© 2020 Akamai1

원격/재택근무환경의비즈니스연속성구현

보안의현주소는?

원격/재택근무환경의비즈니스연속성구현, 보안의현주소는?

22nd Apr 2020

Yongkhi Paek Senior Enterprise Security Executive

Akamai Technologies

© 2020 Akamai2

A Lot Has Changed…

© 2020 Akamai3

사회적 거리두기가 적용 될때의 업무 활동?

권고사항

o 시간제근무

o 시차출퇴근

o 탄력적근로시간

o 원격/재택근무

o 온라인/ 화상회의

© 2020 Akamai4

© 2020 Akamai5

한국 - 총265개 글로벌 기업 대상 Survey

(2020.03.02 ~ 03.09)

© 2020 Akamai6

Security

Two concerns on IT

Application Access(Email, ERP, Groupware, SSH, RDP,

VNC…etc) with Secured Clients

Communication(Webex, Zoom, MS teams, Hangouts, Anymeeting, Discord, Jitsi Meet ..etc)

Technologies to Work From Anywhere

Today’s topic

© 2020 Akamai7

A New Model For A Secure Workforce Is Needed

위치중심이아니라 ID 중심의보안 애플리케이션단위의접근통제

Network Security as a service

• ZTNA• Cloud SWG• WAAPaaS• FWaaS• DNS • RBI

SASE(Secure Access Service Edge)SASE(Secure Access Service Edge)

악성멜웨어로부터사용자와디바이스보호

© 2020 Akamai8

A Digital Transformation Has Happened

API

API

IaaSAPI

SaaS

People & Things

Complex Infrastructure

IaaS & SaaS

Apps & APIs

API

© 2020 Akamai9

애플리케이션은 어디에나 있을 수 있으며사용자는 어디에서나 이에 접속해야 합니다.

뿌리부터 흔들리고 있는 기업'내부·외부'라는 개념

…하지만 누구나 모든 것에 접속할 수있어야 하는 것은 아닙니다.

© 2020 Akamai10

원격 근무 환경의 보안 문제

공격면확대

다이렉트 인터넷접속(DIA), SaaS, 클라우드 서비스, 모바일, IoT로 인해공격면이 급격히 증가

최신표적 위협

위협의 정교함과 규모가증가하고 있으며공격자들은 방어 체계를우회하고 있음

보안의복잡성

보안의 복잡성과 컨트롤포인트 문제로 인해보안 취약점 발생

보안스킬

보안 전문 인력의부족으로 인해 보안팀의능력 저하

© 2020 Akamai11

제로 트러스트(ZeroTrust) 보안 모델

외부사용자외부방화벽

Active Directory

Front End

443

53 and 443내부 사용자

SQL서버

Index, Query, Application,Central Administration

Servers

Index, Query, Application,Central Administration

Servers

웹 서버

HWLB

방화벽방화벽

(Domain Bound Servers)

외부 DMZ 내부 DMZ Intranet

내부 네트웍경계 네트웍

전통적인 트러스트 모델 TrustedNot Trusted

내부사용자

외부사용자

Internet

SaaS

IaaS

Not TrustedZero Trust Security Model

우리가 신뢰했던 경계는 사라지고 있습니다.

© 2020 Akamai12

전통적인방식의원격접속기술

현황과문제점

© 2020 Akamai13

Traditional VPN Methodology

Other Apps

Corporate Directory (AD)

VPN Client

……

Intranet (Sharepoint)

Jenkins(Dev Ops)

Oracle EBS (Expense)

Account Payable

Mail (Exchange)

ContactsInternet

Corporate Perimeter

Desktop with VPN(left)

VPN Connector

VPN IPSec Tunnel IPSec Tunnel

© 2020 Akamai14

인터넷

기업

원격 접속 문제

사용자앱

고가의 경계, 클라이언트 소프트웨어, 사내 악성 공격자

클라이언트

● DMZ는 비용과 복잡성이 높음● 방화벽은 의도한 대로 구성되지 않음

● VPN은 전체 네트워크 접속을 허용함● 악성 사용자가 네트워크에 침투할 수 있음

VPNADC프록시인증모니터링:

DMZ

© 2020 Akamai15

https://arxiv.org/pdf/1701.04940.pdf

Lateral movement freely within the network

“Network level” connection by using Remote Access

Phishing attack hijacked access

Cyber attack : Real world case study

© 2020 Akamai16

VPN 문제점 – 성능측면고려사항[서버용량증설]

VPN 장비스펙

o SMB/Mid-Range/Enterprise/Data Center 구분

o CPU/Memory/Storage/NIC Capacity 상이

o 이중화(HA) 구성

동시접속자수

o 장비당접속사용자수

(100/1,000/3,000/10,000명등)

o 도입시실사용원격근무자수를고려했으나동시사용자수폭증에대한대비책요구

고려요소

o 교체연한을넘긴장비들은성능상의문제발생

(주기적인교체가요구됨)o 해외지점속도저하문제

발생

o 타솔루션연동/커스터마이징및안정화기간고려

© 2020 Akamai17

VPN 문제점 – 운영측면고려사항[설정및구축]

사전준비

o 구성협의(네트워크환경, 위치)

o VPN 접근을위한방화벽port 요청및설정

o 사용자및애플리케이션사이징

제품입고

o 장비배송및납품

o Rack 마운트 / 제품납품검수

o 장애대비추가장비및네크워크

구성

구 축

o VPN 장비설정및

커스터마이징내역반영

o 물리적구성작업

o 네트워크구성변경및설치

o 다양한인증방식지원을위한추가구성

o 보안설정및네트워크변경이필요

테스트

o 사용자 VPN 접속

테스트[단위/통합]

o 사용자서비스

단계별이관및요청사항

반영o 정책관리및데이타관리필요

o 서비스에따라별도의

S/W설치필요

교육및종료

o 관리자교육(운영및

트러블슈팅)

고려요소

o 최소1.5개월의구축기간소요

o Clientless 구현및운영의어려움

o Elastic한구축및

운영구조가아님

© 2020 Akamai18

VPN 문제점 – 보안측면고려사항[VPN취약점]

보안취약점업데이트

VPN 보안취약점(CVE) 발표직후해킹시도추세

2019년: IT, 통신, 석유및

가스, 항공, 정부및보안

부문의회사들타겟

지속적인관리포인트

발생(Live 패치작업수행) 및제로데이보안취약점에무방비

노출

방화벽포트오픈

VPN 연결을허용하도록방화벽

구성

외부에공개된 VPN장비 IP 및

서비스 Port에다양한공격발생

보안정책변경(Public

IP/서비스 Port/접근제어등)

래터럴무브먼트(Lateral movement, 내부망이동)

네트워크레이어기반의터널

기술 – VPN터널접속후모든

내부네트워크에대한접근

시도가능

“East-West” 공격기법에

노출됨 /감염된외부사용자로

인한내부네트워크위험증가

공격자가내부망에서타

시스템으로공격

확산(PowerShell)

오리진(Origin) 서버정보노출

VPN을통한접속의경우

IP/Port 스캔수행시

사내의어플리케이션노출

사설 IP 및오픈포트번호

노출

고려요소

기업별로외부오픈웹싸이트

다수발견(VPN/보안장비없이)

–Security Hole 존재(DMZ Zone)

© 2020 Akamai19

원격접속기술고려사항

검토시확인사항

© 2020 Akamai20

Priority for your company?• Fastest to deploy?

• Easiest to deploy?

• Cheapest to deploy?

• Best user experience?

• Will work for the most users?

• Provides the best security?

© 2020 Akamai21

Answer for the following questions• Is everything on-premises, or do you have cloud or SaaS apps?• What applications do you need to support? Are these all web apps,

or Windows apps?• Do you already have experience with VDI, and have you already

done that engineering? Is there an already-running VDI environment you can expand?

• Do your users already have laptops they will be taking home, or will they need to find new devices? (If new, will you be providing them or are the users on their own?)

• How do you manage laptops today? e.g. SCCM, AD, and GPOs? Or with a cloud-based, real-time unified endpoint management platform?

© 2020 Akamai22

Answer for the following questions• Do you already have a VPN? Do you have enough licenses for all

your remote users?• Do you have enough bandwidth for your remote users? Have you

thought about how your bandwidth needs will change? e.g. Can you support all that increase in corporate internet traffic?

• Are there “easy” things you can do to free up corporate internet bandwidth? e.g. Enable split tunneling for VPN users.

• Are there any regulatory requirements dictating certain technology decisions? e.g. some regulation that says no customer data can be stored locally on a device, etc.

© 2020 Akamai23

ZTNA 접속기술

필요성과기대효과

© 2020 Akamai24

문제 해결책제로 트러스트 네트워크 접속

제로 트러스트 네트워크 접속(ZTNA)은 애플리케이션 또는애플리케이션 집합에 대한 ID와 컨텍스트 기반의 논리적접속 경계를 만듭니다.

애플리케이션(시스템)을 외부 노출에서 숨기고 신뢰할 수있는 브로커를 통해 선정된 개체 집합으로 접속이제한됩니다.

출처: Market Guide for Zero Trust Network Access, Gartner - 2019년 4월

© 2020 Akamai25

Gartner의 제로 트러스트 네트워크 접속 예측

2022년이면 생태계 파트너에게 공개된 새로운 디지털비즈니스 애플리케이션 중 80%는 제로 트러스트 네트워크 접속(ZTNA)을 통해 접속될 것입니다.

2023년이면 기업의 60%가 ZTNA를 위해 원격 접속 가상프라이빗 네트워크(VPN)의 대부분을 단계적으로 폐지할것입니다.

출처: Market Guide for Zero Trust Network Access, Gartner - 2019년 4월

© 2020 Akamai26

옵션 1네트워크 분할(Network Segmentation)

옵션 2소프트웨어 정의 경계(Software Defined Perimeters)

옵션 3ID 인지 프록시(Identity Aware Proxies)

제로 트러스트를 구현하기 위한 다양한 방식

© 2020 Akamai27

ZTNA

Corporate Directory (AD)

ZTNA Client

Intranet (Sharepoint)

Jenkins(Dev Ops)

Oracle EBS (Expense)

Account Payable

Mail (Exchange)

Contacts

Corporate Perimeter

ZTNA Connector

Internet

SaaS

mTLS

SAML 2.0

TLSWebsockets > HTTPs

Firewall

Desktop

ZTNAEdge

ZTNA Clientless

© 2020 Akamai28

Never Trust, Always Verify

Owned Apps

AuthenticationAuthorization

App A

App B

App C

Access via ZTNA

Owned Apps

App A

App B

App C

Traditional VPN

WAN

Malicious

Partner

Overseas affiliates

Checked when connecting Reduce damage by authentication, in case of invasion

Freely moves over NW Protect by server authentication

Partner

Overseas affiliates

Malicious

© 2020 Akamai29

VPN 문제점에 대한 해결방안(ZTNA 기대효과)

보안 강화o 외부에서 들어오는모든 인바운드 포트를차단 가능함으로강화된 보안 정책 적용

o 필요한 사람에게필요한 애플리케이션만접근 허용함으로강력한 통제 및 Audit가능

o 외부로부터의 Lateral movement 방지(SSL VPN대비)

o WAF 지원

성능 향상o 캐싱 및 가속 지원

o 전 세계적으로 분산된환경에서 빠른 사용가능(성능개선)

o 3배 빠른 속도(SSL VPN 대비)

안정성o 부하 분산 및 이중화구성으로 안정된 운영환경 보장(무중단 운영가능)

o 클라우드 기반 서비스:장비 패치 등의 작업이필요 없으며, 동시사용자 폭증시수용 가능

o 100% SLA 제공

구현 및 운영o 중앙 집중식 보안 및접근제어 가능(데이터센터와클라우드 운영환경에모두 적용)

o 모든 애플리케이션지원(웹, C/S 모두 지원)

o 애플리케이션의 빠른일회성 구축 및 사용지원 가능(운영의유연성)

o 빠른 애플리케이션배포 가능(몇 분이내) : 비즈니스 가속화 효과

비용 절감o 클라우드 운영환경에서 신규 투자비용 절감

(별도의 보안 솔루션구매 불필요)

o MPLS(Multi-Protocol Label Switching) 네트워크 비용감소(회선 비용 절감효과)

© 2020 Akamai30

ZTNA(Zero Trust Network Access)

ZTNA Centralized ID＋AuthN＋

AuthZ MFA/SSO TLS Encrypted Communication

데이터센터

Apps/OS

AD/LDAP

IaaS

SaaS

IdP(e.g.Okta, OneLogin)

② ID authentication and authorization check

③ Secure proxy connection

employees

Subcontractors

Collaborative research partners

① Connection request

Office 365

Salesforce

Azure

AWS

Remote Workers

© 2020 Akamai31

공격자

Internet

데이터센터

ZTNAConnector

Apps

필요한 사람에게필요한

어플리케이션만 접속

방화벽 외부에서 내부로접근할 필요가 없음 원격

사용자

문제시 공격 대상이한정적(전파 불가)

ZTNA(Zero Trust Network Access)

© 2020 Akamai32

Manage based on least privileges

Subcontractors

Sales Team

Finance TeamHR / Finance Apps

New Business Apps

Quote Apps Malicious

Prevents intrusion into apps, even if the Remote worker's device is compromised.

© 2020 Akamai33

Device Posture shuts down attackers

Subcontractors

Sales Team

Finance TeamHR / Finance Apps

New BusinessApps

Quote Apps Malicious

Eliminates Attackers

● Risky device’s access are stopped OS detail information

(version, auto update, disk encryption, firewall status, etc.)

© 2020 Akamai34

안전한 파트너/써드파티 접속기업 접속 권한을 제공하지 않아도 파트너/써드파티 협력업체가 내부 애플리케이션에 접속

클라우드 접속VPN을 설정할 필요 없이 퍼블릭 클라우드에 배포된 애플리케이션에 안전하게 접속

애플리케이션 접속을 위한 MFA 추가빠른 MFA 활성화로 사용자에게 애플리케이션 접속을 허용하기 전에 추가 보안 검증 레이어를 제공

복잡한 변경 없는 애플리케이션 임시 접속매우 민첩하고 유연한 원격 앱 접속 제공

제로 트러스트 네트워크 접속 사용 사례

© 2020 Akamai35

SWG(Secure Web Gateway)

보안웹게이트웨이 Architecture

© 2020 Akamai36

SWG (Secure Web Gateway)

Internet

WWWThreats

C&C

AUP

DNS

Internal User

Mobile

IoT

Remote

ON

-NET

OFF

-NET

DNS 요청 검사

URL 요청 검사

Payload 검증

© 2020 Akamai37

Secure Web Gateway rDNS Web proxy Threat protection

PhishingMalwareC&C

SaaS and other secure comms.

IdP(e.g.Okta, OneLogin)

② Threat check

employees

Subcontractors

Collaborative research partners

①Connection request

③ Secure proxy connection

Office 365

Insecure communications

Malicious

Salesforce

Remote Workers

SWG (Secure Web Gateway)

© 2020 Akamai38

SWG를사용한웹요청검증플로우 – 악성/Risky 도메인

ClientConnector

C&C

Threats

Internet

Device

SWGIPS/IDS

인터넷

리졸버DNS서버

ClientConnector

Device www.badsite.com

SWG

사내 네트워크

SWG Block Page IP응답

DNS Deny

SWG Cloud

DashboardSIEM

SWG Client

Off-Net/Roaming

On-Net

AUP

© 2020 Akamai39

Reference Architecture

ZTNA + SWG

© 2020 Akamai40

Use Case #1 : 데이터센터 + SaaS 기반서비스

Data Center

AS-IS

Corporate Directory (AD)

VPN

회계시스템

워크플로우

업무시스템약 100종

SFDCO365

SaaS

인터넷접속

목적지중간Component

출발지

내부직원

해외직원

UTM

© 2020 Akamai41

Data Center

To-Be

Corporate Directory (AD)

ZTNA connector

회계시스템

워크플로우

업무시스템약 100종

SFDCO365

SaaS

목적지인터넷출발지

내부직원

해외직원

UTM

ZTNA + SWGEdge

SAML

인터넷접속

IDP

Use Case #1 : 데이터센터 + SaaS 기반서비스

© 2020 Akamai42

Use Case #2 : 데이터센터 + IaaS + SaaS 기반서비스

Data Center

AS-IS

Corporate Directory (AD)

VPN

회계시스템

워크플로우

업무시스템약 100종

SFDC

IaaS

SaaS

인터넷접속

목적지중간Component

출발지

내부직원

해외직원

CSP

UTM

각부문서버(윈도우 or Linux)

O365

© 2020 Akamai43

Use Case #2 : 데이터센터 + IaaS + SaaS 기반서비스

Data Center

To-Be

Corporate Directory (AD)

회계시스템

워크플로우

업무시스템약 100종

SFDC

IaaS

SaaS

인터넷접속

목적지출발지

내부직원

해외직원

CSP

UTM

각부문서버(윈도우 or Linux)

O365

ZTNA – C1

ZTNA – C2

IDP

인터넷접속

ZTNA + SWGEdge

인터넷

© 2020 Akamai44

Internet

ZTNA(IAP) + SWG Architecture

Datacenter/IaaS

Perimeter Security

SWG IPSIDSDLP

IaaS

Users

SaaS

File Server

DB Servers App

Internet

Datacenter

DB ServerApp File

ServerDB

Server AppFile Server

IdentityAPT

Identity Aware Proxy

Firewall

Internet

IT User

HR User 3rd-Party Remote

Worker

AUPDNS Protection

Firewall

© 2020 Akamai45

Datacenter

Apps/OS

AD/LDAP

IaaS

SaaS

IdP(e.g.Okta, OneLogin)

employees

Subcontractors

Collaborative research partners

ZTNA Centralized ID＋AuthN＋

AuthZ MFA/SSO

Secure Web Gateway rDNS Malware&C2 Phishing

Office 365

Salesforce

Azure

AWS

Remote Workers

Unified Access with ZTNA + SWG

Malicious① Protection against Targeted ThreatsShutting down “Scan & Attack” actions

② Productivity improvementSame UX for users from everywhere

© 2020 Akamai46

Key Takeaways Understand the vulnerability of traditional network

security perimeter

Consistency, Interoperability, Security and Increased

workforce productivity

Reduced costs and improved scalability

Authorizations based on user identity

Secure access to business critical application

Implement threat protection, application performance

and security services all at the edge

© 2020 Akamai47