가드(정보보안)

이 기사는 주요 출처에 대한 언급에 너무 많이 의존한다. 2차 또는 3차 소스를 추가하여 개선해 주십시오.(2018년 9월) (이 템플릿메시지 삭제 방법 및 삭제 시기 확인)

정보보안에서 가드는 설정된 제약조건에 따라 별도의 네트워크상의 컴퓨터가 통신할 수 있도록 하기 위한 장치 또는 시스템입니다.가드는 많은 점에서 방화벽과 같으며 가드는 게이트웨이와 유사한 기능을 가질 수 있습니다.

방화벽은 트래픽을 특정 서비스로 제한하도록 설계되어 있지만, 가드는 네트워크 통신이 비즈니스 수준에서 지원하는 정보 교환을 제어하는 것을 목표로 합니다.또한 방화벽과 달리 가드는 공격 및 장애 조건에서도 이 제어를 제공하는 데 효과적이라는 것을 보증합니다.

일반적으로 가드는 보호 대상 네트워크와 외부 네트워크 사이에 배치되어 보호 대상 네트워크가 외부 네트워크에 의한 위협 및 외부 네트워크에 대한 기밀 정보의 유출로부터 안전함을 보증합니다.

가드는 보통 듀얼홈이지만 가드는 3개 이상의 네트워크에 접속할 수 있으며 각 인터페이스에서 개별 통신에 관여하는 풀어플리케이션층 프록시로서 기능합니다.보안요원은 프로토콜을 통해 전송되는 비즈니스 정보만 한 네트워크에서 다른 네트워크로 전달하고, 정보가 필수 보호를 제공하는 구성된 검사를 통과한 경우에만 전달합니다.

역사

가드의 개발은 1970년대 후반 "보안 통신 프로세서"와 "가드" 애플리케이션의 개발로 시작되었습니다.안전한 통신 프로세서는 패킷네트워크 암호화 디바이스의 제어된 플레인 텍스트 바이패스를 지원하기 위해 개발된 고도의 보증 운영체제 및 보안 커널입니다.가드 애플리케이션은 기밀 시스템에서 내보내는 데이터를 삭제하여 기밀 정보를 삭제하도록 설계되었습니다.

Honeywell Secure Communications Processor(SCOMP)^[1]는 초기 가드 플랫폼입니다.이는 DoD Computer Security Center Orange Book 평가기준 A1에 따라 평가되었습니다.

RSRE Secure User Environment(SUE; 시큐어 사용자 환경)는 PDP-11/34 상에서 동작했습니다.이것은 영국 ^[2][3]Malvern에 있는 Royal Signals and Radar Establishment(RSRE)의 T4 Division에 의해 설계되고 구축된 매우 단순한 분리 커널이었다.

ACCAT(Advanced Command and Control Architecture Testbed) 가드는 기밀 시스템에서 인간 리뷰 ^[4]단계를 통해 이메일을 내보내도록 개발되었습니다.

나중에 개발된 경비원들은 기밀 시스템에서 내보낸 정보의 자동 "다운그레이드" 문제를 해결했다.Secure Network Server(SNS; 보안 네트워크 서버) 메일 가드(SMG)는 중요한 정보가 공개되지 않도록^[5] 소스/수신처 주소 화이트리스트, 보안 라벨 체크, 첨부 파일 유형 필터링 및 디지털 서명을 적용했습니다.

방화벽은 1987년 ^[6]경에 도래한 이후 발전된 것입니다.시간이 지남에 따라 방화벽의 기능이 증가하여 가드에게 유사한 기능을 제공하게 되었습니다.나머지 주요 차이점은 가드가 네트워크와 자신을 보호하는 데 효과적이라는 것을 보증하는 방식으로 구축된다는 것입니다.

SWIPSY 방화벽 툴킷은 일반 가드 플랫폼 역할을 하기 위해 국방평가연구국에 의해 개발되었습니다.SWIPSY는 Trusted Solaris 8 위에 계층화되어 있습니다.

기능

가드는 처음에 기밀 시스템으로부터의 정보 공개를 제어하여 보호된 시스템에서 취급하는 기밀 정보의 기밀성을 보호하도록 설계되었다.그 후, 보호 대상 네트워크내의 정보의 정합성과 서비스의 가용성을 보호하기 위해서, 데이터 Import에 관한 통제로 범위가 확대되었습니다.

가드는 일반적으로 다음 기능을 제공합니다.

• 송신원 및 수신처 주소 인증
• 소스 및 대상 주소 화이트리스트
• 소스 및 대상 클리어에 대한 보안 라벨 검사
• 데이터 형식 화이트리스트
• 데이터 형식 일관성 및 유효성 검사
• 알려진 멀웨어에 대한 데이터 검사
• 디지털 서명 검증
• 암호화 콘텐츠 검사
• 구문의 블랙리스트에 대한 텍스트 확인
• 용장 데이터 삭제
• 보안 관련 이벤트를 기록하는 로그 생성
• 자가 테스트 메커니즘

보증

가드는 기능적으로 DMZ 네트워크 내에 배치된 애플리케이션프록시로 동작하는 바스트레이션호스트와 동등합니다.이 경우 프록시는 외부 위협 및 내부 유출로부터 보호하기 위해 교환되는 데이터에 대해 필요한 제어를 실시합니다.하지만 그것들은 구조상으로 구분할 수 있다.DMZ 네트워크는 외부 패킷필터링 방화벽에 의존하여 트래픽을 바스트레이션호스트에 라우팅 합니다.방화벽이 올바르게 기능하지 않으면 트래픽이 바스트레이션호스트를 통과하지 않고 DMZ를 통과할 수 있기 때문에 프록시에 의해 부과되는 체크는 바이패스됩니다.또한 바스트레이션호스트의 네트워킹스택이 올바르게 동작하지 않으면 프록시를 통과하지 않고 DMZ를 통해 트래픽을 라우팅할 수 있습니다.

가드는 올바르게 기능해야 하는 소프트웨어를 최소화하고 이를 제3자에게 시연하기 위해 필요한 작업도 최소화할 수 있도록 구성된다.즉, 가드는 적절한 ^[7]검사를 적용하도록 설계되어 있습니다.

가드는 신뢰할 수 있는 운영 체제를 사용하여 보안 크리티컬 검사 구성 요소와 덜 중요한 프로토콜 처리 구성 요소를 분리할 수 있습니다.이와 같이 프로토콜 처리 구성요소에 장애가 발생하여 데이터가 ^[8]검사기를 바이패스할 수 없습니다.예를 들어 Security-Enhanced Linux는 Nexor^[9] 가드에 의해 사용되며 Trusted Extensions를 가진 Solaris 10은 Radiant Mercury 및 ISSE ^[10]가드에 의해 사용되며 Deep-Secure가 사용됩니다.Sidewinder에서는 LOCK 운영체제용으로^[11] 개발된 유형 적용 제어가 사용되었습니다.^[12]

또한 가드는 물리적으로 별도의 시스템을 사용하여 중요한 구성 요소가 ^[13]바이패스되지 않도록 할 수 있습니다.

상품들

정부 시판 제품:

• 복사 수성^[14]
• ISSE^[15] 가드

시판 제품:

• 록웰 콜린스^[16] 경비대(록웰 콜린스)
• 딥 시큐어 메일^[17] 가드(딥 시큐어)
• Nexor^[18] CDS(Nexor)
• 레이시온 고속 가드^[19](레이시온)
• SDoT 보안^[20] 게이트웨이(Infodas)
• 표준 자동 가드 환경(SAGE)^[21] (BAE 시스템) (Automated Guard Environment)
• SyBard: Sentry^[22] (QinetiQ)

「 」를 참조해 주세요.

• 데이터 다이오드
• 하이 어슈어런스 가드

레퍼런스