 (RADIUS) 를통하여사용자명, 비밀번호또는인증서를통해사용자를식별한뒤인증서버에서접속이허가되면포트 (Port) 등의연결인터페이스를활성화시켜주는방식입니다 ( 연결시도 인증 연결활성화 ). 이방식은스위치의포트수준에서작동되기때문에가장완벽한접근제어를제공할수있습니다. 하지만 802.1X를지원하지않는장치들에대한인증문제와모든접속장치가 802.1X를지원해야하는지확인해야하는등기존네트워크에 NAC를한번에적용하기에어려운점이많았습니다.

5 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 4 성장기 - 2 세대 NAC 802.1X에서벗어나네트워크접속장치들과 SNMP(Simple Network Management Protocol) 를통해정보를수집하거나, 각네트워크마다센서또는프로브 (Probe) 라불리는별도의장치를설치하여독립적으로정보를수집할수있게되었습니다 X 이외에네트워크에서적용이가능한접근제어는 VLAN Steering(VLAN을조정하여단말을제한된 VLAN으로이동 ) / ACL(Access Control List) / ARP Spoofing( 센서기반 ARP를이용한제어 ) / SPAN( 미러링 ) 포트를통한연결해제등사용자의환경이나요구사항에적합한다양한방식으로진화되었습니다. 네트워크접속방법이유선에서무선으로변화됨에따라네트워크센서, 무선컨트롤러, 에이전트를통해무선네트워크에대한가시성을확보하는기능들이추가되고, 이를바탕으로비인가접속장치 (Rogue AP) 와같은무선보안에도추가적으로대응할수있게되었습니다. 도약기 - 3 세대 NAC 정보수집과접근제어를넘어다양한자동화를위한기술들이 3세대 NAC에추가되었습니다. 에이전트를통해기업이원하는상태로단말의보안수준을자동적으로설정하는것이가능해졌으며, REST, Webhook, Syslog 등의표준화된연동프로토콜을통하여네트워크에존재하는다양한시스템들과의상호협력적인보안모델을구축할수있게되었습니다. 예를들어방화벽, IPS와같은많은경계선 (Perimeter) 보안솔루션은서브네트워크에서단말과단말이직접통신하는것을제어할수없습니다. 이러한한계는 NAC와의연동으로해결될수있습니다. 또한 NAC와의연동을통하여 IP에대한사용자정보및단말정보등을확인할수있으며이를바탕으로보다광범위하고효과적인접근제어정책을수립하고운영할수있게되었습니다. 완성기 - 4 세대 NAC 현재의 NAC 솔루션은다양하게증가하는단말들로인해 IT 관리자의가시성이저하되고, 네트워크관리가어려워지는문제를해결하는것에중점을두고있습니다. 많은보고서에서 BYOD뿐아니라 5G, 사물인터넷 (IoT) 등의확대로 200억개이상의사물이연결될것으로전망하고있습니다. 기하급수적으로증가하는단말을보다정확히탐지하여식별하고, 단말의다양한비즈니스상태 (End-of-Life, Endof-Support 등 ) 를손쉽게관리할뿐만아니라단말에알려진취약점정보 (CVE, Common Vulnerability & Exposure) 까지도자동으로관리할수있도록 4세대 NAC는진화하고있습니다. 또한최근 IT 환경의변화에맞게클라우드를지원하거나클라우드기반 NAC 서비스등도새롭게선보이고있습니다. 내부네트워크와 NAC 최근정보보안의중심이네트워크에서단말로이동하고있습니다. 단말의증가와함께위협역시증가하고있으며 APT, 랜섬웨어등공격의최종목표가단말로바뀌고있습니다. 그러나많은경계선보안솔루션으로는단말위협에효과적으로대응하기어렵습니다. NAC는이러한문제를해결하기위한다양한기능을제공하며, 그출발점은사용자와단말입니다. NAC의운영을통하여다음에명시된많은문제점을해결할수있으며, 보다강력하고효율적인단말보안관리를시작할수있습니다.

6 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 5 Wave 1 Wave 2 Wave 3 Separate Workflows Separate Products Separate Workflows, Same Console Same Workflows, Same Products Patch Enrollment Update Mgmt. ment Auto- Patch Enroll- Auto- Imaging Imaging Enrollment Mgmt. Update Auto-Update Group Policy SW Dist. MDM App Stores Group Policy SW Dist. MDM App Stores MDM App Stores Client Management Enterprise Mobility Management Consolidated Endpoint Management Unified Endpoint Management 3 Waves of Evolution in Endpoint Management ( 2018 Gartner, Inc) 비인가단말의무단반입 NAC가없는네트워크의경우어떠한단말을연결하더라도즉시네트워크를사용할수있습니다. 이는사무실이물리적으로안전하게보호되고있는경우에도직원들이회사자산이아니거나허용되지않은임의의단말을회사네트워크에연결하여랜섬웨어 (Ransomware) 등의악성코드를유포하는등사내 IT 시스템에심각한손상을초래할수있게됩니다. NAC는이러한문제를해결하기위해연결되는모든단말을탐지하고인증을수행하여일정수준이상의보안요구사항을충족하는경우에만사내네트워크에연결할수있도록제어합니다. 보안사고발생시 IP 추적불가 다수의보안시스템은감사기록을위해 IP 주소를기록합니다. 보안사고발생시감사기록의확인을통해문제가되는 IP를확인하더라도현재그 IP가과거에사용되었던시스템과같은지, 사용자는누구인지, 어떤시스템인지등에대한최신정보를얻는것은굉장히어렵고복잡한일입니다. NAC는지속적인네트워크감시를통해연결되는모든단말에대한기록을저장합니다. 수개월전특정시점에해당 IP를사용했던단말에대한다양한정보를제공할뿐아니라지금현재의정보역시실시간으로확인할수있습니다. 보안규제에서요구되는 IT 자산관리 오늘날기업의 IT 환경은 5G, 사물인터넷 (IoT) 등의변화로과거에비해훨씬복잡합니다. 이로인해많은보안규제가필요하며 IT 자산에대한철저한관리가요구되고있습니다. 하지만 IT 자산을정확하게파악하고그상태를항상확인하는것은관리자에게간단한일이아닙니다. IT 자산을관리하기위해서는 MAC 주소와같은식별값부터단말의제조사 / 제품명 / 이름 / 위치 ( 스위치포트또는물리적위치 ) / 사용자명 / 네트워크연결및단절시간등의정보가정확히수집되어야합니다. NAC는네트워크에연결되는 IT 자산을실시간으로감시하여상시원하는데이터를출력할수있어 IT 관리자의부담을크게줄여줄수있습니다.

7 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 6 무선랜과공유패스워드 스마트폰, 태블릿PC 등모바일기기가확산되고업무에활용되면서무선랜사용이크게증가하고있습니다. 고가의관리형무선접속장치를사용하는경우무선랜접속시개인의아이디와비밀번호를이용한사용자인증이이루어질수있습니다. 그러나여전히많은무선네트워크는공유패스워드를통해무선랜에접속하고있습니다. 공유패스워드는손쉽게노출될수있고접속한사용자에대한식별이불가능하여추적이어렵습니다. 회사의공유패스워드는원칙적으로그패스워드를아는직원이회사를떠나는경우변경해야합니다. 그러나전직원이공유하는패스워드를매번변경하는것은쉬운일이아닙니다. 이를위해무선랜접속시개인의패스워드를이용할수있도록해주는 802.1X 시스템이필요합니다. NAC는기본적으로 802.1X를지원하여보다향상된무선랜보안을구축할수있습니다. 허가되지않은외부네트워크접속 사용자단말은기업에서제공하는네트워크이외에도다양한형태의외부네트워크접속이가능합니다. 통신사의 Wi-Fi 서비스뿐아니라스마트폰을이용한테더링 (tethering), 핫스팟 (Hotspot), 공공 (Public) Wi-Fi 등은대표적인사례입니다. 이러한접속은기업보안시스템을우회하는인터넷연결을만들어내부자료유출과같은문제점을발생시킬수있습니다. NAC를통해기업내부에서접속가능한 Wi-Fi를모니터링하고어떤사용자가접속하는지를관리하고통제할수있습니다. 또한사용자단말에서 IT 관리자가설정하지않는네트워크대역에접속하는이벤트등을모니터링하여내부보안시스템을우회하려는시도를차단할수있습니다. 필수소프트웨어미설치및구동 관리자는다양한보안문제를해결하기위해사용자의시스템에설치해야할필수적인소프트웨어나운영체제설정을직원들에게요구하게됩니다. 하지만모든사용자의단말이그요구사항을항상준수하는것은아니기때문에보안사고는끊임없이발생되고있습니다. NAC는 AV( 백신 ) 와같이단말에필수적인소프트웨어설치나화면보호기설정과같은규정을준수하는지를지속적으로모니터링하여규정을위반한경우차단, 치유, 격리등의방법을적용할수있습니다. 이를통해사용자인식을높이고보안수준을균일하게유지할수있게됩니다. 운영체제최신보안패치미적용 단말의보안을위해무엇보다중요한것은최신보안패치의적용입니다. NAC는단말의보안패치적용상태를지속적으로모니터링하여패치가적용되지않은단말을네트워크에서격리하는등다양한조치를취할수있습니다. 이는제어가단말이아닌네트워크수준에서동작한다는점에서기존단말을관리하는소프트웨어가제공하는것과크게다르다고할수있습니다. IT 관리자는네트워크통제를통해서사용자가우회할수없는강력한규제를할수있습니다. NAC 와 Firewall( 방화벽 ) 의차이점 네트워크 (Network) 상의접근제어 (Access Control) 라는기능으로보았을때 NAC 는자칫방화벽 (Firewall) 과유사해보일수도있습니다. 그러나두제품은다음과같은큰차이점을가지고있습니다.

8 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 7 단말중심 vs 네트워크중심 방화벽은일반적으로두개이상의서로다른네트워크경계에위치하여네트워크를오가는통신에대한접근제어를제공합니다. 이에반해 NAC는각단말간통신에대한접근제어를제공합니다. 예를들어동일한네트워크에존재하는두 PC 사이에이루어지는파일공유에대해서일반적으로방화벽은제어하지못하는반면 NAC는제어가가능합니다. 동적접근제어 vs 정적접근제어 방화벽의접근제어정책은일반적으로 출발지, 목적지 IP 주소 / 포트정보 / 프로토콜정보 등과같은객체를통해서이루어집니다. 최근차세대방화벽 (NGFW) 등에서사용자와같은추가적인객체를통한접근제어를제공하기시작했으나그수가많지않습니다. 반면 NAC는다양한조건으로단말들을그룹으로정의할수있으며단말의조건및상태에따라자동으로해당그룹에포함 / 해제가됩니다. 그리고해당그룹에특정보안정책이적용되는구조를제공합니다. 예를들어 AV( 백신 ) 미설치그룹 이라는그룹에는 PC의상태에따라서실시간으로그룹의사용자가변하게되며서로다른보안정책을적용받게됩니다. 내부망 vs 외부망 이러한이유로방화벽은단말의사용자를특정할수없고상세한정보를수집할수없는외부사용자 ( 단말 ) 와내부시스템간의접근제어 의목적에보다적합하며, NAC 는다양한상태정보를얻을수있는내부사용자에대한접근제어시스템으로적합합니다. 두개의제품은각각의역할에맞는위치및구성으로네트워크보안을보다효과적으로구축할수있는상호보완적인역할을수행하며실제 로많은제품간의연동이이루어지고있습니다. NAC 의구축과고려사항 단말가시성확보 앞에서살펴본바와같이 NAC 구축의궁극적인목적은보안규정을준수하지않는단말의네트워크접속및사용을통제하고관리하는것입니다. 그러나단말에대한통제기능을네트워크에즉시적용하기는매우어렵습니다. 예를들어 802.1X를각스위치별로설정하기에앞서네트워크에있는스위치들이모두 802.1X를지원하는지, 그리고현재각스위치에연결된단말이 802.1X 인증을지원하는지, 지원하지않는다면 MAC 주소기반인증을위해필요한각단말의 MAC 주소는어떻게수집할것인지등의많은사전고려사항이필요합니다. 따라서네트워크에대한가시성을확보하는것이가장처음으로필요한작업입니다. 이때통제없이가시성확보가가능해야하는데 802.1X는제어가이루어져야만가시성을얻을수있는구조이므로가시성확보만을위한목적으로는적합하지않습니다. 가시성은단말이가진 IP / MAC 주소와같은기본정보를시작으로플랫폼 / 이름 / 제조사 / 호스트명 / 연결스위치 / 포트 / 연결 SSID / 서비스포트 / 동작상태와같은정보들이제공되어야합니다. 추가적으로단말에대한보다상세한가시성확보를위해 Agent 가제공 될수있습니다.

9 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 8 단말의분류 가시성이확보되면보안정책을수립해야합니다. 보안정책수립의첫단계는수집된데이터를바탕으로단말을분류하는것입니다. NAC 에서제공되는다양한조건을이용하여단말을분류하고제어가필요한그룹이어떤그룹인지결정해야합니다. 단말을분류하는기준은관리자의일상적인관리업무에필요한그룹이나기업의규정을미준수하는단말을식별하는것등이우선적으로고려될수있습니다. 네트워크접근제어 제어는네트워크환경이나단말의상태에따라다양하게이루어져야합니다 X는물론 ARP 통제 / 스위치제어 / SPAN 방식 / 에이전트기반 / 타보안시스템연동까지다양한방법을선택적으로적용할수있어야합니다. 이때가장먼저고려되어야하는것이단말에대한사용자의인증입니다. 인증은단말을어떤사용자가사용하는것인지식별하는매우중요한작업입니다. 이때사용되는사용자데이터베이스는일반적으로기업이이미보유한인증시스템과연동하는것이권장됩니다. Microsoft Active Directory와같은 LDAP 연동이나, Google G-Suite, Office 365와같은기업용서비스, 이메일, 심지어는 RDBMS 까지다양한외부시스템과의연동이필요할수있습니다. 이후단계로사용자인증및단말의속성에따라역할기반접근제어 (Role Based Access Control) 가제공되어야합니다. 영업조직과기술조직이각기다른접속권한을가질수있도록 VLAN을할당하거나연결을차단하는제어를수행할필요가있습니다. 방문자등접근제어를통해연결이차단된사용자에게는웹브라우저사용시관리자가지정한페이지로사용자의접속을우회시켜사용자가스스로필요한조치를취할수있도록하는 Captive Web Portal 페이지를구성할수있습니다. 이페이지를통해사용자는자신에게요구되는보안정책을확인하고조치를취해네트워크에접속가능한자격을확보할수있습니다. IT 보안자동화 자동화는사용자들이따라야할보안규정 ( 운영체제업데이트및설정, 필수소프트웨어설치및동작등 ) 을관리자가정한정책에따라자동으로적용해주는것입니다. 제어가필요한단말에대해서인증과같이제어자체가목적을달성하는수단이되기도하지만또다른경우에는제어에앞서자동화를통해사용자의단말이치유되는것이더필요할수도있습니다. 예를들어전체사용자의 90% 가준수하지않는보안정책이있다고가정할때 90% 의사용자에대해네트워크접근제어정책을수행하는것보다는에이전트를통하여자동으로정책을따르도록처리된다면보다손쉽게 NAC을도입할수있습니다. 또한자동화는사내에보유된다양한시스템들과의연동을통해상호정보나이벤트를주고받아관리자의개입없이업무가자동적으로처리될수있도록도와줍니다.

10 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요... 9 Genian NAC Genian NAC 는 IT 환경의변화를반영한 4 세대 NAC 로써앞서기술한모든내용이반영되어있습니다. 진보된단말플랫폼정보 (DPI) 를기반 으로다양한접근제어, IT 보안자동화, 향상된무선랜보안, 뛰어난연동성등을통해안전한사내네트워크환경을구축할수있습니다. 본사 지점 서버팜 VPN 1 Policy Center ( 정책서버 ) 2 Net-Sentry ( 차단센서 ) 4F 3 NAC Agent NAC Agent VPN 대리점 3F 802.1Q (VLAN Trunking) 2F 2 Net-Sentry ( 차단센서 ) 2 Net-Sentry ( 차단센서 ) 1F 3 NAC Agent NAC Agent 1 Policy Center & Console ( 정책서버 ) 2 Net-Sentry ( 차단센서 ) 유무선네트워크를통합관리 내부보안강화지원 PC등에이전트설치단말에대한자산관리및장치사용통제 에이전트설치에따른비용부담없음 ( 필요에따라사용 / 미사용가능 ) 3 Agent ( 에이전트 ) 유무선단말에대한정보수집 강력한통제수행 Genian NAC 설치및구성요소 네트워크센서기반의진보된가시성 Genian NAC는각각의서브네트워크에직접연결되는차단센서를사용하여가시성을확보합니다. 센서는기존 IT 인프라와의연동을최소화하여도입이간편하고허브와같은기존네트워크 (legacy network) 환경에서도문제없이동작합니다. 또한네트워크가시성확보에필요한각서브네트워크의중요트래픽 Broadcast(ARP, DHCP, upnp, mdns), Multicast 등 을모니터링할수있기때문에스위치등네트워크장치와연동을통한 NAC 제품군에비해진보된가시성을제공합니다.

11 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요 진보된단말플랫폼정보 DPI(Device Platform Intelligence) 기술을이용하여가장정확하고다양한단말의정보를제공받을수있습니다. 단말의식별정보뿐아니라판매종료, 지원종료, 네트워크연결방식, 제조사운영여부, 제조국가, 발표된취약점목록등의정보를제공하여 IT 관리자의일상적인관리업무를손쉽게만듭니다. DPI 를이용한단말가시성확보 다양한접근제어방식 802.1X부터 ARP 통제, DHCP 서버, 스위치제어, SPAN 기반제어, 에이전트기반제어, 타솔루션과의연동을통한제어등기존 NAC 제품대비가장폭넓은제어방식을지원합니다. 이를통해 IT 관리자의요구사항에맞춘단계적보안정책을빠르고쉽게수립하고운용할수있습니다. 다양한 IT 보안자동화 Genian NAC에서제공되는에이전트는단말의정보수집을넘어운영체제설정관리, 애플리케이션관리, 장치제어, 업데이트관리등관리자가원하는다양한 IT 보안자동화를손쉽게구축할수있게합니다. 또한다양한신청 / 승인시스템을제공하여 IT 관리자의일상업무를단순화시켜주고사용자에게는편리성을제공합니다. 뛰어난연동성 REST API, Webhook, Syslog 와같이표준적인연동기술을제공하고, 기존 IT 시스템과의다양한연동을통해보안오케스트레이션 (orchestration) 도구로써활용할수있습니다. 향상된무선랜보안 네트워크센서및에이전트를통해무선정보를수집하여비인가접속장치 (Rogue AP) 탐지, 비인가무선랜접속모니터링및제어, Soft AP 차단등의무선랜보안기능을제공합니다.

12 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요 IT 환경의변화를반영한 4 세대 NAC Genian NAC은 4세대 NAC의대표적인제품으로네트워크센서를통해기존 IT 환경의변화없이가장진보된가시성을제공합니다. 이를통해 500여개이상의다양한그룹조건을제공하여단말상태에따른동적인그룹을상세히관리할수있습니다. 다양한구성방식을지원하여빠르고쉽게성공적인 NAC 구축을할수있습니다. 동적그룹생성을위한객체및조건분류

13 낙 (NAC) 알 못, 저는 NAC 를하나도모르는데요 Conclusion 2005년가트너에의해처음등장한 NAC는급격하게변화하는 IT 환경에대응하면서현재까지지속적으로발전하고있습니다. Genian NAC는이러한환경의변화와요구를적극적으로반영한결과 2018년 7월국내 NAC 최초로가트너 Market Guide for Network Access Control 의대표기업 (Representative Vendors) 으로선정되었습니다. 가트너는 Genian NAC가사물인터넷 (IoT) 환경에서다양한단말을정확하게판별할수있는특화된 단말플랫폼인텔리전스 (DPI) 기술을보유하고있는 NAC 기업이라고강조했습니다. 또한 4세대 NAC의대표제품으로지능화, 고도화되어가고있는보안위협에보안관리자들과함께적극적으로대응하고있습니다. 한국인터넷진흥원 (KISA) 의사이버위협동향보고서 (2019년, 2018년 ) 및 IEEE, MTAP저널등다수의보고서에따르면전세계적으로보안위협에대응하기위해막대한양의인적 물적자원을투자하고있지만보안위협은지속해서증가세를보이며피해규모도크게증가하고있는추세입니다. 이와같은추세라면향후얼마나다양한종류의위협이발생할까요? 어떻게안전한사내네트워크를유지할수있을까요? 이것이 NAC가필요한이유입니다. 명심하십시오. NAC는단순히사용자, 단말의정보분석만을위한솔루션이아닙니다. NAC에대한올바른이해는안전한사내네트워크환경의구축을위한기본척도이며보안관리의완성입니다. 참조 URL

14 NAC GENIANS 의눈, WHITEPAPER DPI(Device Platform Intelligence) 13 CONTACT US 본자료및내용문의 : mkt@genians.com Next-Gen Network Access Control for the IoT era 2005년설립된지니언스 는국내 NAC(Network Access Control) 시장을선도하며글로벌비즈니스확장을통해보안소프트웨어전문기업으로성장하고있습니다. 네트워크보안및단말분석분야특화기술을기반으로내부보안에특화된제품라인업을보유중입니다. 네트워크에접속하는단말의가시성을확보하여제어하는네트워크접근제어솔루션 지니안 NAC (Genian NAC) 를통해국내시장을선도하고있습니다. 2017년단말기반지능형위협탐지및대응솔루션 지니안인사이츠 E (Genian Insights E) 를출시하며 EDR (Endpoint Detection & Response) 시장에진출했습니다. 2016년 1월해외사업시작과함께미국보스턴에현지법인을설립한바있으며 2017년 8월코스닥에상장했습니다. Doc. v 1.0-KO

IoT 시대개인이사용하는 IT 기기는빠르게늘어나고있습니다. 업무에사용하는스마트폰, 태블릿등은물론개인이사용하는웨어러블 기기까지기업의네트워크에연결된디바이스가늘어날수록, 보안관리자의고민도함께늘어납니다. 네트워크에어떤종류의단말이 존재하는지, 현재어떤상태인지, 어떤활동을하고있는

IoT 시대개인이사용하는 IT 기기는빠르게늘어나고있습니다. 업무에사용하는스마트폰, 태블릿등은물론개인이사용하는웨어러블 기기까지기업의네트워크에연결된디바이스가늘어날수록, 보안관리자의고민도함께늘어납니다. 네트워크에어떤종류의단말이 존재하는지, 현재어떤상태인지, 어떤활동을하고있는지에대한가시성 (Visibility) 확보는내부보안을위한첫걸음입니다. ' 지니안 NAC(Genian