- 스마트한보안운영을위한방화벽정책적용및계정관리자동화 2019. 4. 10 한은혜대표 (nonehan@secnc.co.kr)
Contents 방화벽정책자동적용방안
방화벽운영 / 관리에이러한어려움있으세요? 방화벽운영관리의어려움 과다오픈된정책관리어려움구간단위로서비스적용시열지말아야할서비스들이열려있어감사지적해지신청되지않아필요기간이상으로오픈된정책 ( 만료관리의필요성 ) 과중한방화벽운영업무로방화벽운영자의퇴사정책신청시방화벽운영담당자에게모든것을물어보는문의전화과중신청되어있는줄모르고재신청목적지 IP를모르거나, 네트워크구성을몰라서신청전에문의방화벽정책신청후적용까지의소요시간으로요청자불만 방화벽정책관리와운영의편의성을위해일원화된방화벽벤더유지방화벽운영의안정성을위해방화벽벤더변경의어려움방화벽벤더교체시수작업이관작업의어려움 2
Security Misconfiguration 방화벽정책관리의중요성 Through 2020, 99% of firewall breaches will be caused by simple firewall misconfigurations not flaws, according to Gartner. 3
제 4 차산업혁명그러나방화벽운영의현실은.. 4 차산업혁명시대의방화벽관리현실 빅데이타 + AI + 클라우드 (+ 망분리 ) = Complexity 가중 but... 방화벽관리는수동으로 4
방화벽의유효성관리는? 현재방화벽은안전하게관리되고있을까요? 방화벽운영잘하고있는가? 신청자가신청한룰이기존룰에위배되는가 룰에넣었을때정상동작할것인가 규칙수행 서비스제공 더이상필요없는룰이존재하는가 잠재적위험 어떤룰이나를위협하는가 잠재적위험 5
방화벽운영의현실은? 방화벽운영인력은충분한가요? 방화벽운영인력은충분한가요? 방화벽욲영업무가힘들어퇴사하는욲영자 방화벽적용은업무마감시갂이후에.. 방화벽적용후장애대응대기로새벽에출근 너무많은룰을눈으로검증하려면.. 보안감사대응하려면.. 더욱더가중되는업무.. 한번의실수에.. 큰책임을.. 6
방화벽관리의보안지수측정사례 이러한분석이필요한지않을까요? 기간관리 (20 점 ) 정책활용도 (20 점 ) 정책범위적정도 (20 점 ) 서비스안전도 (20 점 ) 보안기준준수 (20 점 ) Security Point (100 점기준 ) A 사 7.16 19.99 17.64 19.42 9.39 73.60 B 사 12.65 19.86 17.26 19.77 15.25 84.79 C 사 6.48 19.36 9.04 9.36 0.16 44.40 D 사 6.82 16.52 16.67 19.85 6.52 66.38 E 사 8.66 17.19 15.03 19.30 11.14 71.32 F 사 4.05 19.87 14.77 18.30 3.66 60.65 G 사 14.53 18.84 18.97 19.37 9.12 60.65 7
신청부터룰적용까지전체과정의자동화 룰자동적용 8
신청부터룰적용까지전체과정의자동화 룰자동적용 운영자수동작업 FPMS 자동처리 싞청정보를대상방화벽별로분류 IP, Port, Protocol 형식체크 룰분류작업 룰문법확인 정책자동등록기능 패킷최적화사용 룰등록작업자동수행 룰의중복체크, 비슷한유형별재조합 룰그룹핑 (IP Range) 작업리스트자동분류 룰자동생성 기등록된방화벽룰과싞청정보를병합 룰병합 방화벽별룰적용 룰적용 룰동최적화 룰자동적용 싞청정보 방화벽룰일치상태비교, 보안위배확인 룰보안검수 정책정합성검증기능 KISA / 보안지수기반자동검증 방화벽정책적용 / 분석시스템 방화벽룰신청룰점검 / 최적화방화벽룰적용 9
다양한방화벽연동하여동시자동적용운영 다양한이기종방화벽연동 연동방화벽 방화벽연동프로세스 기본정책 신규방화벽지원정책 10
보안분석및보안수준진단 KISA, 금보원, 회사컴플라이언스가제시하는기준에맞는지살펴보세요. 중요한서비스가많음 11
토폴로지관리 자동으로관리되는토폴로지정보 12
Dashboard 로방화벽의현황관리 Dashboard 13
이기종방화벽룰마이그레이션 14
ID 기반으로방화벽정책적용자동화 층간, 사업장이동시에도 ID 기반으로허용된서버에바로접속가능 자리이동 ( 회의, 출장 ) 신규인력젂입 ID ID 지점 이동 15
금융보안기간방화벽차단정책자동적용 사내결재시스템 고객사업무시스템 (HR, 결재등 ) 유관기관 위협정보제공 관제팀 운영자 내부승인 정책검증 적용자동화 여러구간의많은방화벽 벤더제공위협정보 방화벽정책자동적용 16
Firewall Lifecycle Management The Rules can be Tracking?! 17
Contents 클라우드서버접근통제방안
클라우드환경에서의장비접속 User From Anywhere User from Anywhere - 계정관리가더욱더중요한환경 EMPLOYEES Amazon Web Service PARTNERS Azure INTERNET SUPPLIERS 수백수십명의개발자 ( 내부외부 ) 파트너등외부사용자 Private Cloud 수백수천개의인스턴스 내부개발자, 외부개발자등사용자관리 관리자, 비활성사용자, 퇴사자및외부직원구별 지속변화되는인스턴스에접속계정권한할당관리 외주개발자변경시등회수되어야하는권한할당의지속적인관리어려움 19
계정관리의요구사항 I. 계정관리현실 계정관리현실 내부보안규정 공용계정사용금지 개인계정사용원칙, 공용계정사용시실사용자추적이가능해야함 비밀번호는 2-3 가지조합 8 자리이상 영문대 소문자, 숫자, 특수문자를이용한 3가지조합 8자리이상또는 2가지조합 10자리이상으로설정 비밀번호사용기간최대 3 개월 비밀번호사용최대기갂은 3 개월로하도록시스템에서자동처리 보안규정준수시장비계정암호변경작업량 ( 계정생성 / 삭제별도 ) 관리대상계정 : 30,000 개 계정암호변경시간 : 1 분 4 회 / 년 관리대상계정수 : 장비 10,000 대 욲영자수 3 명 = 30,000 개 암호변경분기당 1 회 장비 1 대당욲영자수 : 정담당자 1 명 + 부담당자 2 명 = 3 명 ( 가정 ) 20
계정관리의어려움 II. 도입필요성 도입필요성 계정관리의어려움 접속관리의어려움 입사 / 퇴사자발생시마다계정수동정리 계정관리대장엑셀파일로관리 비밀번호주기적으로수동변경 작업내용로그추적수작업 명령어통제불가 실접속자조회수작업 장비계정관리시스템 계정및접속관리자동화를지원하는시스템 21
클라우드계정관리체계의변경 계정관리기능 AS-IS TO-BE 사용자접속 사용자액션 사용자접속 사용자액션 개인계정생성 / 삭제 장비그룹에사용자추가 * 시스템액션 장비운영자 장비운영자 장비계정 (admin) 개인계정안내 개인계정접속 장비 포탈 ID EAMS 장비계정 (User) 비밀번호자동변경 장비 외주인력 비밀번호수동변경 외주인력 * EAMS 에서는사용자와장비를그룹에등록하여사용자는자신이속한그룹에등록된장비만접속할수있도록접속권한제어 각사용자는개인계정으로장비접속 욲영자는미사용계정삭제, 싞규계정생성등관리필요 각계정비밀번호는사용자가주기적으로변경해야함 각사용자는개인 Knox Portal 계정으로장비접속 역할별계정사용하므로욲영자는계정관리불필요 계정비밀번호는주기적으로자동변경됨 22
인트터스변화에따른자동등록접속권한할당 클라우드연계 인스턴스등록 / 삭제 접속권한할당 자동권한할당 장비등록 / 삭제 인스턴스정보조회 Amazon Web Service 개발팀 Label : devel EAMS Azure 운영팀 IP : 10.0.2.0/24 Private Cloud 외주인력 EAMS Label : guest Cloud 클라우드내인스턴스정보자동반영하여장비등록 / 삭제 추상화계층설계적용하여신규벤더추가되어도개발용이 인스턴스사용기준 (IP 대역, Label 등 ) 에따른사용자접속권한자동할당 23
단일화된접속방법을통한서버접근및작업이력 접속관리의변화 AS-IS TO-BE SSH 접속 터미널프로그램 Linux / Unix / Cisco SSH Linux/Unix/ Cisco 접속 RDP 접속 RDP 장비운영자 원격데스크톱 Windows 장비운영자 EAMS Windows 접속 HTTP/HTTPS 저장 HTTP/ HTTPS 웹브라우저 Appliance Web UI Appliance Web UI 각 OS 에맞는프로그램이용하여장비접속 작업이력수동저장 EAMS 에서제공하는웹터미널통해 장비접속 작업이력텍스트, 동영상형태로저장되어제공 24
자동화된계정관리전체구성 IV. 시스템구성도 인증 Provider 고객사업무시스템 (HR, 결재등 ) 사내인증시스템 FIDO 인증시스템 사내결재시스템 2 인증및업무데이터연동 사용자웹 인증정보와장비계정매핑 4 접근권한확인 5 자동로그인 운영자 1 로그인 3 장비리스트에서장비선택 6 웹브라우저상의터미널창에서작업 장비 장비계정관리시스템 (EAMS) 사용자 시스템 25
요구사항 #1: 계정분리및 FIDO 인증을통한보안성강화 III. 기대효과 Scenario: 새로운장비운영자가장비에접속하기위해계정이필요한경우 AS-IS TO-BE 사용자액션 시스템액션 사용자액션 장비계정인증구갂 개인계정인증구갂 FIDO 인증및 IP 접근제어지원 장비계정인증구갂 공유장비계정 ID ( 수동로그인 ) 욲영자개인 ID 장비계정 ID ( 자동로그인 ) 장비운영자 장비 장비운영자 장비계정관리시스템 장비 장비에계정을수동입력하여접속하므로계정노출 욲영자개인 ID 로사용자인증후장비에자동로그인되므로계정노출되지않음 26
요구사항 #1: 계정분리및 FIDO 인증을통한보안성강화 [ 별첨 ] 앱에서지문인증을해주세요. 지문인증요청이도착했습니다. 남은시갂 25 초 남은시갂 30 초 장비계정관리시스템에 Knox 계정입력후로그인 등록된지문이있는경우, 지문인증안내팝업창 EAMS 로그인성공 지문인증에성공했습니다. 잠시후화면이자동으로이동합니다. 지문인증성공후사용자화면으로 redirect 27
요구사항 #2: 장비접근을위한업무프로세스자동화 III. 기대효과 Scenario: Root 계정접속을위해접속권한결재승인을득함 AS-IS TO-BE 사용자액션 권한승인통보 시스템액션 사용자액션 1 결재자 계정관리자 2 권한승인수동반영 2 접속권한결재상싞 결재자 3 권한승인자동반영 3 인증 1 인증 4 자동접속 장비운영자 장비 장비운영자 장비계정관리시스템 5 장비 작업시갂및이력자동기록 4 Root 접속을위한결재승인후계정관리자가권한반영 ( 최대 2~3 일소요 ) Root 접속을위한결재승인후자동반영 ( 승인후즉시반영, 결재문서내작업시갂에만접속가능 ) 28
요구사항 #3: 장비접속이력실명화저장 III. 기대효과 Scenario: 운영장비에서장애가발생하여작업이력조회필요 AS-IS TO-BE 사용자액션 시스템액션 문제장비 / 접속이력파악 사용자액션 접속이력수집 접속자 / 변경이력파악 2 1 장비 1 1 장비 1 운영인력 관리자 장비 2 관리자 장비계정관리시스템 장비 2 장비 N 장비 N 1 2 각장비직접접속후, 접속이력 ( 계정 / 장비접속 IP 기반 ) 확인 해당 IP 사용자추적후, 변경이력구두확인 1 장비계정관리시스템접속하여모든장비의접속이력확인 ( 사내인증시스템계정별작업이력검색 ) 29
요구사항 #4: 비정상접속이력조회 III. 기대효과 Scenario: 운영서버내고객社정보가외부로유출되어외부접속확인필요 AS-IS TO-BE 사용자액션 관리자액션 시스템액션 사용자액션 관리자액션 관리자 비정상접속이력조회 비정상접속이력조회 비정상접속이력수집 서버접속 관리자 장비계정관리시스템 서버 1 서버 N 장비운영자 서버 1 서버 N 장비접속 서버접속 해커 서버접속 장비운영자 해커 서버내모든접속이력추적필요 장비계정관리시스템외비정상접속이력우선적으로추적가능 30
요구사항 #5: 퇴사자장비접근자동차단 III. 기대효과 Scenario: 장비운영자퇴직시계정보안을위해관련계정변경 / 삭제필요 AS-IS TO-BE 퇴직자정보수동반영 사용자액션 HR 시스템 수동삭제 수동삭제 장비 1 시스템액션 사용자액션 모니터링 퇴직자정보자동반영 HR 시스템 자동삭제 자동삭제 장비 1 계정관리자 수동삭제 장비 2 계정관리자 장비계정관리시스템 자동삭제 장비 2 장비 N 장비 N 퇴직장비운영자 퇴직장비운영자 장비욲영자퇴직시모든장비에접속하여욲영자계정수동삭제 퇴직자정보자동반영되어장비계정관리시스템접속불가 31
요구사항 #6: 장비계정라이프사이클자동화 III. 기대효과 Scenario: 장비보안을위해비밀번호주기적으로변경 AS-IS TO-BE 사용자액션 시스템액션 사용자액션 비밀번호변경 자동반영 장비 1 비밀번호정책설정 장비 1 장비운영자 비밀번호변경 장비 2 장비운영자 장비계정관리시스템 자동반영 장비 2 비밀번호변경 장비 N 자동반영 장비 N 모든장비에직접접속하여비밀번호변경 장비계정관리시스템에서비밀번호정책설정하면, 모든장비의비밀번호자동변경 32
요구사항 #7: 방화벽신청건수감소 III. 기대효과 Scenario: 장비유지보수를위해외주업체인력이장비에접근 AS-IS TO-BE 방화벽정책 방화벽정책 사람 N 명 사람 N 명 장비계정관리시스템 장비 M 대 장비 M 대 방화벽싞청건수 : N x M ( 예 ) 30( 명 ) x 2,500( 대 ) = 75,000 개 방화벽싞청건수 : N + M ( 예 ) 30( 명 ) + 2,500( 대 ) = 2,530 개 33
요구사항 #8: 장비운영비용감소 장비운영비용감소 주체 장비욲영자 업무 소요시간 ( 분 ) 연간젃감효과장비연간수량빆도금액현재 EAMS MM ( 億원 ) 암호변경시갂 2*3 (1) 0 27,445 4 37.4 2.85 싞규장비도입시 계정생성 3*3 (1) 3 3,303 (2) 1 2.0 0.08 접근제어적용 3*3 (1) 2 3,303 (2) 1 2.0 0.08 보안점검대응 10 8 27,445 1 6.2 0.23 보안담당자 보안점검수행 10 8 27,445 1 6.2 0.23 (1) 욲영장비 1 대당계정 3 개기준 (2) G-ICT 시스템기준 '17 년싞규도입장비 (3) 12MM 당욲영비용 5,000 만원기준 計 53.8 3.47 (3) 34
감사합니다 서울시영등포구당산로 41 길 11, W 1104 호 ( 당산 SK V1 센터 ) 대표전화 : 02)6925-2550 팩스 : 02)6925-2551 웹사이트 : www.secnc.co.kr 에스에스앤씨