network as a sensor/enforcereventcheckin.co.kr/cisco/2016/apicem/images/6_naas_naae.pdf ·...
TRANSCRIPT
네트워크 애널리틱스를 이용한엔드-투-엔드 내부망 보안 아키텍처
Network as a Sensor/Enforcer
이창주 수석부장, 정진기 부장시스코 코리아
Cisco Digital Network Architecture
Automation
Abstraction & Policy Control
from Core to Edge
Open & Programmable | Standards-Based
Open APIs | Developers Environment
Cloud Service Management
Policy | Orchestration
Virtualization
Physical & Virtual Infrastructure | App Hosting
Analytics
Network Data,
Contextual Insights
Insights &
Experiences
Automation
& Assurance
Security &
Compliance
Network-Enabled Applications
Cloud Enabled | Software Delivered
Principles
• 경계 보안에 집중해 왔던 보안의 컨셉
사진 출처 - 구글 이미지 검색
사진 출처 - 구글 이미지 검색
사진 출처 - 구글 이미지 검색
사진 출처 - 구글 이미지 검색
© 2013 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
사진 출처 - 구글 이미지 검색
2014
세상에는 두가지 기업이 있습니다. : 해킹을 당했거나, 이미 해킹을 당했는데도모르고 있는 기업
감염(Exploit)
정찰(Recon)
감염(Exploit)
수집(Hoarding)
유출(Exfilteration)
SNS를 이용한개인 정보 수집 주위 PC 탐색
관리자로 권한 상승
데이터 수집
데이터 유출 및 판매
방어책 구현
위협 유형 확인
데이터 유출
위협에 대응위협 유형 확인
방어책 구현
초기 감지
위험 단계
드러나지 않는 단계
비즈니스
임팩트
($)
Time
MTTK위협 대응 시간의 70%가 이 MTTK(Mean time to Know)에 소요
초기에 확산 체인을 끊어주는 것이 가장 중요
You can’t protect what you can’t see
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
인터넷관문
주로 인터넷 관문에 설치된보안 장비 중심으로 모니터링
192.168.19.3
10.85.232.4
10.4.51.5
192.168.132.99
10.43.223.221
10.200.21.110
10.51.51.0/24
10.51.52.0/24
10.51.53.0/24
인터넷관문
• 인터넷 트래픽• 내부 Peer-to-Peer 트래픽• 데이터센터 트래픽
© 2012 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
Network Servers
Operating Systems
Routers and
Switches
Mobile Devices
Printers
VoIP Phones
Virtual Machines
Client Applications
Files
Users
Web Applications
Application Protocols
Services
Malware
Command and Control
Servers
Vulnerabilities
NetFlow
NetworkBehavior
Processes
곳곳에 위치한 네트워크 인프라가거대한 내부 보안 센서로 변신
StealthWatch
NF NF NF
NFNF
NF
네트워크에서 보내는 NetFlow 정보
StealthWatch 분석 엔진
Cisco 라우터, 스위치, 방화벽으로부터의 플로우 정보
사용자, 단말유형, 맥주소와같은 상황 정보
Netflow v.5 Flexible Netflow• Source and destination Mac Addresses
• Source and destination IPv4 or IPv6 addresses
• Source and destination port numbers
• Type of service (ToS)
• DSCP
• Packet and byte counts
• Flow timestamps
• Input and output interface numbers
• TCP flags and encapsulated protocol (TCP/UDP)
• Individual TCP Flags
• Sections of packet for deep packet inspection
• All fields in IPv4 Header including IP-ID, TTL
• All fields in IPv6 Header
• Routing Information
• Source/Destination IP
• Source/Destination Port numbers
• Protocol type
• In/Out interface
고정포맷
사용자정의템플릿기반으로모든필드를필요에따라추출
Catalyst 4500
Sup 7E/8E/8LE
Catalyst 6800/6500
Sup2T/6T
Catalyst
3850/3650
업계최초! 하드웨어기반의Full Netflow 지원
ISR 4000
ISR G2
ASR 1000
Access Layer
EnterpriseBackbone
VoiceVLAN
Voice
DataVLAN
Employee
Aggregation Layer
Supplier
GuestVLAN
BYOD
BYODVLAN
Non-Compliant
QuarantineVLAN
VLAN
Address
DHCP Scope
Redundancy
Routing
Static ACL
VACL토폴로지 의존도 높음
하드웨어 장비에 직접 보안 정책 설정
운용 상의 복잡성
전통적인 네트워크 분리 방식
Voice
VLAN
Voice
Data
VLAN
Employee Supplier BYODNon-Compliant
ISE
Employee Tag
Supplier Tag
Non-Compliant Tag
Access Layer
Enterprise
Backbone
DC Firewall / Switch
DC Servers
Policy
광범위한 접근 제어 구현
토폴로지에 무관한 중앙 집중형보안 정책 관리
추가적인 하드웨어 설정 변경 X
컨트롤러(ISE)에서모든 보안 정책 관리
Integrated Services Engine
NaaS/NaaE
DEMO
사용자, 단말, 장비
보안 정책 컨트롤러
Cisco ISE
네트워크 인텔리전스
StealthWatch
네트워크인프라
세션요약경계 보안보다 더 중요해진 내부 보안방어만큼이나 중요한 초기 대응
네트워크 보안 정책 관리도컨트롤러 기반으로 쉽고 편리하게!
네트워크는 가장 강력한 보안 플랫폼이자네트워크 관리자의 풍부한 정보의 원천