아카마이 솔루션 웨비나원격 근무 급증에 대처하는 기술적 대응 방안 및 사례

220+ 한국 고객들

엔터프라이즈Global 전자업체Global 자동차

게임상위 6대게임사

전자상거래상위 5대

전자상거래사

소셜/포털상위 2대

Social/Potral사

금융 산업은행

가상화폐거래소보험/증권사

커머스 산업항공사

인터넷 비지니스

공공/학교웹싸이트

평창동계올림픽

미디어/방송Global OTT

미디어 비지니스

Why Akamai - We Are Trusted Akamai is Trusted by:

© 2020 Akamai4

사회적인 이슈로 인한 원격근무환경의 문제점- [현황] 국가별 원격/재택 근무

- [성능] VPN 서버 용량 증설- [운영] 빠르고 쉬운 구축 및 운영- [보안] VPN 취약점

© 2020 Akamai5

집에서 일하는 것은 더 이상 특권이 아니라 필수미국

• 블룸버그는 코로나바이러스 영향으로 다수의 기업들이 원격업무를 확대 고려중임을 발표(2020년 2월6일)

• 8 백만 명이상이 집 에서 풀 타임 으로 원격작업 시행중(2017년 기준)

• 미국 스탠퍼드대 연구에 따르면, 편안한 재택 근무환경이 업무 수행 향상에 도움(2015년)

세계 최대 규모의 재택 실험중국

• IT 기업들이 전염병 예방과 통제 기간 동안 정상적인 업무와 연구를 위해 재택근무 독려

• 13% 생산성 향상(중국 최대 온라인 여행사 시트립 콜센터 직원들이 재택근무를 실시한 결과)

• 텐센트와 알리바바 노동자는 재택근무 시행(2020년 2월)

✓ DingTalk/WeChat Work와 같은 화상 회의 서비스 및 직장 협업 앱 사용 폭증으로 인한 다운 발생(2020년 2월)

일본 기업의 절반 이상이 재택 근무 제공일본

• 사회적 이슈발생으로 인해 재택근무를 장려하거나, 부분적으로 도입해 출퇴근 시간을 조정

✓이른 아침 출근이나 늦은 점심 출근을 인정하며, 특히 50세 이상 사원이나 임산부, 지병을 갖고 있는 사람은 재택근무를 장려

• IT업계에서도 LINE이나 GMO인터넷 등 대기업을 중심으로 재택근무가 확대되고 있는 추세

• 일본 마이크로소프트(2016년 취업규칙 변경을 통해 근무장소에 구애받지 않고 일할 수 있는 제도 도입)

✓"현재도 자택에서 업무를 처리하거나 온라인으로 회의에 참여하는 직원이 많다"며 "현 시스템으로도 비상사태상황에 대처가 가능하다“ 발표

국가별 원격/재택근무 현황[1/2]

© 2020 Akamai6

국가별 원격/재택근무 현황[2/2]

원격근무의일상화싱가포르/홍콩• 현재 10 명의싱가포르인중 6 명이상이, 주단위로 3일이상원격으로일함(2018 IWG Flexible Working Survey)

• 홍콩정부직원들(17만명) 원격근무명령(1/29일~2/2일) 및민간기업에도비슷한수준으로권고(2020년 2월)

• 의심국가/지역방문후복귀시 2주간강제재택근무시행

갑작스런재택근무로인한불편한국‘국제적공중보건비상사태 (PHEIC)’선포(세계보건기구(WHO))(2020년1월30일)

✓아시아태평양지역에서의대중교통이용과사무용공간출입을최소화하도록기업의재택근무를권고

• '코로나19' 사태여파로직장을폐쇄하거나재택근무를권장하는기업들증가

• 금융사직원도필수인력에한해 '재택근무’ 허용[망분리예외조치시행](2020년 2월10일)

✓금융위는비조치의견서를통해감염병등의질병으로인해업무연속성을확보하기곤란한수준으로인력이줄거나그럴가능성이현저히높으면원격접속을통한

재택근무를할수있다고발표

© 2020 Akamai7

VPN 문제점 – 성능측면 고려사항[서버 용량 증설]

VPN 장비스펙

SMB/Mid-Range/Enterprise/Data Center

구분

CPU/Memory/Storage/NIC Capacity 상이

이중화(HA) 구성

동시접속자수

장비당 접속사용자수

(100/1,000/3,000/10,000명 등)

도입시 실 사용 원격근무자수를 고려했으나

동시사용자수 폭증에 대한 대비책 요구

고려요소

교체 연한을 넘긴 장비들은

성능상의 문제 발생

(주기적인 교체가 요구됨)

해외 지점 속도 저하 문제 발생

타 솔루션 연동/커스터마이징 및

안정화 기간 고려

© 2020 Akamai8

VPN 문제점 – 운영측면 고려사항[설정 및 구축]

사전준비

구성협의

(네트워크환경,

위치)

VPN 접근을위한

방화벽 port 요청

및설정

사용자및

애플리케이션

사이징

제품입고

장비배송및납품

Rack 마운트 /

제품납품검수

장애대비추가

장비및네크워크

구성

구 축

VPN 장비설정

및커스터마이징

내역반영

물리적구성작업

네트워크구성

변경및설치

다양한인증

방식지원을위한

추가구성

보안설정및

네트워크변경이

필요

테스트

사용자 VPN 접속

테스트[단위/통합]

사용자서비스

단계별이관및

요청사항반영

정책관리및

데이타관리필요

서비스에따라

별도의 S/W설치

필요

교육및종료

관리자교육

(운영및트러블

슈팅)

고려요소

평균

수주~1달간의

구축기간소요

Clientless 구현

및운영의어려움

Elastic한구축

및운영구조가

아님

© 2020 Akamai9

VPN 문제점 – 보안측면 고려사항[VPN취약점]

•VPN 보안취약점(CVE) 발표직후해킹시도추세

✓2019년: IT, 통신, 석유및가스, 항공, 정부및보안부문의회사들타겟

•지속적인관리포인트발생(Live 패치작업수행) 및제로데이보안취약점에무방비노출보안취약점업데이트

•VPN 연결을허용하도록방화벽구성

•외부에공개된 VPN장비 IP 및서비스 Port에다양한공격발생

•보안정책변경(Public IP/서비스 Port/접근제어등)방화벽포트오픈

•네트워크레이어기반의터널기술 – VPN터널접속후모든내부네트워크에대한접근시도가능

•“East-West” 공격기법에노출됨 /감염된외부사용자로인한내부네트워크위험증가

•공격자가내부망에서타시스템으로공격확산(PowerShell)

래터럴무브먼트(Lateral

movement, 내부망이동)

•VPN을통한접속의경우 IP/Port 스캔수행시(Demo 시연)

✓사내의어플리케이션노출

✓사설 IP 및오픈포트번호노출오리진(Origin) 서버정보노출

•2019년 Gartner 발표

✓VPN은 1990년대기술로 Agility가결여/2023년까지기업의 60%이상이 VPN을제거예상

•기업별로외부오픈웹싸이트다수발견(VPN/보안장비없이) –Security Hole 존재(DMZ Zone)고려요소

© 2020 Akamai10

더욱 안전하고 간편한 원격접속 관리,

Akamai EAA(Enterprise Application Access)

- VPN 문제점에 대한 해결 방안

- EAA 레퍼런스 아키텍처 소개

- 도입에 필요한 고객 준비 사항 및 환경 변화

- 긴급 구현 절차

| Intelligent Edge Security 11

사용자

클라우드경계(Cloud

Parameter)

내부애플리케이션 1

Enterprise Connector

Firewall

내부애플리케이션 2

데이터 센터(IDC) & 클라우드

• No 방화벽 보안홀 – 아웃바운드만 허용

• No 복잡한 구성 – 빠른 구성(몇분 이내)

• No 클라이언트 Agent – HTML5 브라우저

• No lateral movement – L7 레이어 엑세스

Global LB

DDoS

FW/IPS

RAS/VPN

WAN Opt

Internal LB

MFA

DMZ

더욱 간편하고 안전한 원격 접속 기술

| Intelligent Edge Security 12

EAA 구성

Internet

Enterprise Application Access

기업 내부

Enterprise Connector

Apps

사용자

Admin EAA 구성 및 관리- - 애플리케이션 및 인증 방식 설정- - Connector 관리

1. Connector에서 EAA관리용 Cloud에접속하여 시스템 상태 및 정책 설정 확인

EAA Edge

EAA Management Cloud

Connector에서 아카마이EAA Edge로 연결 (TLS)

애플리케이션 접속을 위한사용자는 EAA Edge에 접속

ConnectionFrom Connector to Application

내부애플리케이션

(웹, C/S)

EnterpriseConnector

• 강력한 인증과 권한 관리

• MFA, SSO 연동

• WAF(웹방화벽) 추가

• 성능 향상(캐싱과 가속) 추가

TLS암호화통신Internet

내부애플리케이션

(웹, C/S)

EnterpriseConnector

Internet

SaaS

IaaS

Data Center

VPC

AD/LDAP

TLSEdge Server

Edge Server

Hybrid-Cloud 지원

클라우드 보안 경계

사용자

13

Edge Server

On-Premise와 동시에 모든 종류의 Multi Cloud 환경 지원

HTTPS

TLS

인증

© 2020 Akamai14

VPN 문제점에 대한 해결방안(EAA 기대효과)

보안 강화외부에서 들어오는 모든

인바운드 포트를 차단

가능함으로 강화된 보안 정책

적용

필요한 사람에게 필요한

애플리케이션만 접근

허용함으로 강력한 통제 및

Audit 가능

외부로부터의 Lateral

movement 방지(SSL VPN대비)

Akamai WAF 지원

성능 향상캐싱 및 가속 지원

전 세계적으로 분산된 환경에서

빠른 사용 가능(성능개선)

3배 빠른 속도(SSL VPN 대비)

안정성부하 분산 및 이중화 구성으로

안정된 운영 환경 보장(무중단

운영 가능)

클라우드 기반 서비스: 장비

패치 등의 작업이 필요 없으며,

동시사용자 폭증시 수용 가능

100% SLA 제공

구현 및 운영중앙 집중식 보안 및 접근제어

가능

(데이터센터와 클라우드

운영환경에 모두 적용)

모든 애플리케이션 지원

(웹, C/S 모두 지원)

애플리케이션의 빠른 일회성

구축 및 사용 지원 가능(운영의

유연성)

빠른 애플리케이션 배포 가능(몇

분이내) : 비즈니스 가속화 효과

비용 절감

클라우드 운영 환경에서 신규

투자 비용 절감

(별도의 보안 솔루션 구매

불필요)

MPLS(Multi-Protocol Label

Switching) 네트워크 비용

감소(회선 비용 절감 효과)

| Intelligent Edge Security 15

Akamai

Zero Trust Reference Architecture

(레퍼런스 아키텍처)

© 2020 Akamai16

© 2020 Akamai17

© 2020 Akamai18

EAA 적용을 위한 고객 준비 사항

EAA Connector – VM 준비

(내부시스템과네트워크통신가능위치)

Docker

Google Cloud Computing Engine (GCE)

IBM Softlayer

Microsoft Azure/ Microsoft Hyper-V

OpenStack/ KVM

Oracle VirtualBox/ VMware/ AWS EC2/VPC

Outbound Port open 443 Outbound Port

EAA Trial 요청

korea-marketing@akamai.com

02-2193-7200

EAA 빠른구현절차착수 – 30분

이내/애플리케이션 구동가능

(고객사환경사전준비완료조건)

© 2020 Akamai 20

대상 사용자와 애플리케이션의 유연하면서도 신속한 적용

EAA PoC 및 긴급 구현 절차

EAA 적용을 위한 7가지 단계1 2 3 4 5 6 7

Trial 신청EAA Connector 준비

및 환경체크(AD/SSO/MFA)

대상애플리케이션선정 및 적용

[선택]보안업그레이드

[선택]성능업그레이드

사용자와애플리케이션 확대

[선택]VLAN 마이그레이션

| Intelligent Edge Security 21

EAA 적용 업무(애플리케이션) 영역

파트너/Dealer 접속 및 주문 접수/정보 공유

콜센터 업무용 애플리케이션(오리진 접속)

원격 개발자들을 위한 독립적인 개발 환경(지방/해외)

보안 관리자의 보안 장비 콘솔 원격 접속용

(SSH, PuTTY 등을 통한 F/W 세팅)

대리점 물량 조회 업무

해외지점 직원들의 한국 오리진 접속 업무용

직원들의 외근 업무용(보험 상담/주문서/발주서 등)

①

②

③

④⑤

⑥ ⑦

© 2020 Akamai22

기술 데모

- EAA 국내 사례

- EAA 화면 구성- VPN vs. EAA- EAA 적용 절차

© 2019 Akamai23

EAA 국내 사례

- 전자부품연구원

© 2019 Akamai24

전자부품연구원(KETI) EAA 기반 제로 트러스트보안 환경 구축KETI는 국가적 4차 산업 혁명에 대한 중요성이 높은 신사업 창출과 중소/중견기업의 혁신 성장을 지원하는전문 생산 연구기관 입니다.

도전과제

• 직원들의 외부 업무 증가 및 재택 근무로 인한 원격 접속 인원 증가

• 지역 연구원에서 내부 서비스 접근 시 SSL VPN Agent 설치 및 연결의 불안정화 등으로 많은 VOC 접수

• SSL VPN 장비의 잦은 Hardware Fault로 서비스 가용성에 대한 문제

• ZeroTrust Trend 에 맞는 보안 환경 구축 필요

EAA 적용 어플리케이션

• 그룹웨어

• 웹 메일

• MIS 시스템

• 개발 시스템

• 외 30개 Application

© 2019 Akamai25

전자부품연구원(KETI) EAA 기반 제로 트러스트보안 환경 구축

Akamai를 통한 문제 해결 방법

• 웹 기반의 어플리케이션의 경우 별도의 Agent 설치가 필요 없음(모바일 포함)

• 장비를 설치 하지 않아도 되는 SaaS 기반의 솔루션으로 Hardware Fault 로 인한 관리자의 운영 영역 축소

• 모든 인바운드 방화벽 포트를 닫는 방식으로 작동하여 어플리케이션에 사용자가 직접 접속 하는 것 방지

그 외 EAA를 통한 장점

• 어플리케이션 Deploy의 신속성

• 보안 강화

• 사용자 관점의 편의성 증대 및 기존 SSL VPN 대비 속도 개선 (VOC감소)

• Akamai 에서 제공하는 MFA

© 2019 Akamai26

Akamai EAA Demo Scenario

Demo 1 : 운영자 관점의 EAA 구현 방법쉽고 빠르게 배포되는 EAA 구현

Demo 2 : 사용자 관점의 EAA간편하게 접속 가능한 어플리케이션 접근

Demo 4 : 사용자 활동 로그Access 단위의 사용자 로그와 가시성 있는 DashBoard

Demo 3 : VPN과 EAA 의 비교VPN 대비 안전한 EAA를 통한 접속

© 2020 Akamai27

EAA(Enterprise Applications Access)심플하고 안전한원격 애플리케이션 접근 솔루션

보안강화 CX향상

• 방어 경계를 클라우드로 이동

• 인증 및 인가된 권한인지 확인

• 애플리케이션 스트림 보호

• 하이브리드/멀티 클라우드 지원

• 최신 및 레거시 인증 모두 지원

• 단계적 전환 경로 제공 – VPN에서 EAA로

• 추가 지원 서비스(보안/가속)

• 악성 인터넷접속으로부터 사용자 보호

Takeaway

연락처 : 윤영한 전무 (010-8915-2368) / gitsales@goodmit.co.kr

감사합니다.