차세대 네트워크 액세스 솔루션
Appgate SDP
Appgate SDP 개요
-
Appgate SDP는 SDP(소프트웨어 정의 경계) 기술에 기반을 둔 ZTNA 솔루션입니다.
-
사용자가 장소나 디바이스에 관계없이 리소스에 안전하게 액세스할 수 있도록 해 줍니다.
-
인증받은 사용자에게만 허용 된 리소스에 액세스가 가능한 차세대 보안 액세스 솔루션입니다.
-
CC인증을 받은 ZTNA 솔루션입니다.
-
Appgate SDP는 핵심 구성 요소로 Client, Controller, Gateway, Log Server가 필요 합니다.
-
선택적 구성 요소로 Connector, Portal, Log forwarder등을 구성할 수 있습니다.
Appgate SDP 구성 요소
Client Agent
디바이스에 설치되는 Agent 소프트웨어
Controller
접속 사용자 환경에 따른 사용자 인증, 내부 접속 정책 결정
사용자/장치/DNS에 대한 정책 제공
다중화 구성 가능
Gateway
사용자 단말과 통신을 위한 네트워크 보안 터널 제공
사용자별 마이크로 방화벽 정책 제공
Data Center별 별도의 Gateway 설치 가능
하나의 Data Center에 여러 대의 Gateway로 다중화 구성 가능
Log Server
Controller 및 Gateway 감사 로그 보관
Appgate SDP 작동방식
-
Client와 Controller, Client와 Gateway간 통신은 SPA(단일패킷인증) 보안 기술을 통해 이루어지고, SPA 패킷이 없는 클라이언트는 Appgate SDP에 접속이 불가능 합니다.
① Client는 SPA(단일패킷인증) 기술을 사용하여 Controller에 액세스 요청을 합니다.
② Controller는 사용자 정보를 확인하고 사용자 환경에 적합한 자격 증명 토큰을 Client에 제공합니다. 이 토큰에는 승인된 네트워크 리소스들이 포함되어 있습니다.
③ Client는 SPA를 이용하여 Controller로 부터 전달 받은 자격 증명 토큰을 Gateway에 전달합니다.
④ Gateway는 전달 받은 자격 증명을 이용하여 사용자에게 적합한 정책을 적용하고, 사용자(Client)와 리소스간의 1:1 마이크로 세그먼트 세션을 생성합니다.
⑤ Controller는 Client와 리소스간 1:1 세션 형성 후에도 사용자 PC 환경을 지속적으로 모니터링 하여 환경 변화 시 변화된 환경에 따라 정책을 동적으로 적용합니다.
Appgate SDP SPA 의 차별화 요소
-
SPA(Single Packet Authorization, 단일패킷인증)은 사용자가 네트워크에 액세스 할 때 하나의 암호화된 데이터 패킷에 사용자와 디바이스에 관한 정보를 전달하고 액세스를 요청하는 인증 프로토콜입니다.
-
이 패킷의 목표는 닫혀 있는 네트워크 포트를 여는 것입니다. 따라서 유효한 SPA 패킷이 전달되지 않으면 액세스에 필요한 네트워크 포트는 외부에 노출되지 않기 때문에 서비스를 보호할 수 있습니다.
-
Appgate SDP SPA에서는 일반적인 SPA 기법과 차별화된 아래와 같은 독자적인 기법을 추가하여 보안을 한층 강화하였습니다.
1. Unique Key 활용(통신 상대에 따라 각기 다른 KEY 사용)
-
Appgate SDP에서는 통신 상대 별로 각기 고유의 KEY를 사용하는 보호 키 시스템을 채택하고 있습니다.
-
Client<-->Controller, Client<-->Gateway 간 통신에 사용하는 Key가 서로 다릅니다. 또한 Controller-Gateway간에도 고유한 Key를 사용합니다.
2. Revolving Key 할당(스푸핑 방지)
-
Appgate SDP의 SPA에서는 일반적인 SPA와 달리 권한 부여 요청시 고정 Key를 사용하지 않습니다.
-
고정키를 사용하면 악의적 행위자가 SPA 패킷 스푸핑을 통해 주요 자원에 대한 액세스 권한을 획득할 수 있습니다.
-
Appgate SDP SPA에서는 회전키를 사용합니다. 즉 몇 초내에 새로운 Key를 생성하고 스푸핑 된 SPA 패킷은 더 이상 유효하지 않기 때문에 액세스가 거부됩니다.
3. 복제 방지
-
Appgate SDP의 SPA 메세지는 Appgate 고유의 특수한 방식으로 제작됩니다.
-
따라서 악의적인 사용자가 메시지를 재생성하거나 재생할 수 없고 각 인증의 상호 작용에 손상을 줄 수 있는 여타의 작업을 수행할 수 없습니다.
Appgate SDP 특장점
-
Appgate SDP는 업계에서 가장 포괄적인 소프트웨어 정의 경계(SDP) 솔루션을 제공합니다.
접속 게이트웨이 은폐
( 선인증, 후연결 )
-
보이지 않는 것은 공격할 수 없다는 원칙 활용
-
싱글패킷인증(SPA)를 통한 게이트웨이등 네트워크 액세스 포트 노출 방지
-
포트 스캔에 보이지 않으며 추가 방어를 위해 SPA는 암호학적으로 해시됨
-
게이트웨이와 콘트롤러는 완전히 은폐되어 탐색, 스캔 또는 공격을 받지 않음
-
네트워크 정찰을 방지하고 네트워크의 측면 이동을 제한하여 네트워크 공격 표면을 크게 줄여 줌
사용자 중심의 보안 정책
(다양한 사용자 컨텍스트 검증)
-
사용자(ID)에 대한 접근 권한을 설정
-
디바이스, 접속 환경에 따라 일회성 정책 권한 부여
-
접근 대상 자원에 대해서도 IP뿐만 아니라 호스트 명, 도메인 정보, 클라우드 서비스의 리소스 정보, 그리고 스크립에 의한 동적 정보에 따른 설정 가능
-
최소 접근 권한 원칙 적용
-
ID 관리 시스템 및 MFA 연동
환경변화에 따른 동적 정책 적용
( 세션 연결후에도 지속적 감시)
-
세션 활성화 후 환경 변화를 지속적으로 모니터링
-
사용자 Context 변화에 따라 동적 대응
-
필요한 액세스 권한을 필요한 시간만큼만 부여
-
주요 내부 리소스에 대한 주기적 재인증 또는 암호 입력 요청
-
접속 환경의 위험도 및 접속 디바이스 정보에 기반하여 적용
-
일관성 있는 자동화 정책 수립 가능
풍부한 API 를 통한 자동화
( 다양한 타 시스템연동 )
-
내부 보안 시스템과 연동으로 통합 보안 강화
-
개방형 및 풍부한 API 연동에 중점을 두고 개발된 시스템
-
정책 적용시 외부 애플리케이션과 연동(JavaScript)
-
인바운드(Rest API) 및 아웃바운드 통합(JavaScript 기반)
-
단말 점검시 Batch shell을 이용한 환경 점검 가능
클라우드 스케일의 확장성
(안정성, 확장성)
-
Controller 및 Gateway 다중화 및 분산처리를 통한 높은 가용성 제공
-
온-프레미스 뿐만 아니라 AWS, AZURE를 포함한 모든 종류의 클라우드를 동시 지원
-
한 번의 커넥션으로 여러 게이트 웨이 동시 접속 가능
-
게이트웨이는 어디에나 설치가 가능하고 하이퍼 스케일, 고성능 및 고가용성 네트워크 처리량을 제공
Appgate SDP 활용 분야
-
Appgate SDP는 모든 종류의 보안 액세스에 활용할 수 있습니다.
-
경계 중심의 액세스 보안에서 제로트러스트 기반의 액세스로 전환시 반드시 검토해야 할 솔루션입니다.
1
기존 VPN 대체
-
기존 VPN 대비 한 차원 높은 수준의 마이크로 세그먼트 기반의 원격 액세스 환경 제공
-
다양한 유형의 사용자 액세스에 필요한 모든 기능을 하나의 솔루션으로 해결
2
On-Prem & Cloud 동시 지원
-
온-프레미스, 멀티 클라우드 또는 레거시 애플리케이션에 간단하고 빠르고 안전하게 액세스할 수 있는 환경 제공
-
모든 종류의 클라우드에 Zero Trust 방식의 액세스 제공
3
신속한 M&A 통합 지원
• Appgate SDP는 복잡한 하이브리드 IT 환경 지원에 최적
• 모든 사용자가 모든 종류의 장치를 사용하여 모든 워크로드 및 리소스에 연결할 수 있기 때문에 이질적인 기업간 신속한 M&A 통합 가능
Appgate SDP FAQ
-
Appgate SDP는 소프트웨어 정의 경계(SDP) 기반의 제로트러스트 네트워크 액세스 솔루션으로 모든 종류의 보안 액세스에 활용할 수 있습니다.
-
Appgate SDP 인프라의 핵심 구성 요소는 무엇입니까?
-
Appgate SDP는 주로 가상 어플라이언스에 구축되며 정책엔진 및 의사결정 지점(PDP)이 되는 Controller와 정책 적용 지점(PEP)이 되는 Gateway가 핵심 구성 요소 입니다.
-
Appgate SDP Controller의 역할이 무엇입니까?
-
정책 엔진과 정책 결정 지점(Policy Engine & Decision Point)역할을 합니다
-
인증, 정책, 조건 및 권한을 관리하여 단일 대시보드 또는 API를 통해 모든 사용자, 장치 및 워크로드에 대한 액세스 권한을 부여 합니다.
-
Appgate SDP Gateway의 역할이 무엇입니까?
-
Gateway는 Appgate SDP에서 정책을 실제로 실행하는 역할을 합니다.
-
보호 대상 자원에 대한 엑세스 흐름을 제어합니다.
-
측면 이동과 공격 표면을 제한하는 부여된 권한을 기반으로 세션 마이크로 방화벽 또는 마이크로 경계를 동적으로 구축합니다.
-
단일패킷인증(SPA;Single Packet Authorization)이란 무엇입니까?
-
SPA는 인터넷에 연결된 리소스를 은폐하기 위한 기술입니다.
-
SPA는 권한이 없는 사용자가 인터넷 연결 리소스를 볼 수 없도록 하는 역할을 합니다.
-
암호화 된 비번으로 Seed된 디바이스만 유효한 SPA 패킷을 생성할 수 있고, 이 패킷을 제공하는 사용자/디바이스만 네트워크에 연결 할 수 있습니다.
-
사용자와 Gateway간 연결은 어떻게 보호됩니까?
-
클라이언트에서 게이트웨이로의 모든 트래픽은 암호화된 보안 네트워크 터널을 통해 이동합니다.
-
사용자 위치에 관계없이 승인된 게이트웨이에 대한 모든 연결은 mTLS FIPS 140-2 호환 및 제3기관에서 검증된 암호화 기법을 사용합니다.
-
마이크로 경계(Microperimeter)란 무엇입니까?
-
Appgate SDP는 Just-In-Time 세션 기반 "마이크로" 방화벽을 구축하거나 사용자와 게이트웨이에 의해 보호되는 리소스간의 1-1 세션을 구축합니다.
-
이 작은 개별화된 규칙 집합은 거의 즉각적으로 처리되어 초고성능 연결 및 처리량을 제공할 수 있습니다. 이러한 마이크로 경계는 최소 권한 액세스를 제공하고 공격 표면을 줄여 줍니다.
-
Appgate SDP를 기존 보안 또는 비즈니스 시스템과 통합할 수 있습니까?
-
가능합니다.
-
Appgate SDP는 개방형 플랫폼으로 REST API를 기반으로 합니다.
-
따라서 IAM, 디렉터리 서비스, EDR 및 SIEM을 비롯한 다른 보안 도구는 물론 ITSM과 같은 비즈니스 및 워크플로 시스템과도 원활하게 통합할 수 있습니다.
-
Appgate SDP는 온프레미스 및 클라우드 리소스에 대한 액세스를 지원합니까?
-
지원합니다.
-
Appgate SDP는 온프레미스, 데이터 센터, 하나 이상의 클라우드(멀티 클라우드) 또는 세 가지 모두의 조합(즉, 하이브리드 아키텍처)과 통합 정책 엔진을 포함한 복잡한 하이브리드 IT 환경에서 프라이빗 액세스를 보호하도록 설계되었습니다.
-
Appgate SDP는 VPN인가요?
-
아닙니다.
-
SDP(소프트웨어 정의 경계) 아키텍처는 VPN과 매우 다릅니다.
-
Appgate SDP는 단일패킷인증(SPA) 기술을 사용하여, 인증 받지 않은 사용자에게는 모든 리소스를 숨깁니다. 따라서 보이지 않으면 공격할 수 없기 때문에 공격표면을 획기적으로 줄여 줍니다.
-
VPN은 전통적으로 원격 작업자에게 기업 리소스에 대한 액세스를 제공하는 데 사용되어 왔으며 유일한 실제 보안 기능은 네트워크에 대한 사용자 인증입니다.
-
이에 비해 Appgate SDP는 기본적으로 ID 중심 및 보안 중심 솔루션으로, 향상된 인증 및 암호화를 제공하는 동시에 보안을 강화하고 운영 복잡성을 줄이는 다른 최신 기능을 추가합니다.