[개념]망분리 환경이란? 내부망, 외부망, DMZ란?

1. 망분리 환경의 필요성

기업이 성장함에 따라 개인정보보호법에 따라 개인정보의 기술적, 관리적 보호 조치를 위해 망분리를 적용한다. 또한 기업은 ISMS인증을 받기 위해 망분리 환경을 구축해 놓아야 한다.

 

망분리 진행 솔루션 

ex) VMware, Citrix en, Microsoft Hyper-V, AWS Workspace  

ex) 화해 보안팀의 망분리 환경 구축시 목표 설정.

https://blog.hwahae.co.kr/all/tech/9687 → 자세한 방법

 

ex) 이노티움의 망분리 환경 구축 사례

https://www.innotium.com/business/build_view07.php 

 

 

2. 각각의 망에 대한 설명 (내부망, DMZ, 외부망) 

 

개인정보 보호법에서 이 망들은 자주 언급된다. 

• 내부망
  • 일정 조직 내에서 인터넷이 아닌 내부 네트워크를 통해 PC끼리 자원을 공유하게 하거나 그룹웨어 등을 사용할 수 있게 하는 근거리 통신망(LAN)을 말함. 
  • 물리적 망분리, 접근 통제 시스템에 의해 인터넷 구간에서 직접적인 접근이 통제 또는 차단됨. 

• 외부망 (인터넷 구간)
  • = 인트라넷
  • 일정 조직을 넘은 범위에서 정보를 교환할 수 있는 통신망. 
  • 인터넷을 통한 네트워크

• DMZ망
  • 외부에 서비스 제공 시, 내부 자원을 보호하기 위해 내부망과 외부망 사이에 접근 제한을 수행하는 영역. 
  • 인터넷과 내부망과 인터넷 구간 사이에 위치한 중간지점으로 침입차단시스템 등으로 접근제한 등을 수행하지만 외부망에서 직접 접근이 가능한 영역

 

내부, 외부, DMZ 구조도 

 

 

3. 망분리 환경의 종류

• 물리적 망분리
  • pc 2대 사용
  • 외부망-pc1 / 내부망 - pc2 와 같이 각각에 망에 연결된 PC 사용. 
  • 보안성이 높다는 장점이 있지만, 비용이 부담된다. 
• 논리적 망분리
  • pc 1대 사용
  • 가상화 기술을 통해 내부망과 외부망의 네트워크를 분리
  • 네트워크 인프라는 공유하지만 각각의 논리적 망은 서로 독립적으로 동작
  • 비용이 합리적이지만, 네트워크가 완전히 분리된 것이 아니라 보안 취약점이 존재한다. 
  • 재택 근무시 유용하다. 
  • CBC방식과 SBC 방식이 존재 

 

 

CBC: Client Based Computing    / SBC : Service Based Computing

	CBC	SBC = VDI
정의	클라이언트 사용자 PC에 가상화 기술 적용. 로컬 영역 내 가상머신을 생성하여 OS 분리 VM영역에서는 외부망/ 기존 로컬 영역을 통해서는 내부망 사용	물리 서버에 VM생성 해당 VM을 통해 외부망/내부망 접근이 가능하도록 환경 구축함.  사용자에게는 해당 가상화 서버에 대한 접속 계정만 할당
장단점	구축 비용은 낮지만, VM의 사양이 사용자 PC성능에 큰 의존성을 가짐	사용자 PC가 아닌 외부 물리자원을 통해 가상화를 하기 때문에, 사용자 PC 사양에 상관없이 사용자 요구 사항에 따라 다양한 사양의 OS 환경 구축이 가능함.

https://blog.naver.com/love_tolty/221960976734

 

 

 

 

 

해소되었던 궁금증과 잘못된 생각

1. ESM/SIEM을 방화벽, IDS와 같이 어딘가에 위치시켜야하는 줄 알았다. 하지만 ESM/SIEM은 통합 보안 관제 시스템이므로, 어딘가에 위치시키는 것이 아니었다. 정확히는 다른 보안 장비들로부터 오는 보고를 받아서 종합하는 느낌이었다.