개인정보처리자 PC를 일반망 / 망분리 로 사용 중에 있는데 2PC인 물리적 망분리로 쓰고 있습니다.
추가 인원 생길 때마다 1PC + 컨버터를 추가로 구매해야하고, 수납공간도 확 차지하기에 이참에 가상화를 사용한 망분리로 하려고 합니다
회사에 예산이 없으므로(= 투자를 안함) 망연계 솔루션이나 가상화 솔루션 이런건 도입도 못합니다 ;;
1인당 OS를 추가 구매 + Hyper-V 로 하는 방향 밖에는 없습니다
(업무 특성상 윈도우 OS가 필요해서 OS비용+램값은 지원 해준다네요)
여기서 궁금한 것은,
물리적 분리일 경우 방화벽에서부터 나오는 회선을 따로 쓰니 게이트웨이가 달라서 (업무망 : 192.168.0.0/24, 망분리 : 192.168.10.0/24) 완전한 분리가 가능한데
Hyper-V를 쓰면 서로 다른 IP를 쓰지만 회선을 같이 쓰니 게이트웨이는 동일하므로, 적법한 망분리로 통과를 해주느냐 입니다.
왜냐하면 저희 회사는 ISMS 의무대상이라서.. 만약 심사하는데 여기서 말이 나오면 구축한 것이 말짱 도루묵이 되기 때문입니다.
이 방법이 먹힐지 질문 남깁니다.
7개의 답변이 있습니다.
덕분에 잘 배우고 갑니다.
이제까지 물리적인 망분리만 생각 했었는대.
망분리기준이 논리적으로 가게 되면. 애매한 부분들이 있어서요.
유사사례로. 금융권 클라우드도 기준에 대한 해석에 따라 가능여부가 달라진다고 합니다.
ISMS 인증기관에 자문을 구하시고 그기준에 맞게 대응하시는게 정석으로 보여집니다.
말씀하신것처럼 추후 망분리 기준에 대한 해석문제로 곤란한 경우가 발생할 수도 있을것 같습니다.
같은 회선에서 IP만 다르게 타고 오기 때문에 물론 필터링을 통한 임의 IP변경이나 변경한다고 열리지 않도록 다 작업을 해두시긴 할거라고 봅니다. 그러면 뭐 일단 어느정도까지는 볼 수 있을거고
A는 무조건 A IP외에는 미작동, 서브OS인 B에서는 B IP외에는 미작동 한다면야 망분리적 통제범위로 볼 수 있을듯 합니다.
근데 메인OS에서 서브OS(외부망)으로 데이터의 입/출력을 통제할만한 근거나 기능이 있는가가 필요하실겁니다.
당장 Hyper-V에서 서브OS와의 데이터 통신 (파일의 입출력 등)을 통제할 수 있느냐에 대해서 확실하게 정책적 차단이 가능하냐를 봐야 하니까 그 부분이 꽤 문제가 되실 수 있을거라고 봅니다.
메인OS가 내부망이고, 서브OS가 외부망이면 높은 확률로 파일 넘기기가 가능하고 그말은 유출가능성이 생긴다는 거니까, 그 두개의 PC간 확실하게 분리가 될 수 있도록 (클립보드부터 기타 등등 완전 개별화)의 가능성을 보셔야 할 것 같습니다.
Windows 10 Pro에 서브로 Hyper-V돌리는데 기본적으로 클립보드 정도는 넘기기가 무난하게 가능한 상황이라서요, 저야 오히려 편하고 좋은데 보안상으로 가버리게 되면 위험한 문제죠.
ISMS는 아니지만 비슷한 맥락의 변형된 ISMS를 다룬 적이 있는데
FA와 OA망 분리 또는 물리적/논리적 망분리 항목에서 점수를 매길 때
O5점
△3점
X 0점
이런식으로 평가했었고.. 저희도 D-station 방식 사용 중인데 별도의 서브넷 게이트를 달리 주어
논리적 망분리로서 사용하고 있습니다.
FA망 OA망 역시 물리적은 현실적으로 비용이 많이들고 어려워 논리적으로 구분하고 있습니다.
망분리에는 물리적 망분리와 논리적 망분리가 있습니다.
초기에는 물리적 망분리가 망분리였지만 비용의 문제로 인해 논리적 망분리가 대세죠..
논리적 망분리도 크게 SBC(서버기반가상화)와 CBC(클라이언트기반가상화) 두가지가 있습니다.
지금 하시려는 방향은 CBC 방식입니다.
각 PC에 가상머신을 하나이상 설치하여 가상머신을 통해서 외부만 접속이 가능하게 하든지.. 아니면 내부망만 접속이 가능하게 하던지..
논리적 망분리이므로 어차피 같은 망이고, 맘먹고 하면 다 가능한것 아니냐? 이런 의문도 들지만..
그건 극소수의 사람들이고 일반 유저들은 해준대로 사용합니다.
그리고 조직에서 마련해준 환경을 조작하여 다른 용도로 사용하는 것은 개인의 문제이고 개인의 책임이죠.
CBC 방식은 관리가 어렵고, SBC 방식은 어떨까요?
o/s 라이센스 살 돈에 조금만 보태서 성능좋은 PC 또는 서버와 윈도우즈 서버를 구매하여 각 사용자별 계정을 발급해주고, 이 서버를 통해서만 인터넷만(또는 업무용만) 사용하게하면 그래도 조금 중앙 관리가 가능하고 사용자가 추가되어도 서버 계정만 새로 발급하면 되니 조금 더 편할 듯 합니다.
아니면 서버에 각 사용자별 가상머신을 설치해줘도 됩니다.
미생 | 2년 이하 전
저도 가능하다면 이쪽이 낫다고 보고, 계속해서 사용만 안한다면 큰 문제가 없다고 봅니다.
Azure나, Amazone의 Windows VDI 서비스를 지원하는 형태로 이용하시는 방법도 있긴 할거라고 보는데 사용량에 따라 다르지만 잠깐잠깐 수준으로 쓴다면 초기 구축에 좀 애를 먹어도 이쪽도 꽤 괜찮으실거라고 생각됩니다.
Hyper-v 서버 네트워크 연결을
물리적으로 다른 대역회선으로 연결하든지 아니면 VLAN 구분하든지 다른 대역으로
연결해야 원하는 망분리 구성이 됩니다.
물리적인 망은 동일하게 사용하는데, IP 주소를 달리해서 망 분리를 하고 싶다는 내용인데요.
이런게 논리적인 망분리에 해당되는 겁니다.
VDI를 사용하여 동일한 물리 네트워크를 사용하지만 물리적인 컴퓨터와 VDI를 연결해서 사용하는 서버의 IP 주소 대역을 달리해서 논리적인 망분리를 사용할 수도 있겠고요.
ISMS 심사에서 논리적 망분리를 허용해 주냐, 허용해 주지 않느냐가 1차적인 고려 사항일것 같네요.
예전에는 물리적인 망분리로 업무망용 컴퓨터와 네트워크를 따로 사용하고, 인터넷 망 컴퓨터와 네트워크 따로 사용해서 두개 망을 완전히 분리시킨 망분리를 많이 사용했지만,
업무망과 인터넷 망을 물리적으로 동일한 컴퓨터와 네트워크를 사용하지만 논리적으로 서로 분리해서 서로 통신이 불가하게 구성한 논리적인 망분리를 많이 사용하고 있는 추세이겠고요.