안녕하세요.
회사에서 ISMS 인증 취득을 위해 준비 중에 있습니다.
그중 망분리를 위해 VDI 솔루션을 알아보고 있는데요.
견적을 받아보니 가격이 상당하여 솔루션이 아닌 다른 방법으로 구축하는 것을 검토 중에 있습니다.
현재 자사에 망분리를 구축하여 운영 중에 있으신 분들
어떻게 구축하셨는지 사례를 공유해 주시면 감사하겠습니다.
해당 질문의 문제를 해결, 도움이 되는 선택된 답변이 있습니다.
작성된 다른 답변도 확인해 보시기 바랍니다..
12개의 답변이 있습니다.
예산을 투입 하셔야 할것 같습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입다양한 환경을 검토하고 구축도 해봤습니다만 소규모의 환경에서는 자체 논리적인 망분리 환경을 구축하는게 가장 적합할거 같습니다. 빠르게 도입하기 위해 퍼블릭 클라우드 서비스 형태도 있으나, 장기적으로 보면 비용 차이가 클거 같구요,
업체 검토 시 몇 가지 팁을 드리자면:
●비슷한 규모 기업 레퍼런스 꼭 확인하세요
●유지보수 조건을 꼼꼼히 살펴보는 게 좋아요
●ISMS 심사 대응 문서도 같이 제공해주는지 물어보세요
●초기 견적보다 협상 여지가 있으니 몇 군데 비교해보세요
망분리 환경 구축시 관리 부담이 가장 큰 이슈더라고요. 시간과 전문성을 생각하면 업체 의존도가 높아질 수밖에 없는 것 같습니다. 솔루션 상담실을 통해 업체 컨설팅을 받아보시고 적합한 규모가 구축하는것이 좋을듯합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입ISMS 인증을 위한 망분리(논리/물리) 구축은 기업의 규모, 예산, IT 인프라 환경에 따라 매우 다양하게 이루어지는데요. VDI는 가장 깔끔하고 강력한 방법이긴 하지만, 비용이 높아 중소기업에서는 다른 대안으로 구축하는 사례가 많습니다.
실제 구축 사례 (중소기업, 약 100인 규모)
참고할 ISMS 심사 시 유의사항으로는...
1.망분리 정책 문서화 필수 (설계도, 운영계획 등)
2.망간 자료 이동 통제방안 명확화 (승인 프로세스, DLP, 백신 등 포함)
3.정기 점검 및 로그 관리 체계 보유 필요
4.보안패치 및 접근통제 시스템 도입 여부 확인
같이 준비하세요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입저희는 네트워크 분리 방식으로 내부망 외부망 PC를 물리적으로 분리해서 사용하는데 망간 자료전송은 망연계 솔루션을 이용해 사용하고 있습니다.
실 사용 사례를 공유해 주셔서 감사합니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입1)물리적 망분리: 인터넷망과 업무망을 완전히 다른 PC 또는 네트워크로 분리. 보안성은 높지만 비용과 관리 부담이 큼.
2)논리적 망분리: VDI, 가상화, 방화벽 등을 활용해 논리적으로 망을 분리. 비용 효율적이며 재택근무와 같은 유연한 환경에 적합.
업체 규모에 따라 다른데 현재 VDI가 아닌 물리적 망분리를 요구하는것 같습니다.
물리적 망분리는 높은 보안성을 제공하지만, 하드웨어 비용과 업무 효율성 저하를 고려해야 합니다.
소규모 기업이라면 개인정보취급자 중심으로 업무망 PC를 배치하고, 기존 PC를 재활용해 비용을 절감하는 방식을 추천합니다.
중대형 기업은 oo은행에서 망연계 솔루션과 DLP를 결합해 체계적인 구축을 고려해보세요. 망연계 솔루션은
오픈소스(SFTP, 스크립트 기반)로 초기 비용을 줄일 수 있습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입논리적인 망분리해서 운영합니다.
물리적인 망분리보다는 유연하고 비용도 적게 듭니다.
논리적인 망 분리도 몇가지 방식이 있습니다.
말씀하신 것처럼 VDI, 즉, 서버 기반 가상화 방식과 PC 기반 가상화 방식이 있습니다.
예전에 조사했던 내용 참고해보세요.
구분
PC 기반 가상화 방식
서버 기반 가상화/VDI 방식
구현 방식
사용자의 PC 내에 가상 머신(VM) 설치, 내부망과 외부망을 논리적으로 분리
중앙 서버(VDI)에 가상 데스크톱을 구축, 사용자는 원격으로 접속
대표 솔루션
안랩 TrusZone, 미라지웍스 iDesk 등
Citrix XenDesktop, VMware View 등
보안성
VM 간 분리로 기본적 보안 확보, 단 OS 커널 공유로 내부망 감염 가능성 존재
서버에서 일괄 관리, VM 이미지를 통해 보안성 높음, 서버 해킹 시 전체 위험 가능성
비용
구축비용 낮음(기존 PC 활용), 유지보수 비용 저렴
초기 구축비용 높음(서버/라이선스 필요), 대규모 도입 시 비용 증가
성능
PC 성능에 의존, 고사양 PC 필요
서버 성능에 의존, 서버 부하 시 전체 성능 저하 가능
유지관리
각 PC별 관리 필요, 대규모 환경에서 관리 복잡
중앙 집중 관리로 효율적, 서버 관리 인력 필요
업무 효율성
한 대의 PC에서 전환 가능, 사용 편리
원격 접속으로 장소 제약 적음, 다양한 OS 환경 지원
확장성
PC 추가로 손쉽게 확장 가능
서버 증설 필요, 라이선스 비용 증가
주요 장점
저렴한 비용, 기존 환경 활용, 빠른 도입
중앙 집중 관리, 높은 보안성, 다양한 환경 지원
주요 단점
PC 성능 의존, OS 커널 공유로 보안 취약 가능성
초기 투자비용 높음, 서버 장애 시 전체 영향
PC 기반 가상화 방식이 PC 2대 지급하고 업무망, 인터넷망 분리하는 것과
동일한 형태로 보시면 될 것 같네요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입망분리를 목적으로 대부분 VDI를 사용하기는 하는데,
대체 가능한 방법은 말 그래도 내부망 / 외부망 분리하는 것 밖에 없습니다.
분립 방법은 내부망 / 외부망 각각 방화벽 구성해서 통신 불가하도록 기본 구성하고
통신 필요한 경우는 vpn을 통하게 하는 정도? 밖에 없을 듯 합니다.
심사원분들 성향에 따라 VDI가 망분리의 기본이라고 보시는 분들도 계셔서
컨설팅 진행하면서 잘 파악하시는 게 좋습니다.!
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입솔루션 상담실에 문의 해보세요~저희도 망분리 올해 시작을 했는데 VDI로 했습니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입보통 ISMS 심사를 위한 망분리는 별거 없습니다.
내부망과 외부망을 완벽히 분리해주면 됩니다.
여기서 문제는 내부의 서버(ERP, 기타 내부 WAS서버)가 외부의 DMZ구간(web서버 등)과 통신을 하기 위해 패킷이 나가야되는데 여기서 제대로 된 망분리를 한다고 하면 망분리 - 망연계 장비를 구축하여 사용하면 별탈이 없습니다. 왜냐 내부망에서 외부 DMZ망으로 나갈때 그사이에 있는 망분리-망연계 장비가 해당 패킷을 해당 장비만의 암호화 및 기타 보안 장치에 의해 패킷을 보호하기 때문인데..
이게 아니라 단순히 그냥 스위치, 방화벽 만으로 내부망, DMZ망을 나눠놓고 그 사이를 통신을 해야 된다? 그러면 일단 중간에 중계서버 비슷하게 해서 내부의 WAS서버와 해당 중간에 있는 중계서버로 데이터를 보내고 그 중계서버는 DMZ망과 통신을 하게 되면 WAS-WEB통신이 되긴 하는데.
현재 ISMS에서 그것까지 용인을 해주는지는 잘모르겠습니다. 예전 초창기때는 그런것도 다 망분리로 인정해줬기 때문인데.
지금은 워낙 많은 망분리-망연계 장치가 있다보니 그것까지 용인을 해주진 않을 것으로 보입니다.
정리하자면 VDI 같은 가상화 솔루션을 굳이 사용할 필요없이
내부에 있는 서버는 내부에서만 통신(폐쇄망 처럼), 외부 DMZ나 사용자가 인터넷을 해야된다 그러면 별도의 내부PC 한대와 외부 PC한대를 둬서 둘간에 통신만 안되게 하면 그것도 망분리 입니다.
그냥 내부망과 외부망 통신을 아예 못하게 하면 망분리이기때문에 굳이 VDI를 써서 할 필욘없습니다. 물론 그렇게 VDI로 하면 편하긴 할테지만 그 또한 리소스가 상당하기에 여러명이 동시에 뭔 작업을 해야 된다 그러면 더욱더 스펙이 높은 서버가 필요하기에.. 그냥 간단히 내부 서버 - 외부서버 통신 막고, 내부망 외부망 둘간 스위치도 연결하지 말고, 사용자단에서는 PC 2대를 줘서 내부서버 접속용도와 인터넷용도로 분리해서 사용해주면 됩니다.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입VDI를 이용하는 방법은 가상화를 이용해서 논리적으로 분리하는 방법인데요,
VDI 솔루션도 다양하게 있으니 여러곳의 솔루션을 견적 받아 보세요.
물리적으로 나누는 방법도 있는데, 아무래도 두개의 망을 물리적으로 구축을 해야 하는만큼
이 방법도 비용은 무시하지 못하는거 같더라구요...
그래서 논리적 망분리를 해 왔던건데, 요즘은 솔루션 가격도 만만치 않네요~~~
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입망 분리라는 게...
인터넷 용 망과 업무용 망을 분리해서 서로간에 통신이 불가하도록 만들면 되겠고요.
비용은 많이 소요되더라도 확실하게 분리하는 방법은 물리적인 망분리가 되겠고요.
물리적인 망은 기존 망을 거의 그대로 사용하면서 논리적으로 인터넷 망과 업무 망을 분리해서 서로 통신이 불가하도록 하는 방식이 비용을 절감할 수 있는 망분리가 되겠고요.
VDI라는 것도 인터넷 또는 업무를 위한 망을 VDI라는 가상 데스크 탑 환경을 이용하는 논리적인 망을 추가해서 기존 망과 통신이 불가하도록 하는 망을 분리하는 방법이 되겠고요.
논리적 망분리를 위해 반드시 VDI를 사용해야 하는 것은 아니라 생각되네요.
기존 망과 통신이 되지 않는 논리 망을 추가해서 기존 망을 사용하는 컴퓨터들과 추가한 망을 사용하는 컴퓨터가 서로 통신이 불가하도록 분리 시켜서 운영하면 되지 않을까 싶네요.
논리적인 추가 망은 서브넷을 이용해서 분리해도 될 것 같고, VLAN을 이용해서 분리해도 될 것 같고요.
댓글 남기기
답변을 작성 하시려면 로그인이 필요합니다.
로그인 회원가입