인텔리전트비즈니스를위한시스코 BYOD 보안혁신 Yong Ho Kim(yonghkim@cisco.com) Security Specialist 2012.4.12 2012 Cisco and/or its its affiliates. All All rights reserved. 1
ICT 환경발전트렌드및보안고려사항 효율적인 BYOD 변경관리및통합접근제어기술혁신 다양한어플리케이션의효과적인사용통제를위한혁신 빅데이타환경을위한시스코의네트워크보안혁신 요약 2012 Cisco and/or its affiliates. All rights reserved. 2
ICT 환경발전트렌드및보안고려사항 2012 Cisco and/or its affiliates. All rights reserved. 3
차단또는제한 허용 확장화 혁신화 회사소유기기만허용 사용자소유기기인터넷접근허용무인증 소유자및기기관리특정어플리케이션접근허용, 인증 ( 예시 : 모바일오피스 ) 신서비스및협업솔루션접근허용디바이스보안 ( 예시 :VDI, SaaS, 비디오컨퍼런싱, MDM) BYOD Beyond BYOD 2012 Cisco and/or its affiliates. All rights reserved. 4
BYOD Application Big Data App 다양한사용자또는기업소유단말기의기업네트워크연결 SNS, 보이스및비디오등다양한앱을이용한협업활성 다자간통신, 광범위한전달그리고비디오를통한의사소통과협업 BYOD Beyond BYOD 2012 Cisco and/or its affiliates. All rights reserved. 5
Business Pipeline Social Media Hotmail Webmail Apps #! % 증가하는단말기및짧은교체주기에대한효율적인단말등록관리및접근제어 다양한앱사용과광범위한전달능력에대비한세밀한어플리케이션사용통제 트래픽사용추이의급변에대비한안정적인보안서비스확보 2012 Cisco and/or its affiliates. All rights reserved. 6
효율적인 BYOD 변경관리및통합접근제어기술혁신 시스코트러스트섹 2.1 및 ISE 1.1 2012 Cisco and/or its affiliates. All rights reserved. 7
신원식별및상황인식기반접근제어 WHERE WHO WHAT WHEN HOW 보안정책결정속성조합 = 상황 역할기반업무연계정책수립 Identity 중앙정책서버 (Identity Services Engine) 동적인정책결정및적용 사용자및단말기 보안정책집행 모니터링및리포팅 서비스접근제어 2012 Cisco and/or its affiliates. All rights reserved. 8
스마트모빌리티업무환경구현 정책 중앙정책서버 (ISE) 프로파일링 USER LOCATION HTTP DHCP NETFLOW TIME DEVICE Access Method DNS RADIUS SNMP VLAN 10 VLAN 20 Corporate Resources 회사소유 직원 개인소유 단일 SSID Wireless LAN Controller Unified Access Management Restricted Internet Only 회사소유단말 1. 사용자인증및인가 2. 디바이스식별을위한자동프로파일링 3. 정책결정 4. 동일 SSID 상에서 VLAN 10 으로적용 5. 전체접근허용 6. 완전한단말가시성확보 개인소유단말 1. 사용자인증및인가 2. 디바이스식별을위한자동프로파일링 3. 정책결정 4. 동일 SSID 상에서 VLAN 10 또는 20 으로적용 5. 전체접근또는제한된접근허용 6. 완전한단말가시성확보 2012 Cisco and/or its affiliates. All rights reserved. 9
Cisco Innovations May CY12 단말기온보딩포털서비스 요청자등록정보프로비저닝서비스제공 (ios, Android, Windows, OS X) 사용자및단말기에대한자가또는스폰서등록포털서비스제공 사용자이름과단말기식별 ID 를인증서에포함하는인증서등록기관서비스제공 ( 기존기업 CA/PKI 환경연동 ) 단일 SSID, 인증서기반의차별화된접근제어정책서비스제공 사용자에의한자기소유단말에대한제어서비스제공 ( 분실단말기블랙리스트등록및해제등 ) 2012 Cisco and/or its affiliates. All rights reserved. 10
분류 / 프로파일링 네트워킹보안 (Wireless, Wired, VPN) 스마트폰 + PC 사용자와단말간의소유권관리 상황인식기반의접근제어 (Role, Location, etc.) 등록 인증서 + 등록요청자프로비저닝 인벤토리관리 기업소프트웨어배포및관리 정책준수 (Jailbreak, Pin Lock, etc.) 관리 ( 백업, 원격삭제등 ) 보안데이터컨테이터 사용자관리단말기네트워킹에대한 IT 관리 사용자및 IT 관리단말기단말기및네트워킹에대한 IT 관리 = Network Enablement (ISE) = Full Management (MDM) 2012 Cisco and/or its affiliates. All rights reserved. 11
Cisco Innovations Fall CY12 MDM 벤더와의파트너쉽및연동 Initial Vendors MDM 에단말기등록을위한경계서비스 미등록클라이언트를 MDM 등록페이지로리다이렉션 MDM 상태정보접근통제정책반영 MDM 등록상태정보를기반으로규정미준수단말접근제한 단말프로파일링정보반영 - 프로파일링되지않은단말식별정보에 MDM 등록정보반영 MDM 의단말통제프록싱 - 예시 : 분실단말데이터원격삭제명령시 ISE 대행 2012 Cisco and/or its affiliates. All rights reserved. 12
다양한어플리케이션의효과적인사용통제를위한혁신 시스코 ASA CX 모듈 2012 Cisco and/or its affiliates. All rights reserved. 13
현존하는차세대방화벽의한계 차세대방화벽?? 상황인식기반방화벽 WHO WHAT WHERE WHEN HOW Visibility with Control Productivity with Security Next-Generation with Stateful Firewall 2012 Cisco and/or its affiliates. All rights reserved. 14
Cisco Innovations June CY12 상황인식기반방화벽 Active/Passive 인증 Application Visibility and Control Cisco SIO 연동, 보안평판기반필터링 사용자정의및카테고리기반 URL 필터링 SSP-10 and SSP-20 : 2012 년 6 월출시예정 SSP-40 and SSP-60 : 2012 년 9 월출시예정 2012 Cisco and/or its affiliates. All rights reserved. 15
Cisco Innovations June CY12 차세대상황인식기반통합보안시스템 상황인식기반 위협인식기반 Classic ASA Firewall 2012 Cisco and/or its affiliates. All rights reserved. 16
WHO 사용자식별을위한풀스펙트럼 정확성 NTLM Kerberos 사용자인증 Auth-Aware Apps Mac, Windows, Linux AD/LDAP user credential 트러스트섹 * 네트워크신원식별그룹정보가포함된태깅 (SGACL) AD/LDAP 식별신원 Non-auth-aware apps Any platform AD/LDAP credential IP 관리 AD Agent * Future 포괄성 2012 Cisco and/or its affiliates. All rights reserved. 17
WHAT WHAT 어플리케이션 : 가시화및사용통제 광법위한 모든트래픽에대한식별및구분 1,000 개이상의 App 인식 MicroApp 엔진 특정트래픽에대한심층적인식별 75,000 개이상의 MicroApps App 행위별접근통제 어플리케이션사용행위별접근통제포함 2012 Cisco and/or its affiliates. All rights reserved. 18
WHAT 비업무 URL 필터링 60 언어 200 국가 20 mn URLs Marketing Legal Finance 98% coverage 2012 Cisco and/or its affiliates. All rights reserved. 19
WHERE 위치기반접근통제정책적용 PUB OFFICE 2012 Cisco and/or its affiliates. All rights reserved. 20
HOW 단말기식별및상태정보반영 Device OS OS Version Posture AV Registry Files AnyConnect Identity Services Engine 2012 Cisco and/or its affiliates. All rights reserved. 21
Cisco SIO www.facebook.com GO 2012 Cisco and/or its affiliates. All rights reserved. 22
빅데이타환경을위한시스코의네트워크보안혁신 시스코 ASA5500-X 시리즈 2012 Cisco and/or its affiliates. All rights reserved. 23
ASA 5510 300 Mbps Firewall Throughput ASA 5520 450 Mbps Firewall Throughput 시스코의대표보안제품 300Mbps ~ 최대 1.2Gbps 방화벽성능 Mid-Range 급으로중소규모의기업네트워크에적합 방화벽 /VPN 기능기본제공, H/W 모듈장착시 IPS 또는 Anti-X 기능을포함한 UTM 역할수행 ASA 5540 650 Mbps Firewall Throughput ASA 5550 1.2 Gbps Firewall Throughput 2012 Cisco and/or its affiliates. All rights reserved. 24
Cisco Innovations Now 고속 / 대용량인터넷사용환경요구에따른새로운 5 개플랫폼출시!! ASA5500-X 라인업 ASA 5512-X 1 Gbps Firewall Throughput ASA 5515-X 1.2 Gbps Firewall Throughput ASA 5525-X 2 Gbps Firewall Throughput ASA 5545-X 3 Gbps Firewall Throughput ASA 5555-X 4 Gbps Firewall Throughput 1. 멀티기가빗방화벽성능고속 / 대용량성능요구사항충족 2. 하드웨어기반보안서비스가속기능통합 ( 내장형, 추가모듈불필요 ) 비즈니스환경변화에따른다양한위협방어 3. 차세대방화벽기능 Ready 향후차세대방화벽기능지원 2012 Cisco and/or its affiliates. All rights reserved. 25
최대 4 배이상향상된방화벽성능 1 Gbps Firewall 250 Mbps FW+IPS 200 Mbps VPN 1.2 Gbps Firewall 400 Mbps FW+IPS 250 Mbps VPN 2 Gbps Firewall 600 Mbps FW+IPS 300 Mbps VPN ASA 5525-X 3 Gbps Firewall 900 MbpsFW+IPS 400 Mbps VPN ASA 5545-X 650 Mbps Firewall 650 Mbps FW+IPS 325 Mbps VPN 4 Gbps Firewall 1.3 Gbps FW+IPS 700 Mbps VPN ASA 5555-X 650 Mbps Firewall NA FW+IPS 425 Mbps VPN ASA 5550 ASA 5512-X ASA 5515-X 450 Mbps Firewall 450 Mbps FW+IPS 225 Mbps VPN ASA 5540 300 Mbps Firewall 300 Mbps FW+IPS 170 Mbps VPN 300 Mbps Firewall 300 Mbps FW+IPS 170 Mbps VPN ASA 5520 ASA 5510 ASA 5510+ 2012 Cisco and/or its affiliates. All rights reserved. 26
고성능하드웨어아키텍처 멀티코아멀티스레드방식의고성능 CPU 기존 4 배이상의메모리용량 IPS 서비스를위한지정하드웨어가속기내장 VPN 서비스를위한지정하드웨어가속기내장 지원되는보안서비스 IPS - 추가적인하드웨어모듈장착불필요 봇넷차단 Cisco SIO 에의한 500 가지이상의실시간보안평판및위협사이트정보반영 IPS 기능연동과함께복합적인 APT 공격방어기능수행 IPSec/SSL VPN 서비스 지사또는기업간 Site-to-Site IPSec VPN BYOD, 모바일사용자를위해 AnyCnnet 를이용한 Always On RA VPN 및보안기능제공 2012 Cisco and/or its affiliates. All rights reserved. 27
상황인식기반 ( 신원식별 + 어플리케이션인식 + 추가속성 ) 방화벽기능지원플랫폼 기존방화벽 /VPN 및 IPS 기능뿐만아니라차세대방화벽기능지원시에도충분한성능을지원하는플랫폼 차세대방화벽으로의마이그레이션또는교체비용최소화 2012 Cisco and/or its affiliates. All rights reserved. 28
하드디스크슬롯 ( 현재는 HDD 불포함, 향후필요시추가예정 ) ASA 5512-X ASA 5515-X ASA 5525-X ASA 5545-X ASA 5555-X 1 RU Appliances 2012 Cisco and/or its affiliates. All rights reserved. 29
6 GE ports 8 GE ports ASA 5512-X ASA 5515-X ASA 5525-X ASA 5545-X ASA 5555-X 파워이중화 1 Expansion Slot 6-port GE or 6- port SFP 2012 Cisco and/or its affiliates. All rights reserved. 30
Performance and Scalability ASA 5585-X SSP-60 (40 Gbps, 350K cps) ASA 5585-X SSP-40 (20 Gbps, 200K cps) Multi-Service (Firewall/VPN and IPS) ASA 5585-X SSP-20 (10 Gbps, 125K cps) ASA 5585-X SSP-10 ASA 5555-X (4 Gbps, 50K cps) (4 Gbps,50K cps) ASA 5512-X (1 Gbps, 10K cps) ASA 5515-X (1.2 Gbps,15K cps) ASA 5525-X (2 Gbps,20K cps) NEW ASA 5545-X (3 Gbps,30K cps) NEW NEW NEW NEW ASA 5505 (150 Mbps, 4K cps) SOHO Branch Office Internet Edge Campus Data Center 2012 Cisco and/or its affiliates. All rights reserved. 31
요약 2012 Cisco and/or its affiliates. All rights reserved. 32
시스코 ASA CX Secure Unified Access Threat Defense App Visibility & Control Virtualization & Cloud Next Generation Context-Aware Security System Threat Intelligence Contextual Policy Network C O N T E X T Services 시스코 TrustSec 2.1 and ISE 1.1 Comprehensive Network Visibility and Control 시스코 ASA 5500-X 시리즈 Multi-Gigabit, Context Aware Appliances for Internet Edge Deployments 2012 Cisco and/or its affiliates. All rights reserved. 33
2012 Cisco and/or its affiliates. All rights reserved. 34