SAFE보안 간소화

SAFE 보안 간소화 | 소개 2

소개

규정 준수

보안 인텔리전스

관리

세그멘테이션

위협 방어

서비스 보안

SAFE의 핵심은 전체적 보안의 복잡성을 PIN(Place in the Network)과 보안 도메인(Secure Domains)으로 체계화하는 것입니다. PIN은 네트워크에 있는 위치의 참조용 예이며, 보안 도메인은 이를 보호하는 데 사용되는 분류 영역입니다.

SAFE는 기업 네트워크를 위한 보안 아키텍처 프레임워크입니다. SAFE는 회사에서 보호해야 하는 영역에 초점을 맞추는 모델을 사용하여 복잡성을 간소화합니다. 각 영역은 최신 위협과 이를 방어하는 데 필요한 기능을 전체적으로 다룹니다. 중요한 문제는 Cisco에서 구축, 테스트, 검증되었습니다. 이러한 솔루션에서는 컨피그레이션 단계가 완비된 지침을 제공하여 고객이 효과적이고 안전한 구축을 수행할 수 있도록 보장합니다.

자세한 내용은 cisco.com/go/safe를 참조하십시오.

www.cisco.com/go/safewww.cisco.com/go/safe

SAFE 보안 간소화 | 보안 도메인

보안 도메인

서비스 보안 액세스 컨트롤, VPN(Virtual Private Network), 암호화 등의 기술을 제공합니다. 여기에는 안전하지 않은 서비스(예: 애플리케이션, 협업, 무선)에 대한 보호도 포함됩니다.

규정 준수

보안 인텔리전스

관리

위협 방어 가장 우회 능력이 뛰어나고 위험한 사이버 위협에 대한 가시성을 제공합니다. 이러한 가시성을 지원하기 위해 네트워크 트래픽 텔레메트리, 평판, 상황 정보를 사용합니다. 의심스러운 활동의 특성과 잠재적인 위험을 평가할 수 있도록 지원하므로 사이버 위협에 대해 올바른 후속 조치를 취할 수 있습니다.

세그멘테이션

위협 방어

서비스 보안

세그멘테이션 데이터와 사용자 모두에 대해 경계를 설정합니다. 기존의 수동 세그멘테이션에서는 네트워크 주소, VLAN, 방화벽을 조합하는 방식을 사용하여 정책을 시행합니다. 최신 세그멘테이션은 신원 인식 인프라를 활용하여 확장 가능하며 자동화된 방식으로 정책을 시행하므로, 운영 문제가 대폭 줄어듭니다.

규정 준수 내부 및 외부 정책을 모두 해결합니다. 여기에서는 단일 솔루션으로 여러 규제를 충족할 수 있는 방법을 보여줍니다. 외부 규정 준수의 예로는 PCI, HIPAA, SOX(Sarbanes-Oxley)가 있습니다.

보안 인텔리전스 최신 악성코드 및 위협에 대한 글로벌 탐지 및 어그리게이션(aggregation)을 제공합니다. 이를 통해 새로운 위협의 상황 정보에 따라 평판이 보강되므로 인프라에서 정책을 동적으로 시행할 수 있습니다. 이로써 정확하고 시기적절한 보호가 가능합니다.

관리 중앙 집중식 서비스를 사용하는 디바이스 및 시스템의 관리는 일관된 정책 구축, 워크플로우 변경 관리, 시스템 패치 적용을 유지할 수 있는 기능에 매우 중요합니다. 관리 영역에서는 정책, 개체, 알림을 조정합니다.

Branch

Campus

Data C

enter

Edge

Cloud

WAN

Next-G

eneratio

n Firew

all

Wireles

s Cont

roller

Switch

Next-G

eneratio

n Firew

all/Rout

er

Wireles

s Cont

roller

Switch

Next-G

eneratio

n Firew

all

Router

Router

Next-G

eneratio

n Firew

all

Virtuali

zed Ca

pabilitie

sDat

abaseZon

e

PCI

Complia

nceZon

e

App Se

rverZon

e

Shared

Service

sZon

e

Centrali

zed Ma

nagem

ent

Public

Servers

Zone

Next-G

eneratio

n Firew

all

Cloud

Web S

ecurity

Shared

Service

sZon

e

Cloud-

based

CRM Se

rvice

Interne

t Search

Engine

Service

SAFE 보안 간소화 | 모범 사례 보안 기능 플로우 개요 4

모범 사례 보안 기능 플로우 개요

5 | 지사 보안

6 | 본사 보안

7 | 데이터 센터 보안

8 | 에지 보안

9 | 클라우드 보안

10 | 외부 영역

Cisco Advanced Malware Protection for Networks

Wireless Controller/Catalyst Switch, Centralized Identity Services Engine Cisco FirePOWER Services on Adaptive Security Appliance, UCS-E, 또는 FirePOWER ApplianceAdaptive Security Appliance, Integrated Services Router, Meraki MX

Cloud Web Security, Meraki MX,FirePOWER URL

Adaptive Security Appliance, Integrated Services Router, Meraki MXCisco Collective Security Intelligence, Cisco Talos Security Intelligence

Integrated Services Router, Adaptive Security Appliance, Wireless LAN Controller, Catalyst Switch

AnyConnect Agent, Centralized Identity Services Engine

Cisco Advanced Malware Protection for Endpoint, AnyConnect, Anti-Virus(파트너) Cisco FirePOWER Services on Adaptive Security Appliance, UCS-E, 또는 FirePOWER ApplianceFirePOWER Services Module 또는 Appliance, Meraki MX

SAFE 보안 간소화 | 지사 보안 5

제품 정보를 조사 중인 관리자

호스트 기반 보안

호스트 기반 보안

신용카드 거래를 처리 중인 직원

무선

상태 평가

무선 컨트롤러

상태 평가 액세스 컨트롤 + TrustSec

플로우 분석

L2/L3 네트워크

개요로 돌아가기

스위치

플로우 분석

데이터 센터로

L2/L3 네트워크

방화벽 차세대 침입 방지 시스템

WAN

안티맬웨어 플로우 분석

AVC-애플리케이션 가시성 제어

클라우드로

위협 인텔리전스

웹 보안 서비스

VPN

지사 보안주요 보안 과제 일반적으로 지사의 보안은 본사와 데이터 센터보다 취약한 편입니다. 경제적인 여건상, 수백 개의 지사로 확장할 때 대규모 지점에 있는 모든 보안 제어 조치를 복제하는 데 너무 큰 비용이 드는 경우가 많습니다. 이로 인해 지사는 주요 표적이 되고 보안 침해에 더욱 취약해지게 됩니다. 따라서 지사에 핵심적인 보안 기능을 포함하는 동시에 비용 효율적인 설계를 보장하는 것이 중요합니다.

주요 위협 완화 • 엔드포인트 악성코드(예: POS 악성코드) • 무선 인프라 익스플로잇(예: 불법 AP, MitM) • 무단/악성 클라이언트 활동 • 신뢰도 악용

기능 기능 기능

차세대 방화벽/라우터

무선 침입 방지

액세스 컨트롤 + TrustSec

제품 제품 제품

Cisco Advanced Malware Protection for Networks

Wireless Controller/Catalyst Switch, Centralized Identity Services Engine

Cisco FirePOWER Services on Adaptive Security Appliance, UCS-E, 또는 FirePOWER ApplianceAdaptive Security Appliance, Integrated Services Router, Meraki MX

AnyConnect Agent, Centralized Identity Services Engine

Cisco Advanced Malware Protection for Endpoint, AnyConnect, Anti-Virus(파트너) Mobility Services Engine, Wireless LAN Controller

Identity Services Engine, Meraki Mobile Device Management

Cloud Web Security, Centralized Web Security ApplianceAdaptive Security Appliance, Integrated Services Router, Meraki MX

Cisco Collective Security Intelligence, Cisco Talos Security Intelligence

Integrated Services Router, Wireless LAN Controller, Catalyst Switch

SAFE 보안 간소화 | 본사 보안 6

주주들에게 이메일을 보내는 중인 CEO

호스트 기반 보안

호스트 기반 보안

무선 무선 침입 방지

고객 데이터베이스에 액세스 중인 영업부 직원

ID

무선 컨트롤러

액세스 컨트롤 + TrustSec

액세스 컨트롤 + TrustSec

플로우 분석

L2/L3 네트워크

개요로 돌아가기

스위치 차세대 방화벽 라우터

데이터 센터로

플로우 분석

L2/L3 네트워크

방화벽 차세대 침입 방지 시스템

WAN

안티맬웨어 액세스 컨트롤 + TrustSec

위협 인텔리전스

액세스 컨트롤 + TrustSec

플로우 분석

VPN

본사 보안주요 보안 과제 본사에는 다양한 유형의 디바이스를 보유한 대규모 사용자가 있으며, 대개 내부 보안 제어가 거의 이루어지지 않습니다. 서브넷 및 VLAN 같은 보안 영역의 수가 매우 많아 보안 세그멘테이션이 어렵습니다. 본사에는 보안 제어, 가시성, 게스트/파트너 액세스가 결여되어 있다 보니 공격의 주요 표적이 되곤 합니다.

주요 위협 완화 • 피싱 • 무단 네트워크 액세스 • BYOD - 더 큰 공격 범위/데이터 유출 위험 증가• 웹 기반 익스플로잇 • 악성코드 전파 • 봇넷 침입

기능 기능 기능

모바일 디바이스 관리

ID 상태 평가

상태 평가

제품 제품 제품

Adaptive Security Appliance, Virtual Security Gateway, Firepower 9300 Appliance

FirePOWER Services Module, Appliance, Virtual, Firepower 9300 Appliance

Cisco Collective Security Intelligence, Cisco Talos Security Intelligence

Netflow Generation Appliance, Lancope FlowSensor, Adaptive Security Appliance

Adaptive Security Appliance, Aggregation Services Router

Adaptive Security Appliance, Aggregation Services Router, Firepower Appliance

Cisco Advanced Malware Protection for Networks

Nexus/Catalyst Switch

Web Application Firewall Technology Partner

Load Balancer Technology Partner

Cisco Advanced Malware Protection for Endpoint, AnyConnect, Anti-Virus(파트너)

SAFE 보안 간소화 | 데이터 센터 보안 7

개요로 돌아가기

데이터베이스 영역

PCI 규정 준수 영역

앱 서버 영역

공유 서비스 영역

호스트 기반 보안

에지로

웹 애플리케이션 방화벽

차세대 침입 방지 시스템 방화벽

로드 밸런서

가상화된 기능

플로우 분석

위협 인텔리전스

액세스 컨트롤 + TrustSec 안티맬웨어

차세대 침입 방지 시스템 방화벽

차세대 방화벽L2/L3 네트워크

플로우 분석

L2/L3 네트워크

액세스 컨트롤 + TrustSec VPN

라우터

중앙 집중식 관리

정책/컨피그레이션

기록/보고

가시성/상황 정보

위협 인텔리전스

분석/상관관계

취약점 관리

분석

모니터링

본사로

WAN

데이터 센터 보안 주요 보안 과제

데이터 센터에는 다수의 정보 자산 및 지적 재산이 있습니다. 데이터 센터는 모든 표적 공격의 주요 목표인 만큼, 최고 수준의 보안이 필요합니다. 데이터 센터에는 애플리케이션 유형, 데이터 분류 영역, 기타 방법에 따라 세그멘테이션된 수십만 개의 물리적 서버와 가상 서버가 모두 포함되어 있습니다. 따라서 리소스에 대한(north/south) 액세스 및 리소스 간(east/west)의 액세스를 제어하는 적절한 보안 규칙을 만들고 관리하는 일이 매우 어려울 수 있습니다.

주요 위협 완화• 데이터 유출 • 악성코드 전파

• 무단 네트워크 액세스(예: 애플리케이션 보안 침해, 데이터 유출, 권한 에스컬레이션, 정찰)

• 봇넷 침입(예: 스크럼핑)

기능 기능 기능 제품 제품 제품

스위치

Adaptive Security Appliance, Aggregation Services Router

Cisco Collective Security Intelligence, Cisco Talos Security Intelligence

Adaptive Security Appliance, Aggregation Services Router, Catalyst Switch

Adaptive Security Appliance, Firepower 9300 Appliance, Meraki MX

FirePOWER Services Module 또는 Appliance

Cisco Advanced Malware Protection for Networks

Web Security Appliance, Cloud Web Security

Email Security Appliance, Cloud Web Security

Transport Layer Security Offload Technology Partner

Distributed Denial of Service Technology Partner

Web Application Firewall Technology Partner

Cisco Advanced Malware Protection for Endpoint, AnyConnect, Anti-Virus(파트너)

FirePOWER Services Module 또는 Appliance, Meraki MX

SAFE 보안 간소화 | 에지 보안 8

퍼블릭 서버 영역

본사로

호스트 기반 보안

웹 애플리케이션 방화벽

로드 밸런서

에지 보안 주요 보안 과제

TLS(Transport Layer Security) 오프로드

L2/L3 네트워크

이메일 보안

안티맬웨어

클라우드로

차세대 침입 방지 시스템

웹 보안

방화벽 액세스 컨트롤 + TrustSec

차세대 방화벽

AVC - 애플리케이션 가시성 제어

위협 인텔리전스

외부 영역으로

DDoS (Distributed Denial of Service)

VPN Concentrator

L2/L3 네트워크

개요로 돌아가기

인터넷

인터넷 에지는 공용 트래픽의 기본 인그레스(ingress) 지점이자 인터넷의 기본 이그레스(egress) 지점이므로 가장 위험한 PIN입니다. 동시에 현대의 인터넷 기반 경제에서 기업에 꼭 필요한 리소스이기도 합니다.

주요 위협 완화 • 웹서버 취약점 • DDoS • 데이터 유출 • MitM(Man-in-the-Middle)

기능 기능 기능 제품 제품 제품

Adaptive Security Appliance, Integrated Services Router, AnyConnect, Meraki MX

Adaptive Security Appliance, Integrated Services Router, Meraki MX

Cisco FirePOWER Services on ASA 및 UCS-E

Advanced Malware Protection

Cloud Web Security, Web Security Appliance, Meraki MX, Partner OpenDNS

Cisco Advanced Malware Protection for Endpoint, Anti-Virus(파트너), AnyConnect

SAFE 보안 간소화 | 클라우드 보안 9

지사로

인터넷

인터넷 검색 엔진 서비스

공유 서비스 영역

에지로

위협 인텔리전스

호스트 기반 보안

이상 징후 탐지

AVC-애플리케이션 가시성 제어

웹 평판/필터링

안티맬웨어 인터넷

개요로 돌아가기

클라우드 보안주요 보안 과제클라우드 보안 위험의 대다수는 제어력 손실, 신뢰도 결여, 공유 액세스, 섀도우 IT에 기인합니다. SLA(Service Level Agreement)는 기업이 클라우드 제공 서비스에서 선택한 보안 기능의 제어를 결정하는 기본 툴입니다. 독립적인 인증 및 위험 평가 감사는 신뢰도를 개선하는 데 사용되어야 합니다.

주요 위협 완화 • 웹서버 취약점 • 액세스 중단 • 바이러스 및 악성코드 • MitM(Man-in-the-Middle)

기능 기능 기능

클라우드 기반 CRM 서비스

Cloud Web Security

제품 제품 제품

Adaptive Security Appliance, Integrated Services Router, AnyConnect, Meraki MX

Adaptive Security Appliance, Integrated Services Router, Meraki MX

Cisco FirePOWER Services on ASA 및 UCS-E

Advanced Malware Protection

Cloud Web Security, Web Security Appliance, Meraki MX, Partner OpenDNS

Cisco Advanced Malware Protection for Endpoint, Anti-Virus(파트너), AnyConnect

SAFE 보안 간소화 | 외부 영역 10

외부 영역

에지로

호스트 기반 보안

호스트 기반 보안

ID

방화벽

호스트 기반 보안

상태 평가 VPN

차세대 방화벽

차세대 침입 방지 시스템

웹 평판/필터링

안티맬웨어 VPN

개요로 돌아가기

인터넷

고객 주요 보안 과제 회사 외부에 있는 고객과의 통신을 설정할 경우 서비스 제공에 대한 연결을 안전하게 보호하는 것이 기본 목표입니다. 데이터 침해나 유출이 발생할 경우 즉시 신뢰도 부족으로 이어지고 이 점이 부각되어 거래 기회를 잃게 됩니다.

원격 작업자 주요 보안 과제 직원들이 신뢰할 수 없는 장소(예: 커피숍 및 호텔)에서 원격 액세스를 통해 회사에 연결할 때 이를 안전하게 보호하는 것은 데이터 보안을 유지하는 데 매우 중요합니다. 신원 인식 액세스 제어, 상태 평가, 암호화는 액세스를 허용하기 전에 일관된 정책 집합을 시행합니다.

서드파티 벤더 및 파트너 주요 보안 과제 파트너 및 벤더가 안전하지 않은 방식으로 액세스할 경우 비즈니스 운영에 급격한 차질을 빚을 수 있습니다. 세밀한 액세스 제어, 이상 징후 탐지, SLA를 구현하면 무단 액세스 및 신뢰도 악용을 차단할 수 있습니다.

외부 영역위험에 직면한 기업 최근의 보안 침해 사례는 파트너, 고객, 벤더, 직원을 모두 포함한 종합적인 에코시스템을 고려해야 할 필요성을 분명히 보여줍니다. 기존의 경계 방어는 최신 공격 벡터를 차단하기에 충분하지 않습니다. 신원 인식, 정책 시행, 위협 이상 징후 차단 기능은 신뢰할 수 있는 관계를 수반해야 합니다.

주요 위협 완화 • 엔드포인트 악성코드 • 무단/악성 클라이언트 활동

작업 주문을 제출 중인 현장

엔지니어

원격으로 로그를 확인 중인 기술자

프로파일을 업데이트 중인 고객

기능 기능 기능

• 신뢰도 악용 • MitM(Man-in-the-Middle)

제품 제품 제품

书签 1