방위산업기관및공공, 금융기관을위한시스코제안
망분리솔루션은왜필요할까? 보안위협이점차증가하고, 외부악성코드의침입방식이날로교묘해짐에따라기업망보안이중요해짐국방부방산업보안업무훈령에따른망분리보안관리지침에따라의무대상방산업체는망분리구축계획을세워국방부 ( 기무사 ) 검토를받고 6월말까지구축을완료해야하는실정금융회사전자금융업자의경우전자금융감독규정에의해은행의본점과영업점은 2015년말까지, 그외는 2016년말까지추진해야함 망분리솔루션의목적 인터넷을통한악성코드및해킹위협등에대한완벽한보안은현실적으로어려움단말이인터넷을통해악성코드등이감염되더라도, 내부업무네트워크를공격하지못하게함으로써내부업무네트워크및서비스를보호 기존망의위협요인 - 하나의 PC에서업무와인터넷을동시에사용 - 한대의 PC가인터넷을통해악성코드등에감염될경우, 업무 N/W의 2차감염을위한공격PC로이용되거나또는해커들의내부N/W 접근통로로사용 망분리대상 - 망분리란? 인터넷을통해감염위험이있는 PC가내부업무 N/W 으로의접근을차단하여이로인한업무서비스장애를사전예방 - 망분리대상 - 관련규정으로지정된 100여개방위산업기업및신규방위산업기업과강력한보안이필요한정부기관및공공기관
망분리방식비교 망분리방식은크게 4 가지방식이있으며, 보안성이가장큰이슈인경우를추천함 구분 1 2 논리적망분리-SBC (VDI ) 구성 방안제품장점단점 물리적인 PC 2대를사용업무망에 1대, 인터넷접속을위한 PC 1대사용 N/A 물리적인망분리최고의보안성구축비용증가사용자당 2대의 PC 확보필요 PC 혹은사용자단말기에서서버의가상머신에생성된운영체제에접속 VMware View Citrix XenDesktop 업무자료가데이터센터에위치독립된 OS제공으로어플리케이션제약사항없음 SBC를위한별도의서버및스토리지구매필요외부원격접속사용자에대한네트워크대역폭에대한검토필요 구분 3 논리적망분리 /CBC + VPN G/W 4 논리적망분리- CBC Only 구성 방안제품장점단점 데스크톱자원을이용하여독립된어플리케이션환경생성 MirageWorks idesk AhnLab TrusZone 기존데스크톱자원을이용하므로다른구성대비낮은도입비용변종해킹기술의증가로인한보안취약점에대한지속적인보안대책필요 데스크톱자원을이용하여독립된운영체제환경을생성 Microsoft MED-V Citrix XenDesktop 기존데스크톱자원을이용하므로다른구성대비낮은도입비용네트워크통제를위한별도의 VPN gateway장비없음 도입효과 를통하여, 정보보호체계를고도화하고, 국가지침을준수함으로써, 중요자료유출및훼손을방지함 정보보호체계고도화 업무영역과인터넷영역을분리하여외부침입등을통한데이터유출사고를원천에봉쇄하여정보보호체계고도화 IP 관리및통제 지침 ( 가이드라인 ) 준수 업무망및인터넷망분리를통하여국정원망분리가이드준수개인정보보호법, 정보통신망법, 전자거래기본법등의지침 ( 가이드라인 ) 준수 중요자료유출및훼손예방 중요한방산정보를해킹등사이버위협으로부터안전하게보호중요자료유출및훼손에따른국가적손실을줄임으로써, 국익손실방지
구성방식비교 표준시스템 일반적으로아래와같은망분리구성도를통해, 기존업부망과신규인터넷망의완벽한분리를구축보안영역에, L4,, ATP, 등다수의장비로인하여관리, 운영이복잡함 업무망 ( 기존 ) 인터넷망 ( 신규 ) 대외망라우터 L4스위치 DMZ 인터넷라우터 L4스위치 중계영역 (APT) 업무망 PC KVM 인터넷망 PC L2스위치 내부서버 ( 업무, 내부메일, 보안관리 ) 인터넷보안관리서버 (TMS, NAC, 보안 USB, 매체제어 ) 시스코망분리시스템 시스코는아래와같이,,, APT 등의기능을단일장비에서구현하여, 업무기존업부망과신규인터넷망의완벽한분리를구축 업무망 ( 기존 ) 인터넷망 ( 신규 ) 대외망라우터 L4스위치 DMZ 인터넷 라우터 중계영역 단일장비 (,,APT) 업무망 PC KVM 인터넷망 PC L2스위치 내부서버 ( 업무, 내부메일, 보안관리 ) 인터넷보안관리서버 (TMS, NAC, 보안 USB, 매체제어 )
시스코망분리제품소개 인터넷경계구간으로부터사내네트워크를보호해주는제품으로상태감시접근제어, VPN,, NAT 등의다양한기능제공 ASA5500X 시리즈는물리적인망분리시에네트워크경계에설치되어양단네트워크에대한독립성및보안보장 ASA5555X 시리즈 - 상태감시접근제어 (stateful inspection) 기능 - VPN (Virtual Private Network) 및데이터암호화 - NAT (Network Address Translation) 을통한주소변환 - 성능저하없는 IPv6 지원 - 사용자에대한인증및접근제어 - 행위추적및감사를위한이벤트로깅 항목 세부사양 ASA최대 4 Gbps VPN 최대 700Mbps 성능 최대세션 1,000,000 ( 주1) Firepower 4100/9300 시리즈사용시 최대 75Gbps/240Gbps 성능제공 CPU Multi-core CPU Memory 8 GB NIC 8-port 10/100/1000Base-T 6-port 1Gbps SFP 크기 1RU 침입탐지 / 방지시스템으로이차단할수없는취약한서비스및애플리케이션에대한위협을감지하고또한시그네처에의해방어할수있는시스템 FirePOWER NG 시리즈는인터넷경계면또는망내부에서탐지되는해킹위협을탐지하고정책에따른차단및보고서를제공 FirePOWER 8130 시리즈 - 취약한서비스및애플리케이션에대한탐지및방어 - 데이터처리공격 (data driven attack) 방어 - 권한상승, 사용자로그인, 침입자에대한주요파일접근방어 - 멀웜 ( 컴퓨터바이러스, 트로이목마, 웜 ) 과같은호스트기반공격방지 - 불법행위에대한감사기록 항목 세부사양 Throughput 4Gbps Firewall Only (No Threat Inspection) 8 Gbps New Connections/sec 70,000 Max Concurrent Connection 4,500,000 Average Latency <150microseconds Memory(RAM) 24G 크기 ( 깊이x폭x높이 :Inch) 27.25 x 16.93 x 1.7 APT 방어 악성코드를통한침해사고가빈번해지고, 하루에도수십만종생성되는변종멀웨어를막기위해네트워크및단말까지보안영역의확대가필요 AMP 및 ThreatGrid는악성코드차단, 회귀적탐지및감사기능을제공하는통합솔루션으로네트워크, 컨텐츠및단말에대한각각의솔루션존재 APT 방어를위한 AMP 시리즈 샌드박스를위한 ThreatGrid 시리즈 - 악성코드탐지차단 : 디바이스감염전악성코드의차단 - 회귀적탐지 : 파일의지속적분석 - 파일추적 : 문제가되는악성코드영역빠른파악 - 다바이스추적 : 감염원인의파악분석 - 위협지표, 감염원인 : 자동화된감염시스템분석및원인파악 - 파일상세분석 : 샌드박스를통한빠르고안전한파일분석 - Outbreak Control : 악성코드전파확인을빠르게차단 - 외부에서찾는접근방식으로 VM 외부에서악성코드모니터링 - 독자적기술의정적 / 동적분석으로, 로컬호스트및네트워크통신에대한모든변경사항을관찰함 - 몇분내로다운로드가능한 JSON 정보제공으로, 어떤데이터요소와도상관관계가능함 - 750 개 + 행동지표에따른위협스코어로실시간으로공격을정확하게판단
시스코망분리제품소개 TMS ( 내부네트워크가시성및보안 ) 내부보안중요성이더욱부각되는상황에서단말간통신의플로우확보및보안가시성확보가중요시스코라우터 / 스위치 / 에서간단히넷플로우기능만활성화하고스텔스워치서버도입만으로강력한가시성및보안이벤트탐지가가능하게되며, 필요시 Packet Analyzer를통해패킷저장및분석제공 Stealthwatch 솔루션및 Packet Analyzer - NaaS(Network As A Sensor) 로서내부네트워크가시성확보 - 기존구현된라우터 / 스위치 / 에서생성된 NetFlow 또는 sflow, syslog, snmp 정보등을취합해호스트간플로우가시화 - 네트워크어노멀리행위에대한보고및통계제공 - 네트워크 100% full 가시성제공 - 플로우로그정보확보가능 - 네트워크내의 packet capture 및분석을위한 PA2400(Packet Analyzer) 제품과연동제공 L3 스위치 FirePOWER 8130 시리즈 - 스태킹기능을제공하는 L2/L3 고정형스위치 (IP Service 지원 ) - 160Gbps 스택기능이통합되어있고복수의전원공급모듈을지원 - 고가용성, 확장성, 보안성, 에너지효율성및 QoS, 보안과같은공통의인텔리전트서비스지원 - 자체전원이중화로장애요소의최소화를제공하고다양한전원공급장치지원으로 IP 텔레포니및비디오등의생산성을향상 구분스위칭용량전송포워딩속도 DRAM Flash Memory Interface 기본포트수업링크모듈지원타입 내용 88Gbps 41.66Mpps 4GB 2GB 10/100/1000BASE-T 24Port 24포트 4포트 1G SFP L2 스위치 WS-C2960L-24TS-AP - 팬이없는무소음설계로회의실, 교실, 매장, 사무공간과같이정숙함이요구되는공간에설치가능 - 최고 55 C 의운영온도를지원해서온도가많이올라가는벽장또는천장안에도설치 - 802.1X 인증을사용하여포트별액세스제어 - 기본라이선스 - LAN Lite (802.1x Multiauth, IPv6, QoS 및 Trust, IPv6 MLD v1/v2 snooping 기능포함 ) 구분스위칭용량전송포워딩속도 DRAM Flash Memory Interface 기본포트수업링크모듈지원타입 내용 Gbps 41.67Mpps 512MB 256MB 10/100/1000BASE-T 24Port 24포트 4포트 1G SFP
신뢰할수있는기업, 시스코 Cisco Systems 는 1984 년설립이래, 네트워킹및인터넷, 서버및보안분야의 IT 기술을주도하고있는기업입니다. 시스코는지난 30 년간최고의 ICT 기업으로서, 지속적인기술개발과혁신을통해가장신뢰받는네트워크장비를제공하고있습니다. 시스코는전문보안기업으로서위협중심 (Threat-Centric) 의접근을통해차세대, NG, 접근제어및 APT 차단솔루션을제공, 완벽한보안이적용된망분리를가능하게합니다. 시스코는 IT 인프라에서네트워크내부의전체트래픽에대한가시성을제공함으로써, 분리된망내부의트래픽흐름을확인하고규정위반시즉각적인확인이가능합니다. 시스코는다수의금융 / 공공기관망분리구축사례에서검증된최고의솔루션및노하우를보유하고있습니다. 구분 내용 설립연도 1984년설립 (NASDAQ : CSCO) 임직원규모 전세계165개이상의국가, 450개이상의오피스 7만 5천명이상의직원 ( 엔지니어링인력 35% 이상 ) 총매출액 2015년회계연도기준 (FY15, 2014년 8월 ~ 2015년 7월 ) 총매출액 49.1억달러 연간 63억달러 (2014년회계연도기준, 13.4%) R&D 투자규모 전세계170개의연구개발 Lab 25,000여명의연구개발인력 특허보유현황 19,000건이상 인수합병기업수 170개기업 (1993년이후 ) 전세계파트너수 약 70,000 파트너이상 기타 주력비지니스부문별시장점유율 : 1~2위약 28,000명이상의 CCIE 취득자 Cisco Systems, Inc. Corporate Headquarters 170 West Tasman Dr. San Jose, CA 95134, USA 서울특별시강남구영동대로 517 5 층시스코코리아 ( 우 )06164 Tel 02.3429.8000 Fax 02.3453.0851 www.cisco.com/kr @CiscoKR ciscokorea www.ciscokrblog.com Cisco Korea