차세대 정보 보안


소프트웨어정의경계 - Tgate SDP
(Software Defined Perimeter)

SDP는 CSA(Cloud Security Alliance)에서 사용자 신원을 기반으로
리소스에 대한 액세스 제어를 위해 개발된 보안 프레임워크로
보안성 강화를 위해 Cloud, 데이터센터, 기반시설 등에 대해
동적으로 규정된 경계(perimeter)를 만들어 네트워크 기반 공격을
최소화합니다. 이를 통해 신뢰성이 확보된 최종 단말에만 연결성 및
가시성을 제공함으로써 비인가자에 의한 공격을 본질적으로
방어하는 차세대 보안 솔루션입니다.

특징 및 기대효과

  • 광범위한 네트워크 엑세스 차단
    단말에 보호 대상 네트워크 세그먼트 또는
    서브넷에 대한 광범위한 액세스 권한이 부여되지 않으며,
    특정 호스트, 서비스에 대한 접근만을 허용
    동적 접근 제어 정책 및 IP 기반이 아닌 커넥션 기반의
    보안 아키텍처를 제공하여 강화된 접근통제 지원
  • 개별 보안 아키텍처 통합
    기존의 NAC, 악성코드 방지 등의 보안 제품으로
    실현이 어려운 통합 보안 아키텍처 제공
    중앙집중식 제어를 통해 데이터 수집, 보고 등
    감사 프로세스를 효율적으로 개선
    SDK 제공으로 쉬운 Agent 개발과 App-Binding 제공
  • 사용자 중심의 보안성 강화
    모든 호스트 사이의 접속 시 상호 인증을 통해
    사용자와 디바이스의 안전한 연결 확보
    상호 Hand-Shake 기술을 통해 OCSP
    (Online-Certificate Status Protocol)의 응답을
    악용하는 중간자 공격에 대한 보호 수행
  • 비용과 인력의 절약
    퍼블릭 클라우드, 프라이빗 클라우드,
    데이터센터 등 혼합 환경에서 필요한
    보안 아키텍쳐의 복잡성 최소화
    원격 엑세스에 대한 강화된 보안 연결을 통해
    안전한 재택근무 환경 확보

주요 기능

  • Server Stealth
    클라이언트가 SPA(Single-Packet Authorization) 등의
    프로토콜을 사용하여 인증 및 인가되기 전까지 SDP 구성요소
    (Controller, Gateway)가 응답하지 않음으로써
    외부 네트워크의 공격, 크로스도메인 공격 방어
  • DDoS 공격 방지
    외부에 노출되는 IP는 직접적인 보호대상 네트워크의
    게이트웨이가 아닌 접속 인가 요청을 처리하는
    별도의 인증 장치(NP)만 해당하고 SPA만을 사용하여
    인증함으로써 DDoS 공격을 효율적으로 방어
  • Dynamic F/W 및 IPsec VPN 기능
    접근 규칙(아웃바운드, 인바운드)을 동적으로 생성하고
    제거함으로써 내부 리소스에 대한 접근을 실시간으로 제한
    인가된 사용자 ~ 리소스 간 연결을 위해 OS에서 지원하는
    암호화 통신으로 IPsec VPN을 사용하여, SSL VPN에 비해
    안전한 암호화 통신 환경 제공
  • App Binding 기능
    Tgate SDP 정책에 따라 지정된 Application만 SDP 통신을
    사용하도록 하며, 위협 정보, 멀웨어 확산,
    새로운 소프트웨어 등의 다양한 위험 기준을 기반으로
    유연한 리소스 보안 정책 설정 환경 제공
    SDK 제공으로 쉬운 Agent 개발과 App-Binding 기능 지원

동작 원리

  • 사전 인증을 통한 접속 권한 부여
    네트워크 장치 및 단말의 상태 및 ID를 확인하여 권한이
    있는 사용자/디바이스만 인프라 액세스 권한을 부여
    인프라는 인증/인가(허가)가 되기 전에는 DNS 정보나 IP주소를
    알 수 없는 “Black Cloud” 네트워크로 동작
    데이터, 제어 채널의 분리
    단말과 서버 사이의 연결을 데이터 채널과 제어 채널로 분리하고,
    인증 받지 못한 단말은 어떠한 서비스 연결 정보도 획득하지 못하도록 운영

구성 방식

  • Tgate SDP Agent (or SDK)
    사용자 인증, 장치 인증
    Tgate SDP NP (Network Protector)
    접속 인가 요청 시 인증 장치 여부 확인 (선 인증)
    Tgate SDP Manager
    사용자 및 장치 접속 권한 및 제어관리
    HOTP (Hash-based message One-Time Password)
    장치 인증 시 사용되는 OTP 서버
    Radius (Remote Access Dial-In User Service)
    사용자 인증을 위한 계정 정보 관리
    IAM (Identity and Access Management)
    장치 인증을 위한 장치 정보 관리