Hybrid IT 환경의 특권계정접근통제 김광일 Sr. Presales Consultant(CA Technologies) www.cloudsec.com
최근보안위협동향 특권계정관리중요성 사이버범죄 Target 7 천만건의카드정보탈취 Home Depot 5 천 6 백만건의카드정보탈취 JP Morgan Chase 7 천 6 백만건의계정정보탈취 운영에끼치는중대영향 CodeSpaces 비즈니스의이탈 Sony Pictures 막대한손상 German Steel Mill 물리적인손상 Saudi Aramco 시스템손상및 사이버스파이 비즈니스붕괴 Anthem 8 천만개인정보탈취 Forbes.com and unidentified health insurer 특정인 ( 방위산업체, 공무원 ) 의개인정보획득
다양한유형의특권계정 On Premise VMware 관리자 Microsoft Office 365 관리자 임직원 / 협력사 시스템관리자 네트워크관리자 DB 관리자 어플리케이션관리자 Apps 공용클라우드 임직원시스템 / 네트워크 /DB/ 어플리케이션관리자 Cloud 관리자 INTERNET 협력사시스템 / 네트워크 /DB/ 어플리케이션관리자 Hacker Malware/APT Apps
특권계정관리주요과제 외부공격자방어 컴플라이언스준수 PRIVILEGED ACCOUNT MGMT. 내부위협의관리 Cloud 환경까지확장한통합보안정책수립 보안운영효율성
CA PAM - Hybrid IT 환경을위한특권계정관리 HYBRID ENTERPRISE 전통적인 Data Center Software Defined Data Center 공용 Cloud - IaaS SaaS 어플리케이션 Mainframe, Windows, Linux, Unix, Networking Enterprise 관리자 Tools SDDC Console and APIs Cloud 콘솔과 APIs SaaS 콘솔과 APIs 새로운보안계층 모든특권접근에대한통제및감사 자격증명저장 부가인증및인증중앙화 특권계정자동로그인 RBAC(Role-Based Access Control) Cloud 계정연합 (Federated Identity) 보안정책시행과모니터 세션레코드와 Metadata 검색 Original ID 추적성확보 통합정책관리 CA PAM Identity Integration Enterprise-Class Core AWS AMI Azure VHD Hardware Appliance OVA Virtual Appliance
특권계정관리방안 Cloud 와 On-premise IT환경에서특권계정접근 (Privileged Access) 의통제 1) 비인가접근보호 2) 활동모니터링, 감사 3) 권한상승제한 Break the Attack Kill Chain with Privileged Access Management (PAM) 비인가접근보호 활동모니터링, 감사 권한상승제한 보다강력한인증방식 역할기반의로그인통제 세션레코딩 & 모니터링 활동로깅 & 감사 실사용자추적성제공 명령어통제 & 경유접속통제 Zero trust Deny All, Permit by Exception 모델 능동적인정책시행모델
CA PAM 범주별주요기능 접근제어 패스워드관리 세션기록 권한통제 접근경로단일화 패스워드관리정책 특권계정세션레코딩 명령어필터 특권계정접근관리 패스워드자동변경 Meta Data 검색 경유접속차단 RDP Application 어플리케이션자동로그인 Application 패스워드관리 (A2A) VMWare 접근통제
접근경로단일화 내부직원 ( 시스템관리자, 개발자, 보안담당자 ) [ 주요기능 ] - 다양한배포아키텍쳐 (On-Premise / Virtual / AWS / MS Azure) - 다양한대상시스템, 어플리케이션에대한통합된특권계정접근관리 특권계정접근통제 CA PAM Windows 계열서버 On-Premise AWS Linux, Unix 계열서버 차단 관리콘솔 협력사 ( 유지보수업체, 외부인력 ) 비인가자 Amazon/Azure Apps, DBMS
Windows/Linux/MAC 전용 Client 지원 Login Page Mac 전용 Client
특권계정접근관리 다양한인증 사용자정책적용 경유접속제어 Telnet FTP SCP VNC Server 대상시스템 명령어제어 SSH 외부개발자 협력업체 내부직원 보안관리자 SSL 대상 Application Session 1 완료 감사증적 RDP SSH Application Session 2 시작 App Database CA PAM [ 설명 ] 1. 암호화통신을지원하지않는경우공격자가통신 Packet 을분석하여시스템접속에대한주요정보를탈취할가능성이있음. 2. 가상화방식을이용하여사용자가 PAM 에접속하는 Session 과실제로시스템에접속하는 Session 을분리 3. 접속자 ( 클라이언트 ) 에는어떠한 Agent 및접속기록이남지않음.
RDP Application 접근제한 Win2012 서버에 RDP 접근을 MSSQL Management Studio 2014 로제한 RDP Application : 1. Windows 환경일경우서버의특정응용프로그램을사전에서비스로등록하여해당응용프로그램만나타나게하게함. 2. 접속자의권한을해당응용프로그램으로제한하여보안성강화 Windows Server 에 Login 후 MS-SQL Server Management Studio 만사용가능
Application 자동로그인 접근대상 Splunk (Learn)
Application 자동로그인 관리자어플리케이션
VMware vcenter 콘솔 (HTML5) 접근연동
패스워드관리정책 특권계정접근통제 CA PAM Windows 계열서버 Linux, Unix 계열서버 Password 관리 (Password Management) 지정된규칙 ( 복잡도 ) 및주기에따라자동으로시스템패스워드를변경 시스템패스워드변경규칙은시스템의종류에따라여러가지를생성 생성된규칙을관리자는각각의시스템에서로다르게적용 패스워드자동변경시간 보안장비네트워크장비 Database
Application Password 관리 (A2A) AS-IS ( 개념도 ) TO-BE ( 개념도 ) 자동으로주기적으로패스워드변경 Application (CS, WEB 등 ) Application (DB 등 ) Application (CS, WEB 등 ) Application (DB 등 ) 하드코딩된 Static Password 를기반으로통신 시스템구성단계에서설정된하드코딩된 Static Password를통하여상호통신하드코딩된패스워드의경우변경이불가하드코딩된패스워드의외부유출시 DB 등주요서버들이공격을당할수있는위험존재 A2A 패스워드관리를통하여주기적으로상호패스워드변경 자동으로 Application간에접속패스워드를변경 ( 관리자가설정한주기에따름 ) DB 등주요자원에접근하는모든패스워드가정해진정책에따라변경됨모든접속형태의패스워드가변경되어주요서버들이좀더공격으로부터안정성을확보
특권계정세션레코딩 관리자 CA PAM 총 8 회위반기록 시스템에서수행한모든내역을동영상으로 Recording 하며, 위반이발생시문제발생시점표시하고해당시점으로바로이동할수있어전체내용을다시볼필요가없는효율적인검색 Idle 타입관리와프로토콜레이어기반녹화로효율적인녹화파일크기제공 위반발생시점표시
명령어통제 / 경유접속차단 관리자 CA PAM 차단 1) 위험명령어차단 SFA System A 차단 2) SFA에의한 Port 차단 System B Command Filter : 모든 CLI 세션에대한위험명령어정책을디바이스별 / 그룹별로설정하여허용되지않는명령어는실시간을차단 Socket Filter : 정책에의해허용된리소스이외에임의접속시도의원천차단 접속허용 / 불가 IP 대역 /Port/Web URL White List, Black List 2 가지로설정 Socket Filter Agent (SFA) 상태모니터링
CA PAM 에서의 AWS 특화기능 (Cloud Infra Access Control) 1 Cloud 패스워드 /SSH Public Key 관리 2 AWS 콘솔활동내역기록 3 Dynamic AWS EC2, Azure VM 통제및보호 4 AWS Access Key 관리및 ID Federation 5 AWS, Azure 환경의배포유연성 ( 물리, 가상화, Cloud 지원 ) 6 Cloud 환경의통합접근통제
패스워드 /SSH Public Key 관리 특권계정접근통제 CA PAM Windows 계열서버 ID/SSH Key Linux, Unix 계열서버 패스워드자동변경시간 패스워드 /SSH Public Key 관리 (Credential Management) 패스워드 / SSH Public Key 자동인증 지정된규칙 ( 복잡도 ) 및주기에따라자동으로시스템패스워드를변경 자신의계정또는서비스계정으로지정된주기에따라 SSH Key 자동변경 시스템패스워드변경규칙은시스템의종류에따라다르게생성 생성된규칙을관리자는각각의시스템에서로다르게적용 In-house Application 관리콘솔
웹관리콘솔활동내역기록 Value 관리자행위에대한감사및추적성확보 AWS Management Interface 상의모든활동내역녹화 AWS 인스턴스에작업세션녹화녹화된정보의변조확인을통해무결성확보세션레코딩사이즈최소화 Auditor CA PAM NFS CIFS AWS S3 Linux Windows AWS
Dynamic 인스턴스통제및보호 3 인스턴스접근 내부직원 CA PAM 2 인스턴스자동생성 AWS 1 새로운인스턴스추가 협력사 AWS EC2 Tagging 설정 AWS Dynamic 인스턴스통제및보호 AWS 의 AMI Tagging 을이용해 CA PAM 에 Device 자동등록 AWS 환경에인스턴스가생성되는즉시 CA PAM 에정책보호및액세스권한을실시간으로추가 동적 EC2 리소스전체에대한자동으로정책을설정및시행 자동등록및정책시행을원치않을경우, 예외 Tagging 설정
AWS Access Key 관리및 ID Federation Value 도메인 / 로컬 CA PAM 계정에대한 AWS ID Federation AWS Management Interface로운영자의빠른접근 (ID Federation을이용한자동로그인제공 ) AD/LDAP 계정과 AWS IAM Interface 연계지원 AWS의 IAM 계정최소화운영및오남용방지 AWS 계정의추적성향상
AWS 환경의배포유연성 다양한배포아키텍쳐 (On-premise / AWS/Azure) 통합특권계정접근관리 AWS API 지원 AMI 및계정에대한 Auto Discovery AWS Region 별관리효율성 내부직원 ( 시스템관리자, 개발자, 보안담당자 ) 특권계정접근통제 CA PAM Windows 계열서버 On-Premise AWS/Azure Linux, Unix 계열서버 차단 협력사 ( 유지보수업체, 외부인력 ) 비인가자 관리콘솔
하이브리드인프라통합접근통제 내부직원 ( 시스템관리자, 개발자, 보안담당자 ) 특권계정접근통제 CA PAM AWS/Azure Cloud On-Premise AWS/Azure 3 rd Party Cloud 협력사 ( 유지보수업체, 외부인력 ) 하이브리드환경의통합접근통제 On-premise/Virtual/Cloud/SaaS 등다양한환경에대한통합접근통제 이기종 Cloud/Private Cloud 내의인스턴스연동 SaaS 형 Application 연동지원 ( 예 > Office365, SFDC 등 ) SaaS 형 Application
Policy Automation 을위한 External API CA PAM 에서의 External API Policy Automation 과 Programmatic Integration 을위한 External API (JSON/Restful API) 손쉬운 External API 검증과 Sample Request/Response Test 를위한 API Doc 제공 API Key 를통한 Web Service 인증
Proactive Detection 을위한 Threat Analytics Threat Analytics for PAM(TAP) 은머신러닝기반의분석엔진기능을활성화 위협탐지 (Detection) 자동화된완화조치 (Automated Mitigation) 운영가시성 (Operational Insights)
Digital Transformation 에서의접근통제진화모델 Internet of Things IoT platform integration Phase 4 UBA, analytics and SIEM Integration Discovery and controls IDENTITY SECURITY Code/containers, Developers, IT Production AUTHORIZATION APIs, services ACCESS MANGEMENT System admins AUTHENTICATION Automation CD/CI API integration Programmatic Integration Hypervisor control Phase 1 Phase 0 Phase 2 SSO and Federation Password vaulting Cloud infrastructure access controls Role-based access control Session Monitoring Phase 3 Cloud console access controls Session recording Least privilege access Privileged identity lifecycle management Identity governance integration Superuser Containment logging Scale and Complexity Cloud endpoint control Granular access & command authorization Continuous account discovery Privileged threat analytics Continuous access policy governance monitoring SIEM Integration On-premises Virtualized Hybrid Cloud Multi-Cloud Phase 4 Phase 3 Phase 2 Phase 1 Phase 0 Identity Governance Integration External Integration for infrastructure and agile development Basic PAM 기능 위험관리자동화 정책자동화, Proactive 위협탐지 Cloud 접근통제 세션감사, 최소권한접근 패스워드관리
Privileged IAM in Hybrid IT - Architecture Security Manager Privileged Users (System, network, DB admin etc.) HR ID lifecycle management CA Identity Suite Access Management CA PAM Privileged Access ID Provisioning Cloud, SaaS Services Windows servers Agent Access Management CA PIM Unix/Linux servers Agent Agent based access management CA PIM Database, Web application Appliances (Network, Security etc.)
THANK YOU 김광일 Sr. Presales Consultant(CA Technologies) @twitter handle www.cloudsec.com