데스크탑가상화소개...* 문서중앙화보안영역 안전한파일시스템...

데스크탑가상화소개이스트시큐리티이규원과장

세상을더안전하게만드는 ESTsecurity㈜이스트시큐리티는㈜이스트소프트보안SW개발및서비스자회사로서지능형보안위협에대응하는통합보안선도기업입니다.

업무PC

회사명 (주)이스트시큐리티 (ESTsecurity Corp.)

대표이사 정상원

법인설립일 2017년 1월 2일

본사소재지 서울특별시서초구반포대로 3 (서초동 1464-30) 이스트빌딩

사업분야 보안 SW 개발및서비스

임직원수 113명 (2017년 1월기준)

홈페이지 www.estsecurity.com

매년증가되는 PC의보안과 SW 관리의어려움

업무포털

E-mail

보안 시스템

A업무

… …

…

관리대상PC 의증가

PC 내문서보안요구

에이전트충돌문제해결

수많은PC가업무를위해도입/교체됩니다. 일반적으로도입당시표준사양과모델로통일되어일괄도입된장비도

사용자와담당업무등에따라설치된SW 등이분화되며몇가지현업의이슈를발생시키게됩니다.

DRM NAC DLP

AV PMS MPI

보안USB자료저장방지

망간자료전송

SSO (통합인증)

보수과정에서장비유실우려

B업무

C업무

…

사용자는업무중필요에따라각종업무용/비업무용프로그램을PC에설치했다가일부는지우기도하고, 때로는다양한웹사이트들을자유롭게방문하다보면

악성코드, 랜섬웨어등각종보안위협의공격을받을가능성이매우높아집니다.

침입한악성프로그램을통해사내보안위협 발생

사내시스템침투경로로사용

그룹웨어등전

사

확

산

위

험

인터넷망, USB 등외부저장매체이용

고도화되는외부공격으로부터빠른대응과방어필요

대다수의기업환경에서는직원과업무PC 수대비 IT 관리자가부족한경우가많습니다.

사용자PC의고장, 동작불량등으로담당자는인프라관리뿐아니라요청대응에많은리소스를투여하곤합니다.

운영체제, 보안프로그램, 업데이트적용. 바쁜일과에서담당자들을더욱바쁘게만드는요인입니다.

“컴퓨터가안켜져요＂

“프린터설정어떻게하나요＂

“키보드마우스가안돼요＂

“PC가너무느려요＂

“프로그램다시깔아주세요＂

새로운위협공격에대한

대응방안마련

IT 관리자의업무부하감소및효율적인관리환경제공요구

새로운개념의데스크탑가상화솔루션, Flash-V하드디스크없이네트워크부팅방식으로Flash-V 서버내저장된가상OS 이미지를스트리밍방식으로전달받아부팅합니다.

Flash-V환경은저장장치가존재하지않아, PC 장애의가장큰원인인하드디스크가없으며유지보수, 장비분실로인한

기밀문서의유실위험성이없습니다.

OS Management Module

A-DiskImage

Flash-V 서버

B-Disk Image

B 데스크톱

CPU

Memory

VGA

NIC

Diskless

높은 성능

데스크톱 PC 자원을

모두활용하므로

성능제약없이

고성능프로그램구동

경제적인 비용 투자

OS 보안 관리

데이터 보안

PC에는 OS를포함한어떠한

데이터도존재하지않아유출

/유실위험이

없고, 변조/감염역시불가

관리자가중앙에서일괄

OS 업데이트수행가능,

재부팅시마다안전한상태

의클린OS로원복됨

Flash-V 서버는 OS 이미지를

관리/할당하는역할만하기 때

문에저 사양서버로도운영

A 데스크톱

CPU

Memory

VGA

NIC

Diskless

Document Centralization

Module

기반기술소개시중의모든PC와메인보드는네트워크를통해OS를부팅하는PXE 부팅옵션을지원합니다. 간단한설정변경을통해HDD나USB가아닌네트워크카드를이용한

부팅이가능합니다. PC에는저장장치가장착되어있지않기때문에, 악성코드의타겟이되는OS와데이터가모두존재하지않습니다.

메인보드부팅설정메뉴

PxeBooting 이란?2010년이전표준화되어메인보드BIOS 상에탑재된기술HDD 로컬인터페이스가아닌네트워크인터페이스를통하여원격지에있는DATA를스트리밍으로읽는Booting 방식

OS이미지와문서의중앙관리Flash-V는OS 이미지와문서를중앙서버에서가장안전하게관리합니다. OS가최초의안전한상태를유지할수있도록배포관리기능을통해OS업데이트와

Clean OS 복원을지원합니다. 또한, 문서사용의연속성을유지할수있는인터페이스를제공하며문서유출차단기능과문서유실방지기능을지원합니다.

OS 관리 모듈

Document 관리 모듈

표준OS_Windows10

개인OS_Windows7

행정직군OS_Windows7

개인디스크_홍길동

조직디스크_총무팀

프로젝트디스크_TFT

1. 간편한 배포관리

2. OS 업데이트

3. Clean OS 복원

1. 문서사용 연속성

2. 유출차단

3. 문서 유실 방지

가상화 : 베이스이미지관리Flash-V는스토리지에저장되는수많은동일한버전의OS 이미지에대해중복되는데이터를하나의베이스이미지로사용하고, 개인별로생성된데이터는별도로

보관합니다. 베이스이미지를사용하기때문에스토리지사용량을절감시키고, 캐싱을통한Disk I/O 성능을증대시킬수있습니다.

iSCSI 공유 디스크

1. 스토리지사용량절감

다수 PC 동시 부팅

2. 캐싱을통한Disk I/O 성능증대

PC 한대의OS 용량이30GB인경우100대를서비스하기위해서는

일반적으로3TB의저장공간이필요하지만, 베이스이미지를활용한다면

300GB의저장공간만으로서비스가가능합니다.

캐싱을통한Disk I/O 관리기능을활용해일반적인HDD 수준이상의

성능을보장합니다.

가상화 : 관리자에의한OS 보안업데이트일반적으로는모든사용자가각자OS 보안업데이트, 보안취약점패치등의작업을진행해야만했습니다.

하지만Flash-V 환경에서는관리자가1회업데이트만진행하면됩니다. 사용자가재부팅을하는즉시업데이트사항이모두반영되어있습니다.

표준OS_Windows10(OS 빌드 15063.296)

관리자

보안 업데이트 완료..100%

표준OS_Windows10(OS 빌드 17623.1002)

사용자

개인별업데이트 없음

최초부팅단순재부팅

업데이트적용완료!

가상화 : Clean OS 원복기능Flash-V는악성코드나APT 공격에의해손상된PC를재부팅만으로즉시안전한상태의OS로원복시킬수있습니다.

PC를재설치하고필요한프로그램을세팅하고설정하는데드는많은인력과시간을절약할수있습니다.

Clean OSClean OS

+ 개인 프로그램+ 개인 설정

재부팅을통한OS 원복

개인 스냅샷

가상화 : 관리자페이지

웹기반의 관리 메뉴

로그 페이지 메인

가상화 : OS / Device관리페이지

OS 이미지 등록

Device 등록

중앙화 : 사용자인터페이스Flash-V 는문서를저장하거나편집, 실행할때윈도우탐색기를통하여시큐어디스크공유디스크내에만저장및작업이가능합니다. 시큐어디스크는중앙서버내

생성된문서중앙화영역입니다. 보안에취약한SMB 또는WEBDAV 프로토콜을사용하지않고, 자체개발한WID 프로토콜을사용합니다.

* 문서중앙화 보안 영역

안전한 파일시스템

시큐어디스크윈도우탐색기

자체개발프로토콜(WID) 드라이브연결- EST Windows Network 표시

타사윈도우탐색기

공개형파일시스템 SAMBA 드라이브연결- Miicrosoft Windows Network 표시

* 랜섬웨어워너크라이(WannaCry) SMB 프로토콜취약점통해전파

* SMB프로토콜보안지적대상

중앙화 : 문서유출방지기능Flash-V 업무환경에서는PC에존재하는각종저장매체를통하여자료를비인가반출하는것을원천차단합니다. 온라인을통한파일첨부역시제한합니다.

작업중편집된내용에대한화면캡쳐, 프린터출력등을차단하는것도가능합니다.

매체제어를통한

유출차단

외장HDD USB CD

메일 메신저 웹

프로세스제어를통한

유출차단

Print Screen 클립 보드

캡쳐도구 화면출력

중앙화 : 문서유실방지기능중앙서버에저장된문서들은변경시점에서사본이별도로저장됩니다. 이를통해변경이력의조회가가능하며삭제되거나구버전의문서를사용자가조회하여

복원하는것이가능합니다. 사본저장의개수와사본유지의기간을설정할수있습니다.

문서 변경 이력 조회 & 복원

서버내버전유지영역

원하는버전으로선택적복원

V1.0 V2.0 V3.0

복원하기 복원하기 복원하기

중앙화 : 공유및협업Flash-V 업무환경에서는기본적으로중앙서버내에서제공하는개인/부서/프로젝트별공유디스크를사용하여실시간으로문서를공유하고협업할수있습니다.

조직도연동에의해자동으로디스크가생성되고디스크/폴더에대해세부권한관리가가능합니다.

“기술영업팀” 소속 “ 임슬아 “ 공유 디스크

* 문서변경(편집,저장,삭제) 사항이

공유디스크상에서실시간반영

“컨설팅파트” 소속 “ 이규원 “ 공유 디스크

Connect PCVirtual Machine 에서는 PC에 연결되는 장치를 인식하지 못하거나 오류가 나는 경우가 많습니다. Flash-V는 Real Machine이 동작하므로

의료기기, ATM, 3D Printer, 콜센터 녹취장비, iOS 등 모든 기기와 연결 호환성에 문제가 없습니다.

-17-

외주인력/테스트업무환경디스크리스환경의PC를제공함으로써산출물이중앙서버에만저장되므로외주인력에의한데이터유출을방지합니다. 협업을위한부서/공용/개인디스크등을

제공하여업무친화성은증대됩니다.

Flash-V

기존업무환경

(PC에문서저장가능)

Flash-V로개선된업무환경

(PC에파일/문서없음)

-18-

교대근무(콜센터) 업무센터콜센터는중요한개인정보를다루며, 다수의작업을동시에수행하기때문에높은PC성능을필요로합니다. 또한, 교대근무자별맞춤환경을지원합니다.

오전 근무자PC 환경

오후 근무자PC 환경

-19-