Copyright © 2014 by Microsoft. ALL RIGHTS RESERVED. No...

Copyright © 2014 by Microsoft. ALL RIGHTS RESERVED.No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means —

electronic, mechanical, photocopying, recording, or otherwise — without the permission of Microsoft.This document provides an outline of a presentation and is incomplete without the accompanying oral commentary and discussion.

1 금융전산 망분리 가이드 요약

2 기업 사이버 보안을 위한 대응 과제

3 마이크로소프트 솔루션 및 사례 소개

가상화 기술을 통한 논리적 망분리

4 망분리 구축 사례

정보유출 서비스마비 서비스 장애

금융전산보안위협현황

기업의 전산 환경을 안전하게 보호하기 위한 통합적 보안 강화 방안 필요

적용 대상및 범위

기본 원칙

서버공격

웹서버해킹공격

PC 직접해킹공격

이동식미디어사용을제한함

보안이강화된PC 운영체제사용

보안이강화된PC 관리환경을구현후, Application 실행권한을최소화

관리자및사용자계정권한분리 및암호정책을강화

서버계정에대한암호를로컬HDD에저장금지

중요서버에접속할수있는PC를별도로지정하여사용함

보안이강화된PC관리환경을구현하고, 보안정책에위배된시스템의접근을제한함

보안업데이트서버

해킹공격

서버관리자계정권한및암호정책을강화

보안업데이트나SW 패치프로그램배포시, 사전승인및검증절차수행

망 분리 구현

패치 관리 /자동 베포 솔루션 구축

취약점 진단

관리자 계정권한 관리및암호정책을강화

보안이 강화된 최신의 운영체제 사용

HIPSAnti-spyware

어플리케이션실행및접근권한관리

예방/

보호

이동식 미디어 보안 및 사용 제한

대응/

복구

Step Solution Overview & Benefits

Microsoft Virtual Desktop Infrastructure (VDI)

Microsoft RemoteApp(SBC)

Windows Virtual PC, Client Hyper-V(CBC)

구분

21

3 4

사이트 상태 사이트 상태 사이트 상태사이트

상태

연말정산 OK 현금영수증 OKNH고객 사은행

OK 시티은행 OK

민원24 OK 홈텍스 OK 국민은행 OK SC은행 OK

대법원인터넷등기소

OK(1) 중소기업지원센

터OK 우리은행 OK

IBK기업은행

OK

나라장터 OK 고용보험 OK 신한은행 OKNH고객사카드

OK

행정정보고동업무포털

OK건강보험공단 EDI 포털

OK 하나은행 OK BC카드 OK

다수의호환성확보및추가적인지원

Internet

GW 서버물리PC : 172.17.5.1

가상PC VPN IP : 10.17.5.1

1

2

3

4

망간파일전송

3

4

1

인터넷망 차단 외부메일 차단

업무망 접근 차단 인터넷 이용가능 문서 뷰어

2

업무서버

기타작업

수동작업

자동진행

장애또는OS 설치

IT 지원부서의방문지원

가상머신 설치

장치드라이버설치공통업무

프로그램설치

보안프로그램설치 개인환경설정 기타작업

개별업무프로그램설치

장애또는VM패키지설치

가상PC자동배포

기타작업

가상PC(OS) 설치

장치드라이버

응용프로그램

정책적용

업데이트

Zero Touch Installation 환경

기존 운영체제

배포로는…

업무 PC와 가상 PC(인터넷PC)는 OS 레벨로 서로 분리되어 있으므로 메모리, 프로세스에 접근 하지 못한다.

웹브라우저는 가상영역에서 구동 중이므로, 호스트 OS(업무PC)의 작업관리자에서 해당 프로세스의 메모리 (Iexplore.exe) ,프로세스의 흔적을 발

견 할 수 없음.

호스트 OS

가상 OS 브라우저IE 6

업무 OS

ESD 에이전트

Windows Virtual PC

망분리Guest Tray

ESD 에이전트 IE 8

인터넷 OS – Windows 7 sp1

망분리 Tray

VHD Disk

Redirection

Installed Apps

Published Apps

RDP

Windows Components & Applications

관리 Components

업무 PC와 가상 PC는 OS 레벨로 서로 분리되어 파일시스템 및 레지스트리등의 시스템 자원 접근 불가.

호스트 OS 파일 시스템가상 OS 인터넷 브라우저

업무 PC OS에서 탐색기를 열어 확인 한 파일 목록과인터넷 가상 PC용 인터넷 브라우저에서 저장을 열어 확인한 파일 목록이완전히 다른 것과 상호 복사가 되지 않는 것을 확인

IE 6

업무 OS

ESD 에이전트

Windows Virtual PC

망분리Guest Tray

ESD 에이전트 IE 8

인터넷 OS – Windows 7 sp1

망분리 Tray

VHD Disk

Redirection

Installed Apps

Published Apps

RDP

Windows Components & Applications

관리 Components

• 1단계: IPsec 패킷 암호화를 이용하여 호스트 영역(업무PC)으로 가상

영역 NIC 정보 유출 차단.

• 2단계: 가상 영역에서 인터넷 연결을 위해 보안게이트웨이 접속 사

용자의 계정 로그인 정보를 별도 관리한다.

IPsec 헤더

• 1단계: 가상 영역에서 IP의 보안게이트웨이는 제공하지 않고 내부로의

라우팅은 금지하도록 라우팅 테이블을 제어하며, 이에 대한 변경과

수정을 차단

• 2단계: 가상영역(인터넷PC영역)의 라우팅테이블을 변조하더라도,

IPsec 필터를 통하여 허용되지 않은 네트워크 리소스 접속을 원천 차

단.

IP 보안정책으로 네트워크 접근을 완전히 통제

인터넷PC의 320 사태와 유사한 MBR1) 및 파티션 손상이나 악성코드

감염 등 어떠한 손상에도 업무 PC와는 완벽히 격리된 OS로

운영되므로 업무 PC에 영향을 미치지 않음

사용자가 초기화 버튼을 클릭하면, 그 즉시 새로운 이미지 디스크를

추출하여 새로운 운영체제로 초기화 하여 제공하므로 인터넷 업무를

신속히 사용

1. 사용자가 복구 버튼을 클릭

2. 사용자 경고 메시지 팝업

3. 가상운영체제 이미지재 설치와 운영체제 재설치, AD 가입

가상운영체제가 MBR손상으로 부팅이 되지 않아도 업무 pc는 이상이 없음.

IE RESET // VM RESET // VM Initialize

사용자가 헬프데스크의 도움 없이 스스로 가상인터넷환경을 재시작하고 초기화 할 수 있도록 방안를 제공하여, 신속한 서비스 정상화 및 업무활용을 지원함.

Seamless UI 상황에서 IE의 iexplore.exe 프로세스를 강제 재시작 함. 가상 인터넷 PC를 Hard-Rebooting 함. 가상 인터넷 PC를 재설치하고 AD에 재 가입으로 깨끗한 상태로 복원함.

1 2 3

구분 사이트 상태 사이트 상태

공공서비스

연말정산 OK 현금영수증 OK

민원241) OK 홈텍스 OK

건강보험공단 EDI 포털 OK 중소기업지원센터 OK

나라장터 OK 고용보험 OK

행정정보고동업무포털 OK 대법원인터넷등기소1) OK

민원 24연말정산

1) 가상 환경에서의 공문서 발급은 해당 사이트에서 지원하지 않음

구분 사이트 상태 구분 사이트 상태

시중은행

NH농협은행 OK

카드사

NH은행카드 OK

국민은행 OK BC카드 OK

우리은행 OK 삼성카드 OK

신한은행 OK KB국민카드 OK

하나은행 OK 신한카드 OK

시티은행 OK 현대카드 OK

SC은행 OK 롯데카드 OK

IBK기업은행 OK 외환카드 OK

NH 농협은행 KB 국민은행

Virtual Hard Disk

Windows Virtual PC

Configuration File

Virtual Hard Disk

Guest Operating System (Windows 7)

ApplicationsIntegration

ComponentsRemote App

Binaries

Windows 7

HardwareWindows Virtual PC는 운영체제의 일부이며, 운영체제를 추가로 더 사용할 수 있는 가상화 기능임

Apps

OS

App Delivery

통합된 UI

가상 데스크탑

Internet

가상 OS에서 실행된 인터넷 탐색기가, 업무 PC의 운영체제에서 실행되는 것처럼 화면 제공

사용자가 이전 방식 그대로 인터넷을사용하므로, 혼란이나 업무 불편 최소화

별도의 가상환경 화면을 띄워서 그 화면에서 실행하는 방법이 아님

업무 URL은 물리 PC로 실행하고, 외부URL은 인터넷으로 인식하여 가상PC로URL 자동전환(Redirection) 하므로, 사용자가 어떤 인터넷탐색기가 업무PC용인지 구분할 필요가 없음.

가상 PC인터넷 탐색기

물리 PC업무사용

• 인터넷 접근을 위하여 사용자가

가상환경(인터넷PC) IE를 별도로 구분하지 않아도

IE가 자동으로 적절한 IE (업무PC 또는

인터넷PC)를 호출함.

•

• 사전에 정의한 URL 정책을 기반으로 동작하며

URL 정책은 관리서버에서 설정되어 업무 PC 부팅

시 변경경된 내용만 배포됩니다.

• URL 리스트는 “*”가 포함된 URL이나 IP를

설정하도록 손쉬운 관리를 지원함.

• URL 주소만 전달하며 주소 길이를 제한하여

데이터 유출을 예방 함.

• 업무/인터넷 망간 Get, Post 방식의 SSO 지원

인터넷 가상 PC의 인터넷브라우저가 나타남

인터넷 PC의 IE

2

업무PC IE에 인터넷 URL (kr.Msn.com)을 입력함

업무 PC의 IE

1

App

OS

HW

관련정보탐색

(상세) 주요업무 대시보드 - 역할에따른요약대시보드

데이터베이스엔진 상태

데이터베이스 엔진 상세 정보

활성 경고 (Alert)

엔진내 데이터베이스(테이블스페이스) 상태

성능 정보(문제 발생 시

붉은색으로 변화)

관련 작업실행(서비스시작,

관리콘솔실행등)

• 앞서 정의된 관리자의 역할 및 관제 대상에 따라 가장 주의 깊게 모니터링 해야하는상태 및 성능 내용을 기반으로 커스터마이징 된 대시보드 생성 가능(예) 데이터베이스 관리자용 대시보드

관제대상

• 하나의 단일 UI를 통해 단순히 어플리케이션뿐만이 아니라, 해당 어플리케이션 운영과 연계된 밑단의 운영체제 및 하드웨어에 대해서수직적 관라/관제가 가능해짐

관제대상

대상 탐색

• Management Pack에 정의되어 있는 방법을활용하여 관제 대상을 탐색하고 관제 범위에 합류 시킵니다.

• 관제 대상 탐색 주기는 관제 대상의 종류 별로 해당 Management Pack에 정의 되어 있습니다.

• 기본적으로 관재 대상은 이미 Management Pack에서 관제 대상 제품또는 솔루션(Class)이 정의되어 있습니다. 대상 탐색 시 수집된데이터를 근거로 관제 대상의 주요 특성을등록되게 됩니다.

관제 모델

관제요소 가용성 성능 보안 구성

관제 대상 상태

Management Pack에등록된 모니터 및 규칙

• 관제 대상에 대해서는 “가용성“, “성능“, “보안“, “구성“ 4가지 관점에서 Management Pack이 기 등록된 모니터들과 규칙을 기반으로 건강 상태를 표현하게 됩니다.

• 모니터는 일반적으로 관제 대상이 위험 상태임을 판별하기 위하여 쓰이며 규칙은 성능 및 이벤트 등의 히스토리성 데이터를 저정하기 위하여 사용 됩니다.

관계 모델

관계요소

상위 관제 대상

하위 관제 대상

Worst of Best of Percentage of

• 관제 대상간의 관계가 Management Pack에미리 선언되어 있어 하위 관제 대상의 이슈로 인해 발생하는 상위 관제 대상의 위험 상태 여부에 대한 확인이 가능합니다. (예 : 특정 운영체제 위에 데이터베이스가 설치되어 있는 경우 하위의 운영체제에 대한장애가 발생하는 경우 상위의 데이터베이스에 영향을 받음)

• 대상간의 관계에 따라 Worst of, Best of, Percentage of의 관계를 기준으로 상위 관제 대상의 건강 상태를 표현합니다.

SQL Server관리자

Active Directory관리자

사용자 역할

=

View Alerts

ViewPerformance

Submit Task

+

Tasks[솔루션 관리 기능]

Views[관련 뷰]

Targets[N/A]

Groups[담당 서버]

프로파일 영역

• 일반적으로 너무 많은 기능에 대한 노출은 너무 많은 정보로 인한 업무효율저하를 발생 시킬 수 있고, 보안에 대한 위험을 내포 하고 있습니다. 이에 대한 대비책으로 역활 기반의 관리 콘솔을 제공 함으로써 업무효율을 향상은 물론 보안역시 향상 시킬 수 있습니다.

• 관리자가 집중적으로 모니터링이필요한 항목에 대해서만 볼수있도록 View 항목 커스터마이징

관리자역할기반으로의정의관리자별관리범위예시 역할별View 정의

개인화된 관리

3 6 7 3 51 2 4

주요 업무 대시보드의 예

할당된View 클릭시대시보드확인가능

이원화된 운영체계의 통합 화면 구현

•

•

•

•

업무 PC 화면

업무 PC 브라우저인터넷 PC 브라우저

Toolbar (제어 및 실행 메뉴) 1

2

• IE에서 내부 업무로 정의하지 않은 주소가

입력될 때, GET 방식의 경우 URL 주소만을

인터넷 PC 주소 창으로 전환

• 반대방향 ( 인터넷 PC의 IE에서 업무 PC

IE로 )은 침입 예방으로 사용하지 않음

• URL 주소만 전달하며 데이터 전송 길이를

제한하여 데이터 유출을 예방 함.

• 업무/인터넷 망간 Get, Post 방식의 SSO 지원

업무 PC의 포탈 사이트에서인터넷 사이트 링크를 클릭

1

1

2

사이트에 로그온 된 상태로인터넷 PC의 페이지가 열림

2

망분리 업무PC의 Browser Help Object가POST 되는 데이터를 추출하여 인터넷PC로 전송

1. 망분리 PC Tray가 암호화된 패스워드를제공받아 Credential Manager에 패스워드업데이트

2. Credential Manager를 이용해 가상 PC의윈도우로그온

1

게이트웨이에 로그온

1. 패스워드를 이용해 보안게이트웨이에 로그온2. 로그온 즉시 패스워드를 RANDOM하게 초기화

[업무용PC의 Credential Manager에 저장된패스워드는 사용 후에 삭제]

망분리관리HOST SERVICE (VM HOST Service)

VPCHBus

VPC Bus

VPCGBus

Credential Manager

업무용PC

VMWindow.exe (Named pipe Client)

망분리관리GUEST SERVICE (VM Guest Service)

Gateway Authentication

Active DirectoryADS

인터넷PC

Windows Logon

APILogon

ADSIPWD Reset

2 1

2

1

2

3

•

•

•

•

•

인터넷OS업무

OS

망분리 구축을 위한 PC 하드웨어 권장

항목 권장사항 비고

• 망분리 솔루션 적용 후 1GB 메모리와Disk IO 사용량 증가로 일부 성능에영향이 일부있음

• 적용 후 단말 최적화가 필요.

프로세서 2 Core 이상 (1GHz 이상, Inter@, AMD@, VIA@ 프로세서)

메모리 4GM RAM (32 Bit Windows 7 기준이며 가상 PC에 1GB 이상 할당)

디스크 20GB 이상 여유공간 (가상 PC 설치를 위한 추가 공간)

망분리 적용 전

• PC 표준화

• 응용프로그램

표준화

망분리 적용 후

• PC최적화 작업

• 성능 감소 최소화

추가 고려사항

• 1st 고려 : SSD 교체

• 2nd 고려 : Memory

• 3rd 고려 : 64 bit

운영체제

망분리 적용에 따른 PC 최적화의 일반적인 방안

※ N사 시범 적용을 통한 PC의 성능 현황

Microsoft 망분리 솔루션은 일반적으로 메모리 4GB PC에 적용할 때 메모리 사용량의 증가와 Disk I/O의 추가 발생으로 PC 성능에 약간 영향을주어 약간의 성능 저하를 느낄 수 있으나, PC 최적화 작업을 통해서 일부 개선이 가능합니다. 하지만, 응용프로그램의 사용량과 상황에 따라성능에 대한 부분을 다르게 나타날 수 있으면 표준화를 통한 최적화 또는 Disk IO의 Bottleneck을 최소화 할 수 있는 방안을 검토해야 할 수있습니다.

망분리 시범 적용 테스트 PC 최적화

망분리 구축을 위한 PC 하드웨어 권장

확인 내용 고려 사항

시범 적용을 사전 테스트 일부 단말 설치 및 점검

PC 최적화 : Premier PC 표준화 :

Premier기술지원

최적화/표준화 미적용에따른 일부 PC 성능저하현상 확인

응용프로그램에 의한Disk IO 병목현상

PC 최적화를 통한 성능저하 최소화

용용프로그램의 표준화 Disk I/O 최소화 방안 SSD 도입 고려

※ S은행 망분리 및 PC 성능 개선 진행 사례

신한 은행은 PC 성능의 개선을 위해서 망분리 도입 이전인 2012년도 전 부터 응용프로그램의 증가와 PC 성능 개선을 위한 여러가지 고려를 해온 결과 PC의 CPU/메모리 의 성능 및 용량의 증가에 의한 개선보다는 디스크 IO의 Bottleneck에 따른 개선이 가장 효율적이라는 판단을 내리고디스크 IO의 성능을 높이는 SSD의 교체 작업을 망분리와 독립적으로 수행 계획을 수립하고 이를 완료하여 상당한 성능 개선의 효과를얻었습니다.

단말 운영 문제

단말 PC의 성능 저하 응용프로그램 증가에 따른 성능 저하 보안 프로그램 추가에 따른 성능 저하 메모리 사용에 따른 성능 저하

단말 개선 방안 모색 PC 개선을 위한 방안 선정

Win 7 변경 시 64 Bit으로 변경 설치

Disk IO 향상(SSD)

메모리 추가 증설

CPU 교체

최대 3배이상 성능 향상

32Bit 제약

성능향상 미비

SSD 교체에 따른 성능 향상

업계 최초 CBC 방식 채택

망분리 사업 완료 이후 OS 업그레이드 (Windows XP Windows 7)도 성공적 완료

금융권 최대 규모 망분리 사업 – PC 10만여 대 적용

Microsoft Private Cloud를 이용한 안정적이고 경제적인 서버 구축

Copyright © 2013 by Microsoft. ALL RIGHTS RESERVED.No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means —

electronic, mechanical, photocopying, recording, or otherwise — without the permission of Microsoft.This document provides an outline of a presentation and is incomplete without the accompanying oral commentary and discussion.

Copyright © 2014 by Microsoft. ALL RIGHTS RESERVED. No...

Documents

Transcript of Copyright © 2014 by Microsoft. ALL RIGHTS RESERVED. No...