보안


웹 방화벽(WAF)


웹 서비스가 점차 증가하면서, 이와 함께 웹 공격의 형태가 다양해지고 그 빈도 또한 증가하고 있습니다.
WAF
는 지능형 웹 애플리케이션 방화벽으로서 웹 서버 앞 단에 위치하여 외부로부터 들어오는 HTTP/HTTPS
프로토콜 트래픽을 감시합니다.
이때 웹 애플리케이션에 대한 악의적인 공격이 탐지되면 해당 공격이 웹 서버에 도달하기 전에 차단하는 역할을 수행합니다.


웹 서비스가 점차 증가하면서, 이와 함께 웹 공격의 형태가 다양해지고 그 빈도 또한 증가하고 있습니다. 웹 방화벽은 지능형 웹 애플리케이션 방화벽으로서 웹 서버 앞 단에 위치하여 외부로부터 들어오는 HTTP/HTTPS 프로토콜 트래픽을 감시합니다.


 


서비스 구성도


olleh ucloud biz 환경에 보안전문기업인 펜타시큐리티의 웹 방화벽(WAPPLES)을 적용하여 ucloud server에서 실행 중인
web service
에 대한 사이트 공격을 탐지 및 차단하는 등의 보안서비스를 제공합니다.
kt WAF
의 네트워크 구성방법은 Reverse Proxy 방식으로 일반적인 Web Proxy 서버와 동일한 구성으로 위치시킵니다.


olleh ucloud biz 환경에 보안전문기업인 펜타시큐리티의 웹 방화벽(WAPPLES)을 적용하여 ucloud server에서 실행 중인 web service에 대한 사이트 공격을 탐지 및 차단하는 등의 보안서비스를 제공 합니다.


 


서비스 특·장점


*    보안성

l  웹 공격에 대한 3중 방어 구조

    • WAF Positive Security 보안모듈의 “URI 접근 제어, Negative Security 보안모듈의룰 탐지”, White/Black list of IP 주소 관리기능인 “IP Filtering”/“IP Block”의 웹 클라이언트 접근 제어의 3중 방어 구조를 기반으로 확실하고 안정적인 웹 공격의 탐지와 차단을 제공합니다.

l  암호화 트래픽 지원

    • WAF SSL과 같은 암호화된 트래픽을 지원합니다. 암호화된 트래픽 내에 웹 공격이 들어있는 경우에도 이를 신속하게 복호화한 후에 공격을 탐지하여 차단할 수 있습니다.

*    성능

l  다수 웹사이트/웹 서버 동시 보호

    • WAF은 여러 웹사이트들과 다수의 웹 서버들을 동시에 보호하는 것이 가능합니다.

*    안정성

l  Watchdog 지원

    • Watchdog 프로세스는 지속적이고 안정적인 웹 서비스 제공을 위해 WAF의 동작을 감시합니다. WAF에 문제가 발생하는 경우, watchdog 프로세스는 문제의 증상을 파악하고 이에 따라 보안 및 웹 서비스 유지를 위해 대응하도록 구성되어 있습니다.

*    편리성

l  대시보드(Dashboard) 지원

    • WAF와 웹 서버의 운영 상태를 그래프와 차트를 통해 한눈에 실시간으로 파악할 수 있는 대시보드 기능을 지원합니다.
    • WAF의 대시보드는 22가지의 다양한 그래프와 차트 형식을 제공하여 운영자가 원하는 형태로 데이터를 가공할 수 있도록 합니다.

l  설정 마법사 지원

    • WAF의 모든 설정 작업은 설정 마법사를 통하여 이루어집니다. 설정 마법사는 WAF의 복잡한 설정 과정을 간단하고 편리하게 수행할 수 있도록 도와줍니다.

l  자유롭고 유연한 화면 구성

    • WAF은 로그 화면과 각종 대시보드 화면 등을 메인 화면 상에 운영자가 원하는 형태로 자유롭게 배치할 수 있습니다.
    • 또한 각각의 화면 내용에 각기 다른 조건을 부여하여 다양한 정보를 동시에 확인할 수 있습니다.
    • 이러한 유연한 화면 구성은 운영자의 필요에 따른 적절한 정보 확인을 가능하게 해주어 관리도구 사용의 편의성을 높여줍니다.


주요 보안기능


- HTTP 기반의 웹 공격 방지


- OWASP Top 10 Attacks 탐지 및 차단


- PCI-DSS Copliance의 요구사항 지원


- Known/Unknown Worm 탐지 및 차단


- 웹 보안 요소 방어


- Cookie 변조 및 도용 방지


- Hidden Field 변조 방지


- 표준 암호 알고리즘 사용(AES, SEED)


- 웹 콘텐츠 필터링


- 개인정보 포함 파일 업로드/다운로드 탐지 차단


- 주민등록번호, 신용카드번호, 이메일주소, 주소, 전화번호 탐지


- MS-Office, Open Office, PDF, MS Outlook Message, hwp 30여종의 파일 검색


- 지정한 금지 단어 입력 시 자동 변환


- 해커에 의해 변조된 페이지 노출 차단 및 자동 복구


서비스 제공상품


1제공상품


Single 상품: 단일 웹 서버 머신 1대만을 보호할 때 사용


    • 가상 라우터 하단 단일 웹 서버 사이에 Proxy 방식으로 구성 설치합니다.


Dual 상품: 로드밸런서를 사용하며 2대 이상의 웹 서버를 로드밸런싱하여 사용


    • 로드밸런서를 활용하여 가상 라우터에서 포트포워딩한 후 가상 라우터와 웹 서버 사이에 Proxy 방식으로 구성 설치합니다.


2상품 별 기능 비교


WAF 기능

Single

Dual(w.LB)

비고

Basic

Standard

Advanced

Premium

Basic

Standard

Advanced

탐지로그

웹공격대응

대시보드

감사 로그

시스템 현황

정책
설정

일반룰

23개의 탐지 룰

고급 웹
보안 정책

X

X

Privacy file filtering User defined pattern Cookie poisoning Parameter tampering Suspicious access

보고

보고서
작성

웹 공격 통계 및
WAF
현황

보고서
보내기

보고서 이메일 전송

운영
설정

세션 잠금

감사설정

업데이트
설정 및
실행

무상 업데이트

백업 설정

웹 애플리
케이션에
대한
DDoS
공격 차단

조건에맞는
IP
차단설정

정책/로그
동기화

이중화된
WAF
간 연동

네트워크 설정

 


 


Enterprise Cloud


일반 클라우드 서비스에 비해 더욱 강화된 보안을 요구하는 기업, 공공기관, 금융기관 등이 사용하기에 적합합니다.
고객사의 시스템을 public zone private zone에 나누어 수용할 수 있습니다.
IPS(
침입방지시스템), FW(방화벽), VPN, 보안관제서비스를 기본으로 제공합니다.


서비스 특·장점


*    고품질의 클라우드 서비스를 합리적인 가격으로 제공합니다.

*  Enterprise Cloud 전용의 IPS (CC인증 EAL4), FW(CC인증 EAL3) 을 제공합니다.

*  고객사의 중요한 정보를 private zone에 수용함으로써 보안성이 보장됩니다.

*  Enterprise 방화벽은 S/W 방화벽(VR) 대비 우수한 트래픽/세션 성능과, 장애, 침해사고 시 원인 분석이 가능한 로그 관리 기능을 제공합니다.

*  물리서버와 Enterprise Cloud를 연동하여 Hybrid Cloud를 구성 할 수 있습니다.


 


Public Cloud, Secure Zone Enterprise Cloud 비교


 

Public Cloud

Secure Zone

Enterprise Cloud

망분리
(VLAN)

Public zone only

Secure zone only

Public zone + Private zone

IPS

공용 시스템

UTM 장비
(Secure zone
전용)

Enterprise 전용 시스템

FW

S/W 방화벽(VR)

UTM 장비

H/W 기반의 인증 방화벽

보안 매니지드 서비스

x


보안 매니지드 서비스 소개


1보안 매니지드 서비스 내역


구분

서비스 내역

Standard

모니터링

대상시스템 Alive Check

이상트래픽 모니터링

해킹//바이러스 모니터링

운영

대상시스템 룰셋 튜닝/업데이트

Anomaly, DDoS 정책설정

대상 시스템 환경설정 백업/복원

대응

실시간 공격분석

공격 발생시 SLA에 의거한 조치

사용자 정의 정책 설정(Zero day Attack)

보고서

관제작업내역

정기 보고서()

진단

정기 취약점 진단(서버시스템)

Optional

웹취약점 진단

Optional

모의해킹

Optional

헬프데스크

보안시스템 구성 및 정책 히스토리 관리

24시간 콜 센터 운영(Hot Line)

침해사고분석

피해발생시 대상시스템로그 분석

침해사고시 CERT 대응 분석 서비스

5/

로그관리

로그저장

30

로그검색


2보안 매니지드 서비스 대상 시스템


구분

대상시스템

서비스 시간

F/W

주니퍼 SRX3600

24*365

IPS

Sniper 10G IPS

24*365

WAF(선택사항)

펜타시큐리티 WAF

24*365


서비스 이용 사례


- 업무용 시스템: KT계열사 ERP 시스템


- 공공기관: 정보통신*****원 스마트러닝 클라우드 시스템, 학술*****원 디지털교과서시스템 등


- Enterprise: 콘텐츠***** 모바일TV 시스템, **** EPR/POS 시스템 등


용어 정리


- Public zone: 웹서버와 같이 외부망에 노출되어야 하는 서버들을 수용할 수 있는 zone 입니다. IPS와 방화벽으로 보호됩니다.


- Private zone: DB서버와 같이 외부망과 철저히 분리되어야 하는 서버들을 수용할 수 있는 zone 입니다. 고객사 내부망과 VPN을 연결해야만 접근할 수 있습니다.


- IPS (침입방지시스템): 해킹, DDos, /바이러스 등의 유해 트래픽을 탐지하여 이를 실시간으로 차단합니다.


- FW(방화벽): 외부망과의 게이트웨이 역할을 수행하며 인터넷 등 외부에서 들어오는 트래픽을 접근 통제 정책에 따라 차단합니다.


Secure Zone


Secure Zone kt ucloud 인프라에 이니텍의 보안솔루션을 클라우드에 최적화하고
UTM
장비 도입을 통해 별도의 보안구역을 설정하여
높은 수준의 보안관제 서비스 및 안성정을 제공하는 클라우드 서비스입니다.


서비스 구성도


Secure Zone은 kt ucloud 인프라에 이니텍의 보안솔루션을 클라우드에 최적화하고 UTM장비 도입을 통해 별도의 보안구역을 설정하여 높은 수준의 보안관제 서비스 및 안성정을 제공하는 클라우드 서비스입니다.POD당 2Gbps, 클라우드 센터 전체 50Gbps의 광대역의 Network 제공으로 대용량 트래픽의 처리가 가능합니다.


- 광대역의 Network 제공으로 대용량 트래픽의 처리가 가능합니다.(POD 2Gbps, 클라우드 센터 전체 50Gbps)


- UTM 장비를 통한 24시간 모니터링 및 침해대응으로 별도의 방화벽 설치가 필요없는 보안 일체형 클라우드 서비스입니다.


서비스 특·장점


*    저비용으로 높은 안전성과 고품질의 클라우드 서비스 이용이 가능합니다.

l  kt ucloud 기반 서비스로 동일한 클라우드 환경에서 강력한 보안서비스를 제공합니다.

*    고품질의 Network 서비스를 제공합니다.

l  POD 2Gbps의 광대역 Network을 제공하여 대용량 트래픽 처리가 가능합니다.

*    높은 수준의 보안관제 서비스를 제공합니다.

l  UTM 장비를 통한 24시간 모니터링 및 침해대응 서비스를 제공합니다.

*    ucloud server의 사양과 관계없이 동일한 성능과 서비스를 제공합니다.

l  Secure Zone은 성능과 서비스의 차별이 없으며, 동일한 비용으로 서비스를 제공합니다.


비용 절감 효과


kt ucloud Secure Zone을 이용하시면 서버호스팅보다 최대 50% 이상의 비용 절감 효과가 있습니다.


항목

서버호스팅

Secure Zone

비용 절감액

Spec

4Core, 4GB(서버호스팅 주력 상품 기준)

Server 비용

140,000

105,000

35,000

방화벽(관제형 기준)

400,000

120,000

280,000

백업(100GB 기준)

50,000

100,000(소산포함)

-50,000

OS

Windows

100,000

20,000

80,000

Linux

없음

무료

상면비(1U 기준)

40,000

없음

40,000

네트윅(기본 제공)

10Mbps

10Gbps

-

월간 비용

730,000

345,000

385,000


* Secure Zone방화벽외 비용은 kt ucloud 기준(2012.11.01 공지)
*
서버호스팅 비용은 서버호스팅사 평균가격을 적용한 것으로 업체별로 상이할 수 있음