www.cloudsec.com | #cloudsec

MS플랫폼 하에서의 Connected Security

- PC에서 서버를 넘어 클라우드까지

Hongso Chae | Quest Software Korea

#cloudsec

Quest는 빠르게 변화하는 엔터프라이즈 IT 환경을 위한 소프트웨어 솔루션을 제공합니다.

Quest는 데이터 폭발, 클라우드 확장, 하이브리드 데이터 센터, 보안 위협 및 규정 요구사항으로 인한문제를 단순화할 수 있도록 지원하며 Fortune 500 대 기업의 95%와 Global 1000 대 기업의 90%를포함하여 100 개국 130,000여 기업에 글로벌 서비스를 제공하고 있습니다.

고객중심의 비즈니스로 전세계

100개국, 13만 고객사 보유

퀘스트소프트웨어를 판매하는

7,000개의 파트너

베스트 프랙티스를 자체 공유하는

400만 명의 커뮤니티 구성원포춘 500대 기업 중 95%가

퀘스트 제품 사용자

Quest소개

#cloudsec

Microsoft Platform?

Server Platform

알고 사용하기 이해하고 활용

#cloudsec

Microsoft Platform Overview

#cloudsec

Quest Connected Security

Quest Connected Security for Microsoft Platform

#cloudsec

접근 전략

AD

인증/정책/권한

운영체제

Windows Server / Windows 단말

서비스

변경/복구

보안이고려된관리

DevOpsSec

데이터 및행위중심

보안관제

가시성기반

보안감사

#cloudsec

보안의 주요 대상

인증/정책/권한정보

Active Directory의위협(보안)은

운영체제의위협(보안)

데이터중심

행위중심

제한 / 신속한탐지및복구

운영체제

관리 / 통제

MS Platform 보안의 시작은

인증 / 정책 / 권한 관리

(Azure) Active Directory

#cloudsec

Active Directory

출처 : https://www.gartner.com/en/documents/3890763/active-directory-the-time-to-modernize-is-now

출처 : https://jumpcloud.com/blog/google-identity-management-active-directory/

#cloudsec

주요 보안 대상 – Active Directory

▪ 계정관리및인증

▪ 정책관리및배포

▪ 권한관리

AD특화접근제어

▪ 제한된인원에권한할당

▪ 지정된지역(PC, IP)에서만접근

▪ 지정된접근방식(RDP, 전용어플등)

▪ 접속방식및접속정보의제어

최소및세분화된권한관리

▪ 담당자별권한의세분화된할당

▪ 반드시필요한권한만을제공

변경감지및관리

▪ 계정정보의변경

▪ 정책의변경

▪ 특권계정(높은권한을가지는계정)의변경

▪ 시스템의보안및주요설정변경

운영 체제 보안의 핵심은

AD기반 통합 인증 및 정책 과

최소 권한 관리

#cloudsec

주요 보안 대상 –운영체제

접근제어

최신업데이트

(최소)권한관리 ?

Anti-OOOOEnd Protection GPO기반보안

최소권한관리 접근제어

통합로그/이벤트

인증통합 정책관리 접근제어

그렇다면 Quest는

Microsoft Platform에 대한

어떤 보안전략을 가지고 있나?

#cloudsec

Quest의 보안 전략 for Microsoft platform

Quest 보안전략 #1. Active Directory서비스를 Secure Zone으로관리

▪ 완벽한접근통제를통한극히제한되고승인된경로나방식으로만접근

▪ 시스템기반패스워드관리를통한패스워드유출원천차단

▪ 모든변경에대한 실시간감시를통한데이터기반보안위협행위실시간탐지

▪ 완벽한복구체계구성을통한신속복구를통한피해최소화

#cloudsec

Quest의 보안 전략 for Microsoft platform

Quest 보안전략 #2. AD기반 Windows서버접근관리및 보안가시성확보

▪ 완벽한접근통제를통한승인된경로나방식으로만접근

▪ 시스템기반패스워드관리를통한패스워드유출원천차단

▪ 할당된권한정보(폴더, 디렉토리, 파일, 로컬계정)에대한가시성확보

▪ Active Directory기반의통합인증및 중앙보안정책관리

▪ 로그인데이터분석을통한이상접속차단

▪ 이벤트통합을통한실시간감지및분석체계

#cloudsec

Quest의 보안 전략 for Microsoft platform

Quest 보안전략 #3. AD기반사용자 PC의최소권한관리

▪ 일반계정사용으로보안위협최소화

▪ Active Directory기반의통합인증및 중앙보안정책관리

Quest 보안전략 #4. MAC/Linux도 AD 관리영역으로편입

▪ Active Directory기반의통합인증및 중앙보안정책관리

#cloudsec

Quest Connected Security

▪ 접근통제및패스워드관리

▪ 주요데이터보호

▪ 관리자권한제거및보안 GPO

▪ AD연계를통한통합인증/정책관리

▪ 가시성을확보하고보안위협요건들에대한지속적인검증

Protect : 사전예방

▪ AD 특화데이터/시스템/서비스백업/복구

▪ 이벤트및로그통합을통한원인분석

Recovery : 신속복구 & 분석

▪ 위협및이상행위실시간알람

▪ 이상접속실시간알람

▪ 실시간윈도우이벤트통합및 PowerShell 실시간이상감지

Detect : 신속한이상감지

P

D

Q

R

Quest Connected Security for Microsoft Platform

Qualify : MS IP Co-Sell

▪ MS Platform환경에검증된솔루션

▪ 새로운환경에안정적인솔루션제공가능

#cloudsec

단계별 적용 방안

S1 S2 S3 S4 S5

S2: AD를 Secure Zone으로구성AD에대한위협에대한사전대응및탐지체계구성

S4: 실시간탐지, 대응및감사체계구축실시간이상및위협탐지와이에대한대응체계구축/ 지속적인위협제거를위한감사체계구축

S1: AD기반플랫폼구성모든윈도우환경을 AD로 Join하여AD기반통합인증체계구축

S3: GPO 정책적용및 PC관리자권한제거GPO를통한 Join된 Windows 환경에대한보안정책관리및단말에대한보안강화

S5: Mac / Linux를AD로통합기존 Windows환경의보안영역으로 Mac과 Linux도편입

단계별 Quest 보안전략 #1

Protect

#cloudsec

Quest 보안전략 #1. Protect

▪ AD를 Secure하게

#.1 접근제어

▪ 접근가능계정(담당자) 지정▪ 접근가능방식(PC, IP, 프로토콜) 지정▪ 접속자검증(2FA)

#3. 접근정보(패스워드)의안전한관리

▪ 자동화된패스워드관리▪ 승인을통한자동접속

#4. 중요데이터에대한 Protection(변경금지)

▪ 중요한데이터에변경금지

#2. 최소권한관리

▪ 개별계정할당▪ 계정마다권한을세분화하여할당▪ White List형태로필요한권한만할당

#cloudsec

Quest 보안전략 #1. Protect

▪ AD를통해 Secure하게

#2. Linux, Unix, Mac을 AD 관리및보안영역으로연결

▪ 통합인증▪ 통합정책관리▪ Sudo관리(Linux)

#1. GPO기반보안및최소권한(관리자권한삭제)

▪ GPO기반의통합정책관리를통한보안▪ 일반계정(관리자권한제거)을통한위협최소화▪ 제한된권한할당을통한위협가능성최소화

통합인증

통합보안정책

#cloudsec

Quest 보안전략 #1. Protect

자동화 가시성

지속적보안위협제거를위해서는아래 2가지요소가필요

▪ 필요한데이터를자동으로수집▪ 특정조건의데이터를자동리포트화▪ 리포트의자동발송

▪ 사용자가원하는데이터를손쉽게조회▪ 보안위협단위로리포트정의

#cloudsec

Quest 보안전략 #1. Protect

▪ AD 및 Windows에대한 Visibility

#.1 AD에대한가시성

▪ 보안위협이될수있는사항들에대한리포트▪ BI 형태의사용자데이터조회▪ 정기적인리포트전달

#2. 윈도우서버에대한권한가시성

▪ 윈도우로컬계정에대한통합관리▪ 모든폴더및시스템내에할당된권한정보통합조회

#3. 주요한보안관련변경에대한지속적인리포팅

▪ 주요정책(GPO)변경▪ 높은권한획득사용자▪ OU단위의권한변경등

단계별 Quest 보안전략 #2

Detect

#cloudsec

Quest 보안전략 #2. Detect

▪ 위협의형태

허용되지않는행위

위협가능성

행위감지

행위기반

위협자동분석(ML)

충분한

데이터

예측하지못하는위협

다양한

사용자정의 Rule

#cloudsec

Quest 보안전략 #2. Detect

▪ 주요감지형태

#1. 모든변경내역에대한실시간감시및위협도분석

▪ AD에서발생하는모든변경에대한감시▪ 변경요건에따른위험도분석▪ 허용되지않거나위험한행위에대한감시

#2. 주요한변경사항에대한실시간감시

▪ 위험도높은파일이생성▪ 이상로그인시도▪ 주요 Registry 생성 / 변경

#03. 모든이벤트에대한통합을통한실시간감시

▪ 윈도우이벤트에대한실시간수집및감시▪ PowerShell과같은작업에대한위험명령어실행감시

단계별 Quest 보안전략 #3

Recovery

#cloudsec

Quest 보안전략 #3. Recovery

온라인기반의즉시및개별복구

데이터

통합화면을통해서한번의클릭으로손쉽고빠르게복구

서비스

통합된복구를손쉽고빠르게수행

시스템

“Active Directory와같은특화된서비스는특화된복구체계가필요”

#cloudsec

Quest 보안전략 #3. Recovery

Active Directory의복구의핵심은속도(서비스무중단), 데이터의무손실(정합성)

서비스중단없는

신속한복구

최신데이터로의

정확한복구

▪ 개별객체단위복구

▪ 온라인에서서비스중단없이복구

▪ 클릭만으로즉시복구

▪ 항상최신의데이터를자동백업

▪ 자동백업된데이터를통한데이터손실없이복구

▪ 데이터정확성을통한보안이슈해결

#cloudsec

Quest 보안전략 #3. Recovery

데이터복구

온라인에서원하는데이터만즉시복구

서비스복구

서비스에대한손쉽게빠른복구 + 데이터복구

시스템복구(재해복구)

시스템에대한손쉽게빠른복구 + 서비스복구 + 데이터복구

“데이터손실및불일치로인한보안의위협을원천적으로제거＂

#cloudsec

Quest Solutions

Quest Connected Security for Microsoft Platform

▪ 승인기반패스워드 및접근통제통합관리 : Safeguard

▪ 윈도우권한상승 : PMW

▪ MAC/Linux/Unix AD통합및최소권한관리 : PAS

▪ GPO전문관리 : GPOAdmin

▪ 마이크로소프트플랫폼 BI : Enterprise Reporter

▪ 윈도우권한정보통합검색 : Security Explorer

Protect : 사전예방

• 서비스특화복구 : Recovery Manager for AD/Exchange

Recovery : 서비스신속복구

▪ 실시간이상탐지및감사 : Change Auditor

▪ 실시간윈도우이벤트통합관제 : InTrust, syslog-ng

▪ 실시간모니터링 : Foglight

▪ 머신러닝기반이상탐지 : Threat Detection

Detect : 데이터기반신속한이상감지

P

D

Q

R▪ MS Platform환경에검증된솔루션

▪ 새로운환경에안정적인솔루션제공가능

Qualify : MS IP Co-Sell

www.cloudsec.com | #cloudsec

THANK YOU

Hongso Chae | Quest Software Korea