내부정보유출방지 시작 은 시스템접근제어 부터

내부정보유출방지

시작은 시스템접근제어 부터

CC-EAL4+ 취득

AIAAPL

FIPS 140-2 Level2

미군 정보보호 표준제품 인증

01

02

03

04

05

06

07

08

SAC 개념 정리

SAC 필요조건

SAC 등장배경

기대효과

기능표

SAC 기능

SAC 특장점

GateKeeper 와 타 제품 비교

Xceedium GateKeeper• Overview• Appliance• Deployments• Technology• Certification

INDEX

SAC(System Access Control) 는 크게는 Access Control( 접근제어 ) 솔루션에 해당합니다 .

System(Server, Network Equipment, Mainframe 등 ) 에 대한 접근을 통제하여 System 자원을 보호하는데 그 목적이 있습니다 .

01 SAC 개념 정리

시스템에 접근하는 사용자에 대하여 인증을 수행

Authentication

사용자 별로 접근 가능 시스템 및 시스템에서

행하는 작업을 통제

Access Policy Management

사용자가 시스템에서 행한 모든 행위 정보 저장

Monitoring & Recording

System Access Control(SAC)SAC 시스템의 경우 개념은 간단하지만 모든 System 에 대하여 중앙집중식 접근제어를 행하는 ,시스템 보안적인 측면에서 매우 주요한 역할을 수행하기 때문에 아래와 같은 조건을 만족하여야 합니다 .

SAC System 자체에 대한 보안성

사용자 및 시스템의 계정 , 패스워드 정보가 저장되기 때문에 SAC System 자체가 각종 사고 및 해킹

등의 공격으로부터 보호될 수 있어야 합니다 .

SAC 에 저장되어 있는 각종 주요데이터 ( 계정 , 패스워드 데이터 등 ) 을 보호할 수 있는 자체 암호화를

지원하여야 하며 , 각종 로그 및 레코딩 데이터를 암호화하여 저장하는 기술을 제공하여야 합니다 .

02 SAC 필요조건

모든 시스템의 접근이 SAC 를 통하여 이루어지기 때문에 SAC 시스템에 문제가 발생하는 경우 시스템 접근 자체가 불가합니다 . 따라서 , 시스템의 안정성이 보장되어야 합니다 .

HA, Clustering 등의 기술을 제공하여야 하며 , DR Center 와 같이 물리적으로 떨어진 곳에 설치된 제품과 Main Center 에 설치된 제품간의 연동이 되어 만약의 사태 발생시에도 문제없이 시스템 접근 통제를 행할 수 있어야 합니다 .

통합관리

System Access Control 에서 System 은 모든 서버 , 스위치 , 제어장비 , 보안제품 등 네트워크에

연결된 모든 시스템을 의미합니다 . 따라서 SAC 는 모든 시스템에 대하여 그리고 모든 사용자에 대한 통합적 제어를 행하여야 합니다 .

네트워크 장비만 관리되거나 , Unix 서버만 되거나 , Windows 서버만 된다고 하면 반 쪽짜리 시스템

입니다 . 또한 , 일부 사용자는 되고 , 일부 Application 만 지원한다고 하는 것도 반쪽짜리 시스템

입니다 .

모든 시스템 , 모든 사용자 , 모든 접속 형태에 대한 제어가 되어야 온전한 System Access Control 의 의미가 있습니다 .

안전성

여러 경로를 통하여 무분별한 시스템 접근

시스템 별로 별도의 접근 권한을 설정하여 관리

시스템 별로 별도의 접근 로그를 관리 ( 문제 발생시 신속한 조치 불가 )

사용자의 실수로 인한 장애 발생 가능성

시스템 주요 데이터에 대한 유출 가능성

시스템이 각종 공격에 노출 된 상태 / 악성 코드 등에 의한 감염 가능성

Before Afther

중앙 접속 제어 시스템을 통하여 시스템에 접근

중앙에서 일괄적으로 시스템에 대한 접근 권한 관리 수행

시스템에서 행한 모든 작업 로그 생성 및 작업 내용 레코딩 ( 감사 데이터 )

사용자의 실수에 의한 Human Error 억제

시스템 주요 데이터 보호

시스템을 각종 위협으로부터 보호

SAC 솔루션의 등장배경에는 여러 가지가 있을수 있지만 , 아래 2 가지가 가장 큰 등장배경이라 할 수 있습니다 .03 SAC 등장배경

관리 대상 시스템 증가 / 통합 시스템 접근 관리 솔루션 필요

외부 및 내부 사용자에 의한 중요 내부정보 유출사고 증가 / 시스템 접근 강화 및 자원보호 , 권한관리 , 행위 데이터 저장 필요

내부 직원

협력사 직원

Vendor 직원

유지보수 직원

관리자

외부 사용자

유지보수 직원관리자

외부 사용자내부직원

SSL/ HTTPS System

SAC(System Access Control) 를 도입한 기관에서 기대할 수 있는 도입효과는 크게 2 가지가 있습니다 .

04 SAC 기대효과

시스템 관리의 효율성 증대

시스템 안정성 확보 ( 시스템자원보호 )

각 시스템 별 계정관리 진행

각 시스템에 인가된 사용자의 접근 경로 설정

각 시스템 별 접근 이력 관리

행위 레코딩 불가

분석 시 , 별도 통합 이벤트 메니저 설치 필요

수집 시 , 각 시스템 별 수행 , 또는 별도의 이벤트 메니저 필요

각 사용자에 대하여 시스템 별 사용 권한 제어시스템에 따라 권한 제어 불가능한 상황 발생

각 시스템 접속 후 , 타 시스템에 대한 연계 접속 가능경우에 따라 Leapfog 제어 자체가 불가

방화벽 및 VPN, Switch 등 , 시스템에 대한 원격 제어 허용

시스템 IP 및 계정 , 패스워드를 접근하는 사용자에게 Open

사용자가 악의적인 목적으로 시스템에 있는 데이터 유출 가능성

시스템 , Switch, 계정 별로 보안 규정 준수를 위한 변경 작업

1 개의 계정으로 접근 가능 시스템에 대하여 통합 관리

SAC 시스템을 통해서만 시스템 접근 경로 설정

각 계정 별 , 시스템 별 접근 이력에 대하여 통합 관리

CLI 및 RDP, VNC 를 통한 모든 작업 내용 레코딩

사용자의 시스템 작업에 대하여 위험도에 따라 레포팅 (Customizing 가능 )

레포팅 및 레코딩 데이터를 통하여 시스템 별 사용자 감사데이터 제공

Command Filter, Socket Filter 등의 기능을 이용 시스템 사용 권한 제어시스템에 Admin 으로 접속하는 경우에도 각 사용자별 행위 제어

1 개의 시스템에 접속하여 다른 시스템에 접속하는 Leapfrog 제어

SSL VPN 기능을 이용하여 원격에서 접속할 수 있는 임시 계정 발급계정 사용 시간 제어 , 접근 시스템 제어 기능을 이용하여 권한 통제

사용자는 단순하게 자신의 계정에 대한 정보만 가지고 있음각 시스템의 IP, Admin 계정 , 패스워드는 숨겨짐

시스템의 주요 데이터를 유출하는 행위를 원천적으로 방어

SAC 를 통하여 시스템 접근 및 사용에 대한 보안 일괄 적용

항목

접근 계정 관리

접근 경로 관리

접근 이력 관리

행위 레코딩

레포팅

감사데이터

명령어 제어

Leapfrog

원격 사용자 제어

시스템 정보 보호

데이터 유출

각종 보안 규정 준수

04 SAC 기대효과 ( 계속 )

SAC(System Access Control) 도입 전 · 후 효과를 비교하면 아래의 표와 같습니다 .

도입 후도입 전

05 SAC 기능표

제품에 따라 차이는 있지만 SAC(System Access Control) 제품은 아래의 표와 같은 기능을 제공 합니다 .

항 목 내 용 비 고

사용자 통합계정관리 시스템에 접근하는 모든 사용자에 대한 계정을 통합 관리 각종 AD(LDAP), RADIUS 등 각종 인증시스템과 연동 기능 제공

임시 계정 관리 임시로 계정을 발급 및 관리임시 사용자 계정을 발급하여 정해진 시간 동안만 사용을 허용 , 계정 사용

시간을 설정

시스템 통합계정관리 시스템에 있는 계정 및 패스워드에 대한 관리사용자에게 시스템 계정 및 패스워드 정보 숨김

사용자는 SAC 에 접근하는 것으로 시스템에 별도의 작업 없이 접속

그룹 관리 사용자 및 시스템을 그룹화하여 관리사용자 및 시스템을 그룹화하여 그룹정책을 적용

그룹별로 편리하게 시스템 접근 정책 및 사용 정책 설정

통신 암호화 단말과 SAC 시스템간의 통신 암호화 HTTPS, SSH 를 이용하여 통신 내용 암호화

SSL SSL VPN 기능 외부 사용자가 SSL VPN 으로 SAC 에 접속하여 시스템에 접속하는 환경 제공

CLI 접속 제어CLI(Command Line Interface) 로 접속하는 모든 접속을

제어Telnet, SSH 등 CLI 로 접속하는 모든 접속에 대한 제어

05 SAC 기능표 ( 계속 )

제품에 따라 차이는 있지만 SAC(System Access Control) 제품은 아래의 표와 같은 기능을 제공 합니다 .

항 목 내 용 비 고

RDP, VNC 접속 제어 RDP(Remote Desktop Protocol) 등에 대한 접속 제어 RDP, VNC 접속에 대한 접속 제어

Command Filter 사용자가 시스템에서 행할 수 있는 명령어를 제어

각 사용자 계정 별 , 시스템 별로 행할 수 있는 명령어 통제

금지된 명령어 수행 시 경고 , Session Kill, ID Kill 등의 다양한 조치

금지된 행위 발생 즉시 관리자에게 알람 발송

RDP Application 제어

RDP 로 접속하는 경우 특정 Application 만 사용하도록 제어RDP 사용 권한에 따라 접속서버에 특정 Application 만 사용하도록 제어

사용자가 Windows Server 로 접속하는 경우 사용 가능 Application 만 표시

접속 Application 제어

사용자에 따라 접속 가능한 시스템 접속 Tool 제어시스템에 접속하는 각종 Application( 또는 Tool) 에 대한 제어

특정 Tool 을 사용하는 시스템에 접근하는 경우에도 제어 기능 제공

Session Recording 사용자가 시스템에서 행한 모든 작업 내용 RecordingCLI 및 RDP, VNC 작업 내용에 대한 레코딩

모든 레코딩 내용은 암호화하여 저장

RDP, VNC 레코딩의 경우 문제 발생 시점을 표시하여 손쉬운 검색 기능 제공

자체 암호화 SAC 제품 자체의 데이터를 암호화SAC 시스템 자체에 대한 보호를 위하여 모든 내용을 암호화

SAC 시스템이 도난 당하는 경우에도 접속 데이터에 대한 갈취 불가

이중화 HA 또는 Clustering 기능 별도의 L4 장비들의 도움 없이 자체적으로 HA 및 Clustering 기능 제공

레포팅 사용자의 작업에 대한 레포팅 제공각 시스템에서 행한 각 사용자에 대한 레포팅 제공

위협 행위에 대한 레포팅 및 알람 기능 제공

06 SAC 기능 Process

HTTPS 를 통한 접속 또는 SSL VPN 을 이용하여 접속 각 사용자가 SAC 에 접속 ( 자체인증 , 인증서버와 연동하여 인증 또는 2 중화 인증을 사용하는 경우 별도의 PKI 등을 통해 인증 )SAC 로 접속하면 , 각 User 별로 접근 가능한 시스템 및 접속 방식 (CLI, RDP, 별도 Application 등 ) 표시

1. User 가 SAC 로 접속

SAC(System Access Control) 을 통하여 시스템 접근을 행하는 경우 아래와 같은 Process 를 통하여 접근통제를 행하게 됩니다 .

SYSTEM 접속SAC 접속 Filtering/Recording 감사 데이터 조회

06SAC 기능 Process ( 계속 ) SAC(System Access Control) 을 통하여 시스템 접근을 행하는 경우 아래와 같은 Process 를 통하여 접근통제를 행하게

됩니다 .


SAC 에 표시된 접속 가능한 시스템을 클릭하면 접속에 필요한 CLI, RDP 접속 Terminal 구동 됨 구동된 Terminal 을 통하여 시스템에 접속

별도의 System 접속 화면 표시 또는 System 의 접속 계정 및 패스워드를 SAC 가 저장하고 있다가 자동으로 System 에 접속

( 상기와 같은 Process 를 통하여 User 는 System 의 접속 패스워드를 알지 못함 )RDP 를 통하여 Windows 에 접속하는 경우 Windows 접속 화면에 User 별로 사용이 가능한 Application 만 표시

(User 에게 Notepad 사용 권한만 있는 경우 접속 Windows 화면에 Notepad 만 표시 됨 )

별도의 Application 을 이용하여 접속하고자 하는 경우 User 가 SAC 화면에서 사용하고자 하는 Application 을 클릭

( 이 경우에 SAC 에서 JAVA Applet 를 통하여 단말에 설치되어 있는 접속 Application 을 구동 시킴 / Application 과 SAC 간에 접속에 필요한 Tunnel 를 형성 / 이 Tunnel 를 통하여 Application 이 SAC 를 통하여 System 에 접속 )

2. SAC 를 통하여 System 에 접속


됩니다 .


User 가 System 에 행하는 작업을 감시하여 위반되는 작업을 행하는 경우 Session Kill, ID Kill 등의 작업을 수행

System 에서 행한 모든 작업을 레코딩하여 Storage 에 저장 ( 저장하는 경우 압축 기술 및 암호화 기술을 사용 )

3. SAC 에서 Filtering (Role Base Control) 및 Recording 수행


됩니다 .


SAC 을 통하여 저장된 모든 User 별 , System 별 접근 및 행위 데이터를 감사 데이터로 이용

4. SAC 를 이용하여 각 User 별 , System 별 감사 데이터 조회

06SAC 기능 Technology

Authentication 각종 인증 시스템과 연동하는 기술 / 2FA(Two Factor Authentication) 구현기술

SSL 원격 사용자가 시스템에 접근하는 경우 SSL VPN 을 통하여 접속할 수 있도록 SSL 기술 지원

VM(Virtual Machine) 사용자가 시스템에 접근하는 경우 Java Applet 을 통한 단일접속 방법제공 / Agent-less 로 편리성 및 보안 위협감소

Command Filter 입력된 Command 를 검사하여 허용되지않는 Command 에 대하여 Filtering 기능 제공 (White List, Black List 관리 )

Recording 시스템 작업 내용을 레코딩하여 저장 / RDP Layer Packet Recording 기술 적용

Encryption 로그 및 레코딩 데이터를 암호화하여 저장 / 시스템 자체파일 암호화

Search 각종 로그 및 레코딩 된 자료에서 특정 문자열등 검색

Clustering 여러 대의 장비를 사용하여 HA 및 Clustering 기능을 지원

Password Manage System Password 를 일괄적으로 관리할 수 있는 기능

Application Control User 별로 시스템 접속을 위하여 특정한 Application 사용을 허용하기 위한 접속 Application 제어 기능

SAC(System Access Control) 을 구현하기 위하여 아래와 같은 기술이 사용 됩니다 .

UserSAC

System

Storage

S S L / HTTPS

07Gatekeeper 의 특장점

GateKeeper 는 타 제품과 비교하여 제품형태 , Agent 설치여부 , 구성방식 등에서 본 제품만의 특장점을 보유하고 있습니다 .

Appliance 제품 소프트웨어 제품

제품 형태

Agent – less 제품 Agent 제품

Agen t 설치 유무

VM ( Virtual Machine) 방식의 제품 Proxy 기반의 제품

구성 방식

소프트웨어 형태로 구성된 제품

별도의 하드웨어 ( 서버 ) 에 소프트웨어를 설치

2 중화 작업을 위하여 별도의 L4 및 OS Cluster, DB Cluster 제품 필요

관리하여야 하는 시스템의 수가 증가하는 경우 설치된 하드웨어 교체 필요

시스템이 외부의 해킹 등에 취약

제품 설치 및 운영 , 유지보수에 어려움 ( 시스템 장애 시 정확한 원인 규명 어려움 )

하드웨어 일체형의 Appliance 형태의 제품

별도의 L4 등의 도움 없이 자체 Clustering 기능 제공

관리 시스템이 증가하는 경우 1 대의 장비를 추가하는 것으로 문제 해결

CLI , Console 접속 불가 , 자체 시스템 암호화 지원 ( 해킹으로부터 시스템 보호 )시스템 구축 , 운영 , 유지보수 용이

RDP 등의 접속을 위하여 사용자 단말에 별도의 Agent 를 설치

Windows 7 등 Agent 가 설치되지 않는 단말 존재

외부 협력업체의 PC 등에 Agent 를 설치할 수 없는 경우 존재

기존에 설치되어 있는 백신 등의 Agent 들과 충돌 문제 발생

Agent 로 인하여 발생할 수 있는 보안 취약점 존재

사용자 단말에 별도의 Agent 설치 필요 없음

JAVA 기반의 별도의 CLI 및 RDP 접속 Terminal 제공

SSL VPN 방식을 이용하여 보안성이 보장된 상태에서 손쉽게 SAC 접근 가능

구현이 용이한 방식 ( 일반적으로 가장 많이 사용하는 방식 )Proxy 를 지원하는 Putty 등을 사용

Proxy 를 지원하지 않는 Application 사용 불가

Proxy 를 지원하는 일반적인 CLI 접속 만 지원

RDP 등을 지원하기 위해서는 별도의 Agent 를 단말에 설치하여야 함

CLI 를 이용하는 경우 정확한 레코딩이 되지 않음 ( 단순하게 입력 명령어만 저장 )

구현이 어려움 ( 몇 개의 제품들 만이 사용 )모든 Application 및 시스템 접속 Tool 지원

사용자 단말에 별도의 Agent 필요 없음

확장성이 뛰어남 (Proxy 방식의 경우 Proxy 사용에 한계가 있음 )모든 CLI 및 RDP 사용 내용을 레코딩 ( 사용자의 화면 그대로를 레코딩 )

Others

08GateKeeper 와 타 제품 비교

GateKeeper 와 타 제품간의 비교표 입니다 .

항 목 Others GateKeeper

CC 인증 CC 인증을 받은 제품 없음 CC EAL2 / EAL3 / EAL4+ 취득

제품 형태 별도의 하드웨어에 소프트웨어를 설치하는 방식 Appliance 형태의 제품

HSM (H/W Security Module)

별도의 하드웨어에 소프트웨어 설치하는 방식FIPS 140-2 Level2 에 해당하는 암호화 모듈 인증 있음

자체 시스템 암호화 기능 제공

제품 유지보수문제 발생시 L4, 하드웨어 , OS, DB 의 문제 발생 원인 파악

제품 운영 및 유지보수의 어려움해당 Appliance 에 대한 문제만 해결

시스템 보안성 시스템 자체가 보안에 취약점을 가지고 있음 CLI, Console 접속 불가 / 자체 데이터 암호화 기능 제공

시스템 접속 형태 HTTPS 만 지원 HTTPS 및 SSL VPN 을 이용한 접속 제공

구현 방식 Proxy 방식 VM(Virtual Machine) 방식

Agent 유무

대부분의 제품이 접속을 위한 Agent 사용

CLI 접속의 경우 Agent 설치 없이 지원하는 제품 있음

RDP, VNC 접속을 위하여 별도의 Agent 사용

사용자 단말에 별도의 Agent 설치 없이 사용

08GateKeeper 와 타 제품 비교 ( 계속 )

GateKeeper 와 타 제품간의 비교표 입니다 .

항 목 Others GateKeeper

지원 Application Proxy 설정이 가능한 Application 만 지원모든 접속 Application 및 접속 Tool 지원

Toad, UltraEditor 등 모든 접속 Tool 지원

HA, Clustering대부분 지원하지 않음

지원하는 경우에도 별도의 L4 필요

OS Cluster, DB Cluster 별도로 필요

자체에서 Network Clustering 기능 지원

Network Cluster 기능으로 서로 다른 위치에 설치된 장비들간의 Cluster 지원

RDP Application 제어

기능 지원하지 않음RDP 로 접속의 경우 특정 Application 만 사용할 수 있도록 제어하는 기능

제공

자체 암호화 시스템 자체 암호화 기능 지원하지 않음 시스템 자체 암호화 기능 제공 ( 암호화 모듈 인증 획득 )

라이선스 시스템의 수량에 따라 라이선스 발행 시스템의 수량에 따라 라이선스 발행

Leapfrog 제어CLI 환경에서 Command Filter 기능을 통하여 지원

Command Filter 를 사용할 수 없는 경우 지원하지 않음

CLI 환경에서 Command Filter 기능을 통하여 지원

Command Filter 를 사용할 수 없는 경우에 Socket Filter 를 통하여 지원

RDP 레코딩

이미지를 레코딩하기 때문에 사이즈가 큼

1 시간 레코딩의 경우 약 500M 이상

문제 발생 시점을 파악하기 위해서는 처음부터 레코딩 검색

RDP Protocol 상에서 Data 를 레코딩하는 방식 이용

1 시간 레코딩의 경우 약 15M문제 발생 시점을 표시하여 손쉽게 검색이 가능

Overview Appliance Deployments Technology Certification

GateKeeper 는 아래와 같은 형태로 구성 , 운영 됩니다

Overview

Policy Decision FrameworkAuthorizatio

n Monitoring Recording Reporting

중앙집중식 관리전체 시스템 관리

접근 차단문제 발생 알람

각종 이벤트각종 행위세션 레코딩

커스터마이징검색 기능 내장

SSL /HTTPS

Windows/Linux/NT Mainframes Blade System Network Devices Security Systems

LeapFrog 제어

Clustering

GateKeeper 는 국내에 소개된 SAC 제품 중 유일한 Appliance 형태의 제품 입니다

Appliance

구분 상세 SPECCPU Intel DualCore CPU

Memory DDR-2, 4GDISK 2 X 16GB SATA SSD (Raid 1)

Network Interface 6 port 10/100/1000Base-TxUSB port 2 port x USB 2.0

LCD 2 x 16 Character, BlueChassis 1U, Enclosure Fits Standard 19 Rack

Size (W x D x H) 432 x 356 x 44 mmPower Supply 250W PSU (220W at 50+ C)

Console 접속 허용하지 않음 CLI Mode 지원 하지 않음

GateKeeper Appliance (System 자체 보안 )

GateKeeper 는 Console 접속 및 별도의 CLI 접속을 허용하지 않습니다 .

GateKeeper 전체 DISK Data 에 대한 암호화를 지원합니다 .

GateKeeper 초기 세팅은

LCD 창을 통하여 외부의 버튼으로 제품의 IP 입력

HTTPS 를 통하여 접속하여 기타 사용에 필요한 설정을 행함

GateKeeper 는 다양한 사용 환경에 적용이 가능한 방식들을 제공합니다

Deployments

① 방화벽을 사용하는 환경Server Farm 앞에 방화벽을 설치하여 운영하는 경우 방화벽 앞이나 , 뒤에 설치하여 운영

방화벽에서 서버와의 모든 통신은 GateKeeper 를 통해서만 허용하는 것으로 정책 수정

단말들과 서버간의 직접 통신은 불가하도록 정책 수정

외부사용자System


Deployments

② VPN 을 사용하는 경우 ( 외부 접속자가 기존에 사용하는 VPN 을 통하여 접속하는 경우 )VPN Server 와 GateKeeper 간의 통신 만 가능하도록 32bit Tunnel 을 형성

외부 사용자는 VPN 를 통해 GateKeepr 에 접속하여 서버와 통신

VPN Server

③별도의 VPN 장비를 사용하지 않는 경우GateKeepr 에서 제공하는 SSL VPN 기능을 이용

외부 사용자는 제공받은 VPN Client 프로그램 구동 후 GateKeeper 에 SSL VPN 으로 접속하여 서버와 통신

SSL VPN 기능 사용


Deployments

④ 동일 네트워크 상에서 Server Farm 이 Network 에 여러 개 존재하는 경우Switch 에서 GateKeeper 를 통해서만 서버로 접속할 수 있도록 ACL(Access List) 를 등록

SAC 를 사용하지 않는 경우 각 서버별로 접속 사용자를 확인하여 사용자별로 ACL 를 등록 작업을 행하여야 함

GateKeeper 는 2 대를 Cluster 로 사용하는 것을 권장

HA 구성


Deployments

⑤ 여러 개의 Network 을 사용하는 경우아래의 그림과 같이 1 개의 장비 ( 총 6개의 포트 제공 ) 를 이용하여 여러 개의 Network 에 동시 연결 가능

2 대 이상의 GateKeeper 를 사용하여 Clustering 으로 구성하여 연결 가능

Clustering 으로 구성되어 관리자는 1 대의 장비 (Clustering 으로 구성한 Virtual IP) 로 접속하여 전체 장비 관리

각 네트워크에 있는 사용자는 각 네트워크에 해당하는 GateKeeper 의 IP 로 접속하여 서버 작업

Network A Network B Network C


Deployments

⑥ In-line 으로 구성Server Farm 이 완전하게 분리되어 있는 경우

외부업체 , Guest 사용자가 많으며 , 네트워크가 완전하게 분리되어 있는 경우


Deployments

⑦ DR Center 와 같이 물리적으로 서로 떨어진 네트워크상에서 구성GateKeeper 는 Network Cluster 를 이용하여 물리적으로 서로 떨어진 네트워크에 장비를 설치하고 Clustering 구성이 가능

Trunk 설정을 통하여 2 대의 GateKeeper 를 동일 네트워크로 설정

관리자는 2 대의 장비간에 설정된 관리 IP(Virtual IP) 를 통하여 여러대의 장비를 동시에 관리

여러대의 GateKeeper 간에는 IPSec Tunnel 을 이용하여 Data Sync 작업

Main Center DR CenterDWDM Ring

Technology

GateKeeper 는 총 6 개의 Network Interface 를 가지고 있습니다 . 이 Interface 들을 서로 별개의 네트워크에 연결하여 동시 사용이

가능 합니다 . GateKeeper 는 IP Version6 를 지원합니다 .

Network Configuration

IPv6 지원

AART(Administrative Access Restriction Table) 설정

GateKeeper 에 Admin 권한으로 접속할 수 있는 관리자의 IP 를 설정

설정된 IP 외의 IP 를 통해서는 GateKeeper 에 Admin 으로 접속 불가

Technology

RADIUS, AD 등과 연동하여 사용자 인증이 가능합니다 . RSA Secure ID 와 연동도 가능합니다 .

Authentication (3rd Party)

RADIUS 연동

RSA Secure ID 연동

LDAP / AD 연동

Technology

GateKeeper 를 2 대 이상 설치하여 Clustering 으로 구성 운영하는 경우 IPSec Tunnel 을 이용하여 상호 데이터를 Sync 하게 됩니다 .

IPSEC for Clustering

Cluster 로 구성하는 경우 Data Sync 를 위한 IPSec Tunnel 설정

Technology

GateKeeper 는 다양한 방식의 Logs 관리 방식을 제공 합니다 .

IPSEC for Clustering

External Log Server 설정

Syslog Setting

지정된 Schedule 에 따라 자동으로 Log Purge관리자에게 자동 Purge 전에 E-Mail 로 Log 송부

Technology

GateKeeper 는 CLI 및 RDP, VNC 를 통하여 사용한 모든 사용 내역을 레코딩 데이터로 제공합니다 .

Session Recording

Syslog Server 에 레코딩 데이터를 저장별도의 외장형 Storage 를 Mount 하여 외장형 Storage 에 레코딩 데이터 저장

Session Recording 데이터를 저장하지 못하는 경우 지정된 Error 메시지를 제공하고 접속을 제어하는 기능 제공

GateKeeper RDP Recording

RDP 상에서 전송되는 Data 를 기반으로 레코딩

일반적인 경우 RDP 를 1 시간 레코딩하는 경우 약 600M 사이즈 , GateKeeper 의 경우 약 15M 사이즈

문제 발생 시점을 별도로 표시하여 손쉽게 검색할 수 있는 기능 제공

Technology

GateKeeper 는 SNMP 를 통하여 Health Monitoring 이 가능합니다 .

SNMP

Poll Data

Trap Data

Technology

GateKeeper 는 SSL VPN 을 통하여 주요 데이터를 전송합니다 .

SSL VPN

SSL VPN Server 설정

SSL VPN Agent ( 관리자가 Down 하여 외부 접속자에게 필요 시 전달 )

Technology

GateKeeper 의 기본 설정 화면 입니다

Default Config

Passwords 설정 화면

Access Methods 설정 화면

행위 정보 레코딩에 대한 경고 메시지 설정 화면

접속 Terminal Customizing 화면

Technology

System 접속에 사용하는 각종 Service(Application) 에 대하여 정의하는 화면 입니다 .

Service Config

Telnet, SSH 등 일반적인 서비스 등록

Toad, Ultra_edit 등 특정한 서비스 등록

Firewall, IPS 등 웹을 통해 접속하는 서비스 등록

Technology

GateKeeper 는 일반적인 접속 (SSH, Telnet, RDP 등 ) 외에 별도의 Application 을 이용한 시스템 접속 제어 기능을 제공합니다 .

Application Access Control

사용자에게는 Local Host 에 접속한 것으로 표시 됨

GateKeeper 에 접속하여 Ultra-edit 를 통하여 시스템 접속을 시행한 화면

시스템 관리를 위한 별도의 Application 을 이용하는 경우

GateKeeper 에 별도의 Application(Program Path) 등록 / PC 의 Local IP 대역으로 Application 할당

사용자가 GateKeeper 에 접속하여 서비스를 클릭하면 Application 을 구동하여 443 Port 를 이용하여 Gatekeeper 를 통하여 서버와 통신

Ultra-edit 사용 예

GateKeeper 에 접속하여 Ultra-edit 선택 ,PC 내의 Ultra-edit 접속서버 “ 127.0.0.xx : 지정포트” 로 접속 , 실질적으로 지정된 시스템으로 443 를 통하여 접속된

형태

Technology

System 등록 화면 입니다 . System 의 Password 를 등록하여 사용자가 별도의 password 입력 없이 접속이 가능하게 구현이 가능합니다 .

이 경우 시스템 Password 정보가 사용자에게 Open 되지 않는 장점이 있습니다 .

Device Config

시스템 기본 정보 등록

시스템 접속 방식 설정

시스템에 접속하여 사용하는 Service 설정

Session Monitoring 여부 설정

Terminal Mode 설정

System Group 등록System 을 그룹화하여 관리 가능User 및 System 을 그룹화하여 그룹별로 관리

System Password 관리사용자는 별도의 Password 입력 없이 시스템에 접속주요 시스템의 Password 유출 방지

Technology

User 등록 화면 입니다 .

User Config

User 기본 정보 등록

인증 방식 설정

Account 상태 설정

User Account 사용 시간 설정

User Roles 설정 화면기본적으로 16 개의 Role 을 정의관리자가 기존 Role 변경 , 추가 등의 작업Role 을 바탕으로 사용자의 등급을 분류

User Group 등록User 를 그룹화하여 관리 가능User 및 System 을 그룹화하여 그룹별로 관리

Technology

GateKeeper 는 Role Base Access Control 기능을 제공합니다 . User 에 대한 Role 은 관리자가 Wizard 형태로 손쉽게 설정이 가능하도록 지원합니다 .

Role Define & Create

기본 설정된 16 개의 Role 로 정보 제공

관리자가 손쉽게 Role 을 생성 , 변경할 수 있는 Wizard 제공

Technology

정의된 Service, Device, User 를 기반으로 시스템 접근 정책 (Policy) 설정을 행합니다 . 그룹화된 Device, User 를 대상으로 Group Policy 설정을 지원합니다 .

Policy Config

Service, Device, User 를 정의어떤 User 가 어떤 Device 에 어떤 Service 를 사용하는 지에 대한 설정

어떤 Filter 를 방식을 사용할 것인지 정의적용 Command Filter 적용 Socket Filter

행위 Recording 여부 및 Recording 방식 선택

Technology

GateKeeper 는 사용자가 입력한 Command 에 대해서 Filtering 기능을 제공합니다 . Command 는 White List, Black List 2 가지로 관리 됩니다 . 행위에 따라 Warning, Session Kill 등 다양한 조치를 관리자의 설정에 따라 행하게 됩니다 .

Command Filter Config

Violation 에 대한 경고 메시지 설정

Violation 에 대한 조치 (Action) 설정Violation 회수를 지정하는 기능 포함

Command Filter 의 Command 설정White List, Black List 2 가지로 설정

Technology

GateKeeper 는 Command Filter 외에 Socket Filter 기능을 제공합니다 . Windows Server 등에 Socket Filter 를 설치하여 접속 시스템에서 타 시스템으로 접속하는 Leapfrog 를 방지합니다

Socket Filter Config

Violation 에 대한 경고 메시지 설정관리자에게 메일 발송 시 메일 제목 설정 기능 포함

Violation 에 대한 조치 (Action) 설정Violation 회수를 지정하는 기능 포함

Socket Filter 의 통신 대역 설정White List, Black List 2 가지로 설정

GateKeeper 가 Socket Filter Agent 상태를 지속적으로 감시

Monitoring

GateKeeper 는 Device 상태 및 사용자의 Session 상태에 대한 모니터링 기능을 제공합니다 .

Monitoring

Device 상태에 대한 모니터링각 서비스 포트 등의 상태에 대하여 별도로 확인 가능

User 의 Session 상태 모니터링필요한 경우 관리자가 강제로 Session 종료 기능 제공

Monitoring

GateKeeper 는 각 사용자의 시스템 접속에 따라 내용들에 대한 로그를 제공합니다 . 로그 정보들은 관리자가 다양하게 Customizing 가능할 수 있는 기능을 제공합니다 .

Log

모든 접속 이력에 대하여 로그 저장로그를 클릭하면 상세한 내용을 표시

관리자가 로그의 Column 을 추가할 수 있는 기능 제공관리자가 필요한 Column 을 추가하여 로그 관리

로그를 손쉽게 Search 할 수 있는 기능 제공다양한 카테고리의 로그들을 검색 기능을 이용하여 손쉽게 검색

Log Save 기능 제공

Monitoring

GateKeeper 는 CLI 접속 및 모든 RDP 접속에 대한 로그를 제공합니다 .

Recording (CLI)

단순한 Command 저장이 아닌 작업자의 화면을 그대로 저장단순 Command 저장에 비해 직관적으로 작업 내용 판단이 가능

Violation 이 발생한 로그에 대해서는 빨간색으로 별도 표시

Monitoring

GateKeeper 는 CLI 접속 및 모든 RDP 접속에 대한 로그를 제공합니다 .

Recording (RDP)

그래픽 데이터 정보

Alert 정보 제공

문제발생 시점표시( 손쉽게 문제 시점 검

색 )

View Control

Gatekeeper System Time

View Control

단말에 별도의 Agent 없이 RDP 정보 제공

작은 사이즈로 Recording

Log Time

특정 시간대 정보 검색

GateKeeper RDP Recording 의 특징

별도의 View Controller 를 제공

Recording 정보에 대한 상세 내용 제공

전체 Recording 내용을 검색하는 것이 아니라 문제 발생 시점을 바로 검색할 수 있는 기능 제공 ( 문제 발생 시점 검색 제공 ) RDP Protocol Layer Recording 방식

일반적인 경우 1 시간 Recording 을 하는 경우 약 600M 사이즈의 파일 생성 / GateKeeper 의 경우 1 시간에 Recording 사이즈 약 15M RDP 상에서 전송되는 데이터를 레코딩하는 방식을 사용

Monitoring

GateKeeper 는 RDP 와 같이 VNC 를 이용한 작업에 대해서도 제어 및 레코딩 DATA 를 제공합니다 .

Recording (VNC-Virtual Network Computing)

X-Windows 를 이용한 작업 및 Recording 화면

User InterfaceGateKeeper 는 사용자가 손쉽게 접근이 가능한 WEB Interface 를 제공합니다 . JAVA 기반의 별도의 CLI Terminal 및 RDP Terminal 을 제공합니다 .

각 사용자가 접속하면사용자가 사용이 가능한 시스템사용자가 사용이 가능한 접속 서비스 표시사용자는 Device 의 서비스를 클릭하여 시스템 접속

CLI Terminal간단한 자주 사용하는 Command 저장 시행을 위한 Smart button 기능 제공Emulation Mode 선택Font 등에 대하여 사용자가 선택

RDP Terminal일반적인 RDP 와 동일한 환경 제공Windows Server 접속 시 사용자에게 허용된 서비스만 표시 (Notepad 만 허용된 경우 Notepad 만 표시 됨 )

Xceedium 의 GateKeeper 제품은 CCRA(Common Criteria Recognition Arrangement : CC 상호 인증 협

정 ) 에 등록된

Firewall, Antivirus, IPS 등 23 개 제품 군의 수천 개의 제품 중 112 개 제품만이 획득하고 있는 EAL4+ 등급의 CC를

취득하였습니다 .

Certification

GateKeeper 가 취득한 Certification 은 아래와 같습니다 .

Gartner “Cool Vendors 2009”

Forrester “Hot Companies”

Red Herring “Global 100”

Gartner “Cool Vendors 2009”

CC-EAL2 취득 / CC-EAL3 취득 / CC-EAL4+ 취득(System Access Control 및 Sensitive Data Protection 부문 )

FIPS 140-2 Level2(Federal Information Processing Standards / 미국연방정부기관에서 사용하는 암호화 모듈 인증 )

AIAAPL (in progress)(Army Information Assurance Approved Products List / 미군 정보보호 제품 인증 )AIAAPL

Market Share 1 위SAC(System Access Control : 시스템접근통제 ) 솔루션은 일반적으로 SAC 를 통하여 관리되는 서버의 수량에 따라 라이선스가

발행됩니다 . Xceedium 의 GateKeeper 는 2011년 5 월 현재 전세계에 약 2 억 5 천만개의 라이선스를 판매하였습니다 . 국방부 ,

육군 , 해군 , 공군을 포함하는 미국의 모든 군에서 표준으로 사용되고 있으며 , Boeing, Northrop, WellsFargo 등 글로벌

업체에서 자사의 시스템을 보호하고 중앙집중식 시스템 통제를 위하여 GateKeeper 를 사용하고 있습니다 .

Certification

시스템접근제어 부분 전세계

Market Share 1 위

미군 정보보호 표준제품 인증

CC EAL4+ 취득 제품

감사합니다 .

내부정보유출방지 시작 은 시스템접근제어 부터

Documents

Transcript of 내부정보유출방지 시작 은 시스템접근제어 부터