국내 데이터 유출 방지 제품 선택 가이드 현재 중국에서 영향력 있는 여러 데이터 유출 방지 제품은 주로 보안 컨테이너(SDC 샌드박스), DLP, 문서 암호화, 클라우드 데스크톱 등입니다. 각각의 장단점을 객관적으로 비교하면 다음과 같습니다.
| 내용 비교 |
보안 컨테이너(SDC 샌드박스) |
DLP |
문서 암호화 |
클라우드 데스크탑 |
| 대표 제조사 |
*신다 |
커피를 팔다, 시만텍 |
Yi*tong, IP Gad, *Dun, *Tu |
네 가지 뛰어난 깊은 * 옷 |
| 디자인 컨셉 |
격리 컨테이너 및 접근 기술을 기반으로 입출입만 가능하고 퇴장 승인이 필요한 데이터 보안 환경이 구축되어 있으며, 환경 내 데이터는 파일 형식에 관계없이 동일하게 취급되어 모두 보호됩니다. |
콘텐츠 식별 및 분석을 기반으로 이메일, U 디스크 사본 등의 형태로 전송되는 파일에 대해 콘텐츠 식별을 수행하며, 일반적으로 보안 정책 결정을 위한 민감한 키워드를 찾아 녹화하거나 차단합니다. |
파일 투명 암호화 및 복호화 기술을 기반으로 환경 내에서 지정된 형식의 파일에 대해 투명한 암호화 및 복호화를 수행합니다. |
데이터가 로컬에 보관되지 않고 모든 작업 데이터가 서버에 있음 |
| 실현 방법 |
디스크 필터 드라이버, 볼륨 필터 드라이버, 파일 필터 드라이버, 장치 필터 드라이버, 네트워크 필터 드라이버를 통해 커널 수준의 심층 방어 컨테이너 보안 환경을 구축하고 환경에서 데이터를 투명하게 암호화 및 복호화합니다. 환경 외부의 데이터는 들어오고 나갈 수만 있습니다. |
클라이언트 엔진을 중심으로 내부 문서를 먼저 스캔, 식별 및 등급화한 다음 이메일 및 U 디스크와 같은 공통 프로토콜로 분석하여 민감한 콘텐츠가 전송된 것으로 확인되면 차단하거나 경보를 발령합니다. |
파일 필터 드라이버를 통해 지정된 프로세스 및 지정된 형식의 파일 읽기 및 쓰기에 대해 투명한 암호화 및 암호 해독이 수행됩니다. |
서버 측에서 여러 작업 환경을 가상화하여 사용자가 원격으로 로그인할 수 있습니다. |
| 기본 보호(이메일, U 디스크, 네트워크 디스크, 네트워크) |
안전한 작업 환경에 포함된 모든 데이터는 공개할 수 없으며 공개하려면 승인 및 분류 해제가 필요합니다. 외부 데이터가 자유롭게 들어올 수 있습니다. |
수신 및 발신 파일의 내용을 식별하고 발견된 민감한 내용 및 파일을 가로채거나 경고합니다. |
파일은 제한 없이 자유롭게 보낼 수 있지만 지정된 형식의 암호화된 파일은 외부로 보낼 때 왜곡됩니다. |
물리적 단절 및 격리를 통해 보안을 위한 로컬 파일이 없습니다. 이메일, U 디스크 및 네트워크가 열리면 제어할 수 없습니다. |
| 가상 머신 보호 |
VMWare 가상 머신은 컨테이너에서 사용할 수 있으며 가상 머신은 컨테이너의 보안 규칙을 따릅니다. |
가상 머신은 클라이언트 엔진을 우회할 수 있으며 데이터 파일은 가상 머신을 통해 전달될 수 있습니다. |
가상 머신의 작업은 제어할 수 없지만 암호화된 파일은 암호문으로 가상 머신 밖으로 전송됩니다. |
그 자체가 가상 머신 |
| WinPE 부팅 디스크 |
WinPE 부팅 디스크에서 시작하여 컨테이너의 데이터가 암호화되었는지 확인합니다. |
WinPE 부팅 디스크에서 시작하여 데이터를 임의로 복사하여 DLP 엔진을 우회할 수 있습니다. |
WinPE 부팅 디스크에서 시작하여 지정된 형식의 암호화된 파일이 여전히 암호화된 파일인지 확인합니다. |
Win PE 디스크 부팅을 지원하지 않습니다. |
| 도구 죽이기 프로세스 |
도구를 통해 샌드박스 프로세스를 종료하고 모든 드라이버는 여전히 작동하며 컨테이너 축소 방어 및 효과적인 제어 |
DLP 엔진을 죽이면 컨트롤이 유효하지 않으며 모든 데이터가 자유롭게 들어오고 나갈 수 있습니다. |
프로세스를 종료하고 파일 필터 드라이버는 여전히 존재하며 암호화는 여전히 유효합니다. |
죽일 프로세스 없음 |
| 내용 비교 |
보안 컨테이너(SDC 샌드박스) |
DLP |
문서 암호화 |
클라우드 데스크탑 |
| 데이터 워핑(기본) |
변환된 형식은 저장, 압축 및 이름 변경되며 모두 컨테이너로 전송되며 여전히 효과적으로 제어됩니다. |
변환된 형식을 저장하고 압축 및 이름 바꾸기, 특히 엔진 검사를 우회할 수 있는 암호화 및 압축. |
변환 형식을 무시하고 저장하고 압축하고 이름을 바꿀 수 있습니다. |
데이터는 서버에 있지만 네트워크 및 주변 장치를 사용할 수 없습니다. |
| 데이터 워핑(고급) |
출력, 로그, 소켓 통신, 파이프라인, 공유 메모리 등을 저장하는 프로그래밍을 통해 새로운 프로세스를 생성하면 비밀이 유출될 수 없습니다. 코드를 웹 페이지로 변환하고 IIS 또는 tomcat을 통해 게시하는 것은 컨테이너에서 분리될 수 없습니다. 즉, 유출될 수 없습니다. |
암호화된 출력, 로그, 소켓 통신, 파이프라인, 공유 메모리, 웹 페이지 등을 저장하는 프로그래밍을 통해 새로운 프로세스를 만들어 DLP 엔진을 쉽게 우회할 수 있습니다. |
출력물, 로그, 소켓 통신, 파이프라인, 공유 메모리 등을 저장하는 프로그래밍을 통해 새로운 프로세스를 생성하면 비밀이 유출될 수 있습니다. 코드를 웹 페이지로 변환하고 IIS 또는 Tomcat을 통해 게시하면 비밀이 유출될 수 있습니다. |
데이터는 모두 서버에 있지만 네트워크 및 주변 장치는 허용할 수 없습니다. 네트워크와 주변 장치를 별도로 관리해야 함 |
| 비파일 데이터 |
환경에서 CRM 및 ERP 시스템의 비파일 데이터 및 양식 보고서를 제어할 수 있습니다. |
CRM 및 ERP 시스템의 비파일 데이터 및 양식 보고서를 제어할 수 있습니다. |
CRM 및 ERP 시스템의 비파일 데이터 및 양식 보고서는 제어할 수 없지만 첨부 파일은 암호화할 수 있습니다. |
데이터는 서버에 있지만 네트워크 및 주변 장치를 사용할 수 없습니다. |
| 대용량 파일/무거운 소프트웨어 |
효과 없음 |
분석하기 어렵다 |
대용량 파일의 경우 손상 가능성이 있으며 컴파일 소프트웨어는 오류가 발생하기 쉽습니다. |
느린 성능, UG 등 고민할 필요 없음, 3D 아날로그 입력 |
| 스마트 포트(U/네트워크/직렬/병렬 포트) |
스마트 포트의 프로토콜 분석을 통해 장치에 대한 액세스가 수행되고 다운로드 및 구운 데이터의 콘텐츠 감사가 수행됩니다. |
비활성화만 가능, 허용된 경우 제어 불가 |
제어할 수 없으며 지원되는 암호화 형식 파일만 복호화 없이 다운로드됩니다. |
비활성화만 가능하고 일단 활성화되면 제어할 수 없습니다. |
| 지원 OS |
윈도우/리눅스/성공한 기린 |
Windows (linux 알 수 없음) |
Windows, 일부 제조업체는 Linux를 지원합니다. |
윈도우/리눅스/성공한 기린 |
| 이점 |
형식 및 파일 크기에 관계없이 모든 데이터에 대해 코드 개발자를 대상으로 할 수 있습니다. |
외국 습관에 맞춰 배치하기 쉬움 |
간단명료하고 고객이 이해하기 쉽게 |
작동 및 유지 보수가 쉽고 매우 안전하고 키가 커 보입니다. |
| 결점 |
유연성이 부족하고 배포가 어렵습니다. |
느린 성능, 클라이언트 엔진에 너무 의존적, 우회하기 쉬움 |
단일 기술, 어려운 작동 및 유지 보수, 소프트웨어 업그레이드는 악몽 |
높은 비용, 열악한 효과, 낮은 성능 |
| 해당 고객 |
R&D 기업 코딩 및 R&D 출력 제품 강화 암호화 제공 |
외자기업, 대기업 |
오피스 오피스 기업(문서, 도면) |
대기업, 부유한 고객, 폐쇄된 환경 |
| 제안 |
연구개발 기업만 한다 |
보안 요구 사항이 낮은 대기업 |
중소 규모의 사무용 디자인 업체로 추천합니다. |
SDC 샌드박스의 스마트 포트를 내장하는 것이 좋습니다. 완벽할 것입니다. |