솔루션 개요

F5 BIG-IP 플랫폼 특권 사용자 액세스 솔루션

연방 기관 데이터를 보호하고 위험을 완화합니다.

F5 BIG-IP 플랫폼 특권 사용자 액세스 솔루션

강력한 인증의 중요성

오늘날 우리 네트워크의 심각한 보안 취약점은 기존 사용자 이름과 비밀번호를 사용해 관리 리소스에 접근하는 방식입니다. 이러한 우선순위를 지원하기 위해 국방부(DoD) 사이버보안 규율 구현 계획 의 최우선 노력은 권한이 있는 사용자에 대한 강력한 인증입니다.

노력의 방향: 강력한 인증

익명성을 줄이고 DoD 정보 네트워크에서 수행되는 작업에 대한 진정성과 책임을 강화하면 DoD의 보안 태세가 개선됩니다. 약한 인증과 계정 인수 간의 연결은 잘 확립되어 있습니다. 강력한 인증은 권한이 있는 관리자를 사칭하여 대규모 네트워크 손상을 포함하여 무단 액세스를 방지하는 데 도움이 됩니다. 지휘관과 감독관은 서버, 라우터와 같은 고가치 자산을 보호하는 데 주력하고, 시스템 관리자의 특권적인 접근 권한을 부여합니다. 이러한 노력은 DoD 사이버 전략의 목표 3~4를 지원하며, DoD CIO가 알려진 취약점을 완화하도록 요구합니다.

또한, DoD 네트워크 장치 관리에 적용 가능한 보안 관행 및 절차를 자세히 설명하는 최신 DISA 네트워크 장치 관리 보안 요구 사항 가이드 에서는 네트워크 장치에 액세스하는 권한 있는 사용자 계정에 대한 다중 요소 인증을 사용하지 못한 것에 대해 CAT 2(중간) 결과를 제공합니다.

  • ID 찾기: V-55105
  • 심각성: 높은
  • 세부 정보: …DoD는 HSPD 12에 따라 적용되는 시스템의 ID 관리 및 개인 인증을 지원하기 위해 CAC(Common Access Card) 토큰/자격 증명을 사용하도록 의무화했습니다. DoD가 네트워크 장치에 권장하는 아키텍처는 시스템 관리자가 DoD CAC 자격 증명과 DoD 승인 PKI를 사용하여 인증 서버를 사용하여 인증하는 것입니다.

그러나 관리 리소스에 대한 CAC 인증은 달성하기 어려울 수 있습니다. 강력한 인증이나 스마트 카드 접근을 수용하도록 제작되지 않은 장치와 시스템이 엄청나게 많습니다. 옵션은 기존에는 다음과 같이 제한되었습니다.

  1. 조직에 대한 위험을 감수합니다.
  2. 장치를 제거하거나 교체하세요.

주요 이점

공격 표면을 줄입니다

F5 권한이 있는 사용자 액세스는 취약한 장치와 관리 인터페이스 주위에 셸을 만듭니다. 모든 액세스에는 개별 리소스에 대한 액세스를 승인하는 CAC/PIV를 사용해야 합니다.

수정 설치가 필요하지 않습니다.

F5 솔루션은 백엔드에 중요한 시스템에 소프트웨어를 설치하거나 수정할 필요가 없습니다.

감사 추적을 제공합니다

이 솔루션은 보안팀에 감사 추적 기능을 제공하고 보안 정책에 민첩성을 제공하며, 기업에서는 세션/비밀번호의 수명을 결정합니다.

F5 권한 있는 사용자 액세스

F5 Privileged User Access 솔루션은 이제 기본적으로 이 기능을 지원하지 않는 네트워크 인프라에 CAC 인증이나 다른 강력한 인증 방법을 추가할 수 있는 추가 옵션을 제공합니다. 환경의 어느 곳에도 클라이언트 소프트웨어나 에이전트가 필요 없이 이를 수행하며 안전하고 보안된 방식으로 기존 시스템이나 비준수 시스템을 최대한 활용할 수 있습니다. DoD PKI 시스템에 직접 통합되며 기존 RADIUS, TACACS, Active Directory 또는 다양한 타사 인증 데이터베이스와 협력하여 작동하도록 구성할 수 있습니다.


그림 1 : F5 Privileged User Access 솔루션은 이 다이어그램에 강조된 강력한 인증 프로세스를 통해 적절한 사용자가 중요한 데이터에 액세스할 수 있도록 보장합니다.

이 솔루션은 F5 BIG-IP 플랫폼, BIG-IP 액세스 정책 관리자(APM), 임시 인증, 웹 SSH 클라이언트를 포함한 4가지 주요 구성 요소로 구성되어 있습니다.

BIG-IP 플랫폼

BIG-IP 플랫폼은 FIPS 규격을 준수하고 Common Criteria 인증을 받았으며 UC APL 승인을 받은 제품으로, 물리적 및 가상 폼 팩터로 제공됩니다. F5 Privileged User Access 솔루션의 모든 기능은 BIG-IP 플랫폼 내에서 실행됩니다. BIG-IP는 DoD 네트워크 전반에 널리 배포된 보안 제품으로, 이미 수천 개의 중요한 애플리케이션에 대해 강력한 인증을 수행하고 있습니다. 이 추가 솔루션은 기존 기능을 권한이 있는 사용자 요구 사항에 적용하기만 합니다.

BIG-IP 액세스 정책 관리자

애플리케이션에 액세스하는 권한이 있는 사용자는 먼저 BIG-IP Access Policy Manager(APM)에 의해 인증됩니다. BIG-IP APM은 먼저 미국을 표시합니다. 인증을 진행하기 전에 승인이 필요한 정부(USG) 경고 배너가 사용자에게 표시됩니다.

다음으로, BIG-IP APM은 사용자에게 CAC 또는 강력한 자격 증명을 요청하고, 이를 인증서 해지 목록(CRL)이나 온라인 인증서 상태 프로토콜(OCSP) 서버와 비교하여 자격 증명이 해지되지 않았는지 확인합니다. 선택적으로 BIG-IP APM은 Microsoft Active Directory(AD) 또는 Lightweight Directory Access Protocol(LDAP) 서버, Security Assertion Markup Language(SAML) 공급자 또는 다양한 타사 디렉토리와 같은 디렉토리 서버를 쿼리하여 사용자의 신원을 더욱 확립할 수 있습니다.

BIG-IP APM이 권한이 있는 사용자가 시스템에 액세스할 수 있는지 확인한 후, BIG-IP APM은 권한이 있는 사용자가 액세스할 수 있는 리소스를 확인하기 위해 추가 속성을 쿼리합니다. 마지막으로, 권한이 있는 사용자에게는 접근이 허용된 리소스의 포털 페이지가 표시됩니다. BIG-IP APM은 클라이언트가 정부 제공 장비(GFE)인지, 호스트 기반 보안 시스템(HBSS)을 준수하는지, 지원되는 운영 체제를 실행하고 있는지 확인하는 등 클라이언트의 무결성을 보장하기 위한 고급 기능도 제공합니다.

임시 인증

임시 인증은 본질적으로 사용자 이름과 비밀번호로만 인증할 수 있는 시스템을 위한 폐쇄 회로, 일회용 비밀번호입니다. 전체 시스템은 F5 BIG-IP 내부에 존재하며 BIG-IP APM과 함께 작동하여 자격 증명 재생 가능성을 제거하는 동시에 안전하고 종단 간 암호화된 연결을 보장합니다. 이 과정의 어느 순간에서도 사용자나 클라이언트는 이 임시 비밀번호를 알 수 없으며, 매우 낮은 확률로 이 비밀번호가 유출되더라도 공격자나 악의적인 행위자에게는 아무런 쓸모가 없습니다. 이를 통해 F5는 사용자 이름과 비밀번호를 사용하여 인증하도록 제한된 모든 시스템에도 CAC 또는 다중 요소 인증을 제공할 수 있습니다.

웹 SSH 클라이언트

웹 SSH 클라이언트는 정부에서 제공하는 모든 웹 브라우저에서 실행되는 HTML5 클라이언트이며 클라이언트 측 구성 요소를 설치할 필요가 없습니다. 이를 통해 현재 및 미래의 미국에서 즉시 접근할 수 있습니다. 웹 브라우저를 사용한 연방 정부 시스템. 이 클라이언트는 전체 터미널 에뮬레이션, 마우스 이벤트, 잘라내기 및 붙여넣기, 클라이언트에 연결을 기록하는 기능을 제공합니다. 이 클라이언트는 호스트별 또는 전역적으로 지정 가능한 분류 배너를 오버레이하는 기능과 레거시 장치와의 호환성을 보장하기 위해 호스트별 암호화 옵션을 제공하는 기능도 지원합니다.

권한 있는 사용자 액세스 통합

F5 Privileged User Access 솔루션은 레거시 및 비준수 시스템에 대한 심각한 보안 격차를 해소하는 동시에 최신 시스템에 대한 액세스를 집계하는 효과적인 방법이기도 합니다. F5는 권한이 있는 사용자 액세스가 필요한 많은 시스템을 보호할 수 있습니다. 다음은 몇 가지 예입니다.

  • 전화 관리 인터페이스(예: Cisco Communications Manager Administration)
  • 방화벽, IDS/IPS 및 DLP 관리 인터페이스(예: Palo Alto 웹 인터페이스)
  • 프록시 관리 인터페이스(예: BlueCoat ProxySG)
  • 스토리지 어레이 인터페이스(예: NetApp OnCommand, Pure Storage)
  • VDI 관리 인터페이스 및 VDI 클라이언트 인증 요구 사항(예: VMWare Horizon, Citrix XenDesktop, Windows Remote Desktop)

관리자의 액세스 제어를 통합함으로써 BIG-IP APM의 광범위한 인증 및 제어 기능을 활용할 수 있습니다. 신뢰할 수 없는 네트워크에서 TLS 암호화 표준 사용을 강제할 수 있습니다. BIG-IP APM의 로깅 기능을 사용하면 이러한 시스템에 대한 관리 액세스를 기록하고 감사할 수 있는 단일 지점을 제공하고, 규정 준수 목적으로 보고 및 로깅 시스템과 통합할 수도 있습니다.

인증의 미래

F5는 나중에 필요할 수 있는 기능을 추가할 수 있는 프레임워크를 제공합니다. 정부와 국방부 리더십에서 고려 중인 인증 기능에는 파생 자격 증명, 생체 인식 및 추가 인증 요소 등이 있습니다. 정부가 현재 일반적으로 사용되는 CAC 또는 인증 방법을 사용하지 않기로 결정할 경우 F5 솔루션은 정의된 대로 추가 기능을 지원하도록 확장할 수 있는 유연성을 제공합니다.

F5 솔루션은 인증 연합 모델을 지원하며 DoD의 SAML 및 클라우드 기술 채택을 촉진할 수 있습니다. F5는 클라우드나 향후 어디에 있든 DoD 환경 내의 애플리케이션, 장치, 관리 인터페이스 및 시스템에 대한 강력한 인증을 제공할 수 있습니다.

자세한 내용은 www.f5.com/solutions/us-federal-government 를 방문하거나 연방 기관에 영향을 미치는 사이버 보안 동향 에 대해 자세히 읽어보세요.