안녕하세요. ISMS 인증을 준비하고 있는 보안팀 직원입니다.
회사에서 ISMS 인증을 위해 망분리를 구성도를 작성하고 있습니다.
협업을 위해 문서중앙화 솔루션, JIRA, MS 쉐어포인트, 노션 등을 사용하고 있는데, 망분리를 할 경우 위 솔루션 들을 어떻게 구성해야 하는지 궁금합니다.
1. 협업이 중요한 회사라 내부 및 외부에서 자유롭게 사용을 하려면 어떤 방식으로 구성하나요?
- 모바일 접근도 허용하려면 어떻게해야 사용이 가능한가요?
- SaaS서비스형과 서버 구축형은 모두 외부에서 접근하는 경우 어떤 것을 검토해야 하나요?
2. 만약, 위 솔루션 등으로 해결이 되지 않는다면 위 솔루션 들을 어떤 솔루션으로 대체하면 생산성(협업 방식 유지)을 유지할 수 있나요?
6개의 답변이 있습니다.
내부 구축형은 없고 협업과 망분리는 상극입니다.
보안을 고려하지 않는다면 공인 IP를 넣어서 외부 노출 시켜 사용하면 간단하게 해결 되겠는데...
ISMS 인증을 준비하고 있다니...
보안 문제를 고려해서 구성해야 되겠네요~
공인 IP를 넣어서 외부 노출하여 사용하지만, 각종 보안 솔루션으로 철통 보완해서 사용하는 방법도 유효하지 않을까 싶어 보이고...
보다 안전한 구성 방법은 중계 서버를 이용하는 방법이 되지 않을까 하는 생각이 드네요.
내부에서는 협업을 위한 서버에 직접 접속할수도 있고, 중계 서버를 통해서 접속하게 할 수도 있을 것 같고...
외부에서는 협업을 위한 서버에 직접적으로 접속을 차단시켜두고, 중계 역할만 하는 서버를 통해서 협업 서버와 정보를 주고 받을 수 있게 구성한다면 보안을 대폭적으로 향상 시킬 수 있을 걸로 보이네요.
중계 서버에서 작동하는 서비스 소프트웨어 개발에 어려움이 있을 수는 있겠지만~
망분리를 했을때 망연계솔루션을 두어야 합니다.
01099860894 | 10달 전
망연계가 구성되어 있다면, 내부망 > 망연계 > 외부망(내부망<>SaaS접속용 별도의 공인IP) > SaaS형식으로 통신하면 괜찮을까요?
1. 협업이 중요한 회사라 내부 및 외부에서 자유롭게 사용을 하려면 어떤 방식으로 구성하나요?
- 모바일 접근도 허용하려면 어떻게해야 사용이 가능한가요?
-->SaaS 서비스는 대부분 모바일 접근은 가능한 상태이기 때문에,
내부/외부만 구분해서 정책 및 솔루션을 검토하시면 될 것 같습니다.
- SaaS서비스형과 서버 구축형은 모두 외부에서 접근하는 경우 어떤 것을 검토해야 하나요?
-->SaaS서비스형 기본적으로 외부에서 접근이 가능하게 되어 있습니다.
구축형은 방화벽 정책으로 해결하면 되지만 SaaS 서비스 일부 제품군들은 외부에서 접근에 대한 제약을 할 수 없어서 인증방식만 보통 컨트롤 가능합니다.
(일부 SaaS 서비스는 외부 접근을 간접적으로 통제할 수 있게 기능을 제공하기도 합니다.)
2. 만약, 위 솔루션 등으로 해결이 되지 않는다면 위 솔루션 들을 어떤 솔루션으로 대체하면 생산성(협업 방식 유지)을 유지할 수 있나요?
--> 모든 솔루션의 통제를 고려하신다음 자체 idc,서버실 등에 구축가능한 서비스만
고려해보신다던가 아니면 접근 통제가 가능한 것들만 찾는 방법 밖에는 없습니다.
okta를 고려하셔서 진행하면 접근에 대한 통제를 조금 더 보완할 수 있지 않을까 싶습니다.
01099860894 | 10달 전
상세한 답변 감사합니다.
가능하면 내부망에서는 업무관련된 통신만 처리하려고 합니다.
[내부망 > 망연계 > 외부망(내부망<>SaaS접속용 별도의 공인IP) > SaaS 서비스] 형식으로 사용하려고 하는데, SaaS서비스 자체에서 외부 접근을 통제하지 못한다고하면 결함으로 발생될 수 있을까요?
보통 협업을 한다고하면 문서, 메일, 메신저에 대한 부분이 걸리는데,
보통 외근직, 휴대폰, 업무망 간 문서 공유하는 방법이나 메일(첨부파일포함)을 주고 받는 경우에는 어떤 기능이 필요한가요?
inside07 | 10달 전
내부망 > 망연계 > 외부망(내부망<>SaaS접속용 별도의 공인IP) > SaaS 서비스] 형식으로 사용하려고 하는데, SaaS서비스 자체에서 외부 접근을 통제하지 못한다고하면 결함으로 발생될 수 있을까요?
-> 심사원분들에 따라 다르거나 SaaS 서비스 사용에 대한 중요도에 따라 다를 수 있는데
외부 접근 통제가 필수로 판단되는 경우에는 결함으로 발생할 수 있습니다.
예를 들어 vpn정도로 대체하던 정책을 결함 및 지적사항으로 발생하여 vdi를 구축하는
경우도 발생하니까요 ! SaaS 서비스가 결함인데 변경하기 힘든 구조면 okta 등을 통해서
인증 절차나 이력관리를 강화하는 쪽으로 고려해보시는 것도 방법입니다.
보통 협업을 한다고하면 문서, 메일, 메신저에 대한 부분이 걸리는데,
보통 외근직, 휴대폰, 업무망 간 문서 공유하는 방법이나 메일(첨부파일포함)을 주고 받는 경우에는 어떤 기능이 필요한가요?
-> 협업하는 솔루션에 대한 계정 인증 방식이 우선될테구요 ~
(2차인증 기본으로 보시면 될 것 같습니다.)
문서 공유나 메일 첨부에 대한 중요도 등을 판단하여 문서 중앙화 솔루션이나
정보유출방지에 필요한 매체제어,파일첨부제어 등이 가능한 솔루션을 검토해보셔야
할 것 같습니다.
VPN(통신보안), 2Factor인증(인증보안), NAC(단말보안). 이렇게 기본적으로 필요해 보입니다.
단말관리도 필수로 해야하고, 인증할때 보안도 필요해 보입니다
01099860894 | 10달 전
외부망 PC는 백신을 설치한다던가 NAC를 설치하여 관리한다는 통제항목표는 확인하지 못했는데,
외부망에서도 NAC 단말보안이 필요할까요?
외부망을 구성한다고하면 AWS를 사용하려고 했습니다.
Saas 자산 접근 시에는 가급적 2FA 적용해야 합니다.
MS쉐어포인트면 게스트 초청방식으로 접근 가능할테고, 게스트에도 휴대폰인증 걸 수 있습니다.
노션도 Saas니까 2FA 설정하는거 있을겁니다.
Saas야 구축 서버가 내부에 있는게 아니니 2FA면 되는데, Jira처럼 내부서버에 구축하고 외부에 오픈하는거면 보통 SSL VPN 연결 후 내부망화 시켜서 연결하게 합니다.
VPN은 방화벽 쓰고 있다면 기능 자체는 무료로 제공 될 겁니다
> 저희는 포티게이트 쓰는데, 기본 제공 기능입니다.
(Saas 제외) 모바일도 접근이면 사실상 어느 IP에서든지 접근 허용해달라는 건데..
휴대폰인증/휴대폰 MAC 주소 인증하는 기능 없다면, 심사 때 취약으로 나올겁니다.
redhairadol | 10달 전
추가로 Saas 접근권한 대장, VPN 접근권한 대장 같은 것 만들어서 어느 회사, 담당자 이름, 아이디, 업체와 소통하는 내부 담당자 부서/이름 작성해서 기록 검토도 하셔야 합니다.
분기 or 반기에 한번씩 CISO 결재도 받으시구요.
시스템 구축이 중요하지만, 기록 검토도 중요한 부분이라 심사 때 항상 관리 대장이 있는지? 주기적인 검토 하는지? 다 봅니다
01099860894 | 10달 전
상세한 내용으로 설명해 주셔서 감사합니다.
저희가 사용하는 서비스는 내부 구축형이 없습니다.
[내부망 > 망연계 > 외부망(내부망<>SaaS접속용 별도의 공인IP) > SaaS 서비스] 형식으로 사용을 해도 괜찮은 부분일까요?
추가로 휴대폰이나 외근자에 대한 경우 어떻게 SaaS서비스에 연결해서 사용하나요?
외근자는 vpn을 사용하면 괜찮다고는 하지만,
휴대폰의 경우는 MFA를 설정해도 임직원의 휴대폰 장비가 안전하다고 보기는 어려울 것으로 보입니다..
또한 쉐어포인트나 지라에 업로드된 파일을 휴대폰에서 다운로드가 가능하다면 해당 부분도 취약한 부분으로 볼 수 있을까요??
redhairadol | 10달 전
MFA를 거는 이유는 '님 휴대폰 안전하니까 접속하세요'가 아닌 '지금 접속 시도하는 계정 님꺼인지 확인 하겠습니다' 가 목적입니다.
이 부분은 휴대폰이든, 태블릿이든, 와이파이로 연결한 노트북이든 다 똑같기에
'휴대폰이라서 안전하지 않다'는 잘못 된 개념입니다. 그냥 편리하고 어디에서든 쓸 수 있는 노트북에 가까운 개념이니까요.
특히 Saas의 경우 가용성 측면에서 보면 MAC 제어나 IP 제어가 사실상 불가능에 가까우니.. 보안을 위해서 MFA로 접속하는 사람을 확실하게 판별하기 위함이죠.
그래서 Saas 서비스는 휴대폰이나 외근자나 똑같이 2차 인증으로 연결해서 씁니다
> 심사 나오면 120% 2차 인증 하라고 합니다. 경험담입니다..
> 2FA만으로는 조금 취약한게 사실이나, 이 부분은 심사원들도 이해하는 부분이라 '권고' 정도만 하고 '취약'으로는 분류를 거의 안하더라구요. Saas도 IP 통제는 가능한데, 그러면 외부접속자가 쓰는게 거의 불가능하니..
쉐포/지라에서 파일 다운로드 하는 것은 취약 부분으로 보지는 않습니다만, 개인정보가 들어있는 파일이라면 암호화하고(엑셀에 암호걸고 저장한다던지, 압축할 때 암호 건다던지) 다운로드 이력/로그도 갖고 있어야하구요요.
제가 알기론 지라는 서버에 구축해서(사이트 구성, DB설치 등) 쓰는게 아니었나요?
MS쉐포 처럼 라이선스 구매하고 바로 온라인에서 쓰는 것인지?
> 지라를 안써서 이부분은 잘 모르나, 서버랑 지라 사이트 구축했다면 웹방화벽도 설치 해야 합니다.