아래의 글은 최근 사내 보안 이슈로 몇-가지 제품의 PoC를 진행하면서 얻는 내용입니다.
최근 도입을 고민하고 있으며, 해당 내용을 기반으로 곧 구매를 진행하지 않을까 합니다.
편의상 아래 글은 반말체로 작성되었습니다. 본인이 본인에게 말하는 것이기에 .^^
================================================================================
1> 우리에게 현재 필요한 논리적 망분리 가상화 솔루션은 무엇인가?
- 최근 논리적 망분리는 분명히 이슈인 것은 사실이다. 하지만, 각 제품은 표방하는 바와 목표하는 바가 상이한 부분이 있다.
- 그래서 관리자 혹은 도입 검토자는 반드시 현재 본인의 기업에서 먼저 필요한 사항에 대해 확인해야 한다.
[시스템 파괴 대비용]
- 시스템 파괴는 그 시작점이 대부분 관리자 PC 혹은 일반 사용자 PC(업무용 서버 접속 가능한 망 내의)이다.
(보통 얘기하는 APT가 현재 위의 방식을 잘 활용하고 있다고 본인은 생각한다)
- 시스템 파괴에 대한 우려는 당장 해당 시스템을 몽땅 날리면 농협 ATM 마비나 인터넷뱅킹 마비 같은 일이 일어난다.
- 시스템 파괴에 임하는 기업의 자세는 보통 아래와 같다.
: 관리자 혹은 전사원에게 각각의 PC를 제공하여 업무는 업무용 PC로 보고, 인터넷 및 메일은 인터넷 PC로 사용하라.
: 인터넷 업무용 네트웍(케이블 포함)을 별도로 구성하는 적용하는 경우도 있다. (스위치,케이블,공사비 2배 필요)
: 어떤 방송국은 업무망은 유선으로 접속하게 하고, 인터넷은 무선으로 연결토록 했단다.(동시연결은 불가토록 설정)
[정보 보호:법 규제 사항]
- 개인정보 취급자의 PC는 법적으로 연결 네트웍을 분리해야 한다. 그런데 논리적 망분리도 허용해 준다고 한다.
- 중요 정보의(설계 도면, 주요 재무 정보, 기획안 등) 외부 반출을 제재하기 위한 망분리를 적용하고 있다.
- 중요한 정보를 보호하고자 하는 내용이 주 목적인 경우이다.
- 정보 보호에 임하는 기업의 사례는 아래와 같다.
: 파견, 외주 등 비-정규직에 의해서 업무를 많이 다루는 업체는 항상 정보 유출에 민감하다. 이 때 적용했다고 한다.
2> 망-분리 솔루션의 적용 방법
i) PC 분리
– 그냥 1대씩 준다. 가장 간단하다. 실제 공기업들은 대부분이 이렇게 사용한다.
- 일반 기업도 관리자 등 특수한 직군에게는 1대씩 관리 접속용 PC를 불출하기도 한다.
- 대신 인프라 구축 비용도 2배까지는 아니어도 추가적으로 들게 된다.
- 백본 단위에서부터 별도 구성하게 되면 Ethernet Switch, 각 자리까지의 케이블링, PC구매 비용, OS비용 등이 든다.
- 2대의 PC간 데이터 이동을 근본적으로 막는 것이긴 하지만, 어쨌든 이동이 필요한 경우도 있어 망연계 전송 솔루션이
필요할 수 도 있다. 망분리에는 항상 옵션으로 들어가야 하는 항목이기 때문이다.
ii) CBC(Client Based Computing)
- 개인 PC단의 가상화를 이용해서 망분리를 구현할 수 있는 솔루션이 있다.
- 이는 근본적으로 개인 PC의 성능이 매우 높아졌기 때문에 가능해진 것이다. 실제로 서버가상화보다 비용이 적게 든다.
- 현재 본인이 사용해본 제품은 PC 가상화 모듈 + VPN 장비 형태의 제품과 PC 가상화 모듈+ VPN 서버 형태 제품이 있다.
- 현재 각광받고 있는 제품은 미라직웍스, VMCraft, 안랩 등과 중견 기업 제품들이 있다. 점유율은 업치락 뒤치락인 듯.
- 독특한 제품으로 Citrix XenClient가 있다.
iii) SBC(Server Based Computing)
- 전통적인 성능이 우수한 서버를 이용해서 개인PC를 서버단의 가상화를 통해서 구현하고, PC는 단말 형태로 접속한다.
- 장점은 모든 데이터 및 컴퓨팅이 모두 서버단에서 이루어 지기 때문에 PC단에는 데이터가 존재하지 않는 형태가 된다.
- 서버내의 가상 머신에서 데이터 유출 및 시스템 파괴 등을 막으면 된다. 혹은 서버 업무용 가상머신과 인터넷 머신을 모두
제공해서 별도로 단말 형태로 접근하여 사용토록 유도하면 된다.
- 구축 비용과 MA 비용 등이 비싸고, 실제 라이선스도 싸지 않은 점이다. 차츰 저렴한 제품이 나오고 있다.(packaging해서)
- 중요 제품은 VMware / Citrix / KVM / Hyper-V 등이 있다. 국내는 VMware , Citrix , Hyper-V 순으로 점유하고 있다.
iv) Application 가상화 : Citrix XenApp 제품 only
- 상당히 오래된 가상화 기술로 특정 소프트웨어를 응용프로그램 구동 서버에 설치하고 PC 사용자는 응용프로그램 서버의
일종의 터미널 서비스를 이용해서 해당 구동 화면을 PC의 화면에 뿌려주는 단말 형태로 작동하게 한다.
- 장점은 업무 서버의 순수한 접속은 해당 응용프로그램 서버로 한정 지울 수 있어 보안성이 상당히 높아진다.
- 일종의 단말을 사용하는데 필요한 특정 업무용 프로그램만을 접속 형태로(IE나 브라우저 형태로) 구현할 수 있다.
- 사용자 PC의 어떠한 소프트웨어도 업무용 PC로 접근할 일이 없어진다.
- Citrix 의 가상화 제품군에서도 국/내외 레퍼런스도 상당히 많은 제품으로 해외 본사를 둔 경우 많이 적용되어 있었다.
3) 제품별 특징 : 본인의 특별한 케이스이며, 검토한 제품만 주관적으로 설명하였음.
i) CBC(Client Based Computung) 방식
- MirageWorks vDesk : 정보 보호에 특화된 제품으로 개인정보 보호 규제 업체에 적절함
: 특징 – 기존 윈도 (Loacl OS)의 응용프로그램을 공유하여 그대로 활용 가능함.
- Local OS는 인터넷 접속 용도 등 업무 외 용도로 사용하도록 설정함.
- 가상 머신인 vDesk는 업무 전용으로 사용하도록 적용함.
- network routing 및 차단 정책 등을 VPN 콘솔에서 세팅하는 것이 필요함. 불편할 수 도/좋은 점일 수도 있음.
: 장점 – vDesk는 기존 local PC 성능을 거의 그대로 활용할 수 있으며, 정보(Information)의 유출을 차단할 수 있음.
- MirageWorks 제품의 특징은 SANDBOX 형태로 구동되어 성능저하가 작은 장점이 있다.
- MS와의 OS협의가 완료되어 가상 OS의 MS라이선스는 추가 구매하지 않아도 된다고 한다.
: 단점 – VPN 서버의 과부하 발생 시 전체 현업 업무의 저하가 발생할 수 있는 구조이다.
(부하를 고려하여 10Gbit Ethernet 장착,고사양 장비로 구매하거나 여러 대로 구성하면 해결될 수 있다)
- Local OS의 감염 혹은 문제 프로그램을 그대로 vDesk로 실행될 우려가 있다.(정책으로 실행SW를 관리)
- MirageWorsk iDesk : 시스템 보호에 적당할 것으로 예상된다. 인터넷 용도 가상 머신임.
: 특징 – 인터넷 전용 OS를 가상머신으로 구축하여 적용함.
- Local OS는 업무 전용 서버와 연결된 망과 연결하여 사용함.
- iDesk는 완전히 별도 OS로 구축되므로, 사용프로그램을 별도로 설치하여야 함 (vDesk와 다른 점)
: 장점 – 인터넷 감염에 의한 피해를 근본적으로 막을 수 있는 시스템임.
- iDesk 내의 malware, 해킹툴 등의 영향이 업무용 Local OS에는 영향이 전혀 없다.
- 역시 MS의 OS 추가 구매가 필요 없다.
: 단점 – Vdesk 대비 SANDBOX 성능이 낮다.
- iDesk용 소프트웨어는 추가적으로 설치해야 한다. Local OS의 설치된 SW라도 추가 설치해야 한다.
- 해당 PC를 외부로 반출 시 Local OS를 직접 인터넷으로 연결할 수 있게 되어 추후 업무서버에 영향이 갈 수 있다.
(랩탑이나 외근이 잦은 인력에게 적용하는 것은 매우 적절하지 않은 행위가 되어 버린다)
- 기업내 네트웍이 복잡한 경우(본인의 경우) 설정이 상당히 까다롭다.(연계망 다수, 공통 접속 구역 존재 시 등등)
- VMCraft – VM-Fort : 정보보호, 시스템 보호 둘 다 가능한 솔루션이다.
[이미지 삽입 예정]
: 장점 – 가상 machine + VPN 서버로 정보보호/시스템 보호 2가지 모두 선택하여 적용 가능함
- 윈도 커널 분리로 Local machine의 침해에도 가상화 OS에는 영향이 없는 구조임.
- 네트웍이 복잡한 환경에서도 해당 제품에는 복잡한 구성이 없는 제품임.(역으로 기업 내 방화벽 등으로 차단필요)
: 단점 – 가상 machine 구동이 MirageWorks 대비 성능이 조금 낮은 편이다.(구조적인 가상화 특성에 의해서)
- MS OS 개수가 늘어날 수록 해당 라이선스를 구매해야 한다.(커널단 분리로 별도 OS로 간주되는 듯)
- 네트웍 차단 정책 등을 기업 내 제품으로 설정해 주어야 한다. 방화벽, 라우팅 등등
- 배포되는 OS의 퍼블리싱을 해당 업체에 의뢰해서 수령해야 하는 구조이다.
- Citrix XenClient : multi boot PC 가상화 솔루션, PC단의 하이퍼바이저 활용으로 사용 가능함
[이미지 삽입 예정]
: 장점 – PC H/W에 직접 하이퍼바이저(가상화 엔진)을 설치하는 방식으로 VM의 성능이 매우 우수하다.
- 타 가상머신은 Local OS 위의 설치되어 윈도우즈 커널 API를 이용하여 가상화하는 것에 비해서 우분투 베이스의
가상 엔진을 이용해서 VM을 설치하도록 되어 있어 성능이 우수하다.
- 하이퍼바이저 관리 서버로 중앙에서 관리가능하고, 표준 드라이버 VM으로 전체 기업 내 OS를 관리 가능함.
- 업무용 PC의 경우 원격 서버로의 로긴 이후 사용할 수 있도록 설정 시 업무망 VM의 해킹 여지를 차단할 수 있음.
: 단점 – 하이퍼바이저 전용의 CPU파워와 추가적인 메모리(1.5GB 정도)를 요구한다.
- 해당 PC를 직접 외부로 가져나가 네트웍을 연결하는 경우 해킹 등에 노출될 수 있는 여지가 있음
- Citrix XenApp : 어플리케이션 가상화 솔루션으로 터미널을 활용한 원격 프로그램 수행 , 보안성 및 안정성 강화
[이미지 삽입 예정]
: 장점 – 사내 업무용 S/W가 설치된 응용프로그램 운영 서버에 터미널(IE혹은 전용 브라우저)로 접속하여 업무 처리함
- PC성능과는 관련 없이 응용프로그램 운영 서버의 자원을 활용하여 처리하여 저성능 PC로도 운영이 효율적임
- 업무용 SW 사용 시에만 ID/Password 을 이용해서 터미널 세션을 열어서 사용하고 해당 화면을 전송 받는 방식
- 그 외의 업무는 사용자PC의 일반 응용프로그램과 인터넷을 사용하여 보안적으로 해킹을 차단함
: 단점 – 로긴 및 응용프로그램 구동 서버의 부하 발생 시 전체 현업 업무 저하 발생 우려 있음
- CBC 가상화 솔루션에 비해서 저렴하지만, XenClient 대비 저렴하지 않은 가격이 관건임.
- 로긴 및 응용프로그램 구동 서버 구매 비용과 동시 유저 접속 MS 라이선스 구매가 필요함.
>> 그림 넣기가 귀찮네요. ㅠ.ㅠ
>> 다음에 재-작성할 일이 있으면 넣겠습니다. 좋은 하루 되세요.
