ActivIdentity 4 Tress Appliance and PowerBroker security willbe solution.pdf · 로그인...
Transcript of ActivIdentity 4 Tress Appliance and PowerBroker security willbe solution.pdf · 로그인...
복합접근인증 및 내부자 사용자 감사를 통한 내부보안 극대화
ActivIdentity 4 Tress Appliance and PowerBrokerTM
Copyright© 2011, Will-Be Solution
1. 목표 시스템
ActivIdentity와 Power Audit Appliance를 이용하여 회사 내 중요한 서버에 대해 인증된 사용자만이 접근할 수 있도록 하며, 사용자가 서버 내에서 하는 활동을 Monitoring 및 통제하여 서버에서 발생할 수 있는 보안 위험을 제거할 수 있도록 합니다.
통합계정관리 (LDAP) IM, AD etc.
사용자
knowledge base
username / password
OTP device
soft token or SMS
smart display card
사용자 권한에 대응하는 유연한 복합인증 구성
개발자
외부근무 직원
Http, Telnet, FTP 접속
접근인증 서버 (AI 4 Tress Authentication)
감사서버 (Power Audit)
Server 군 #2 Gateway
Server 군 #1 Svr. agent
1단계: 강력한 접근 통제
2단계: 강력한 권한 관리 및 모니터링
2
2. ActivIdentity 4 Tress Appliance
OTP(One Time Password) OPT는 On-Line 상에서 사용자가 본인 확인을 위하여 사용되는 일회용 비밀번호로써 사용자는 본인 인증을 받고자 할 때마다 매번 새로운 OTP를 사용하여야 하며 1회에 한해서만 사용이 가능합니다.
2 Factor 인증 매체 - 사용자가 가진 무언가
- 시간동기화 암호 방식
• 다양한 OTP 알고리즘 지원
- Oath HOTP/TOTP, ActivIdentity SKI, Vasco Digipass
• One Time Password를 문자메시지 또는 이메일로 전송l
• 모바일 토큰 & PC 토큰, 사용자가 소유하고 있는 장치를 그대로 사용 가능함.
• 한 사용자가 여러 개의 매체를 사용할 수 있으며, 관리자가 이에 대한 정책을 부여할 수 있다.
• 사용패턴에 따른 토큰 관리
- 발급,재발급,분실,폐기 등
ActivIdentity tokens and 3rd party devices
Display Cards Mobile Tokens
Out of Band (SMS / OTP) PC Token
3
광범위한 인증방법 지원
1. 고정 자격증명
강력한 암호(full & partial), 질문과 답변, PIN 입력
2. 장치인증
Web Token
3. One Time
Password Hardware Tokens (ActivIdentity & 3rd Party), Mobile Token, PC Token, EMV CAP/DPA, OOB OTP (SMS & Email), Activation Codes
4. 인증서 인증
Smart cards, USB Keys, Mobile phones, Soft Certificates
5. 처리결과 확인
OOB gateways – SMS and Email
6. 처리 서명
EMV CAP/DPA, PC token, Web token, Mobile Token, Hardware Tokens (ActivIdentity & 3rd party)
2. ActivIdentity 4 Tress Appliance
4
다중 구축 기능 사용자의 프로필을 바탕으로 시스템의 접속 및 권한을 사용자별로 관리하며 여러 인증매체의 OTP 기반 기술의 인증을 지원합니다.
• 다른 종류의 인증매체(Mobile, Tokens, Web Token, PC Token, 패스워드)를 사용하는 사용자에게 동일한 로그인 화면 제공
• 4TRESS AS가 사용자의 프로필을 바탕으로 올바른 자격증명 유형을 선택
• 사용자는 다양한 종류의 매체 와 자격증명을 사용 할 수 있다.
4TRESS Authentication
appliance
RADIUS
JAVA, C/C++, .NET
SOAP/RMI
4TRESS AS CORE
Management
Console
Authorization
Credential, User & Device
Management
Session Management
Audit
A
U
D
I
T
Authentication
2. ActivIdentity 4 Tress Appliance
5
시스템 구성의 다양성 4TRESS AS Appliance는 강력하고 다양한 인증을 한번에 구성이 가능하며 전체 및 부분적인 범위의 다목적의 인증 방법을 지원합니다.
• 다목적 인증 서비스 지원( 전체 및 부분적인 범위로 적용 가능한 인증 방법을 지원 )
– 다양한 채널/다양한 서비스 공급자 지원
– 다양한 사용자 그룹/사용자에 따른 적용 가능
– 전체 및 부분적인 범위에 다양한 인증방법을 지원(OTP & PKI)
– 업계 표준 방식을 지원(OATH)
• 강력하고 다양한 인증을 한번에 구성 가능
– 기업에서의 직원 보안 접속
원격접속제어(VPN 등)
내부 어플리케이션 접속 제어
Terminal 서비스 제어
– 고객 인증
온라인 뱅킹 일반 고객
온라인 뱅킹 기업고객
• Device ID를 통한 등록장치 인증
– Web Token (SDK)-MAC Address 등록을 통한 다수 인증 장치 등록
– 다른 인증방법과 함께 사용하여 보완성 강화
2. ActivIdentity 4 Tress Appliance
6
4TRESS AS Appliance 시스템 구성 제안사가 제공하는 4TRESS AS Appliance의 하드웨어/소프트웨어 기능은 다음과 같습니다.
소프트웨어 (FT2011 - 4TRESS AS 7.1): • Oracle Standard Edition 11gR2 RAC Database 내장 • 고 가용성 보장 • SAML(Security Assertion Markup Language) v2 /
Federation • LDAP기반의 Directory 지원 • RADIUS(remote authentication dial-in user services) • 데이터 변조 방지 • Soft Token 활성화 포탈 • 그래픽 환경의 설치 마법사 - Easy Setup • 실시간 모니터링 및 공지 기능
하드웨어: • 1u Rack 타입의 Appliance • 하드웨어 RAID-1 ( 디스크 미러링 ) • 이중화된 전원공급장치 구성 • FIPS 140-2 Level 3 Hardware Security
Module or Software Crypto 기능 제공 • 하드웨어 모니터링 및 원격 관리 지원 • 간편한 감사 데이터 보관 및 백업
2. ActivIdentity 4 Tress Appliance
7
4TRESS AS Appliance 성능 및 구성 방법 제안사가 제공하는 4TRESS AS Appliance의 데이터 베이스의 성능 및 구성방법은 다음과 같습니다.
Oracle DB 복제
• 내부 테스트를 위한 데이터베이스 내장 (Oracle XE)
• 외부 데이터 베이스 운용을 위한 구성(Oracle 11g Standard or Enterprise Edition
• 데이터 베이스 복제를 위한 HA 구성 필요
1대의 Appliance로 일반적인 금융환경에서 최대 150만명의 사용자 수용 1대의 Appliance로 일반적인 기업환경에서 최대 20만명의 사용자 수용
Static Password One Time Password (OATH)
FT2010HDA – FIPS HSM 170 auth/sec per unit 80 auth/sec per unit
FT2010SDA – Soft Crypto 270 auth/sec per unit 113 auth/sec per unit
2. ActivIdentity 4 Tress Appliance
8
사용자 라이프 사이클 관리 사용자의 인증 절차에 대한 라이프 사이클 관리를 통해서 사용자의 자격 증명과 장치 유형에 따른 사용자 범위 관리가 가능합니다
• 장치의 로딩과 사용자를 연결
• 자격증명 활성 비활성
• 사용통계
• Token의 동기화 및 PIN 잠금 해제
• 장치의 해지 및 재발급
• 채널별 세부정책
• 암호화된 PIN/password 메일 전송
• 발급 요청
불러오기 숨김
활성화
사용
비활성화
잠금해제
재동기화
해지
요청
2. ActivIdentity 4 Tress Appliance
9
감사 및 보고 기능 모든 정보에 대한 감사 데이터베이스 스키마를 제공하여 인증에 필요한 분석정보를 19가지 보고서로 제공합니다.
• 문서화 감사 데이터베이스 스키마 • 19가지의 Crystal Reports 데이터 지원
• 인증성공 • 인증실패 • 장치종류 별 인증/채널 • 사용동향 및 채널분석 • 시간당 인증횟수 • 장치 수량(총 / 할당된 장치수) • 장치의 프로필
2. ActivIdentity 4 Tress Appliance
10
편리한 사용자 인터페이스 OTP 시스템의 사용자 관리 및 운영의 편의성을 위해 웹기반의 사용자 환경을 제공합니다.
관리 및 운영 사용자 관리를 위한 브라우져 기반의 사용자 환경을 제공
• 인증설정 스키마, 장치종류, 채널과 사용자 프로필
• 설치 및 사용관리를 위한 헬프데스크 운영 • 사용자 또는 장치 조회 • 역할 기반의 관리기능 접근 • 웹기반의 손쉬운 사용자 설정 • 다양한 언어 지원
2. ActivIdentity 4 Tress Appliance
11
경쟁사 비교 •가장 다양한 인증 방식을 지원 (스마트카드, OTP-토큰, 모바일, 스마트폰, IVR,SMS) •다양한 인증방식을 동시에 복합적으로 구축 가능 •안정화된 Appliance 방식 (용이한 유지보수, 용이한 시스템적용 확장) 하다는 점에서 경쟁사와 차별화된 기능을 제공합니다.
12
2. ActivIdentity 4 Tress Appliance
References 보안이 중요한 미국국방성, 나사 등의 정부기관과 금융기관을 포함하는 다양한 기관의 레퍼런스를 보유하였습니다.
13
2. ActivIdentity 4 Tress Appliance
솔루션 전제: 권한 위임 • Root: 계정 같은 최고접근(Super User) 권한을가진계정은서버접속자들이사용하지않도록금감원지침 • Root: 계정 같은상위 계정 권한을 위임하여 상위 계정의 Passwd의 노출이나 사용 없이 상위계정의 권한 사용 Root계정시건, 계정실명제(1인1계정실현) • 권한 위임에 대한 이력정보를 보관: 감사자료 활용
16
3. PowerBroker
솔루션의 장점 및 편의성 Power Audit Secure 시스템은 Gateway 방식으로 OS별 Agent 설치가 불필요하며, OS 및 장비 호환성에 대한 확장이 용이하며, Gateway 장애 시 네트워크 우회 접근 통제 해제를 통해 시스템 장애에 유연하게 대처 가능합니다. 또한, Upgrade 및 Patch 시 각 시스템의 reboot가 불필요하며, 타 Application과 독립적으로 작동하므로 RedCastle 등의 Agent 기반의 솔루션에 영향을 주지 않습니다.
구 분 Agentless Agent
구성 방식 Gateway 방식 (Appliance) 시스템 커널 기반
(Suite + Option Component)
OS 및 장비 호환성
OS 확장성 용이 Unix (일부 OS 불가),
Linux, Windows만 가능
통합 관리 서버 장애 대처
네트워크 우회 접근 차단 통제 해제를 통해 가능
Agent Hang 시 우회 접근 불가
Agent 장애 대처 Agentless 방식으로 정상 업무 수행
각 시스템 통제 불가 {CD부팅(싱글 모드), OS 재설치 )
정책 적용 중앙 일괄 적용 시스템 개별적 정책 적용
(관리 비용 증가)
Upgrade or Patch
간편 설치 (reboot 불필요)
각 Agent 개별적 Upgrade or Patch (reboot 필요)
Session logging RealTime 제한적 Replay
타 Appliance 영향
타 Application 영향 없음 (RedCastle 등)
타 Application과 충돌 발생
상태 확인 (Agent 모니터링)
Server 상태 확인 Agent 상태 확인 불가
관리 간편 관리 복잡
시스템 과부하 시스템 부하 0% 과부하 초래
17
3. PowerBroker
시스템의 구현 환경 측면: OS 및 기기 호환성 PowerBroker 시스템은 Agent 방식이 아닌 Gateway 방식으로 개발되어 AIX, HP-UX, Solaris 등의 Unix군은 물론, Redhat, SuSE 등의 Linux 기반, Windows XP, 2003 등의 NT 기반의 OS 지원뿐 아니라, Network 등의 장비에 대한 확장도 용이합니다.
3. PowerBroker
PowerBroker
18
기능 측면: 시스템 계정관리 사용자 계정 발급 / 수정 / 삭제 / 잠금 관리, 임시 계정 관리, 비인가 계정 관리, 인사이동 계정 관리, 퇴사자 계정 관리, 휴먼 계정 관리, 계정 관련 정책 통합 적용하고 있습니다.
19
3. PowerBroker
기능 측면: 사용자 별 적용 PowerBroker 솔루션은 웹 기반의 Portal 방식으로 사용자 전용 페이지 및 관리자 페이지를 제공합니다. 관리자 페이지에서 사용자 별(또는 그룹별)로 보안 정책을 적용하여 운영하게 됩니다.
A 사용자 전용 페이지
B 사용자 전용 페이지
서버담당자 A
서버담당자 B
관리자
관리자 페이지
사용자 별 정책 적용 * A 사용자 정책 적용 * B 사용자 정책 적용
A
B
Portal 로그인
Portal 로그인
Portal 로그인
20
3. PowerBroker
기능 측면: 장애 대처 (이중화 구성) PowerBroker 솔루션은 Appliance 장비로 기본적으로 이중화 구성을 지원합니다. 365일 24시간 서비스 연속성을 보장합니다.
PowerBroker Appliance 1
사내 네트워크
이중화 구성
PowerBroker Appliance 2 Active
Active
[ 평상시 운영 상태]
PowerBroker Appliance 1
사내 네트워크
이중화 구성
PowerBroker Appliance 2 Active
장애
[ Appliance 1대 장애 ]
21
3. PowerBroker
기능 측면: IP 접근 통제 네트워크 영역에서 서버 접근 가능 사용자들( 통합관제실 등 )의 IP 대역을 제외한 우회 접근 경로를 일차적으로 통제 후 Gateway로만 접근 허용하고, Gateway에서는 각 서버 담당자 사용 IP 별로 로그인 하지 말아야 할 서버로의 IP 접근을 이차적으로 통제합니다.
서버담당자 서버담당자 서버담당자 서버담당자 서버담당자
Windows Unix/Linux DBMS
서버 접근 가능 사용자 IP 대역
( 통합관제실 등 )
22
3. PowerBroker
기능 측면: 명령어 실행 통제 로그인 사용자의 명령어 실행 제어가 가능합니다. Gateway에서 사용자가 실행하는 모든 명령어를 모니터링 할 수 있으며, 위험 명령어로 분류되어 등록된 명령어는 실행 제어가 가능합니다. 위험 명령어를 실행하기 위해서는 특정 사용시간에 해당 명령어를 실행하기 위한 승인을 받거나, 실시간으로 위험 명령어를 실행할 때 관리자 OTP 인증을 거쳐 명령어를 허용을 합니다. 이때 위험 명령어 사용 승인을 한 관리자는 실시간 세션 감시 기능을 통해 요청 사용자가 사용하는 명령어를 원격으로 감시가 가능합니다.
Unix/Linux
Windows
Database
Network
사용자
승인된 사항 (사용시간, 명령어, 사용IP) 예외처리
S E
Workflow
관리자
사용자
///////////
OTP입력
Emulator 명령어 입력
관리자
명령어 입력 실행
ID/PW 인증
명령어 조회 후 OTP인증
관리자 OTP결재 후 실행
결과값 제공
23
3. PowerBroker
제안 솔루션의 국내외 시장 점유율 및 성장률 Power Audit Secure OTP 시스템의 핵심적인 부분을 담당하는 엔진은 전세계 50여개국 금융권에서 사용중인 BeyondTrust 사의 엔진이며, 대부분의 글로벌 회사 / 일부 국가 사용 또는 Global Standard로 지정하여 사용 중에 있습니다. 국내에는 우리은행, 경남은행, 광주은행에 최초로 구축되었으며 비슷한 기능을 가진 경쟁사 솔루션은 없습니다.
국내 우리은행을 포함한 전세계 50여개국 금융권에서 사용
국내 고객
우리/경남/광주 은행
우리 아비바 생명
외환은행
씨티 은행
청와대
행정안전부
방위사업청
삼성전자
삼성화재
해외 고객
Citi Group
Bank of America
ING Group
Standard Bank
General Electric
Motorola
Oracle & SUN
Hewlett Packard
IBM
25
3. PowerBroker