IT 인프라자원및 DBMS(Application) 비밀번호관리사례 부제 : 일방향암호화법규준수기반의최고권한계정패스워드관리 2016. 03
( 주 ) 시큐어가드테크놀러지소개 APPM for Password APPM for OTP APPM for CCTV 일방향암호화기반 비밀번호관리솔루션 전문기업 APPM for ORISS 1
2 2014 년 12 월 05 일 ( 금 )
공유계정의문제 root 및공유계정 다수의사용자 비밀번호공유 무제한의시스템및데이터베이스데이터열람, 수정 시스템파일수정 로그파일위변조 비밀번호변경주체불확실 Root 및공유계정 네트워크보안및 OS 보안 어플리케이션보안 고객정보시스템설정 3
비밀번호와 3.20 사이버테러 4
주목받는 2 차인증및패스워드관리 5
최고권한계정에대한효율적인관리방안 최고권한계정의패스워드에대한별도의관리프로세스, 일회용비밀번호사용및사용이력관리 신청 / 승인에의한패스워드발급및리포트시스템을통한컴플라이언스구축 DBMS 혹은어플리케이션하드코딩패스워드제거 정형화된관리방안 다양한운영체제에대한체계적인패스워드관리방안마련 Unix/Windows/Tandem/Mainframe/Database/Network Device/ 어플리케이션 / 보안장비 효율적인관리 정기적인패스워드변경및변경이력관리 수작업에의한패스워드변경노력및암호복잡성만족최고권한계정사용권한부여에대한절차확립 패스워드신청 / 승인워크플로우 2 차인증을통한패스워드발급 보안강화 외부업체에대한패스워드노출방지 메일및문서형태의패스워드공유방지패스워드재사용방지 사용된패스워드자동초기화로재사용금지 스크립트내패스워드관리방안 스크립트내에패스워드직접코딩방지 스크립트내패스워드에대한자동변경및사용 패스워드자동변경을위한 API 제공 컴플라이언스준수 일방향암호화법규준수계정 / 패스워드사용에대한이력관리패스워드신청 / 승인리포트내 / 외부보안감사를위한권한리포트시스템구축 6
Automated Process Policy Management for Password (Appliance Server!) 일회용비밀번호발급솔루션소개 - 일회용비밀번호발급솔루션개요 - 비밀번호발급솔루션아키텍처 : 일방향암호화정책준수 7
일회용비밀번호발급솔루션개요 Ⅰ 패스워드기록 / 기억불필요 패스워드주기적변경불필요 Ⅱ 관리자퇴사시패스워드변경불필요 유지보수인력작업시요청 / 승인발급 Ⅲ 패스워드의안전한발급 패스워드공유사용방지 8
비밀번호발급아키텍처 Step 1 대상서버 / 계정에대한암호요청 웹로그인시 2 Factor 인증 운영자 Step 6 HTTPS Step 5 변경된암호통보 Step 4 대상서버 / 계정패스워드자동변경 Telnet/ SSH RPC/Agent 어플라이언스이중화 /Agent-Less TNS Step 3 승인 / 반려 자체프로토콜 Step 2 Email 알림 HTTPS http/https 승인자 패스워드노출없는자동로그인 Unix/Linux/Network Device Windows Oracle MySQL MS-SQL Sybase 어플리케이션 웹기반솔루션방화벽 IDS/IPS 9
일방향암호화특허보유 ( 특허번호 ( 제 10 1580514 호및제 10-16005960000)) 10
최고권한계정패스워드관리 (No Agent install!) 비밀번호관리솔루션기능 - 다양한관리대상시스템 - 갖추어야할자체보안기능 - 장애대응방안 3 차백업 11
다양한관리대상시스템 일회용비밀번호관리는에이전트설치없이 Agent-Less 기반으로다양한서버및데이터베이스, In-House 어플리케이션에대한패스워드변경기능을제공합니다. 12
제품의특장점 3 차백업을통한안전한비밀번호관리및복구방안제공 3 장애발생 Active & Standby 비밀번호관리시스템장애 4 USB 회수 2 비밀번호실시간백업 비밀번호관리시스템에 USB 이동저장매체를설치하여실시간으로비밀번호를 3 차백업 1 비밀번호관리시스템 5 복호화키 USB 회수 금고에저장되어있는복호화키 USB 회수 Active Active 비밀번호관리시스템은관리대상시스템의주요계정에대한비밀번호를생성 / 변경한후보관 6 지정 PC 복호화 7 시스템접속 별도의지정된관리 PC 에서어플리케이션을통해접근후복호화키및저장된비밀번호복호화 비밀번호관리대상시스템 비밀번호관리시스템복구전까지관리대상시스템에접속이필요한경우복호화된비밀번호를이용하여접속 13
최고권한계정패스워드관리 하드코딩된비밀번호관리방안 (No Agent install!) - 다중 PUSH 방식을이용한비밀번호관리 - PULL 방식을이용한비밀번호관리 * 주 ) Application 하드코딩비밀번호자동변경관리는관련제품의추가구매가필요합니다. 14
하드코딩된비밀번호관리방안 PUSH 기능 Agent-Less 기반으로동작 파일형태로존재하는환경파일내의패스워드제거기능제공 하나혹은하나이상의다중서버에대한패스워드 Sync 기능제공 Push 성공 / 실패에대한모니터링및경보기능제공 PULL 기능 호스트에서 APPM 에게패스워드를요청방식 스크립트내에패스워드직접코딩방지 - 제거및사용후자동 Reset 요청스크립트에대한무결성체크 패스워드자동변경을위한다양한 API 제공 Unix/Linux/Windows CLI C Sheared Library, VC++ DLL JAVA API 15
하드코딩된비밀번호관리방안 - 다중 PUSH 제공 목적 : Agent 설치없이원본계정의패스워드변경시 APPM 서버가자동으로대상환경파일의패스워드를 Update해줍니다. 특징 변경대상은하나혹은하나이상의다중서버지원 환경파일 (.inf,.xml,.conf 등 ) 형태지원뿐만아니라명령어형태 (Web Logic Agent-Less 기반으로동작 등 ) 로실행되는형태도지원 모든 PUSH 처리현황을실시간으로모니터링하고문제발생시경보처리함 파일형태로존재하는환경파일내의비밀번호제거기능제공 하나혹은하나이상의다중 1 어플리케이션비밀번호변경 1 데이터베이스비밀번호변경 1 네트워크장비비밀번호변경 서버에대한비밀번호 Sync 기능 제공 APPM 2 연관된호스트환경파일비밀번호자동변경 Push 성공 / 실패에대한모니터링 및경보기능제공 < Batch Job 환경설정파일 > 신규장비연동시수시간 was.xml.. Password=qwer1234 Host 1 was.xml.. Password=qwer1234 Host 2 was.xml.. Password=qwer1234 ( 약 3 시간 ) 이내연동적용가능 Host 3 16
하드코딩된비밀번호관리방안 - API 혹은 CLI 기반의 PULL 방식제공 목적 : 배치스크립트및소스코드내부에사용중인하드코딩된패스워드를제거 API 지원방식 Unix/Linux CLI 제공 / Unix/Linux Shared Library 제공 Windows dll Library 제공 / Java Class Library 제공 특징 API( 혹은 CLI) 에서요청한패스워드는지정된시간후자동으로다른패스워드로초기화됨 ( 옵션 ) API( 혹은 CLI) 를요청한부모스크립트의무결성체크기능제공 호스트에서 APPM에게비밀번호를요청방식스크립트내에비밀번호직접코딩방지 - 제거및사용후자동 Reset 스크립트에대한무결성체크 2 어플리케이션데이터베이스 2 비밀번호변경비밀번호변경 2 APPM 네트워크장비비밀번호변경 1 비밀번호요청 비밀번호자동변경을위한 다양한 API 제공 시스템비밀번호변경 3 비밀번호전송 ftp.sh.. ftp 192.168.0.1 root/qwer1234 배치스크립트및어플리케이션 신규장비연동시수시간 ( 약 3 시간 ) 이내연동적용가능 4 전송받은비밀번호를이용하여서버접속 17
최고권한계정패스워드관리 (No Agent install!) 구축사례 - OOOOOO부 - OO청 - OO 은행 - OO 은행 18
구축사례 OO 부 해당기관은운영시스템및네트워크장비, 보안장비등모든 IT 장비의계정에대하여비밀번호관리솔루션 APPM 을통해운영되고있습니다. 도입배경 - 상주인력에대한패스워드통제정책필요 사용자 비밀번호관리솔루션 APPM + OTP 구축범위 - 네트워크 / 보안장비에대한패스워드관리미흡 - 정기점검방문인력에대한패스워드통제 - 긴급패스워드변경에대한비효율성 구축내용및효과 IT 인프라장비패스워드발급프로세스구축 일반사용자 유지보수협력업체 USB 3 차백업 내부망 Server Network Device 보안장비 ( 정직원, 상주인력, 유지보수인력등 ) 패스워드발급및확인시 2 차인증적용 (APPM OTP 적용 ) WEB 방식패스워드변경모듈적용 일방향암호화패스워드적용 특수계정에대한패스워드유출차단 상주인력 관리자 구분 서버 보안장비네트워크장비 대상시스템 Windows Servers, Linux 외부망 Ahnlab, Handreamnet, Secui, Allied, 모니터랩 Server Network Device 보안장비 19
구축사례 OO 청 해당기관은주요네트워크장비, 보안장비에대한보안강화의일환으로강력한패스워드정책의적용및모든관리계정에대하여 APPM 의패스워드승인 / 발급프로세스를사용하고있습니다. 도입배경 - 해외네트워크장비해킹사례대응 (2015.09) 사용자 비밀번호관리솔루션 APPM + OTP 구축범위 - 공개된네트워크에대한지속적인외부에서의접속시도에대한관리필요 - 유지보수인력에대한패스워드관리부재 - 감사지적사항 일반사용자 Network Device 구축내용및효과 IT 인프라장비패스워드발급프로세스구축 유지보수협력업체 USB 3 차백업 내부망 보안장비 ( 정직원, 상주인력, 유지보수인력등 ) 패스워드발급, 확인시 2차인증 (OTP) 적용 일방향암호화패스워드적용 WEB방식패스워드변경모듈적용 특수계정에대한패스워드유출차단 상주인력 구분 보안장비네트워크장비 외부망 대상시스템 Ahnlab, Cisco, Piolink, Juniper,Alcatel Network Device 모든관리자계정패스워드의발급체체구축및이력관리 관리자 보안장비 20
구축사례 oo 은행 oo 은행은유닉스운영서버, 네트워크장비, 보안장비, 데이터베이스를포함한모든주요장비의비밀번호관리서비스를 APPM 을통해운영하고있습니다. 작업자 패스워드발급시스템웹포탈서비스 서비스장비 데이터베이스운영자유닉스서버운영자네트워크장비운영자보안장비운영자 SSO 를통한웹접속 1 패스워드요청 패스워드발급시스템 USB 3 차백업 APPM-2000 Master Master 패스워드확인시 OTP 2 차인증 V I P 실시간데이터복제 3 발급받은패스워드를이용하여접속 2 발급승인 승인자 USB 3 차백업 APPM-2000 Master Slave Login 일회용비밀번호관리 Oracle Sybase Sybase IQ UNIX, Linux 네트워크장비 보안장비 대상주요장비 OOO 여대 - RDBMS 포함 대상계정수 OOOO 여개 1 일패스워드발급건수약 OOOO~OOOO 여건발급 SSO 를통한 APPM 웹자동로그인 패스워드불출시 OTP 2 차인증 비승인 ( 직원 ), 승인 ( 외주 ), 사후승인워크플로우정책혼합사용 요청변경, 정책사용 구분 서버 데이터베이스 네트워크장비및보안장비 운영플랫폼 Solaris, HP-UX, AIX, Linux Oracle, Sybase, Sybase IQ Cisco, AVAYA, BROCADE, ERS5200, ERS8600, MF2-2000,SNIPER-DDX, SNXG400, NXG100V 21
구축사례 oo 은행 OO 은행은유닉스운영서버, 보안장비를포함한주요장비의비밀번호관리서비스를 APPM 을통해운영하고있습니다. 보안팀의경우보안장비에대한일회용비밀번호관리를위해별도로 APPM 서버를운영하고있습니다. XX 망 보안운영자 보안운영자 패스워드발급시스템웹포탈서비스 1 패스워드요청 패스워드발급시스템 2 발급승인 3 발급받은 패스워드를 이용하여접속 승인자 Login 서비스장비 보안장비 UNIX/Windows 정보통신망법 15 조 일방향암호화정책준수 Reference USB 3 차백업 일회용비밀번호관리 XX 망 패스워드발급시스템웹포탈서비스 서비스장비 3 발급받은 Login 보안운영자 패스워드를 이용하여접속 보안장비 보안운영자 1 패스워드요청패스워드발급시스템 USB 3 차백업 2 발급승인 승인자 일회용비밀번호관리 UNIX/Windows 비밀번호저장소 비밀번호미저장 XX 망 패스워드발급시스템웹포탈서비스 서비스장비 3 발급받은 Login 서버운영자 개발자 1 패스워드요청패스워드발급시스템 USB 3 차백업 2 발급승인 패스워드를 이용하여접속 승인자 일회용비밀번호관리 UNIX Windows APPM 2000 7 대운영 대상주요장비 000 여대 유닉스, 서버 윈도우서버 방화벽 보안장비 시큐어가드테크놀러지 OTP 사용 XX 망 패스워드발급시스템웹포탈서비스 서비스장비 서버운영자개발자 1 패스워드요청패스워드발급시스템 USB 3 차백업 APPM-2000 2 발급승인 3 발급받은 패스워드를 이용하여접속 승인자 Login 일회용비밀번호관리 UNIX, Windows 구분 서버 보안장비 운영플랫폼 Solaris, HP-UX, AIX, Linux, Windows 방화벽 PC 보안, 무선보안, IPS, IDS, 22
레퍼런스 금융 일반기업 23
레퍼런스 공공및국방 대학 24
레퍼런스 해외 23
감사합니다. 총판사굿모닝아이텍 [ 주 ] 조인어스비즈 [ 주 ] 연락처 : 02-3775-2347 E-mail : gitsales@goodmit.co.kr, www.goodmit.co.kr 26