SDP (Software Defined Perimeter, 소프트웨어 정의 경계)

1. SDP (Software Defined Perimeter)의 개요

부각 배경디지털 전환의 가속화와 보안 경계의 모호화로 인해 보안 솔루션은 고도의 확장성과 보안성이 요구되며, SDP와 같이 경량 암호 인증에 의한 화이트리스트 기반의 제로트러스트를 구현하는 기술이 주류를 형성할 것으로 전망
개념정보 보호 대상을 외부에 공개하지 않고 접근 전 인증과 암호화를 통해 접근 제어와 데이터 통신을 분리하여 잠재적인 공격을 차단하는 정보 보호 기술
특징– 접근 제어와 데이터를 분리하여 중요 자산 및 인프라 보호
– 인증 후 연결을 통해 외부로부터 내부 정보를 은폐하여 공격 대상 최소화
– IP 대신 ID 기반의 보안 아키텍처를 통해 보안 강화
  • VPN 등 기존 보안 기술은 연결 후 인증을 수행하지만, SDP는 연결 전 인증을 통해 접근 권한 부여, 양방향 암호화를 통해 내부 정보 은폐 및 통신 구간 보호

 

2. SDP 동작 메커니즘 및 구성 요소

(1) SDP 동작 메커니즘

1) SDP 동작 절차도

2) SDP 주요 동작 절차

동작 구분주요 동작 절차세부 동작
인증 절차① 접속 요청OAuth 등 인증기술 활용하여 접속
② 정보 전달SPA(Single Packet Authorization) 기반 사용자 인증
③ 접속 허가제로 트러스트 기반 보안 접근 정책 및 통제
보안 접속④ 보안 접속IPSec 기반 전송모드, 터널모드 방식의 보안접속
⑤ 허용 서비스 접속인증된 사용자에 보호된 자원 접속, 서비스 제공

(2) SDP의 구성 요소

구성 요소기술 요소역할
SDP Controller제로트러스트, RBACSDP Client와 Gateway 통신 정책에 따른 구성 요소 간 연결 가능 여부 결정
SDP GatewayIPSec, SPASDP Controller에 의해 신원이 확인된 사용자 및 APP에 연결 기능 제공
SDP ClientPKI, SAML, OAuthSDP Controller와 통신 후 접속 허가와 SDP Gateway로 보안 접속
  • SDP 기술을 통해 인증되지 않은 외부로부터 내부 정보를 노출 시키지 않고 VPN 등 안전한 통신 가능

 

3. SDP 기반 VPN 연결 과정

– SDP Controller: AH, IH 간 연결 제어(VPN 접속 관리, SDP Controller)
– AH(Accepting Host): 서비스 접속을 받는 호스트(VPN 접속 대상, SDP Gateway)
– IH(Initiating Host): 접속을 시작하는 호스트(VPN 클라이언트, SDP Client)
① SDP Controller가 온라인 상태로 선택적 인증 및 권한 부여(PKI, 지문, SAML, OAuth, Kerberos 등)
② AH(Accepting Host)는 SDP Controller에 연결 및 인증 수행, 미확인 요청은 무시
③ IH(Initiating Host)는 SDP Controller에 연결 및 인증 수행
④ SDP Controller는 IH가 통신 할 수 있는 AH 목록 지정
⑤ SDP Controller는 AH에 IH의 통신을 수락하도록 지시, 암호화 정책 제공
⑥ SDP Controller는 IH에 AH 목록과 암호화 통신에 필요한 정책 제공
⑦ IH는 모든 승인된 AH에 대해 VPN 연결 시작

 

4. SDP 활용 시나리오

구분활용 시나리오시나리오 세부 내용
네트워크
접근 제어 측면
네트워크 세분화– 네트워크 접근 세분화 관리
– 네트워크 제어 자동화
VPN 대체 원격 접근– 내부 및 원격 사용자 접근 제어
– 최소 권한 원칙 준수
사용자 인증 및
권한 기반 보호 측면
권한 기반 사용자
접근 보호
– 제3자 접근 제어 및 보호
– 권한에 따른 서비스 노출 및 접근 허용
인증 체계 강화– MFA(Multi Factor Authentication)
FIDO 등 사용자 인증 환경 개선
기업 활동
보호 측면
기업 규정 준수 및
보고 간소화
– ID 중심 로깅 및 접근 보고
– 규정 준수 보고 작업 자동화
안전한 클라우드
마이그레이션
– Managed Server 접근 보안 제공
– 다수 기업 접근 정책 일관성 제공
외부 공격
대응 측면
DDoS 방지– 호스트 은폐로 공격 대상 최소화
– 기본 차단 방화벽 및 외부 노출 방지
ID 기반 네트워크 보호– ACL 등 기존 IP 중심 차단 탈피
– ID 기반 조직 별 허용 및 차단 정책
  • SDP는 클라우드, IoT 등 모호해진 보안 경계를 식별하여 SIEM, SOAR, 제로트러스트 등과 함께 피싱, 파밍, DDoS 등의 침해 공격으로부터 효과적으로 대응 가능

 
[참고]

  • CSA(Cloud Security Alliance), “SDP Architecture Guide v2”, 2019. 5
  • 한국융합학회(KCS), “안전한 클라우드 환경을 위한 소프트웨어 정의 경계 기반의 네트워크 보안 솔루션 제안”, 2018.9

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^