- 정보 보안의 정의
- 3대 보안 정의
- 기밀성(Confidentiality)
- 인가되지 않은 사용자가 정보를 보지 못하게 하는 모든 작업
- 무결성(Integrity)
- 정확하고 완전한 정보 유지
- 가용성(Availability)
- 접근 허락
- 기밀성(Confidentiality)
- 3대 보안 정의
- 네트워크 보안의 주요 개념
- 네트워크 보안의 목표는 외부 네트워크로부터 내부 네트워크를 보호하는 것이다.
- 이때 외부로부터 보호받아야 할 네트워크를 Trust 네트워크, 신뢰할 수 없는 외부 네트워크를 Untrust 네트워크로 구분한다.
- 한 단계 나아가 우리가 운영하는 내부 네트워크이지만 신뢰할 수 없는 외부 사용자에게 개방해야 하는 서비스 네트워크인 경우 DMZ(DeMilitarized Zone) 네트워크라고 부르며, 일반적으로 인터넷에 공개되는 서비스를 이 네트워크에 배치한다.
- 네트워크 보안 분야는 트래픽의 방향과 용도에 따라 두 가지로 나눌 수 있다.
- Internet Secure Gateway
- Trust(또는 DMZ) 네트워크에서 Untrust 네트워크로의 통신을 통제
- 인터넷으로 나갈 때 인터넷 수많은 서비스의 정보와 요청 패킷을 적절히 인식하고 필터링하는 기능이 필요
- 내부 사용자가 인터넷으로 통신할 때 보안을 제공, 통제하기 위해 사용
- 서비스/장비 : SWG(Secure Web Gateway), Web Filter, Application Control, Sandbox …
- Data Center Secure Gateway
- Untrust 네트워크에서 Trust(또는 DMZ)로의 통신을 통제
- 장비 : IPS, DCSG(DataCenter Secure Gateway), WAF(Web Application Firewall), Anti-DDoS(Distribute Denial of Service)
- Internet Secure Gateway
- 네트워크 보안 정책 수립에 따른 분류
- 화이트리스트
- 방어에 문제가 없다고 명확히 판단되는 통신만 허용
- 블랙리스트
- 공격이라고 명확히 판단되거나 문제가 있었던 IP 리스트나 패킷 리스트를 기반으로 데이터베이스를 만들고 그 정보를 이용해 방어하는 형태
- 각종 패턴으로 공격을 방어하는 네트워크 장비(IPS, 안티바이러스, WAF)들은 일반적으로 블랙리스트 기반의 방어 기법 제공
- 공격 방법 적은 데이터베이스 : 공격 패턴(Signature)
- 화이트리스트
- 보안 솔루션의 종류
- 모든 공격을 장비 한 대로 방어할 수 없으므로 여러 장비의 기능으로 단계적으로 방어한다.
- 네트워크 전체 구성도(네트워크 보안 솔루션 위치) (데이터 센터)
- DDoS 방어 장비(프로파일링) - 방화벽(포트 제어) - IPS(시그니처) - 웹방화벽(WAF)(시그니처) - 서버
- DDoS
- DDoS 장비는 데이터 센터 네트워크 내부와 외부의 경계에서 공격을 방어하는데 이것은 볼류메트릭 공격(Volumetric Attack)을 우선 막기 위해서이다.
- 방화벽
- 4계층에서 동작하는 패킷 필터링 장비이다.
- IDS,IPS
- 방화벽에서 방어할 수 없는 다양한 애플리케이션 공격을 방어하는 장비
- WAF
- WAF(Web Application Firewall)는 웹 서버를 보호하는 전용 보안 장비.
- 샌드박스
- APT(Advanced Persistent Threat: 지능형 지속 공격) 공격을 방어하는 대표적인 장비.
- NAC
- 네트워크에 접속할 때 인가된 사용자만 내부망에 접속할 수 있고 인가받기 전이나 승인에 실패한 사용자는 접속할 수 없도록 제어하는 기술
- IP 제어
- 할당된 IP를 관리하고 나아가 정확히 의도된 IP 할당이 아니면 정상적으로 네트워크를 사용하지 못하게 하는 기능
- 접근 통제
- 접근 통제 솔루션도 에이전트 기반(Agent Based), 에이전트리스(Agentless), 구현 방법에 따라 다양하게 분류할 수 있지만 대부분 배스천 호스트(Bastion host) 기반으로 구현된다.
- 서버 접근을 위한 모든 통신은 배스천 호스트를 통해서만 가능하다.
- VPN
- 사용자 기반의 VPN 서비스를 제공해주는 장비
'⛅ Cloud Study > 🖧 Network' 카테고리의 다른 글
| [IT 엔지니어를 위한 네트워크 입문] 11장 - 이중화 기술 (0) | 2023.07.09 |
|---|---|
| [IT 엔지니어를 위한 네트워크 입문] 10장 - 서버의 방화벽 설정/동작 (0) | 2023.07.09 |
| [IT 엔지니어를 위한 네트워크 입문] 8장 - 서버 네트워크 기본 (0) | 2023.07.09 |
| [IT 엔지니어를 위한 네트워크 입문] 7장 - DNS, GSLB, DHCP (0) | 2023.07.09 |
| [IT 엔지니어를 위한 네트워크 입문] 6장 로드 밸런서/방화벽: 4계층 장비(세션 장비) (0) | 2023.07.09 |
