구글의 BeyondCorp 2부 – 새로운 보안 모델로의 이동

앞서 1부에서는 구글의 BeyondCorp 프로젝트의 시작 배경과 기본적인 아키텍쳐 구성에 대해 알아보았다. 구글의 BeyondCorp 1부 – 보안네트워크의 새로운 패러다임 ☞ http://noplanlife.com/?p=1500 기존의 Perimeter 보안 모델에서 완전히 새로운 방식의 보안 네트워크 모델로의 전환은 굉장히 모험적인 일이었을 것이라 예상된다. 특히, 기업의 네트워크를 구축하는데 있어 가장 중요하게 생각되는 것이 바로 “가용성”과 “안정성”인 만큼 보수적인 시각으로 아키텍쳐를 구성하는 것이 일반적이다. 그럼에도 불구하고 구글은 완전히 새로운 모델을 구축하고 안정화시키는데 성공했다. 데이터 센터간의 서버 수십대 이전 작업만해도 굉장히 치밀한 계획이 필요한 것을 생각해보면, 전체 네트워크를 이와같이 변경한것이 얼마나 대단한지를 알 수 있다. 2부에서는 구글이 새로운 네트워크 모델로 어떻게 이전(Migration) 했는지에 대해 다룰 것이다. 또한 1부에서 BeyondCorp 각각의 구성 요소들을 소개했다면 2부에서는 이 모델이 전체적으로 동작하는 흐름에 대해 알아볼 것이다.   BeyondCorp의 TrustLevel(보안 등급) 정책 앞서 1부에서 다루었다시피 BeyondCorp는 접속자의 디바이스, HR데이터베이스 등 다양한 정보를 수집한다. 이렇게 수집된 데이터는 상관분석 (Correlation)과 신뢰도 평가(Trust Evaluation)과정을 거친 후, 최종적으로 보안등급이 부여되어 Access Control Engine에 전달된다. 아래 2개의 예시 상황을 통해 보안 등급 평가가 어떤 것인지를 알아보자. 예시 ① – (높은 보안 등급이 요구되는) 핵심 시스템에 접속할 때 아래 사항을 만족해야 한다. – 접속 디바이스의 디스크 암호화 (Disk Encryption)가 설정되어 있어야 함 – 모든 관리 에이전트 (보안 Configuration, OS Patch Status 정보 수집)가 정상적으로 동작함 – 가장 최신 버전의 OS가 설치된 상태임 (최신 패치

Continue Reading

구글의 BeyondCorp 1부 – 보안 네트워크의 새로운 패러다임

대부분의 기업은 보안 아키텍쳐를 설계할 때 전형적인 Perimeter Model 을 적용하고 있다. Perimeter Security Model은 외곽 경계, 즉 방화벽, IDS, IPS 등등의 보안 제품이나 서비스를 성벽을 쌓듯이 겹겹이 설치하여 자산을 보호하는 방식이다. 그러나, 이러한 Perimeter 방식은 몇가지 문제점을 안고 있다. 첫번째, 공격자의 방식이 진화하면서 어플라이언스 장비의 방어 효용성이 낮아졌으며, 둘째, 여러 장비가 있더라도 취약점은 항상 존재한다는 점이다. 따라서 공격자가 Perimeter 모델을 공격/또는 우회하여 내부로 진입할 수만 있다면 그 이후부터는 정상 유저와 공격자의 구분이 어려워 관리자 입장에서 탐지와 조치가  매우 어렵다. 또한 모빌리티 업무 환경이 확산되면서 “언제 어디서든 편하게 접속 가능하면서도” “안전한” 기업 네트워크 아키텍쳐의 필요성이 대두되었다. 이에 구글은 ’13년도 USENIX 컨퍼런스를 통해 기존 Perimeter 모델의 한계를 극복하면서도 사용자 Usability를 동시에 만족시킬 수 있는 새로운 보안 아키텍쳐 BeyondCorp모델을 발표하게 된다. 이번 포스팅에서는 구글이 새로운 보안 네트워크 아키텍쳐를 어떻게 설계하고 실제 환경에 적용했는지에 대해 자세하게 다루어 보고자 한다. [ Usenix 발표 영상 – Enterprise Architecture Beyond the Perimeter ] Google BeyondCorp 개요 앞서 언급한 것과 같이 기존 Perimeter 모델의 전형성을 탈피하고 보안성을 높이기 위해 구글은 BeyondCorp 프로젝트를 시작하였다. 이 프로젝트에서 추구하는 새로운 보안 네트워크 아키텍쳐의 방향은 다음과 같이 정리할 수 있다. 모든 엔터프라이즈 시스템  접속 시 Authentication, Authorization, Encryption 적용 사내/외 구분없이 어디서든 접속이 가능해야 함 (Cloud Based) VPN 접속 프로그램과 같은 별도의

Continue Reading

2015년 보안 관련 컨퍼런스 영상 모음

블랙햇, 데프콘 등 해외에서는 한 해(Year)에도 수십건의 보안 관련 컨퍼런스를 통해 보안 기술에 대한 정보들이 공유되고 있다. 그러나 현실적인 여건상 매번 해외 현지에 직접 가서 컨퍼런스 참석을 하기는 힘들 뿐더러 참석하더라도 세션이 분리되어 있는 경우 모든 PT를 듣는것은 현실적으로 불가능하다. 참으로 다행인것은 대부분의 컨퍼런스에서 영상작업을 하고 있고 유튜브나 Vimeo와 같은 채널을 통해 공개되고 있어 (물론 즉시 공개되는건 아님) 전세계 어디에서든 PT를 볼 수 있게 되었다. 아래는 2015년 전 세계에서 열린 보안 관련 컨퍼런스의 영상을 모아놓은 것으로써 우연히 Github (https://github.com/PaulSec/awesome-sec-talks) 에서 찾은 보석같은 자료이다 🙂 사실 컨퍼런스 발표자들이 겹치거나 주제가 일부 중복되는 경우도 보이긴 하는데 매년 보안 필드에서 이슈가 되는 (주목을 받는) 것들이 있다보니 생기는 자연스러운 현상이라 본다. 개인적으로 Best를 꼽으라면 USENIX 와 44CON 자료를 선택하고 싶다. 그럼 보안 컨퍼런스의 세계로 GoGo~!! Conference Location Date Chaos Communication Congress 2015 (32C3) Hamburg, Germany Dec 27-30, 2015 No Con Name 2015 [Spanish] Barcelona, Spain Dec 12, 2015 Passwords 2015 Cambridge, UK Dec 7-9, 2015 DefCamp 2015 Bucharest, Romania Nov 19-20, 2015 BSides Winnipeg 2015 Winnipeg, Canada Nov 14-15, 2015 BSides Charleston 2015 Charleston, SC, USA Nov 14, 2015 BSides Toronto 2015 Toronto, Canada Nov. 7, 2015 Saint Con 2015 Ogden, UT, USA Oct 27-30, 2015 BruCon 2015 Brussels, Belgium Oct 26, 2015 SkyDogCon

Continue Reading

POC 2014 생생한 참가 후기

  0. 들어가며 11월 6일 ~ 7일 이틀간 POC(Power of Community) 컨퍼런스 행사에 다녀왔습니다. POC는 국내 최고 수준의 해킹/보안 컨퍼런스로써, 최신 해킹 트렌드와 기술을 동시에 맛볼 수 있는 전통있는 행사로 자리잡아가고 있습니다.. 올해에도 전 세계 Security 분야에서 최고라 칭할 수 있는 Speaker들로 구성이 되었는데요, 자세한 Speaker 정보는 아래 링크를 통해 확인하실 수 있습니다. [Speaker 정보 보기] 등록비용이 30만원으로….그리 싸지는 않은 금액이었습니다만, 다행히 회사 연구회 비용으로 감사하게 다녀올 수 있었습니다. (연구회 담당자분께 감사의 말씀을…) 그럼 지금부터 본격적인 POC 2014 후기를 들려드리고자 합니다.   1. 행사 일정 및 현장 분위기 첫날 오전 세션은 9시부터 시작될 예정이었기 때문에, 현장 등록을 위해 30분 일찍 행사장에 도착했습니다. 다소 고가(?)의 행사 등록비용으로 인해 참가자가 별로 없으면 어쩌나 하는 우려를 했었는데 오전 첫 세션 부터 빈 자리를 찾기 힘들정도로 많은 분들이 오셨습니다. 특히나 정보보안관련 학과에 재학중인 학생들이 많이 보였는데, 앞으로 대한민국 보안 업계의 미래가 어둡지는 않구나 하는 생각을 잠깐 해봤습니다. 행사 규칙으로 인해 모든 사진 촬영과 영상 녹화가 금지되는 바람에 많은 사진은 담지 못했지만, Speaker들의 발표 내용을 조금이라도 더 주워담고자 노트북으로 열심히 필기 했습니다. 컨퍼런스 룸 바로 앞에 있는 로비에는 간단하게 먹을 수 있는 다과와 음료가 준비되어 있었습니다. POC 행사에 등록한 후 운영자로 부터 한 통의 메일을 받았는데, 그 내용 중 하나가 바로 인맥 형성을 위해 명함을 충분히

Continue Reading

[후기] 제11회 해킹방어대회 HDCON 본선 진출기

  HDCON 2014 에 처음으로 참가하여 본선까지 진출하게 되었습니다. 사실 참가 신청을 위해 등록할때는 1차 예선 통과가 목표였는데, 운 좋게도 목표를 초과 달성했습니다. 모두가 팀원들 덕분이라고 생각하며, 예선 참가 (혹은 본선 진출) 후기를 몇자 적어볼까 합니다. 이번 HDCON은 기존 대회 방식과 다르게 완전히 방어 위주의 문제로 구성이 되었습니다. “해킹 방어” 대회 임에도 불구하고 매년 공격 위주의 문제로 구성되었던점에 대해 여러가지 의견이 있었던것으로 알고 있습니다. 아마 주최측과 운영진들도 이러한 부분에 대해 고민하고 새로운 시도를 해본게 아닌가 생각됩니다. 본선 진출 유무를 떠나 제 개인적으로는 아주 흥미로운 대회로 기억될 것 같습니다.. 기존 대회 방식에서 벗어나 새로운 시도를 한 운영진의 고민을 고스란히 느낄 수 있었고 실제 침해 사고 대응 업무를 진행하면서 쌓아온 역량을 검증해 볼 수 있는 기회이기도 했기 때문입니다. 그러나 일부 참여자들이 문제 방식과 운영 방식에 대한 불만의 목소리를 제기하기도 했습니다. 이에 대해서는 저도 공감하는 바가 있으므로, 아래 본문에서 좀 더 자세하게 다뤄보겠습니다.   만만치 않았던 예선 1차 문제들 이번 11회 HDCON은 예선을 1차 2차로 나누어서 진행하였습니다. 1차는 4개 분야별(Web, Binary, Network, Incident Response) 주어진 문제의 해답을 맞추는 방식이었으며, 1차 예선 결과 상위 100팀에게 2차 예선 진출 기회가 부여되었습니다. 위에 보이는 그림처럼 4개 분야의 문제가 주어졌는데, 처음에는 Web과 Binary 만 오픈되었습니다. Web문제의 경우 php나 jsp로 작성된 웹서비스가 주어질 것으로 생각했는데, 특이하게도 WordPress 블로그 취약점을

Continue Reading

Site Footer

Sliding Sidebar

About Me

About Me

June Park