[네트워크 보안] 네트워크 암호화의 중요성과 고려해야 할 사항

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014. 7. 14. 11:00 / 카테고리 : nCipher HSM (Thales-HSM )


네트워크 암호화의 중요성과 고려해야 할 사항

물리적 네트워크의 중요성은 몇번을 강조해도 지나치지 않습니다. 최근에는 진정한 의미에서 안전한 개인 네트워크를 실현하는 조직은 거의 없고, 다른 조직과의 네트워크 인프라를 공유하고 있습니다. 결과적으로 이러한 공공 네트워크 및 가상 개인네트워크에서 교환되는 정보는 종종 도청에 취약하기까지 합니다.


따라서 데이터 프라이버시에 대한 오늘의 요구사항과 표준에 따라 사용중인 데이터를 보호하는 것이 요구되고 있습니다. 각 조직은 데이터암호화를 위해 선택한 응용프로그램 수준에서 수행하거나 데이터베이스(Database) 또는 다른 스토리지(Storage) 환경에서 수행여부를 선택할 수 있는 반면에 네트워크를 통해 이동하는 데이터 집합을 보호하는 것은 즉석방식이지만, 특별한 보안 레이어를 추가하는 데에는 매우 효과적인 수단입니다.


네트워크 암호화는 규제된 데이터가 잘못된 보호조치를 실시하고 제출되어 버렸을 경우에는 이를 보호합니다. 또한, 전용 보호조치를 베푸는 정도는 아니지만 역시, 신중하게 취급한다고 간주하는 것과 같은 기타 모든 중요 데이터 파티션에 안전한 보안을 제공합니다.

네트워크 수준의 암호화는 비교적 성숙한 기술이지만, 그것을 사용하는 조직은 어떤 유형의 네트워크 암호화를 도입할 것인지를 결정할 때 몇가지 고려해야 할 사항이 있습니다.



[네트워크 암호화 도입시 체크해야할 내용]

1. 어떤 네트워크 트래픽을 암호화 해야하는 것인가?

대부분의 네트워크 어느정도 오픈되어 있지만, 그 중에는 다른 것들보다 훨씬 개방적인 것들이 있습니다. 내부의 유선 네트워크는 내부자 공격의 위협의 노출될 수 있기 때문에 가장 신중하게 처리할 데이터에 대해서만 취약하다고 간주 할 수 있습니다.

이와는 대조적으로 핵심 네트워크와 광역 네트워크(WAN) 연결은 외부 서비스 공급자가 제공하는 파이프를 공유하는 것이 보통이므로 일반적으로 더 신중하게 검토해야합니다. 무선근거리통신망(LAN)이나 무선 WAN 상의 트래픽은 거의 모든 설정에서 트래픽을 암호화 해야합니다. 인터넷 트래픽 또한 마찬가지로 암호화는 필수입니다. 


2. 트래픽은 OSI 네트워크 모델의 Layer2 및 Layer3 중 무엇으로 암호화 할 것인가?

이 선택에서 문제가 되는 것은 오버헤드로 예상되는 대역폭의 낭비입니다. IPSec등의 잘 알려진 프로토콜을 사용하여 Layer3에 암호화를 적용하면 네트워크의 다른장비가 사용하는 라우팅 정보를 유지해야 합니다. 이 방법은 많은 비용을 초래하고 결과적으로 네트워크 용량 및 대기시간에 영향을 미치게 됩니다. Layer2 암호화는 더 낮은 계층에서 행해지므로, Layer3에서 사용되는 라우팅 정보 흐름 관리방법과는 관계없이 대부분의 경우 보다 효율적으로 암호화 할 수 있습니다.

하지만 IPSec 네트워크 암호화가 일반적인 형태인 것에는 변화가 없습니다. 그러나 대역폭 및 지연시간이 가장 중시되는 데이터센터간의 고속연결의 경우는 Layer2 암호화를 고려 할 수 있습니다.


3. 현재 보안 요구의 적합한 암호화 방식의 선택

네트워크 수준의 암호화는 비교적 성숙한 기술이므로 라우팅 장비 및 스위칭 장비의 임베디드 기능 또는 네이티브 기능으로 사용할 수 있도록 되어있는 것이 보통입니다.

독립형 암호화 플랫폼은 임베디드 암호화 기능과 대등한 또 하나의 선택으로 높은 수준의 보증과 전용키 관리 기능의 장점을 겸비하고 있씁니다.

독립형 암호화 플랫폼은 FIPS 140과 CC 기준등의 보안 벤치마크를 기반으로 독립적인 기관의 인증을 받았으며, 변조방지 뿐만 아니라, 네트워크 관리자 및 보안 책임자의 업무를 명확하기 분리할 수 있는 기능을 제공합니다.

독립형 네트워크 암호화 플랫폼은 데이터센터간의 고속연결에 특히 유용합니다. 세계적으로 상호 연결된 조직 및 서비스 공급업체에서는 최적화된 대역폭, 확실한 재해복구성 및 스토리지 영역 네트워크(SAN) 및 트랜잭션시스템, 클라우드 컴퓨팅과같은 핵심시스템의 보안과 같은 요소들을 유기적으로 결합해야 합니다. 이 구간의 연결은 보안을 최대한 투명하게 확보하는 것이기 때문에 기업의 중요한 성공요인이 될 수 있고 네트워크 서비스 공급자의 큰 차별화 요소가 될 수 있습니다.




[네트워크 암호화의 중요성]

네트워크는 여러가지 위험성에 노출되기도 합니다. 예를 들면 공격자가 네트워크를 통해 이동하는 미 암호화된 데이터를 읽을 수 있기 때문에 프라이버시가 손상될 뿐만 아니라 더 정교한 공격으로 이행하는 단계로써 내용이 수정 또는 대체될 수 있습니다. 그리고 많은 기업들의 요구사항 중 하나로 사용중인 데이터에 대한 보호를 요구하고 있기 때문에 데이터에 대한 보호를 구축하지 않는 기업은 벌금이나 데이터 유출의 위험에 노출되어 신뢰성을 잃어버릴 우려가 있습니다.

응용프로그램에 따라 라우터나 스위치에 내장된 암호화 기능은 필요한 보안의 헛점과 성능의 저하를 가져올 수 있습니다.


이러한 네트워크 암호화를 완벽하게 구축할 수 있는 솔루션으로 Thales e-Security 솔루션이 있습니다. Thales 솔루션 도입을 통해 기업은 네트워크를 통한 공격 방어, 데이터 암호화 보호, 보안성 강화와 성능 향상을 한번에 구현할 수 있습니다.


[네트워크 암호화 : Thales e-Security 솔루션]

독립형 네트워크 암호화 플랫폼을 사용하기 전에 검증된 솔루션을 도입하여 신중하기 취급해야 높은 가치의 데이터가 전송 중에 노출시킬 수 없도록 최대한의 신뢰성을 실현할 수 있습니다. DataCryptor 네트워크 암호화 플랫폼은 미 암호화된 데이터 전송 및 라우터나 스위치에 내장된 기본 암호화 기능 모두에 대해 보호를 강화합니다.

DataCryptor 제품군의 네트워크 암호화 플랫폼은 최첨단의 처리량과 지연시간을 실현하면서, 다양한 네트워크 유형과 암호화 프로토콜 및 인증수준에 대한 광범위한 지원을 제공할 수 있도록 설계되어 있습니다.






성능 및 도입 유연성의 이상적인 조합은 지연시간, 대역폭의 활용, 업무의 명확한 분리가 가장 중시되는 지점간 네트워크 및 멀티포인트 네트워크 보안을 확보하려는 조직 및 서비스 공급업체에게 필수적이라고 할 수 있습니다. 대표적인 이용 시나리오는 다음과 같은 경우를 들 수 있습니다.


[Thales e-Security DataCryptor 대표적 이용 시나리오]

1. 지리적으로 분산된 가상 개인네트워크에 의해 상호연결된 사무실을 가진 기관 및 단체

2. 고속광역네트워크(WAN) 연결을 사용하여 미러링 또는 복제된 데이터센터를 가진 조직

3. 마이크로파 또는 무선 기반 네트워크를 사용하는 조직

4. 고품질의 암호화된 데이터 네트워킹 서비스를 제공하고자 하는 서비스 제공업체

5. 보증할 수 있는 제한된 네트워크에 국내 전용 알고리즘 및 키 관리 기술을 사용하고자 하는 정부 기관



[Thales E-Security DataCryptor로 얻을 수 있는 장점]

1. 탈레스가 가진 20년 이상의 입증된 기술에 의해 보장할 수 있는 네트워크 암호화 솔루션을 구축할 수 있습니다.

2. 가장 효율적인 데이터 전송매체, 네트워크 속도, 프로토콜을 이용하기 때문에 비용을 절감 할 수 있습니다. 

3. DataCryptor 플랫폼은 IP Layer 2 이더넷, E1/T1 및 E3/T3 SONET / SDH, LINK 및 프레임 릴레이에 사용할 수 있습니다.

4. 위변조 방지 물리적 보안 강화, 강력한 인증, 하드웨어 기반의 키 생성, 내장 및 원격 키관리 등 네트워크 스위치나 라우터의 기본 암호화 기능에서 실현될 수 없는 보안 기능의 이점을 이용할 수 있습니다.

5. 네트워크 관리자 및 보안 책임자의 업무 분리를 실현함으로써 내부자에 의한 공격의 위험을 줄일 수 있습니다.

6. 국가별, 혹은 그 국가의 공인된 암호화 알고리즘 및 키 관리 표준을 확장하려고 하는 조직은 구체적인 요구에 맞게 사용할 수 있고, 자정의 알고리즘을 다시 프로그램 할 수 있는 기성품 암호화 장치 사용을 통해 비용을 최소화 할 수 있습니다.

7. FIPS와 공통평가 기준 등 세계적인 보안 표준 및 UK CESG / CAPS 등의 지역적 인증기반을 받은 장치를 사용하여 규정준수를 간소화합니다.


VPN(가설사설망)과 Thales DataCryptor 제품과의 차이점

DataCryptor는 비교할 수 없는 암호화 성능을 자랑하며 Low-Latency를 지원합니다. 또한, VoIP 패킷에서 Jumbo Frame 패킷까지의 동등한 암호화 성능을 제공합니다.

 

 Integrated Software Encryption

 Hardware Encryption (Datacryptor)

 Hardware Random Number Generation

 X

O

 Self-sufficient Certificate Generation

 X

O

 Control Over Key Lifecycle Management

 X

O

 Software Licensing Requirements

 O

X

 Separation of Duties

 X

O

 Low Latency for Fast Encryption

 X

O

 Consistent Encryption Performance

 X

O


최근 Voice와 Video의 네트워크 트래픽 사용량은 계속 증가하고 있습니다. 그리고, Voice와 Video Frame 사이즈는 작고 빠른 특성을 가지고 있습니다. Cisco 등의 장비에 의한 암호화는 일정한 성능을 주지 못합니다. 그 이유는 Voice 등의 작고 빠른 패킷은 프로세서에 부하를 주게되고 Jumbo Frames는 암호화에 많은 시간이 필요합니다. 

DataCryptor는 일정한 성능으로 안정성을 유지할 수 있으며, 그 이유로는 데이터 타입에 상관없이 일정한 암호화 성능을 제공하기 때문입니다. 네트워크 사용량이 증가하고 데이터 타입이 변화함에 상관없이 DataCryptor는 항상 최적의 성능을 제공합니다.


이처럼 네트워크 트래픽 사용량의 증가에 대비한 다량의 암호화, 그리고 성능 향상, 일정한 성능을 제공하여 안전성을 최대한 확보하기 위해서는 20년 기술을 보유하고 있는 Thales의 DataCryptor 솔루션을 통해 안전한 네트워크 구축은 물론, 기업의 비용절감 효과까지 한번에 가져가시기 바랍니다.

Thales DataCryptor 제품에 대한 문의와 구매 상담은 아래에 있는 연락처를 통해서 연락을 주시면 친절하게 상담해 드립니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com




아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.




Trackbacks 0 / Comments 0

[기업보안] 강력한 네트워크 보안을 위한 솔루션 Thales DataCryptor

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2014. 7. 10. 11:18 / 카테고리 : nCipher HSM (Thales-HSM )


정보화 시대에 맞추어 네트워크 망은 갈수록 트래픽 용량이 거대하고 분산되는 네트워크 구조로 진행되고 있습니다. 보안측면에서도 요건 및 규제가 정부차원에서 진행되고 있습니다. 특히, 최근 많은 공공기관 및 금융권, 대기업의 내부 및 보안 사고로 인하여 보안의 필요성에 대한 인식이 더욱 강화되고 있는게 오늘날의 보안 현실입니다.


보안 사고가 많이 증가하고 이슈가 됨에 따라서 기업들은 기존의 보안 시스템을 보완 및 강화하려고 하고 있습니다. 일반적으로 시스템 및 네트워크에 대한 보안 강화 방안으로 방화벽, IDS/IPS, UTM, 시스템 업그레이드, 기타 등을 조치하고 있습니다. 이러한 서비스를 제공하기 위한 기 구축된 또는 신규 구축되는 가장 기본적인 물리 전송 구간에 대한 보안의식 및 적용 현황은 아직 미약한 상황이 되고 있습니다.


예를 들어서, 전용 회선의 경우에는 비록 Public 네트워크 망과 분리되어 서비스 되고 있기 때문에 보편적으로 안전하다고 생각되고 있지만, 실질적으로 전용 회선의 경우, 여건에 따라서는 보안에 더욱 취약한 부분이 많은 상황이 되고 있고, 더욱 심각한 것은 물리적인 전송 구간에서의 해킹이 발생했을시에 해킹 흔적을 찾기가 매우 어려운 상황입니다. 그렇기 때문에 해킹에 대한 피해 규모 및 추적도 힘들다는 점이 있습니다.


유럽 및 북미의 경우에는 물리적인 네트워크 구간 해킹에 대한 인식이 많이 고취되어 있는 상태이고, 이에 대한 보안책으로 네트워크 구간 암호화 시스템이라는 장비를 적용하여 1차적으로 물리적인 전송 구간 암호화를 강화하고 있는 추세입니다.



전세계적으로 인터넷 및 기타 네트워크 서비스 부분에 있어서 상위권에 있는 우리나라의 경우에는 물리적인 구간 암호화 방안이 더욱더 고려되어 물리적인 1차 해킹으로부터 피해를 최소화 하는 방향으로 개선이 이루어져야 합니다.


이러한 물리적인 구간 암호화 방식에 최적화된 솔루션을 기업에서 구현하기 위해서 많은 기업 보안 담당자들은 어느 솔루션을 도입하여야 할지 고민이 많은 상황입니다. 

외국의 경우에는 어떤 방식으로 구간 암호화 방식이 이루어질까요? 유럽과 북미에서는 물리적인 구간 암호화 방식에 최적화된 솔루션 구축을 위해서 도입한 제품으로는 탈레스(Thales) DataCryptor 네트워크 구간 암호화 장비가 있습니다. 


DataCryptor 네트워크 구간 암호화 장비는 데이터 암호화/복호화시 저지연(마이크로 단위) 및 높은 유효 대역폭(Data Throughput)을 지원하기 때문에 고성능의 안정적인 시스템입니다.


DataCryptor 제품은 현존하는 모든 전용회선을 암호화할 수 있고, 저속회선 장비군, IP 네트워크 장비군, SONET/SDH 장비군의 세 종류가 있습니다.


저속회선 장비는 RS232, RS422, V.35.X.21등의 비동기 신호등으로 분류되고 있습니다.

또한 IP네트워크 장비는 네트워크 속도에 따라서 10/100Mbps, 1Gbps, 10Gbps로 분류되고, OSI(Open System Interconnection) Layer7 계층 레벨의 Layer2 Data Link 층에서 운용되는 장비입니다. 


SONET/SDH 장비군은 계위(Hierarchy)에 따라서 T1/E1, T3/E3, STM-1, STN-4, STM-16, STM-64로 분류되어 운용이 가능합니다.


탈레스(Thales)의 DataCryptor는 현재 Field에서 사용되고 있는 다양한 망(Topology)과 연동 호환성이 우수하기 때문에 융통성 있는 기업 네트워크 구간 암호화 전송망을 구축할 수 있습니다.



기업 네트워크 구간 암호화 전송망을 구축할 수 있는 최고의 솔루션인 탈레스(Thales) DataCryptor 암호화 솔루션에 대한 주요 특징에 대해서 설명을 드리겠습니다. 


1. AES-256 알고리즘 지원

상업적으로 가장 강력한 암호 알고리즘인 AES-256 알고리즘을 지원합니다. AES-256 알고리즘은 여러가지 암호화 알고리즘 중에 상업적으로 많이 사용하고 있고 가장 강력한 알고리즘을 사용함으로써 안전하게 데이터를 전송할 수 있습니다.


2. 암호화 및 복호화시에 저지연을 지원

이더넷 프레임의 MTU(Maximum Transmission Unit) 사이즈에 관계없이 마이크로 단위로 일정한 암호화 및 복호화 지연시간을 제공함으로써 Field에서 안정적인 서비스를 제공하며 100Mbps에서는 37~40usec, 1Gbps에서는 7usec, 10Gbps에서는 5usec을 지원합니다. 


3. 큰 유효 대역폭을 지원하며 암호화시 최소 오버헤드를 사용

여러가지 암호화 방법(Bulk, Clear Header, Tunnelling)을 제공하면서 사용되는 오버헤드는 3%미만의 최소한으로 사용하기 때문에 실제 고객 서비스시 보다 많은 유효 대역폭을 제공합니다. 


4. 중앙 집중 자동화 키 관리를 제공

자동화된 중앙 집중 자동화 키 관리 및 데이터 암호화 키, 키를 암호화하는 키 운용을 통하여 매우 안정적으로 네트워크 구간 암호화를 구현할 수 있는 장점이 있습니다.


5. PTP, PTM Topology 지원

점대점(Point-to-Point), 점대다(Point-to-Point)등의 네트워크 망(Topology) 구성을 통하여 경제적이고, 효율적으로 망 구성을 할 수 있습니다.


6. FIPS 140-2 Level 3 및 CC 인증

FIPS 및 CC 인증을 통하여 안정적으로 시스템을 운용할 수 있기 때문에 안정성 측면에서 매우 유리합니다.


다음으로는 탈레스(Thales)의 암호화 솔루션인 DataCryptor 암호화 솔루션의 인터페이스에 대해서 알아보겠습니다.

탈레스 DataCryptor는 장비 제어용 인터페이스와 서비스용 인터페이스를 제공하고 있습니다. 장비 제어 포트는 V.24와 10/100Mbps을 지원하고 있고, 원격 장비 제어를 위한 인밴드(Inband) 통신을 지원하고 있습니다. 특히 1/10Gbps DataCrytor는 인터페이스 모듈을 고객 서비스 환경에 맞추어서 사용할 수 있도록 플러그인(Plug-in) 타입의 SFP와 XFP 모듈 타입을 적용하였고, SFP와 XFP는 옵션에 따라 최대 80KM의 원거리 전송도 가능합니다.


전원 모듈은 후면에 위치하고 있고, 10/100Mps 모델은 전원이 단일화 구조이고, 1/10Gbps 모델 전원 모듈은 이중화 및 Hot-Swap 할 수 있는 구조로 설계되어 있기 때문에 향후에 유지보수시에 서비스에 영향이 없이 안정적으로 수행할 수 있는 구조로 되어 있습니다.




Thales DataCryptor의 암호화 방식과 어플리케이션에 대한 자세한 내용은 여기를 클릭해주시면 더 많은 정보를 보실 수 있습니다.


최상의 기업 네트워크 구간 암호화를 위해 안정적인 Thales의 DataCryptor를 도입하여 완벽한 기업 보안을 구축하시길 바랍니다.



※ 제품 구입 문의 : 아이마켓코리아 김경일 대리 / Tel : 02-3708-8254 / E-mail : raykim7@imarketkorea.com



아래의 링크에서 thales e-security의 다양한 정보를 만나실 수 있습니다.


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭

공지사항

블로그 검색

Calendar

«   2019/12   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

방문자 통계

  • 전체 : 385,080
  • 오늘 : 16
  • 어제 : 274
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.