안녕하세요, 당사는 전자금융보자업자로 전자금융감독규정을 따라야하는 입장에 있는 회사입니다.
다름이 아니라 현재 저희가 IDC센터의 서버들을 가상화 인프라로 구성하려고 검토중인데
망 분리와 관련하여 질의 드립니다.
Q) 위 그림과 같이 '내부망' 과 'DMZ' 의 네트워크를 물리적으로 같은 노드에서 논리적으로 분리해도 되는지?
Q) 위 그림과 같이 '내부망', 'DMZ' 네트워크를 '물리적' 으로 분리해야 하는지?
답변 기다리겠습니다, 감사합니다.
2개의 답변이 있습니다.
논리적 망 분리라는 건...
물리적으로 동일한 망을 사용하면서 논리적으로 서로 격리 시키는걸 의미하겠고요.
물리적인 망 분리는 업무용 하드웨어, 인터넷용 하드웨어를 하드웨어적으로 2중으로 구성해서 사용해야 하기 때문에 하드웨어 구성 비용도 2배로 더 많이 소요되겠고, 망 구성도 분리된 망으로 2중 구성해야 하기 때문에 망 구성 비용도 2중으로 소요되게 되겠고... 2중 망을 구성하기 위한 네트워크 장비들도 2중으로 분리되게 구성해야 하겠고요.
소요 에너지를 비롯하여 유지를 위한 비용도 2중으로 소요되기 때문에 비용이 막대하게 소요되는 구성 방식이되겠지만... 물리적으로 확실한 격리를 하기 때문에 높은 보안성을 얻을 수 있는 구성이라 생각되고요.
논리적인 망분리는 물리적으로 동일한 망을 사용하지만 논리적으로 업무망과 인터넷망을 분리하기 때문에 하드웨어적으로 소요되는 추가 적인 비용은 거의 없을 것 같고요.
동일한 컴퓨터에서 물리 컴퓨터와 논리(가상) 컴퓨터를 서로 다른 망을 사용하도록 구성해서 사용할 수 있는 방식이 되겠고요.
논리 컴퓨터를 업무망, 물리 컴퓨터를 인터넷망... 또는 반대의 방식을 사용해야 될것 같고... 한대의 무리 컴퓨터에 여러대의 논리 컴퓨터를 구동하면서 어떤 논리 컴퓨터는 업무망, 어떤 논리 컴퓨터는 인터넷 망으로 배분해서 사용할 수도 있을 것 같고요.
논리적으로 서로 분리된 다른 네트워크를 사용하기 때문에 각 망 사이에 서로 차단되어 접근할 수는 없으나 시스템 구성을 잘 아는 사용자라면 네트워크 정보를 수정해서 서로간에 넘나 들 수 있는 환경이 만들어 질 수도 있을 것 같아 보이고요.
물리적 망 분리가 비용이 많이 소요되기 때문에 논리적인 망분리를 많이 하고 있고...
논리적인 망분리라는 건 물리적으로는 같이 연결되어 있는 통신회선을 사용하지만 논리적으로 서로 격리시키는 망을 의미하기 때문에...
물리적으로는 동일한 망을 사용하는 형태가 되겠고요.
법적으로 논리적인 망분리를 해도 된다면...
같은 물리적인 망을 사용하면서 논리적으로 서로 접근하지 못하게 망을 분리 시켜 운영하면 되지 않을까 싶네요.
아래 링크의 전자금융감독규정 해설의 56 페이지에 "전산센터 망분리 예외로 정보처리 업무를 국외 소재 전산센터에 위탁하여 처리하는 경우, 국외소재 전산센터는 논리적 망분리 가능(세칙 제2조의2제2항제1호)" 라고 나오네요.
https://wiki.wikisecurity.net/_media/%EC%A0%84%EC%9E%90%EA%B8%88%EC%9C%B5%EA%B0%90%EB%8F%85%EA%B7%9C%EC%A0%95_%ED%95%B4%EC%84%A4_fn.pdf
아래 내용 참고 해보세요
https://blog.pages.kr/2485
smms9491 | 2년 이상 전
알려주신 링크 확인은 해보았으나,
어디에도 명확하게 IDC 데이터센터에 대한 가상화와 관련된 내용은 없네요 ㅠ
차바라기 | 2년 이상 전
IDC데이터 센터에 대한 가상화는 없고 망분리에 대한 내용을 참고 하시면 될듯합니다.
https://blog.naver.com/mint860703/222009286392