Microsoft PowerPoint - FF - 3 Forefront Server- 문종훈.pptx

Forefront Server Security 의 고가용성, 높은검색율, 신속대응, 일원화된모니터링 문종훈책임프리미어파트너사업부한국마이크로소프트

Agenda Microsoft Forefront 란? Forefront oe o tsecurity 란? Forefront Security 성능최적화 Forefront Security - 단순화된관리 현재의바이러스대책에있어서의한계와대책 Forefront Security for Exchange- 일반정보 Forefront Security for Exchange- 포괄적인보호 Forefront Security for Exchange- 성능최적화 Forefront Security for Sharepoint Forefront Security for Sharepoint- 성능최적화 요약 Appendix 2

포괄적인 보안 프로덕트 포트폴리오 서비스 Edge 애플리케이션 서버 정보 클라이언트와 서버OS 보호 ID 관리 시스템 관리 A ti Di Active Directory t Federation Services (ADFS) 가이던스 개발툴

Anit-Virus 애플리케이션서버 Internet 분산된보호 성능튜닝 컨텐츠필터링 중앙관리 Gartner Magic Quadrant for E-Mail Security Boundary 2006 * Exchange Server/ Windows-based SMTP Server A B C D E * Magic Quadrant for E-Mail Security Boundary, 2006. Peter Firstbrook, Arabella Hallawell Publication Date: 25 September 2006/ID Number: G00142431

E-mail 보안 Microsoft Forefront Security for Exchange Server 는보안선도기업의다중엔진을포함하며, 바이러스, 웜, 스팸으로부터비즈니스를보호하는일원화된솔루션 포괄적인보호 최적화된 성능 단순화된관리 다중안티바이러스탑재및관리 Exchange 2007 상의다계층보호 파일필터링과프리미엄안티스팸보호 Exchange Server 와심층적인통합 스캔혁신 & 성능제어 서비스 uptime 과성능최적화 손쉬운설정관리와운영 자동화된 signature 업데이트 리포팅, 알림, 경고

Forefront Security란? 기능의특징 Forefront Security 3 종류의버전 다중엔진에의한바이러스대책 Microsoft Operations Manager 에의한일원감시 상기를특징으로한, 완전히새로운바이러스대책의솔루션 8

최근 AV-Test.org 결과 AV lab 의반응시간테스트 2006 년 4 월에서 6 월까지 82 개의 In the Wild 바이러스와변종. Tested Forefront 엔진셋 vs. 세개의주요단일엔진모든 lab 에서 26 개의바이러스에대해 detect 39 개의바이러스에대해주요 lab 과엔진셋에서 detect 남은 17 개의바이러스에대한결과

최근 AV-Test.org 결과 Forefront 엔진셋과다른벤더 = 5 시간이하 = 5-24 시간 = 24 시간이상 Signature response times in hours MM/YY VIRUS FF Set 1 FF Set 2 FF Set 3 FF Set 4 FF Set 5 Vendor A Vendor B Vendor C 0406 Mytob.NQ@mm 1.53 1.00 1.00 1.00 3.07 9.93 17.35 2.10 0406 Mytob.NQ@mm 100 1.00 112 1.12 100 1.00 100 1.00 100 1.00 28.07 11.57 352 3.52 0406 Spybot!04C2 23.03 1.00 23.03 25.28 1.00 0.00 29.90 39.02 0406 Nugache.a 1.00 25.45 1.00 1.00 1.00 34.10 12.90 48.05 0506 Numuen.F 0.00 24.43 0.00 0.00 0.00 1.00 10.33 14.95 0506 Numuen.H 1.00 31.72 1.00 1.00 1.00 103.83 251.85 114.78 0506 Numuen.G 3.15 8.20 3.15 3.15 3.15 1.00 151.80 468.97 0506 Banwarum.C@mm 87.47 1.00 87.47 87.47 1.00 116.73 72.95 129.25 0506 Banwarum.B@mm B@ 12.05 100 1.00 182 1.82 182 1.82 100 1.00 116.73 22.45 32.85 0506 Rbot!E905 0.00 0.00 0.00 0.00 0.00 1,141.78 217.57 1.00 0606 Bagle.EG 0.00 0.00 0.00 0.00 0.00 0.00 7.32 0.00 0606 Bagle.EH@mm 0.00 1.25 0.00 0.00 0.00 0.00 18.43 0.00 0606 Bagle.EG@mm 0.00 3.62 0.00 0.00 1.00 0.00 26.48 0.00 0606 Bagle.LY@mm 0.00 0.00 0.00 0.00 0.00 0.00 6.40 2.47 0706 Feebs.gen@mm 0.00 0.00 0.00 0.00 0.00 0.00 0.00 503.80 0706 Feebs.EU 000 0.00 100 1.00 000 0.00 000 0.00 000 0.00 52.30 173.17 38.97 0706 Virut.A 0.00 0.00 0.00 0.00 0.00 0.00 0.00 1,317.02

서명대응속도 TrendMicro Virusbuster etrust-ino Mydoom.dll 대응일시 2004 년 1 월 26-27 일 (GMT) AVG Sophos etrust-vet RAV Dr. Web Kaspersky Symantec McAfee Bitdefender d Quickheal Panda Norman AntiVir F-Secure F-Prot 23:35 0:05 0:15 1:20 1:40 2:30 4:10 4:10 4:35 4:35 5:00 500 5:00 5:50 6:00 9:05 Bagle.A Worm 대응일시 2004 년 1 월 18-19 일 (GMT) Jan 26 Bitdefender e 14:00 Jan 27 Kaspersky 14:50 RAV 시 : 분 20:35 AntiVir 23:40 12:35 13:05 19:15 Esafe F-Secure F-Prot Sophos TrendMicro Symantec McAfee Dr. Web etrust-vet Panda etrust-ino Norman AVG Command VirusBuster Ikarus aus 23:45 0:15 1:45 4:00 4:00 시 : 분 Jan 18 Jan 19 6:05 6:20 6:50 7:35 9:20 9:50 10:30 10:30 11:25 11:30 13:00 Forefront Security Engines AV-Test.org Jan 2004 Note: these charts represents single virus outbreaks 11 only. It does not represent average response times for each listed antivirus labs.

Forefront 안티바이러스스캔엔진 Forefront 마이크로소프트와다중 3 rd party 엔진제공 모든엔진은 Forefront 에의해전달, 라이센싱됨 동시 5 개까지엔진구동가능 Microsoft Anti-malware Engine Ahn Labs Authentium CA VET CA InoculateIT 고객혜택 새로운위협의빠른대응가능 다양한안티바이러스엔진의최대보호 중단없는보호 Kaspersky Norman Data Defense Sophos Virus Buster

정의파일이나엔진의갱신 Forefront Security 상에서동작하는바이러스대책협력사 A C 정의파일이나엔진 http://forefrontdl.microsoft.com B D Forefront Security로보호된서버 본사에한번집약한후, 전달 13

성능편향 (Bias) 설정 엔진은언제나같지않음. 다이나믹하게가능한풀에서할당됨 A C B D D 최대확신도 (Max Certainty): 모든엔진사용 (100%) 확신도우선 : 가능한모든엔진사용 Neutral: 50% 의가능한엔진사용성능우선 (Favor Performance): 25% 의가능한엔진사용최대성능 (Max Performance): 모든스캔에한개의엔진사용

Performance Bias Settings A C 엔진은언제나같지않음. 다이나믹하게가능한풀에서할당됨 B D D 최대확신도 (Max Certainty): t 모든엔진사용 (100%) 확신도우선 : 가능한모든엔진사용 Neutral: 50% 의가능한엔진사용 성능우선 (Favor Performance): 25% 의가능한엔진사용최대성능 (Max Performance): 모든스캔에한개의엔진사용

중앙관리 소프트웨어배포 구성템플릿배포 분산격리영역관리 분산로그파일검색 Microsoft Forefront Server Security Management Console SharePoint Servers Exchange Servers

공지 & 리포팅

감시의일원화 Microsoft Operations Manager 에의한모니터링 Forefront Security 로보호된서버 그외의서버 바이러스경고 시스템이나서비스의경고 Microsoft Operations Manager를사용하지않고, 메일로의인시던트통지도가능 다른서버와같게, MOM에의한감시의일원화가가능관리팩도제공예정 20

Microsoft Forefront 에의한방어 Forefront 제품군에의한시스템의방어 바이러스, 웜및해커등에의한악의가있는공격으로부터시스템을방어 네트워크, 서버어플리케이션, 컨텐츠, OS 를포함한다층방어 Exchange Server 2007 의기능과의편성에의해 SpamMail 의방어에대응 Forefront 제품군의운용관리시스템에의통합 Active Directory 와의통합에의해서이용자를마다의액세스제어와정책적용을용이하게실현 Forefront 로발생한이벤트를 Microsoft Operations Manager 에집약하는것으로써, 기존의정보시스템과 Security Incident 의감시 / 관리를일원화 인터넷 인트라넷 인스턴트메세지 그외의 문서 공격 Office Communications Server 2007 Sharepoint Server 2007 Windows 파일서버 이벤트 메일 Windows 클라이언트 Exchange Server 2007 Microsoft Operations Manager 2005 21

운용 감시의한계 저가용성 불편이있는엔진이나정의파일의배포, 시스템과의궁합에의한장해발생 엔진의갱신시에는, 검사불가 관리공정수의증대 대장애내성이나쁨 불편이있는엔진이나정의시스템과의궁합은? 파일 바이러스대책협력사 장해발생 기간업무등으로사용하고있는서버의감시와바이러스의인시던트를감시하고있는서버가별도 코스트의증대 그외의서버와는감시통합불가 바이러스의침입경로상에, 다른바이러스대책협력사의바이러스대책소프트를도입하면, 검색율의향상과교환에관리비용이나하드웨어의보수비용, 라이센스비용이증대 관리 감시하기위해서, 복수의콘솔이필요 A B C 23

운용 감시의한계를대책 고가용성만일, 갱신에실패했을경우에는, 나머지의 엔진으로계속동작을실시해, 전회의안정버전에자동적으로롤백 (rollback) 가능. 엔진의갱신시에도시스템이나검사를멈추는무사히, 시스템을계속동작가능. 일원감시 기간업무서버등, 그외의서버로발생하고있는인시던트도, 바이러스에관한인시던트도 Microsoft Operations Manager 로일원감시. 일원관리 A B 바이러스검출등의이벤트 C 오프라인! D 대장해내성을가져, 고가용성을실현 나머지의엔진으로계속동작 Forefront Security로보호된서버 인프라상에서발생하고있는이벤트를일원감시 A C 전회의버전에자동적으로롤백 (rollback) A B 그외의서버 C D 서비스정지등의이벤트 복수협력사의엔진을하나의콘솔로관리가능. B D 복수협력사의엔진을하나의관리콘솔로관리 24

검출기능의한계 정의파일의대응지연 A 사의신종이나아종의바이러스에의대응이늦으면, 바이러스검출을하지못하고, 바이러스감염의리스크가매우높다 정의파일이늦는다 A사바이러스대책소프트바이러스대책협력사 A사 A A 감염! 1 협력사의대응속도에만의존하면, 리스크가매우높다 정의파일의대응누락 보트등장의영향을받아변종의수가매우많아지고있는현재, 대응누락은매우심각한리스크 A사대응바이러스 바이러스 B사대응바이러스 자사도입협력사의대응이늦으면, 신종이나아종의바이러스에감염해버린다. 조직전체의취약화 메일의경로상에있는바이러스대책소프트의협력사가동일하다면, 모든서버나클라이언트등, 모든포인트로검출불가능한바이러스가같을모아두어매우위험한구성 A사바이러스대책소프트 대응바이러스가모든포인트로같다 A A사바이러스대책소프트 A 25

검출기능의한계를대책 신속대응 사용협력사중, 어딘가하나의협력사가대응하면검출이가능. A C A C 엔진의갱신시에도시스템이나검사를멈추는무사히, 시스템을계속동작가능. B 대응지연의리스크를저감 D 어딘가하나의협력사가대응하면검출가능 B D 높은검색율 복수의협력사에의한검사를실시하는일에의해, 대응누락의리스크를저감 인스턴트메세지 메일 문서 대응누락의리스크를저감 A B C D 어떤것인가하나의엔진이검출하면검출가능 26

Exchange 2007 Enterprise Topology 다른 SMTP Servers I N T E R N E T Enterprise network Edge Transport Hub Transport Routing Hygiene Routing Policy Applications: OWA Protocols: ActiveSync, POP, IMAP, RPC / HTTP Programmability: Web services, Web parts Client Access Mailbox Mailbox Public Folders PBX or VoIP Unified Messaging Voice Messaging Fax

Microsoft Forefront Security for Exchange Server Forefront 은다음을포함 : 다중 antivirus 엔진 9 개의스캐닝엔진 사용자는 5개까지선택가능편향 (Bias) 설정과스캔액션은 Antigen 과유사 ( 하나면제외 ) 파일필터링 Transport 와 Store 키워드필터링 Transport 만제목줄와sender-domain 필터링 Store 만알림

SpamMail 대책의강화 Exchange Server 2007 의기능을확장 Exchange Server 2007의 SpamMail 대책기능 본사에서는, 평균 1000만통 /1일의메일을수신해, 안85% 가 SpamMail MS IT나 MSN가수신하는 SpamMail를바탕으로해석을실시한필터를 Exchange Server 2007 에실장 프리미엄안티스팸메일 SpamMail 의발신기지라고볼수있는호스트를리스트화한, Microsoft Block List 의자동갱신 SpamMail 인확률을판정하는필터의자동갱신특정의 SpamMail 를막는, 패턴파일의자동갱신 프리미엄안티스팸메일의기능이사용가능 31

프리미엄안티 - 스팸보호 Forefront Security for Exchange Server 는 Exchange 2007의 premium anti-spam기능을라이센싱과활성화 Exchange Edge 와 Hub server role 에구성됨 Exchange 2007 의기본안티-스팸과프리미엄안티- 스팸보호는다음을추가함: Microsoft IP reputation filter 서비스와자동업데이트자동화된 Microsoft Smartscreen spam heuristics 업데이트, 피싱웹사이트, Intelligent Message Filter (IMF) spam 시그너쳐데이타와자동업데이트되는최근스팸campaigns 이대상

Exchange Server에의한다층방어 - 본사의실적 1 일 1000 만통의메일을수신해, 안 85% 는 SpamMail 접속필터송신자 / 수신자필터 Intelligent Message Filter Outlook 2003 의스팸메일필터 외부로부터수신한모든메세지의25% 를저지 Microsoft Block List 남는메세지의 60% 를저지 남는메세지의 40% 를저지 필터와패턴파일 남는메시지를저지 프리미엄안티스팸메일의기능이사용가능 33

파일필터링파일의판별 첨부파일 폴리시에위반 파일헤더를해석해판별 34

Forefront Security for Exchange 성능최적화 -Transport 36

FSE의인스톨처 엣지트랜스포트서버 허브트랜스포트서버 메일박스서버 Exchange Server 2007 상에서동작하는게이트웨이형안티바이러스소프트 37

검사의타이밍 엣지트랜스포트서버허브트랜스포트서버 메일박스서버 메일수신시에 클라이언트의액세스시에 스캔 리얼타임스캔 임의의타이밍에메일박스를스캔 수신시의스캔도메일스토어내의스캔도가능 38

The Antivirus Stamp 자세한정보 An X-header protected by the Header Firewall AV vendors stamp their scan result Stamp consulted during downstream scans to decide if AV scanning is skipped or not Forefront always sets version number to 1 Example: X-MS-Exchange-Organization-AVStamp-Mailbox: MSFTFF;1;0;info MSFTFF: AV vendor name (8 characters); MSFTFF = Microsoft 1: Vendor version (32-bit unsigned integer); 1 = Microsoft 0 (VIRSCAN_NO_VIRUS): Virus status (32-bit unsigned integer) Info: Optional Virus info (128 byte string)

검사의방향 인바운드아웃바운드인터널다른도메인으로부터다른도메인에송신같은도메인으로의수신송수신 ContosoA.local ContosoA.local A.Contoso.local ContosoB.local ContosoB.local B.Contoso.local 3 개의방향각각대해검사의유효무효를설정 40

Transport Scanning Best Practices 모든 transport node 에같은세팅권장 같은편향 (bias) 설정 같은엔진선택 같은레벨의메일스캐닝을보장해줌 선택적으로 AV transport t stamp 를끄고다른노드에분산된엔진설정가능 Edge Server Hub Role Engines A,B,C Engines D,E,F

Forefront Security for Exchange 성능최적화 - 메일박스 42

메일스토어보호 옵션 기본모드 하루에한번 Background 스캔, 가장취약한파일에대해주로검사 On-access 보호 : 스캔되지않은메일 Outbreak 모드 엔진이업데이트될때마다모든 on-access 스캔 Ultimate 보안모드 스토어에 submission 될때 (Proactive) 엔진이업데이트될때마다모든 on-access 스캔 새로운 signatures 에대해계속적인 background 스캔

협업서버보안 Microsoft Forefront Security for SharePoint integrates 는백신선도업체에의해 Microsoft Office SharePoint 2007 와 Windows SharePoint Services 3.0 를다중엔진과컨텐츠제어를통해악성코드, 기밀정보, 부적적한코드등으로비즈니스보호한다 포괄적인보호 성능 최적화 단순화된 관리 다중안티바이러스엔진탑재 & 관리 파일 & 컨텐츠필터링 Open XML & IRM-protected 문서지원 SharePoint Server 와통합 스캔혁신, 성능조절 서비스업타임관리와성능최적화 손쉬운구성과운영 자동화된시그너쳐관리 리포트, 알림, 경고

Forefront Security for Sharpoint 포괄적인보호 46

키워드필터링 Forefront 은원치않은컨텐츠를스캔 적절치않은언어, 기밀데이타, 등. Realtime Scan 을이용업로드를막음 매뉴얼스캔을통해라이브러리스캔 Office 2007 지원 ; Word, PowerPoint; text 와 HTML 화일 Skip:detect mode는막거나지우지않고모니터및로그가능

Forefront Security for Sharpoint 성능최적화 48

성능기능 Forefront Security for SharePoint 는 SQL server 에최적화된 SharePoint 안티바이러스 API 를사용멀티-스레드스캔으로동시에 10개의문서스캔가능사용자대기시간최소화이미스캔한문서에대해다시스캔하지않음 한번스캔한문서에대해추가다운로드시스캔하지않음엔진업데이트시다시스캔할수있음

박순철 과장 비전파워 Forefront 공식파트너

요약 Microsoft Forefront 란? Forefront Security 란? Forefront Security 성능최적화 Forefront Security - 단순화된관리 현재의바이러스대책에있어서의한계와대책 Forefront Security for Exchange- 일반정보 Forefront Security for Exchange- 포괄적인보호 Forefront Security for Exchange- 성능최적화 Forefront Security for Sharepoint Forefront Security for Sharepoint- 성능최적화

조직의보안검사 http://www.microsoft.com/forefront 평가판다운로드 http://www.microsoft.com/isaserver/2006 com/isaserver/2006 베타등록 http://www.microsoft.com/korea/forefront com/korea/forefront http://www.microsoft.com/clientsecurity / t it Microsoft 리셀러에게컨택트

Magic Quadrant Disclaimer This Magic Quadrant graphic was published by Gartner, Inc. as part of a larger research note and should be evaluated in the context t of the entire report. The Gartner report is available upon request from Microsoft. Go to: www.microsoft.com/forefront The Magic Quadrant noted on slide 10 is copyrighted September 25, 2006, by Gartner, Inc. and is reused with permission. The Magic Quadrant is a graphical representation of a marketplace at and for a specific time period. It depicts Gartner's analysis of how certain vendors measure against criteria for that marketplace, as defined by Gartner. Gartner does not endorse any vendor, product or service depicted in the Magic Quadrant, and does not advise technology users to select only those vendors placed in the "Leaders" quadrant. The Magic Quadrant is intended solely as a research tool, and is not meant to be a specific guide to action. Gartner disclaims all warranties, express or implied, with respect to this research, including any warranties of merchantability or fitness for a particular purpose.