Top Class 제로 트러스트 솔루션, PacketGo ZTNA
최소 단위의 논리적 통신 대상을 구별하는 프라이빗커넥트 플로우 기술
(마이크로 세그먼트)
필요할 때만 인가된 대상이 통신할 수 있도록 논리적인 연결을 제어하는 프라이빗커넥트 스위치 기술
(네트워크 통신 제어)
통신 경로 상에서 발생하는 모든 위험을 추적 및 감시하는 프라이빗커넥트 아이 기술
(단말 프로세스 및 이상행위 감시)
사각지대가 존재하지 않는 Top Class 제로 트러스트 솔루션
PacketGo ZTNA
Data Go Anywhere
SDP (Software Define Perimeter) Architectuer
- 개념
-
- SDP는 신원을 기반으로 리소스에 대해 액세스를 제어하는 프레임워크
- 권한이 있는 사용자 및 디바이스에 대해서만 액세스 권한을 부여
- 인증 및 인가가 되기 전에는 DNS정보나 IP주소를 알 수 없는 '블랙 클라우드(Black Cloud)' 네트워크로 동작
- 특징
-
- 접근 제어와 데이터를 분리하여 중요 자산 및 인프라 보호
- 인증 후 연결을 통해 내부 정보를 은폐하여 공격 대상 최소화
- IP 대신 ID 기반의 보안 아키텍처를 통해 보안 강화
-
SDP Controller:
AH, IH 간 연결 제어(VPN 접속 관리, SDP Controller) -
AH(Accepting Host):
서비스 접속을 받는 호스트(VPN 접속 대상, SDP Gateway) -
IH(Initiating Host):
접속을 시작하는 호스트(VPN 클라이언트, SDP Client)
- SDP Work Flow
-
- SDP Controller가 온라인 상태로 선택적 인증 및 권한 부여 (PKI, 지문, SAML, OAuth, Kerberos 등)
- AH(Accepting Host)는 SDP Controller에 연결 및 인증 수행, 미확인 요청은 무시
- IH(Initiating Host)는 SDP Controller에 연결 및 인증 수행
- SDP Controller는 IH가 통신 할 수 있는 AH 목록 지정
- SDP Controller는 AH에 IH의 통신을 수락하도록 지시, 암호화 정책 제공
- SDP Controller는 IH에 AH 목록과 암호화 통신에 필요한 정책 제공
- IH는 모든 승인된 AH에 대해 VPN 연결 시작
‘PacketGo ZTNA’ 동작 과정
-
- 단말 보안 관리 정책
-
백신 프로그램 설치 및 실행
안전한 운영체제 사용
OS로그인 비밀번호 사용
APP 무결성 체크
캡쳐 방지 및 워터마크 적용
프린터 사용 차단
OS 방화벽 필수 사용
비인가 S/W 설치 및 실행 차단
보안 설정 임의 변경 차단
외부 저장 장치 사용 금지
-
- 인증 정책
-
이중인증 적용(OTP)
일정 횟수 이상 인증 실패 시 접속 차단
-
- VPN 기능
-
전송 데이터의 기밀성 및 무결성 보장
클라이언트 및 서버 인증 처리
중간자 공격, 재생 공격 예방
네트워크 구간 암호화
내부 망 접속 시 인터넷 연결 차단
접속 유효시간 설정
-
- 애드온 플로우 정책
-
최소한의 IP와 Port로만 연결 허용
원격 접속 기록
원격 접속 시 보안조치 사전 검사
미인가 IP 접속 차단
-
- 애플리케이션 플로우 정책
-
허용되지 않은 APP 접근 불가
허용된 APP을 통한 목적지 접근 허용
정책에 정의되지 않은 APP 접근 불가
구성 요소
-
-
Controller
신원 인증 , 정책
단말 제어 및 접속 경로 지정 -
사용자 인증
앱 단위의 정책 세분화를 통한 최소 권한 정책
접속 요청에 대한 가상 접속 경로 부여 게이트웨이와 연결 지정
-
-
-
Gateway
보안 연결 (VPN) 및
접속 경로 목적지 경로 전송 -
Multi Tunnel 제로 트러스트 기술
인증 받은 암호화 모듈
사용자의 요청 목적지에 대한 전송 경로 지정
-
-
-
Agent
단말 OS 검증
정책에 의한 통신 연결 -
권한 부여된 어플리케이션에 대한 무결성 검사 및 실행
단말 PC의 OS 무결성 검증
PC 보안 기능 일부 제공
-
-
- Appliance Server
-
Controller Server
PCC 100 / 500 / 1000 / 3000 / 5000
Gateway Server
PCG 100 / 500 / 1000 / 3000 / 5000
-
- Virtual Server
-
X86 기반 Server H/W
Windows Hyper-V
VMware ESX
OpenStack
Linux Ubuntu 20.04
위 VM 기반 Cloud Platform
-
- Software
-
설치환경
Windows 8 이상 모든 OS 버전
MAC OS (2023년 하반기)
Android / IOS 등 Mobile OS ( 2023년 하반기 예정 )
오탐, 과탐, 미탐없이 사용할 수 있는 제로 트러스트 기술
- 기존이 보안기술
-
01 최대 1,500 바이트로 구성된 데이터 패킷에서 위험 패턴을 탐지하여 해당 데이터 패킷만 전송을 차단하는 기존 보안 기술
02 단말의 광범위한 대상 저장된 파일, 실행중인 (애플리케이션, 메모리)에서 위험 패턴을 탐지해 대상을 제거하는 기존 보안 기술
03 숲이 아닌 나무를 보거나 모래사장에서 바늘 찾는 것과 같은 기존 기술은 오탐, 과탐, 미탐을 수반할 수 밖에 없기 때문에 실질적인 보안 정책 적용불가
네트워크 보안 기술일부 데이터 패킷만 보고 위험을 찾는 기술
엔드포인트 기술단말의 광범위한 대상을 검사하여 위험을 찾는 기술
- 제로 트러스트 기술
-
01 제로 트러스트 기술은 실질적 통신주체인 앱의 네트워크 접속시점에 허용된 안전한 대상인지 여부를 판단
02 오탐, 과탐, 미탐 없이 상시 안전한 네트워크 접속제어가 가능하며, 신종위험 또는 업무에 불필요한 앱의 접속 원천 차단
제로 트러스트 기술허용된 안전한 대상만 접속을 허용하는 기술
전세계 어디에서나 음영 지역 없이 빠르게 접속 가능
- 기존 통신환경은 다양한 경로를 거쳐서 수신된 모든 데이터 패킷을 검사하기 때문에 네트워크 대역폭 및 통신 성능저하 발생
- 글로벌 통신 서비스 조차 개선하지 못한 (Z사, A사, BMT 결과) 혁신적인 통신 성능제공
- 안전한 대상만 접속 가능한 프라이빗커넥트는 전세계 어디에서든 사용자의 위치와 가장 가까운 게이트웨이에 연결해 최적의 경로로 보호대상 접속가능
- 프라이빗커넥트를 사용하면 5초 이상 걸리던 웹 서비스 (예 : 그룹웨어) 접속이 2초 이내 단축가능
- 불필요로 한 접속을 사전 차단함으로써 기존 네트워크 경계의 대역증가 및 처리성능 향상
- 업무 환경에 접속할 수 없었던 일부지역 (예:중국)에서도 상시 안정적인 접속가능
- 6배 이상 향상된 네트워크 대역으로 원활한 업무파일 전송 및 가상 업무환경 (Virtual Desktop Infrastructure) 사용가능
대기업 P사는
전세계 80여개 법인의 임직원이 언제 어디서든 2초 이내에 음영지영 없이 최대 6배 향상된 속도로 업무환경을 사용할 수 있게 되었습니다.
실시간으로 업데이트 되는 24 x 7 안전한 자동화된 관문 기술
- 컴플라이언스 준수 여부 및 비허용 또는 위험한 애플리케이션 및 서비스의 접속 모니터링 및 차단
- 접속 행위 분석 기반 위험 대상 접속차단
- SBOM (Software Bill of Materials) 관리 필요없이 취약점이 내재된 오픈소스를 사용하는 앱 (버전)의 접속 모니터링 및 차단
- 제로데이 공격에 노출된 앱 (버전)의 접속 차단 및 안전한 애플리케이션 화이트리스트 자동 업데이트
- 다양한 멀웨어 탐지 도구 및 EDR (End-point Detection Response)와 연동하여 위험 탐지시 접속 차단
- 접속 행위 상시 분석 및 컨트롤러들의 위험정보 분석 공유 체계로 잠재적 위험 대상 접속 차단
- 접속이 필요로 하지 않은 경우 [앱 종료 및 로그아웃], [즉시 접속해제]
- 접속처리 종류
-
- 접속거절위험 또는 비허용 대상 및 컴플라이언 미준수
- 접속해제접속 중 상기 조건 만족시
- 일시적 접속격리상기 행위가 반복되는 경우 지속적 위험 행위 차단
- 영구적 접속격리심각한 위험행위 (직접적 해킹) 탐지시 영구적 위험행위 차단
신종 위험에 대응하는 제로 트러스트 기술
- 기존 기술로 차단할 수 없었던 신종위험 별 차단여부
-
-
- 제로데이 공격
-
설치된 OS에 내재된 취약점
설치된 애플리케이션에 내제된 취약점
-
- 랜섬웨어, 스파이웨어, 악성코드 및 멀웨어
-
이메일 기반 스피어 피싱
드라이브 바이 다운로드
디스크 및 USB 등 저장매체 연결
프로그램 및 펌웨어 업데이트
문서 및 이미지 파일
네트워크 파일 공유
멀웨어 감염 PC의 네트워크 연결
-
- PRIBIT Connect 제로 트러스트 기술로 차단 가능한 신종위험
-
- 취약점이 내재된 OS의 프로토콜 접속 차단
- 취약점이 내재된 OS 버전의 프로세스 (예 : svchost.exe)의 네트워크 차단
- 취약점이 내재된 애플리케이션 버전의 네트워크 접속 차단
- 인증된 안전한 대상만 허용된 네트워크에 접속 가능
- 안전이 확보된 OS 및 애플리케이션의 버전만 네트워크 접속 가능
- 보안 컴플라이언스를 준수하는 단말만 네트워크 접속 가능
- 네트워크 접속 전 강화된 사용자 인증 정책
- 비허용된 대상(사용자 및 단말, 애플리케이션 등)의 네트워크 접속 차단
- 안전하지 않은 애플리케이션의 네트워크 접속 차단
- 의심스러운 행위를 수행하는 애플리케이션의 네트워크 접속 차단
CAPEX, OPEX 절감
- 클라우드 원격 업무 환경을 이용 시, 하드웨어를 구축 및 임대할 필요없이 에이전트만 설치하면 간편하게 제로 트러스트 업무 환경 제공 가능
- 글로벌 업무 환경을 제공하기 위해 고정비용 및 느린 속도의 전용선
(예 : MPLS)을 임대할 필요 없이 종량제 형태의 빠른 속도를 제공하여 혁신적인 통신 비용 절감 - 알 수 없는 앱들의 수많은 데이터 통신으로 인한 무선 IoT 기기들의 요금폭탄 걱정없이 서비스에 필요로 한 앱만 통신을 허용함으로써 혁신적인 무선 통신 비용 절감
- 전문 보안 관제 인력 없이 자동화된 관제를 통해 24 x 7 상시 안전한 서비스 제공
- 전문 유지보수 인력 없이 전세계 어디든지 8 x 5 원격 지원을 통해서 언제든 패킷고 유니버스를 사용할 수 있도록 지원
- 하드웨어 구축
- 통신사 전용선(MPLS, LTE/5G)
- 전문 인력
- 전용 에이전트 앱 설치만으로 OK
- 제로 트러스트 인터넷 (종량제)
- 자동화된 관제
(24 x 7) - 원격지원
(8 x 5)
글로벌 기업 및 무선 IoT 기반 서비스 기업이 본 서비스를 사용하여 통신 및 보안 비용을 최대 90%까지 절감하였습니다.
Terminal Console 접속 침해 사고 방지
- 모든 서비스는 유지 및 관리를 위한 콘솔이 존재하고 규정상 독립적인 매니지먼트 라인을 통해서만 접속이 가능해야 함
- 보안 인력의 한계와 기술적인 문제, 편의성 등으로 인해서 외부 인력이 접속 가능하도록 콘솔은 인터넷을 통해서 상시 노출되어 있으며, 인증 정보 탈취(Credential Stuffing)를 통해서 보안 사고가 증가하고 있음
- 근본적인 콘솔 접속의 취약점으로 인해 비용이 많이 발생하는 DDoS 공격보다 클라우드 또는 데이터센터에 집중된 자원을 효율적으로 공격하기 위한 수단으로 사용(예 : 클라우드 내 인스턴스 제거 및 백도어 설치, 정책 제거 등)
- 프라이빗커넥트는 일반 인터넷으로 콘솔에 접속하는 것을 차단하고 제로 트러스트 인터넷을 통해서 신뢰할 수 있는 권한이 존재하는 사용자 및 단말 그리고 애플리케이션만 허용된 콘솔에 접근 가능
- 인터넷에 상시 노출되어 있는 기존 터미널 콘솔의 문제점을 개선하고 안전한 매니지먼트 라인 제공과 이를 통해서 접속되는 모든 행위들을 기록함으로써 콘솔 접속침해 사고방지 가능
신뢰할 수 있는 제로 트러스트 인터넷
신뢰할 수 없는 기존 인터넷
- 퍼블릭 웹 및 SaaS
- 퍼블릭/프라이빗 클라우드
- 데이터 센터