Post on 16-Sep-2020
Akamai Security Summit World Tour | Seoul1
경계를 넘어(Moving Beyond The Perimeter)
한준 기술컨설턴트 @ Akamai
Akamai Security Summit World Tour | Seoul2
Zero Trust 란 무엇인가?
Zero Trust
사용자와 어플리케이션이 여러 네트워크에 혼재“기본적으로 신뢰하지 않고 항상 인증하여 어플리케이션 접속”어플리케이션 기준 접근
App 1
App 2
App 3
더이상 신뢰할 수 있는 내부 네트워크란없음 (클라우드 전환)
App 2
App 1
App 3
내부 네트워크= 신뢰할 수 있는 네트워크?
내부 네트워크에 사용자와 어플리케이션이 존재“기본적으로 신뢰하고 필요시 인증절차 진행”전체 네트워크 접근 가능
Akamai Security Summit World Tour | Seoul3
Zero Trust 모델의 발전 단계
● 데이터 센터 자산 간에 네트워크 액세스관리
● 모든 내부 어플리케이션 (IaaS 와 온프레미스)에 대한 최소한의 권한
● 데이터 센터 자산 간에 액세스 관리● 클라우드 서비스 접속 시 인증 및 액세스
관리 제공● 강력한 인증 및 권한 관리● 필요한 사용자에 필요한 어플리케이션
액세스● 모든 내부 어플리케이션 (IaaS 와 온프레미스)
에 대한 최소한의 권한 제공
• 데이터 센터 자산 간에 액세스 관리• 클라우드 서비스 접속 시 인증 및 액세스 관리 제공• 강력한 인증 및 권한 관리• 필요한 사용자에 필요한 어플리케이션 액세스• 모든 어플리케이션 (Iaas, Saas, 온프레미스) 에 대한
최소한의 권한 제공• VPN 제거 가능• 쉬운 서비스 추가• 클라우드 보안 서비스 적용 가능• 어플리케이션 성능 개선• 고급 위협에 대한 개선된 보안 적용 가능
Micro-segmentation Software Defined Perimeter Identity Aware Proxy
Akamai Security Summit World Tour | Seoul4
Micro-segmentation●공격대상을 작게 하기 위해 네트워크를 작은
논리 세그먼트로 나눕니다. (서브넷 혹은 VLAN)○인증된 사용자만 액세스 할 수 있습니다.○문제 발생시 공격 대상을 줄이는 효과가 있습니다.
●보통네트워크 세그먼트 간 보안 연결은방화벽이 사용 됩니다.○보안 정책을 개별적으로 관리 합니다.○트래픽을 안전하게 유지 하기 위해 프리미터를 될 수
있으면 더 작게 관리 합니다.
Akamai Security Summit World Tour | Seoul5
Software Defined Perimeter●SDP 컨트롤러에서 최소 권한 전달을 목적으로
신원확인 및 인증을 중앙에서 관리 합니다.
●인증및권한 획득 후 포트 노킹 방법을 사용해어플리케이션에 대해 터널을 엽니다.
●SDP 클라이언트는 사용자 디바이스에 설치되어 DMZ에 있는 SDP 게이트웨이에 연결합니다.
Akamai Security Summit World Tour | Seoul6
Identity Aware Proxy●필요한어플리케이션에 필요한 사용자만 인증
및 권한 부여 합니다.
●기업이사용하고 있는 모든 데이터 센터 모든IaaS 어플리케이션, 모든 SaaS 어플리케이션에서 인라인으로 검증 합니다.
●기업어플리케이션의 모든 요청에 대한 전체레이어 7 보안을 적용 할 수 있습니다.
●클라이언트 없이 적용 가능 합니다.
Akamai Security Summit World Tour | Seoul7
아카마이 Zero Trust
API
API
Enterprise Threat Protector기업 내부 외부에서어플리케이션에 대한 멀웨어공격을 방어
IAAS
Enterprise Application Access필요한 사람이 필요한어플리케이션만 접근하게 할 수있는 차세대 원격 접속 솔루션
SaaS
Akamai Security Summit World Tour | Seoul8
기존 서비스 방식의 어려움
전용 장비 / 라이센스 / S/W 설치 / 보안정책 변경 등이 필요함
Enterprise
App #2
App #3
App #4
App #1IdentityIDP, SSO & MFA
AccessVPN & Client/Server
SecurityNetwork Segmentation, WAF, DLP, SWG & NGFW
App DeliveryADC
PerformanceWOC
Traditional Perimeter / DMZ
App #5Perimeter
/ DMZ
SaaS App Logging
Inside = Trusted
Akamai Security Summit World Tour | Seoul9
이렇게 한다면?
Enterprise
App #2
App #3
App #4
App #1
App #5Perimeter
/ DMZ
SaaS App
Zero Trust
IdentityIDP, SSO & MFA
E.g. Duo, Okta
AccessVPN & Client/Server
E.g. Junos, Cisco
SecurityNetwork Segmentation, WAF, DLP, SWG & NGFWE.g. Citrix
App DeliveryADC
E.g. F5
PerformanceWOC
E.g. Riverbed
Perimeter / DMZ
Logging
Enterprise Application AccessSimple, secure access as a service
EAA
EAA
Akamai Security Summit World Tour | Seoul10
1
2
EAA Connector
Web APPs
3
-EAA Edge-
회사 내부
집으로 이동
EAA 특장점
- SSO- 다단계 인증- 통합 ID 기반
IaaS
(AWS, Azure등..)
클라우드
방화벽 외부에서 내부로의 접근이 필요하지 않음
데이터 센터
사내 웹 어플리케이션 (Sharepoint 등..)
사내 디렉토리 서비스 연동(Active Directory / LDAP)
Windows / Linux 서버 (RDP / SSH)
필요한 사람에게 필요한 어플리케이션만 접근 허용제로 트러스트 클라우드의 경계선
SaaS(SFDC, 오피스365등..)
협력사, 파트너사
원격 접속
임직원 접속
외부 관계자 접속
HTML5를 사용하여 클라이언트 필요없이 브라우저로 어플리케 이션 액세스 (HTTP/S, RDP, SSH, VNC 호환)차세대 원격 액세스 솔루션
아카마이 인텔리전트 플랫폼
EAA 구조
Akamai Security Summit World Tour | Seoul11
차세대 원격 접속 솔루션아카마이의 차세대 원격 접속 솔루션은 Zero Trust 정책을 기반으로 필요한 사람이 필요한 어플리케이션만 전세계어디서나 빠르고 안전하게 접속할 수 있는 서비스이며 EAA (Enterprise Application Access) 와 ION (어플리케이션 가속솔루션)의 2가지 요소로 구성됩니다.
4 개인 컨텐츠에 가속 적용협업 컨텐츠에 가속 및 캐시 적용
Akamai Security Summit World Tour | Seoul12
멀웨어에 대한 대응 - 지금까지 우리는?
C&C
Threats
Internet
Device
Device
SWG
AV
AV
IPS/IDS
허용 된 IP주소, 프로토콜애플리케이션을 통한 악성코드 유입차단 불가
파일 기반악성코드 탐지 불가
허용된 사이트를 통해유입되는 악성코드 차단 불가
신종 악성코드탐지/차단 불가
정형화 된 시그니처 기반의 방식을 통해 악성코드/ malware/ 악의적 행위 등을 방어
인터넷
Akamai Security Summit World Tour | Seoul13
아카마이 ETP (Enterprise Threat Protector)멀웨어, 랜섬웨어, 피싱, DNS데이터 유출, 정교한 제로데이 공격 등 다양한 표적 위협을선제적으로 탐지/차단 합니다.
1. ETP 는 DNS를 이용합니다.• Good domain은 정상 IP반환• Bad domains 은 TCP 연결이 이루어 지기 전에 차단• Risky domains은 URL검사 및 payload 분석을 위해 Akamai의 프록시로 전달
2. Risky Domain에만 Proxy 적용:• 최소의 latency• 네트워크 성능 개선
Akamai Security Summit World Tour | Seoul14
ETP 를 사용한 웹 요청 검증 플로우 – 악성 도메인
ClientConnector
C&C
Threats
Internet
Device
SWGIPS/IDS
인터넷
리졸버DNS서버
ClientConnector
Device www.badsite.com
Akamai
Akamai ETP
사내 네트워크
ETP Block Page IP응답
DNS Deny
Akamai Security Summit World Tour | Seoul15
ETP 를 사용한 웹 요청 검증 플로우 – Risky 도메인
ClientConnector
C&C
Threats
Internet
Device
SWGIPS/IDS
인터넷
리졸버DNS서버
ClientConnector
Device
www.risky.com
Akamai
Akamai ETP
사내 네트워크
Akamai Proxy IP전달
Akamai Proxy IP전달
Akamai Proxy IP 접속
ETP Proxy
ETP Block Page 응답
ETP Block Page 응답
ETP Block Page 응답
Akamai Security Summit World Tour | Seoul16
아카마이 ETP 보안 모델 (1/3)Akamai Intelligent Edge PlatformTM
DNS Inspection Layer DNS Inspection Layer• 모든 DNS요청은 ETP로 전달
• Akamai 가 보유한 위험 도메인과 User가요청한 도메인 비교
• 정상 도메인일 경우 정상 Query 응답값전달
• malicious 도메인 요청은 자동으로 DNS레벨에서 차단
• Risky 도메인으로 의심될 경우 Akamai의Proxy로 전달하여 위협 행위 감시
Safe_domain.com/* = allow request
Bad_domain.com/* = block request
Risky_domain.com/* = forward request to proxy
Akamai Security Summit World Tour | Seoul17
아카마이 ETP 보안 모델 (2/3)Akamai Intelligent Edge PlatformTM
DNS Inspection Layer URL Inspection Layer• 모든 Risky 요청이 Akamai Proxy로 보내지면,
Akamai URL Threat intelligence 과 비교
• Malicious URL 요청이 확실하면 자동 차단
• 그 외의 모든 Risky도메인은 Proxy를 통해HTTP/S 요청
Safe_domain.com/* = allow request
Bad_domain.com/* = block request
Risky_domain.com/* = forward request to proxy
Risky_domain.com/bad_url = block request
Risky_domain.com/files/* = retrieve content via proxy
URL Inspection Layer
Akamai Security Summit World Tour | Seoul18
아카마이 ETP 보안 모델 (3/3)Akamai Intelligent Edge PlatformTM
DNS Inspection Layer Payload Analysis Layer
• Malware 분석 엔진으로 전송된페이로드 검사
• 악의적인 내용, Zero day 위협으로 판단될 경우 자동 차단
• 오직 안전한 컨텐츠에 대해서만 허용
Safe_domain.com/* = allow request
Bad_domain.com/* = block request
Risky_domain.com/* = forward request to proxy
Risky_domain.com/bad_url = block request
Risky_domain.com/files/* = retrieve content via proxy
URL Inspection Layer
Risky_domain.com/files/bad.pdf = block content
Risky_domaim.com/files/good.pdf = allow content
Payload Analysis Layer
Akamai Security Summit World Tour | Seoul19
아카마이 ETP 장점
선제적인 대응
• 실질적 피해 발생 전 공격 탐지• 이미 공격이 유입되어 있는 경우
2차 피해 예방
운영시간 단축
• 사고/사건을 줄여 사고 발생 후 조치를취하는 시간 해소
• 빠른 구현과, 직관성 있는 실시간모니터링
Akamai CSI
• Cloud 기반의 빅데이터 분석을 통해지속적으로 업데이트 수행
• Machine과 사람의 이중화 된 접근 및분석
• Offline 행위 분석 가능
성능
• 기존 보안 장비 등에서분석/시그니처 매핑 등을 하기위해 지연 되던 시간 단축
Akamai Security Summit World Tour | Seoul20
EAA (Enterprise Application Access)
공격자
Internet
Enterprise
Enterprise Connector
Apps
필요한 사람에게필요한
어플리케이션만 접속
방화벽 외부에서 내부로접근할 필요가 없음 원격
사용자
문제시 공격 대상이한정적
Akamai Security Summit World Tour | Seoul21
ETP (Enterprise Threat Protector)
Internet
WWWThreats
C&C
AUP
DNS
Internal User
Mobile
IoT
Remote
ON-
NET
OFF
-NET
DNS 요청 검사 URL 요청 검사 Payload 검증
Akamai Security Summit World Tour | Seoul22
데모
Akamai Security Summit World Tour | Seoul23