네트워크 애널리틱스를 이용한엔드-투-엔드 내부망 보안 아키텍처

Network as a Sensor/Enforcer

이창주 수석부장, 정진기 부장시스코 코리아

Cisco Digital Network Architecture

Automation

Abstraction & Policy Control

from Core to Edge

Open & Programmable | Standards-Based

Open APIs | Developers Environment

Cloud Service Management

Policy | Orchestration

Virtualization

Physical & Virtual Infrastructure | App Hosting

Analytics

Network Data,

Contextual Insights

Insights &

Experiences

Automation

& Assurance

Security &

Compliance

Network-Enabled Applications

Cloud Enabled | Software Delivered

Principles

• 경계 보안에 집중해 왔던 보안의 컨셉

사진 출처 - 구글 이미지 검색

사진 출처 - 구글 이미지 검색

사진 출처 - 구글 이미지 검색

사진 출처 - 구글 이미지 검색

© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8

사진 출처 - 구글 이미지 검색

2014

세상에는 두가지 기업이 있습니다. : 해킹을 당했거나, 이미 해킹을 당했는데도모르고 있는 기업

감염(Exploit)

정찰(Recon)

감염(Exploit)

수집(Hoarding)

유출(Exfilteration)

SNS를 이용한개인 정보 수집 주위 PC 탐색

관리자로 권한 상승

데이터 수집

데이터 유출 및 판매

방어책 구현

위협 유형 확인

데이터 유출

위협에 대응위협 유형 확인

방어책 구현

초기 감지

위험 단계

드러나지 않는 단계

비즈니스

임팩트

($)

Time

MTTK위협 대응 시간의 70%가 이 MTTK(Mean time to Know)에 소요

초기에 확산 체인을 끊어주는 것이 가장 중요

You can’t protect what you can’t see

192.168.19.3

10.85.232.4

10.4.51.5

192.168.132.99

10.43.223.221

10.200.21.110

10.51.51.0/24

10.51.52.0/24

10.51.53.0/24

인터넷관문

주로 인터넷 관문에 설치된보안 장비 중심으로 모니터링

192.168.19.3

10.85.232.4

10.4.51.5

192.168.132.99

10.43.223.221

10.200.21.110

10.51.51.0/24

10.51.52.0/24

10.51.53.0/24

인터넷관문

• 인터넷 트래픽• 내부 Peer-to-Peer 트래픽• 데이터센터 트래픽

© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17

Network Servers

Operating Systems

Routers and

Switches

Mobile Devices

Printers

VoIP Phones

Virtual Machines

Client Applications

Files

Users

Web Applications

Application Protocols

Services

Malware

Command and Control

Servers

Vulnerabilities

NetFlow

NetworkBehavior

Processes

곳곳에 위치한 네트워크 인프라가거대한 내부 보안 센서로 변신

StealthWatch

NF NF NF

NFNF

NF

네트워크에서 보내는 NetFlow 정보

StealthWatch 분석 엔진

Cisco 라우터, 스위치, 방화벽으로부터의 플로우 정보

사용자, 단말유형, 맥주소와같은 상황 정보

Netflow v.5 Flexible Netflow• Source and destination Mac Addresses

• Source and destination IPv4 or IPv6 addresses

• Source and destination port numbers

• Type of service (ToS)

• DSCP

• Packet and byte counts

• Flow timestamps

• Input and output interface numbers

• TCP flags and encapsulated protocol (TCP/UDP)

• Individual TCP Flags

• Sections of packet for deep packet inspection

• All fields in IPv4 Header including IP-ID, TTL

• All fields in IPv6 Header

• Routing Information

• Source/Destination IP

• Source/Destination Port numbers

• Protocol type

• In/Out interface

고정포맷

사용자정의템플릿기반으로모든필드를필요에따라추출

Catalyst 4500

Sup 7E/8E/8LE

Catalyst 6800/6500

Sup2T/6T

Catalyst

3850/3650

업계최초! 하드웨어기반의Full Netflow 지원

ISR 4000

ISR G2

ASR 1000

Access Layer

EnterpriseBackbone

VoiceVLAN

Voice

DataVLAN

Employee

Aggregation Layer

Supplier

GuestVLAN

BYOD

BYODVLAN

Non-Compliant

QuarantineVLAN

VLAN

Address

DHCP Scope

Redundancy

Routing

Static ACL

VACL토폴로지 의존도 높음

하드웨어 장비에 직접 보안 정책 설정

운용 상의 복잡성

전통적인 네트워크 분리 방식

Voice

VLAN

Voice

Data

VLAN

Employee Supplier BYODNon-Compliant

ISE

Employee Tag

Supplier Tag

Non-Compliant Tag

Access Layer

Enterprise

Backbone

DC Firewall / Switch

DC Servers

Policy

광범위한 접근 제어 구현

토폴로지에 무관한 중앙 집중형보안 정책 관리

추가적인 하드웨어 설정 변경 X

컨트롤러(ISE)에서모든 보안 정책 관리

Integrated Services Engine

NaaS/NaaE

DEMO

사용자, 단말, 장비

보안 정책 컨트롤러

Cisco ISE

네트워크 인텔리전스

StealthWatch

네트워크인프라

세션요약경계 보안보다 더 중요해진 내부 보안방어만큼이나 중요한 초기 대응

네트워크 보안 정책 관리도컨트롤러 기반으로 쉽고 편리하게!

네트워크는 가장 강력한 보안 플랫폼이자네트워크 관리자의 풍부한 정보의 원천