MEGAZONE WEBINAR - Akamai 3 6 9 solution: EAA, ETP 2019. 03. 21(Thu) Copyright 2019 MEGAZONE CORP. ALL RIGHT RESERVED.
AGENDA Time Contents Speaker 14:00-14:05 1. 메가존이제시하는아카마이온라인비즈니스솔루션정의및영역 2. 비즈니스챌린지의정의및영향 1. 메가존이바라보는인터넷제로트러스트 (Zero Trust) - 기업어플리케이션접속을제어하고사용자를표적위협으로부터보호하는방법 신보람 (Akamai 마케팅 ) 14:05-15:00 2. 고객사례 ( 비즈니스챌린지 ) - 외부에서접속하는일이많은우리회사의보안사각지대를어떻게보완할것인가? - 메일이나그룹웨어등을통해우리회사의구성원이감염시키는바이러스나침입을어떻게통제할것인가? 신동준 (Akamai 영업 ) 3. Q&A 2
메가존이제시하는 아카마이온라인비즈니스솔루션과 비즈니스챌린지 Copyright 2019 MEGAZONE CORP. ALL RIGHT RESERVED.
1. What is Akamai 3 6 9 Solution? 아카마이온라인비즈니스솔루션 기업이겪고있는온라인비즈니스챌린지 (Business Challenge) 에대한해결책 4
1. What is Akamai 3 6 9 Solution? 3 서비스증대 Service Expansion Managed Service Premium Service&Support Monitoring Service WAF(Web Application Firewall) 6 보안강화 Security Enhancement Web Application Protector Kona DDoS Defender Kona Site Defender Fast DNS ETP < 웹 & 모바일가속 > < 이미지최적화 > 5 9 성능개선 Performance Improvement Dynamic Site Accelerator Mobile Accelerator(ION) Load Testing(Cloudtest) Site Performancemanagement(mPulse) IP Application Accelerator Image Manager <DNS& 트래픽 > Application Load Balancer Global Traffic Management Fast DNS
2. What is Business Challenge? 기업이온라인상에서비즈니스를진행함에따라발생하는문제상황 호감도 경쟁력 매출 6
2. What is Business Challenge? 7
Zero Trust 와 Akamai Copyright 2019 MEGAZONE CORP. ALL RIGHT RESERVED.
Zero Trust 란무엇인가? Zero Trust 란무엇인가? 내부네트워크 = 신뢰할수있는네트워크? 더이상신뢰할수있는내부네트워크란없음 ( 클라우드전환 ) App 1 App 1 App 2 App 3 Zero Trust App 2 App 3 내부네트워크에사용자와어플리케이션이존재 기본적으로신뢰하고필요시인증절차진행 전체네트워크접근가능 사용자와어플리케이션이여러네트워크에혼재 기본적으로신뢰하지않고항상인증하여어플리케이션접속 어플리케이션기준접근
Akamai Zero Trust 인증된사용자혹은디바이스기준으로어플리케이션접속혹은데이터전송 멀웨어와데이터탈취에대한선제적대응 빠짐없는데이터접근가시성을위해항상인증절차수행 인터넷에서기업어플리케이션의성능보장
Akamai Zero Trust Akamai Intelligent Platform to secure all enterprise apps & users. 사용자확인및어플리케이션접근제어 (AuthN/AuthZ) 멀티팩터인증을통한 Single Sign On Threats App AUP 어플리케이션의성능및보안향상 향상된위협방어 인라인데이터검사 App App C&C
Akamai Zero Trust Enterprise Threat Protector 기업내부외부에서멀웨어공격을방어 SAAS Enterprise Application Access 필요한사람이필요한어플리케이션만접근하게할수있는차세대원격접속솔루션 IAAS API API
Enterprise Application Access Enterprise Application Access 기업네트워크사용자보호 방화벽또는보안그룹의모든인바운드트래픽을차단하고인터넷에서인프라를보이지않게구성 중앙집중식보안및접근제어 클라우드및 On-Prem 를통한사용자가사용할권한이있는특정앱및접근권한을결정 엔터프라이즈어플리케이션을위한 Multi-factor 인증 이메일, SMS 또는 TOTP 에서 MFA 를사용하여사용자를인증함으로써무단접근을최소화 로컬서버로드밸런싱 다양한부하분산알고리즘을사용하여내부인프라에대한트래픽균형을유지 모든엔터프라이즈어플리케이션의 Single sign-on 구성 Office 365, salesforce.com 을포함한 On-Prem, IaaS 및 SaaS 어플리케이션에완벽한접근가능 사용자활동의감시 모든사용자의클라이언트정보및수행한작업과위치정보를기록하여 HIPPA 및 PCI 준수를보장
Enterprise Threat Protector Enterprise Threat Protector 악의적인목적의도메인에대한접근을식별하고차단 Malware 또는피싱을목적으로하는사이트를호스팅하는것으로알려진악성도메인에대한요청또는사이트와의통신을차단 부적절한컨텐츠에대한접근차단 기업네트워크에서수용가능한인터넷사용정책을효과적이고일관성있게시행 악성코드등에영향을받은장치의통신차단 악성코드등에의해서감염된장치의기존연결이악의적인행위자의 CnC(Command and Control) 인프라로연결되는것을차단 DNS 기반데이터추출방지 악의적인행위자가 DNS 프로토콜을사용하여민감한기업데이터를추출하는것을방지 사용자화가능한웹어플리케이션보호프로토콜, 요청제한, HTTP 정책위반, Command Injection 공격, 트로이백도어및아웃바운드컨텐츠유출과같이미리정의된구성가능한응용프로그램레벨의방화벽보호컬렉션제공
Enterprise Application Access ( 차세대원격접속솔루션 ) Copyright 2019 MEGAZONE CORP. ALL RIGHT RESERVED.
Remote Access 의고려사항 Remote Access 의고려사항 SSL VPN IP Ses VPN CITRIX Etc Data Center (Including Cloud) AD / LDAP SSO Multi-Factor Etc 전용장비 / 라이센스 / S/W 설치 / 보안정책변경등이필요함
Remote Access 고려사항 ( 계속 ) Remote Access 의고려사항 공개된 VPN 장비 IP 및서비스 Port에대한다양한공격 보안장비운영및유지보수비용 보안정책변경 (Public IP / 서비스 Port / 접근제어등 ) 추가적인사용자인증 ( 대외접속인력 ) 전용장비 / 라이센스 / S/W 설치 / 보안정책변경등이필요함
기존서비스방식의어려움 기운영중인환경에대한변경이필수적 사용자및애플리케이션사이징 장애대비추가장비및네트워크구성 물리적장비의설치 네트워크구성변경및설치 다양한인증방식지원을위한추가구성 보안설정및네트워크변경이필요 정책관리및데이타관리필요 서비스에따라별도의 S/W 설치필요 기타 구성및운영소요기간 : 수주일에서수개월
EAA(Enterprise Application Access) 회사내부 임직원접속 EAA 특장점 필요한사람에게필요한어플리케이션만접근허용제로트러스트클라우드의경계선 SaaS (SFDC, 오피스 365 등..) 아카마이인텔리전트플랫폼 -E A A E d g e - IaaS (AWS, Azure 등..) 클라우드 집으로이동 원격접속 - SSO - 다단계인증 - 통합 ID 기반 2 방화벽외부에서내부로의접근이필요하지않음 데이터센터 협력사, 파트너사 외부관계자접속 E A A C o n n e c t o r 사내웹어플리케이션 (Sharepoint 등..) W e b A P P s Windows / Linux 서버 (RDP / SSH) 1 HTML5 를사용하여클라이언트필요없이브라우저로어플리케이션액세스 (HTTP/S, RDP, SSH, VNC 호환 ) 차세대원격액세스솔루션 3 사내디렉토리서비스연동 (Active Directory / LDAP)
기존 VPN 기반방식과의차이점 기존 VPN 기반방식과의차이점 기존의 VPN Tunnel 구조 - VPN 접속을위한별도장비및보안정책추가설정필요 - VPN tunnel 접속후모든내부네트워크에대한접근가능 - 유해트래픽에감염된 End User로인한내부네트워크위협증가 - 외부에공개된 IP 및서비스 Port로각종공격의대상이됨 EAA 서비스구조 - 내부에설치된 VM에 Proxy 로동작하는 S/W 만을탑재, 전용장비의구매및보안정책추가설정불필요 - End User에허용된 APP 에만접속을허용, 보안위협최소화 - Browser 를통한 HTTP/S 만을사용함으로 End User로인한보안위협이내부서비스에전파되는것을방지 - 외부로공개된서비스 Port 가없음으로각종공격의대상에서제외됨
구성방식 Internet Connector 에서아카마이 EAA Edge 로연결 (TLS) Enterprise Connection From Connecto r to Application 사용자 애플리케이션접속을위한사용자는 EAA Edge 에접속 Enterprise Application Access EAA Edge Enterprise Connector Apps EAA Management Cloud 1. Connector 2. 시스템 에서 EAA관리용 Cloud에접속하여상태전달및정책설정확인 Admin EAA 구성및관리 - - 애플리케이션및인증방식설정 - - Connector 관리
Enterprise Connector 의역할 Internet Enterprise EAA Edg e Apps 클라우드매니져에서관리되는 Virtual Machine 외부 EAA Cloud 에대한접속및애플리케이션접속지원 프락시형태로클라우드의사용자와내부애플리케이션연동 장애대비이중화 ( 다중화 ) 지원 사용자인증을위해 Active Directory/LDAP 과연동 Enterprise Connector 다양한 ADC 기능지원 (load balancing, custom headers, path based routing, and authentication bridging 등 )
사용자인증및권한관리 인증및권환관리간편화 기운영중인인증구조활용가능 Internet IdP (IDaaS) (e.g. Okta, OneLogin) Enterprise AD / LDAP 애플리케이션 사용자 EAA Edge Enterprise Connector EAA Edge 에서사용자인증 will authenticate the user 싱글사인온기능지원 다중인증방식지원및다양한인증지원 - SAML 2.0 Identity providers (IdP) 지원 - NTLM, Kerberos, SAML, Header based Auth 다양한인증방식지원가능
트래픽플로우 Enterprise Internet EAA Edge Enterprise Connector 사용자 사용자의애플리케이션접속시도 지정된애플리케이션연동을위한 SSL 세션연결 사용자요청전달 TCP Connection TCP Connection TCP Connection Apps 애플리케이션접속시도 고객사 Domain 및아카마이 Domain 활용가능 지정된애플리케이션접속을위한 TLS 트래픽만을허용 사용자에대한인증및권한관리 기타트래픽은허용하지않음 TLS 세션을통한 HTTP/S 트래픽만을전달 지정된애플리케이션만접속 사용자요청에응답
지원서비스세부내용 애플리케이션 HTTP/S Enterprise Web Apps, such as - SharePoint - Jira - Jenkins - Oracle - JD Edwards - Oracle - Business Intelligence - Oracle - ERP - SAP - Inbox - SAP - Business Intelligence SSH, VNC Remote Desktop Access 애플리케이션위치 On-Premise (Datacenter) Cloud Providers, such as AWS, Google Cloud, Microsoft Azure, Rackspace 다양한인증지원 Enterprise Active Directory - NTLM v1 & v2 / Kerberos SAML - Okta, Ping, OneLogin, other SAML 2.0 IdPs Custom HTTP Headers Basic and Forms-based Auth 2 Factor Authentication (Email, SMS, TOTP) Connector 설치환경 VMware Microsoft Hyper-V Amazon AWS EC2/VPC Microsoft Azure Google GCE IBM SoftLayer Openstack or KVM VirtualBox Docker Container
340+ Applications 6500+ Users
EAA 효과 Enterprise Applications 서비스구현시간최소화 - 추가장비및사용자 S/W 설치불필요 보안강화 - 기존보안정책의변경없이지원 성능개선 - 수행속도향상 Simplicity Security Performance Remote Access 다양한인증지원 : AD, LDAP, Cloud Directory 등다양한인증활용가능
EAA 고객사례 항공사 1. 고객이슈 세계적인규모의항공사는제한된인원으로구성된개발팀에게애플리케이션접속권한을부여 2. 요구사항 내부개발자와외부개발자가엔터프라이즈애플리케이션에접속할수있어야함 AWS 및점프서버 SSH 접속이호환되어야함 3. 솔루션도입과정 솔루션도입과정며칠안에구축이완료되었고 IT 팀에서는 2달동안 Enterprise Application Access에대한테스트와평가에전념할수있었습니다. 기존솔루션단점 : 사용자친화적인인터페이스를제공하지않으며전문가급지식필요, DMZ 기능이존재하기때문에기존의시스템에서애플리케이션에대한접속권한을설정의어려움. EAA 장점 : 클라우드환경을오픈할필요가없고 DMZ 인프라도필요하지않아애플리케이션컨텍스트라우팅기능을포함한애플리케이션을몇분안에퍼블리싱가능 4. 결과 보안개선 : Akamai 클라우드에있는사용자들을검증한뒤애플리케이션접속권한부여 민첩성개선 : 단순화된아키텍처를통해며칠이걸리던애플리케이션퍼블리싱을몇분단축, 동시에기존의 ADFS 시스템과통합을유지하면서네트워크구성요소에복잡한변화를주지않음. 가시성보완 : EAA는모든접속활동을기록하며유리창과같은투명성을보장.
Enterprise Threat Protector ( 멀웨어에대한선제적대응 ) Copyright 2019 MEGAZONE CORP. ALL RIGHT RESERVED.
모든요청은 DNS 질의로시작 - 멀웨어도 DNS 사용 Data Center 수집된파일 id1-password1.bad.com Id2-passworld2.bad.com Id3-passworld3.bad.com Id4-passworld4.bad.com Id5-passworld5.bad.com DNS 통한데이타유출 멀웨어유포 WWW Mobile Apps 웹사이트 abc.com DNS 멜웨어가탈취한정보를 DNS 조회요청으로변조 id1-password1.bad.com Id2-passworld2.bad.com Id3-passworld3.bad.com Id4-passworld4.bad.com Id5-passworld5.bad.com ~~~ C&C 서버 HD Video 피싱사이트 트레이딩시스템 SaaS Apps Cloud 로컬 DNS c2.bad.com IP 는? 루트 DNS.com DNS bad.com DNS C&C 서버은닉기법 - 도메인, IP 지속적으로변경 Malware 와 Ransomware 의 92% 가 DNS 를이용해 C&C 서버와통신시도
아카마이 ETP(Enterprise Threat Protector) 개요 ETP 특징 DNS 를보안의한계층으로활용 DNS 를활용해내부보안강화 내부사용자의멀웨어, 랜섬웨어, 피싱사이트접근을사전에차단 DNS 쿼리로위장한내부기밀데이터유출차단 비업무사이트접속통제및모니터링제공 인프라추가없이솔루션도입가능 내부 DNS 설정변경만으로편리하게도입 클라우드기반으로별도의장비도입없음 인프라환경변경불필요 손쉬운관리 아카마이빅데이터기반자동화된보안데이터제공 직관적이고편리한웹 UI 제공 수분내보안정책변경및적용가능
DGA (Domain Generation Algorithm) C&C 서버를숨기기위해사용되는도메인생성기법입니다. Compromised System - 도메인기반방화벽에탐지를회피하기위해사용합니다. - 미리설정된알고리즘및 salt 를기반으로도메인을끊임없이생성합니다. - 사람이봤을때한번에파악가능하지만장비는쉽게찾아내지못합니다. HASH Seed + Date 아카마이 ETP 대응 행위기반비정상도메인탐지기법사용 단기간에생성되고소멸되는도메인탐지 다수의 NxDomain 에대한 DNS Query 탐지 도메인이름의어휘분석 Recursive DNS
Fast Flux Network 공격자가 Malware C&C 서버 IP 를숨기기위해프록시네트워크를사용 - IP 기반방화벽을회피하기위해사용합니다. - 탐지를회피하기위해 Proxy IP 가계속변경되며이를반영하기위해짧은 TTL 값을가지게됩니다. - 짧은 TTL 값을가지는도메인을무조건차단하면 CDN, IaaS 및 DNS 서비스에문제가발생할수있습니다. 아카마이 ETP 대응 공격에사용된이력이있는 IP 와도메인을추적관리 예전에공격이발생한이력이있는 IP 를도메인에할당한내역을추적관리
DNS Query 를이용한데이터유출 공격자가감염된 PC 의데이터를유출하기위해 DNS Query 를이용하는기법 - DNS Query 에암호화된데이터를 Hostname 처럼사용하는방식 Compromised System - Query 내용이 C&C 서버로전달되면도메인부분을잘라내고복호화 아카마이 ETP 대응대응 = 대상도메인에비정상적인 DNS Query 트래픽탐지 하나의도메인에다량의비정상적서브도메인탐지 DGA 탐지기법으로확인및차단가능 Recursive DNS kaiaaaaaaabhbhnlcgaaaa==.badsite.com kaiaaaaaaabhbhnlcgaaaa==.badsite.com kaiaaaaaaabhbhnlcgaaaa==.badsite.com kaiaaaaaaabhbhnlcgaaaa==.badsite.com ~~~
Monitoring & Management
ETP 고객사례 교육사례 1. 고객이슈 캠퍼스 3곳에서수천명의학생과직원들에게인터넷접속을제공하며주간, 야간, 온라인강의 교내네트워크 DNS 인프라에대한보안시스템이배치되어있지않아여러위협에노출 대학은연중무휴운영되는고등교육기관이기때문에유지보수또는업데이트를위해시스템중단불가 캠퍼스인터넷에접속하는학생, 교수, 직원, 게스트사용자수로인해고가의복잡한물리적연결이나기타클라우드기반이아닌솔루션을사용하는것도불가능 2. 요구사항 대학의네트워크에도달하는멀웨어및랜섬웨어수감소와보안체계강화 관리시간최소화 복잡성또는하드웨어추가없이모든사용자보호 3. 솔루션도입과정 2주간의 POC 기간동안 PandaBot 멀웨어와 Locky 랜섬웨어를확인했고네트워크상태보고서확인 ETP는다수의명령및제어와피싱시도를탐지하고차단했습니다. 네트워크트래픽에대한가시성에만족했고 ETP를즉각대학의보안스택에추가하기로결정 4. 결과 대학전체네트워크를멀웨어로부터방어및네트워크중단최소화 피싱시도와명령및제어 (CnC) 콜아웃차단
영업상담문의 담당자 : 신동준매니저 Email : sdj@mz.co.kr Tel : 010-2551-8418
THANK YOU Copyright 2019 MEGAZONE CORP. ALL RIGHT RESERVED. https://cdn.hosting.kr 46, Nonhyeon-ro 85-gil, Gangnam-gu, Seoul, Korea l T. 1644-2243