zero trust - cloudsec · 2019-08-30 · hack (inbound proxy) global traffic mgmt site shield 2011...
TRANSCRIPT
www.cloudsec.com | #cloudsec
Zero Trust At The Edge
김 현철| Akamai Korea
#cloudsec
클라우드 전환(Cloud Migration)
“ 애플리케이션, 데이터, 인프라 등,비즈니스 영속을 위한 IT 자산을
클라우드 환경으로 이동하는 과정.. ”
하이브리드클라우드 구현
멀티 클라우드보안 구현
피크 트래픽스케일링 지원
기업의애플리케이션글로벌 확산
#cloudsec
전통적인 보안 모델 –Corporate Network
#cloudsec
전통적인 보안 모델 –Corporate Network
Internet
외부 사용자외부방화벽
Active Directory
Front End
443
53 and 443내부 사용자
SQL서버
Index, Query, Application,Central Administration
Servers
Index, Query, Application,Central Administration
Servers
웹 서버
HWLB
방화벽방화벽
(Domain Bound Servers)
외부 DMZ 내부 DMZ Intranet
내부 네트웍경계 네트웍
전통적인 트러스트 모델 TrustedNot
Trusted
외부 DMZ 내부 DMZ
#cloudsec
변화하는 환경
외부 사용자외부방화벽
Active Directory
Front End
443
53 and 443내부 사용자
SQL서버
Index, Query, Application,Central Administration
Servers
Index, Query, Application,Central Administration
Servers
웹 서버
HWLB
방화벽방화벽
(Domain Bound Servers)
외부 DMZ 내부 DMZ Intranet
내부 네트웍경계 네트웍
전통적인 트러스트 모델 TrustedNot
Trusted
외부 DMZ 내부 DMZ
내부사용자
외부사용자
Internet
SaaS
IaaS
#cloudsec
변화하는 환경
IaaS
App #3
App #4
SaaS
App #5
Data Center
App #2
App #1
IaaS
App
App
App
App
▪ 지속적인 클라우드 도입 확대
▪ 일관적인 보안 정책 적용
#cloudsec
Edge Cloud 보안으로 이동
App
App
App
App
App
AppApp
전통적인 보안
App
App
App
App
App
AppApp
Edge Cloud 보안
#cloudsec
Zero Trust 모델로 이동
외부 사용자외부방화벽
Active Directory
Front End
443
53 and 443내부 사용자
SQL서버
Index, Query, Application,Central Administration
Servers
Index, Query, Application,Central Administration
Servers
웹 서버
HWLB
방화벽방화벽
(Domain Bound Servers)
외부 DMZ 내부 DMZ Intranet
내부 네트웍경계 네트웍
제로 트러스트 모델Not Trusted
외부 DMZ 내부 DMZ
내부사용자
외부사용자
Internet
SaaS
IaaS
Not Trusted
Zero Trust is the new approachKey principles:
● The network is always assumed to be hostile.
● External and internal threats exist on the network at all times.
● Network locality is not sufficient for deciding trust in a network.
● Every device, user, and network flow is authenticated and authorized.
● Policies must be dynamic and calculated from as many sources of data as possible.
#cloudsec
Zero Trust 출발점
App 1
App 2
App 3
App 4
App 5
App 6
App1
App 2
App 3
사용자 Application
사용자
내부사용자그룹
아웃소싱사용자
파트너사용자
고객
사용자와 어플리케이션이 여러 네트워크에 혼재
“기본적으로 신뢰하지 않고 항상 인증하여 어플리케이션 접속”
어플리케이션 기준 접근
#cloudsec
Zero Trust 모델 적용 사례
https://www.usenix.org/conference/enigma2018/presentation/hildebrandt
#cloudsec
Zero Trust 모델 적용 방안Option #1
Network Segmentation
Option #2
Software Defined Perimeters
Option #3
Edge-based Identity Aware Proxies
#cloudsec
Akamai Zero Trust Offering
ThreatsApp
C&C
App
App
AUP
• 사용자 확인 및 어플리케이션 접근제어 (AuthN/AuthZ)
• 멀티팩터(MFA) 인증을 통한 Single Sign On
• 어플리케이션의 성능 및 보안 향상
• 멀웨어와 데이터 탈취에 대한 선제적 대응
• SIEM 연동
• 어플리케이션에 대한 DDoS 방어
Akamai Intelligent Platform to secure all enterprise apps & users.
#cloudsec
Akamai Enterprise Application Access
1
2
E A A
Co n n e c t o r
W e b
A PP s
3
-E A A E d g e-
회사 내부
집으로 이동
EAA 특장점
- SSO- 다단계 인증- 통합 ID 기반
IaaS
(AWS, Azure등..)
클라우드
방화벽 외부에서 내부로의 접근이 필요하지 않음
데이터 센터
사내 웹 어플리케이션
(Sharepoint 등..)
사내 디렉토리 서비스 연동(Active Directory / LDAP)
Windows / Linux 서버
(RDP / SSH)
필요한 사람에게 필요한 어플리케이션만 접근 허용
제로 트러스트 클라우드의 경계선
SaaS(SFDC, 오피스365등..)
협력사, 파트너사
원격 접속
임직원 접속
외부 관계자 접속
HTML5를 사용하여 클라이언트 필요없이 브라우저로 어플리케
이션 액세스 (HTTP/S, RDP, SSH, VNC 호환)
차세대 원격 액세스 솔루션
아카마이 인텔리전트 플랫폼
#cloudsec
사용자 접속 화면
1
2
E A A
Co n n e c t o r
W e b
A PP s
3
-E A A E d g e-
회사 내부
집으로 이동
EAA 특장점
- SSO- 다단계 인증- 통합 ID 기반
IaaS
(AWS, Azure등..)
클라우드
방화벽 외부에서 내부로의 접근이 필요하지 않음
데이터 센터
사내 웹 어플리케이션
(Sharepoint 등..)
사내 디렉토리 서비스 연동(Active Directory / LDAP)
Windows / Linux 서버
(RDP / SSH)
필요한 사람에게 필요한 어플리케이션만 접근 허용
제로 트러스트 클라우드의 경계선
SaaS(SFDC, 오피스365등..)
협력사, 파트너사
원격 접속
임직원 접속
외부 관계자 접속
HTML5를 사용하여 클라이언트 필요없이 브라우저로 어플리케
이션 액세스 (HTTP/S, RDP, SSH, VNC 호환)
차세대 원격 액세스 솔루션
아카마이 인텔리전트 플랫폼
Akamai & EAA
300+ Applications6500+ Users
#cloudsec
여전히 존재하는 위협
• 2018년 랜섬웨어 공격은 줄었지만 지능화된 공격 증가 source : Trend Micro 2018 Midyear Security Roundup
• 51%의 데이터 유출 사고에 malware가 연관 source: Verizon 2017 Data Breach Investigation Report
• 데이터 유출에 따른 평균 손실액은 40억 source: Ponemon Institute - 2016 Cost of Cybercrime)
• 68% 기업이 Cyber Attack에 대한 재정적 영향에 대해 고려해 보지 않음 source: MMC 2016 Cyber Handbook
• 2016 Q3에만 1,800만개 개의 새로운 malware가 감지 source: Padasecurity 2017 cyber security statistics
• 매일 39만개 신규 malware가 감지 source: AVTEST malware staticstics
• Malware도 C&C 서버 통신에 DNS 사용
• Malware는 DNS를 통해 데이터를 유출하는 기법을 사용하기도 함.
• 대부분 기업은 내부 망으로부터의 Outbound 트래픽 보다는 주로 외부에서 들어오는 Inbound 공격 트래픽에 대한
보안/관제에 더 집중
#cloudsec
시그니처 기반의 방어
C&C
Threats
Internet
Device
Device
SWG
AV
AV
IPS/IDS
허용된 IP주소, 프로토콜애플리케이션을통한악성코드유입차단불가
파일기반악성코드탐지불가
허용된사이트를통해유입되는악성코드차단불가
신종악성코드탐지/차단불가
인터넷
정형화 된 시그니처 기반의 방식을 통해 악성코드/ malware/ 악의적 행위 등을 방어
#cloudsec
사용자 접속 화면DNS lookupTime to first
byte
Initial connection
Content download
malware.com 70 ms 60 ms 60 ms 140 ms
91.3% 알려진 bad malware 는 DNS 사용
#cloudsec
도메인 접속 단계
사내 DNS
Root DNS
Internet
SaaS Apps
WWW
Mobile Apps
HD Video
Cloud
Command & Control Infrastructure
Advanced Threats
Unacceptable Contentwww.akamai.com
1
2
3
#cloudsec
Edge CloudSECURITY
INTELLIGENCE
Edge Cloud를 통한 차단
사내DNS
Root DNS
Internet
SaaS Apps
WWW
Mobile Apps
HD Video
Cloud
Command & Control Infrastructure
Advanced Threats
Unacceptable Content
www.akamai.com
1
3
4
Akamai ETP
확인먼저!!
2
#cloudsec
실제 적용1단계 : DNS설정 변경 2단계 : 정책 설정 3단계 : 모니터링 시작
#cloudsec
실시간 모니터링
#cloudsec
기대 효과
백신
다층
방어
AKAMAI ETP DNS보안
APT 솔루션
Email보안
URL 필터안티스파이웨어
IPS
FW
CASB
EDR
시그니처 기반취약점 차단
부정메일의차단첨부파일의차단
첨부 파일 차단알려지지 않은말웨어 차단
말웨어를 전달하는사이트통신을 블록
알려진말웨어차단
말웨어감염후의부정한행위탐지
통신포트기반차단
악성사이트로의통신차단
ETP Proxy에서파일페이로드인스펙션을
실시
말웨어전달차단
알려진 말웨어차단
말웨어감염후의부정한행위탐지
표적형메일 Watering hole 공격
알려진 IP 차단
ETP Proxy에서파일페이로드인스펙션을
실시
알려진 악성도메인 차단
알려진 악성도메인 차단
C&C 통신(HTTP/HTTPS)
C&C 통신(HTTP/HTTPS 외)
암호화인프라에대한통신차단
랜섬웨어
도메인단위의쿼리분석으로탐지
파일공유/채팅
Inbound방어 Outbound 방어
#cloudsec
ETP 적용 사례
• Provide protection to all staff and students
• Protects against Malware, Phishing & CnC traffic
• Enforces Acceptable Use Policy (AUP)
• Blocks Anonymisers
• Enforces SafeSearch
https://www.n4l.co.nz/how-does-n4l-help-protect-schools-against-ransomware/
뉴질랜드의 모든 학교에 적용
#cloudsec
IT운영환경의변화
4 of the top 5 most valuable companies in Asia7 of the top 10 Asian airlines9 of the top 10 global auto manufacturers9 of the top 10 global computer hardware manufacturersAll top 50 global carriersOver 400 banks worldwide
TRUSTED BY THE WORLD’S LEADING BRANDS
40 million hits per second2+ trillion deliveries per day50+ terabits per second
ACCELERATING DAILY TRAFFIC OF
240,000 servers1,700 networks3,900 locations137 countries
A GLOBAL Cloud PLATFORM
전세계인터넷의 25 – 40% 처리
Akamai Edge Cloud Platform
#cloudsec
Zero Trust At Akamai - WHY?
We believe a network-centric approach to security and segregation is no longer sufficient to protect our company’s assets
o “Firewalls and VPNs are great…if you don’t have any users”
We don’t trust what we don’t know
We require more fine-grained access control
NAC was great on paper, but was too difficult and expensive to implement
We want to give our employees the same seamless and secure experience across any device from any location
#cloudsec
The Internet As The Corporate Network
Akamai has always believed that the Internet is THE network
NO VPN
2000’s
Network and
Application
Controls● Client Certificates
for all
● Network dot1x - 2FA
● Federated Auth -
SAML
● No internal wireless
● Bastion mgmt hosts
● Default no outbound
internet
Akamai on Akamai
Launches
● Applications
externally
available via
Akamai on Akamai
(AoA) internal IT
hack (inbound
proxy)
● Global Traffic Mgmt
● Site Shield
2011
No Passwords
● 2FA moves to
cert+Push MFA
● Passwords are
largely eliminated
from the
environment
● 3rd party access
(Soha)
2016
Akamai Enterprise
Security Products
● Enterprise
Application
Access (EAA)
replaces AoA IT
hack
● Enterprise Threat
Protector (DNS
based threat intel)
● Akamai’s “100 in
100” Challenge
2017
Zero Trust● EAA (zero trust)
client deployed
successfully to
hundreds of
internal users
● Kona Site Defender
(WAF)
● Bot Manager
2018+
Akamai’s Path to Zero Trust
#cloudsec
What is this?Answers:
A. Apple Watch
B. Expensive!
C. My Password
D. All of the above
#cloudsec
Akamai Workflow User Experience
https://oracle-ebs.akamai.com/OA_HTML/OA.jsp?OAFunc=OAHOMEPAGE#
#cloudsec
Akamai WorkflowData exchange
• Refer to SSO Login - EAA
• Challenge for client certificate
• Confirm user identity from certificate and user has authorization to access the app
• Check for valid EAA IDP Cookie
• If not present challenge user for MFA to confirm access request
https://oracle-ebs.akamai.com/OA_HTML/OA.jsp?OAFunc=OAHOMEPAGE#
If IDP cookie already present and valid
Akamai & EAA
300+ Applications6500+ Users
#cloudsec
Our VisionOne edge platform to secure all enterprise apps & users
Threat Protection▪ Malware, phishing & DNS-based data
exfiltration protection with inline payload analysis
Application Access Identity, single sign-on & multi-factor
authentication
Inline app access, app performance & app security
Office Cafe
The WebDC
IaaS
SaaS
App #1 App #2
App #3 App #n
App #1
App #2
Zero Trust Is A Journey
Are you ready to start?
www.cloudsec.com | #cloudsec
THANK YOU
김 현철 | Akamai Korea