CSA Summit Korea PDF 무료 다운로드

CSA Summit Korea 2013 Secure Working on the Cloud Cloud 환경에서의 Application Security & Data Security 펜타시큐리티시스템 김의석이사

목차 Cloud Computing 위협요소 Web Application Security in Cloud Computing Data Security in Cloud Computing

Cloud Computing Security Cloud Security Responsibility Source: Cloud Security Alliance TCI Reference Architecture

Cloud Computing 위협요소 데이터유출 데이터손실 계정탈취와서비스탈취 안전하지않은 API 서비스거부 악의적인내부사용자 클라우드서비스의남용 클라우드서비스의이해부족 공유기술의취약점

Cloud Computing 위협요소 (2) 데이터유출의위협요소 데이터관리자의모호함. VM 관리자의모호함. 복제 / 백업 /snapshot image 들생성 주요데이터의복제본다수생성 물리적인관리의모호함. 계정탈취와서비스탈취 대부분의서비스웹기반으로공개 SQL Injection, XSS 등을이용한공격가능 관리를위해대부분원격접속허용 VM 관리를위한다양한 interface 공개 시스템접근계정및권한의공유

Cloud Computing 보안방안 웹서비스보안강화 웹방화벽도입 보안을고려한웹서비스설계 / 구현 웹서버및관련모듈패치관리 안전한웹서비스설정및관리 Data 암호화 통신구간암호화 저장 Data암호화 암호화키관리 암호화데이터백업 / 복구 인증및권한관리 SSO/IM 솔루션도입 안전한인증체계확인 관리자의지속적인계정관리

기술및시장동향 : 웹방화벽 웹방화벽은성숙기에들어선기술 웹방화벽기술은 2~5년이내필수적인보편화기술이될것 (Gartner) 웹방화벽시장동향 국내시장규모는 12년기준연평균 7.8% 성장 (KISA) 해외웹방화벽시장은 2013년 4억3,760만달러로, 연평균 24.6% 성장예상 Hype Cycle for Application Security (Gartner, 2012)

기술및시장동향 : 키관리및암호화 암호화및키관리 PCI-DSS, ISMS 등의보안성인증을위해암호화및키관리솔루션도입이요구됨 암호화에특화된 SaaS (Encryption-as-a-Service) 도출현하고있음 (Certes Network사 ) Pseudonym 기술및 Tokenization Security-as-a-Service를채용할경우, 27% 의기업이토큰화기술을채용예정 (Gartner, 2013) 차량간통신및 M2M 통신등에서개인정보보호를위해익명화기술이요구됨

펜타시큐리티제품들 DB 암호화 : D Amo MyDiamo 웹방화벽 : WAPPLES V-Series 키관리서버 : SG-KMS V-Series 파일암호화 : VL_DSK SSO/EAM : ISign+

WAPPLES 소개 정확한공격탐지손쉬운관리안정적인제품운영 단순한패턴매칭이아닌공격기법분석을통한정확한웹공격탐지사례 1 : 중국으로부터의다양한 SQL Injection 공격탐지사례 2 : 타사웹방화벽제품과같은네트워크설치시연시보다높은탐지율제공사례 3 : 주민등록번호검증메커니즘을통한정확한개인정보유출방지 공격기법을분석하므로잦은업데이트나관리자의개입없이도공격차단 관리부담경감 설정마법사를통한손쉬운관리 복잡한설정을단순화하여손쉽게관리가능토록제공 정책기반설정을통해 Drag & Drop 만으로정책적용지원 Dashboard 를통한통계정보의시각화 웹방화벽운영과관련된다양한통계를 22 종이상의차트로제공 1,800 여개사이트에서입증된안정성 다양한웹환경을지원 장애발생시에도정상적인웹서비스제공 Watchdog, Bypass 등장애대응기능제공

WAPPLES V-Series WAPPLES V-Series 주요특장점 KT ucloud 및다수의 hosting 업체에서상용서비스제공 Xen, Vmware,KVM,Parallels,Hyper-V 등의다양한 hypervisor 지원 클라우드인프라연동을위한 Web 기반의 API 제공 실시간 VM 생성및구동을위한다양한기능들 다수의 VM을관리할수있는 Management Solution 제공 패턴업데이트등의노력이필요없어관리비절감 Total Cost of Ownership (TCO) 비용이하드웨어장비보다저렴

WAPPLES 구축사례 ucloud

WAPPLES 구축사례 ucloud (2) 웹방화벽신청 웹방화벽생성웹방화벽설정정상접속 Attack 웹서버설정정보정책설정정보설정 웹방화벽생성 API 전송 패스워드설정정보전송 IP, Password 설정정보전송 IP, Password 요청 웹방화벽생성 웹서버

WAPPLES 구성모델 고객별전용웹방화벽 VM 을활용 Cloud 환경에서가장일반적인구성 Reverse Proxy 구성 웹서버 : 웹방화벽 = 1 : N Private Network eth0 Web server #1 VM #1 Traffic Flow eth0 Web server #2 VM #2 Virtual 스위치 Virtual 웹방화벽 Virtual 웹서버

WAPPLES 구성모델 (2) V-Series Farm 을구성하여운영 웹방화벽 VM을별도의 zone 에서구동 Reverse Proxy 기반으로동작함 보호대상도메인별독립성제공 (Multi-tenancy) Zone #2 Traffic Flow Zone #1 eth0 Local node Web server #1 #1 #2 eth0 Web server #2 Remote node #3 #4 Physical 스위치 Virtual 스위치 V-Series Farm Virtual 웹방화벽 Virtual 웹서버

WAPPLES 구성모델 (3) Cloud Web Service 를통한구성 웹방화벽을 SaaS 형태의서비스로제공 Traffic Flow cloud eth0 Local node eth0 Remote node Web server #1 Web server #2 Cloud Web Service Virtual 웹서버 Physical Web Server Virtual 웹방화벽

기타웹방화벽구성모델 (4) 웹서버내 agent 설치형구성모델

D Amo Overview 고객 IT 시스템아키텍처내구성요소 A P P L I C A T I O N S Business Application Business Application Encryption DBMS Application Encryption BA-SAP BA-SCP DA-DB2 DA- TIB DBMS Package Encryption DBMS Engine Encryption Security Gateway DP-ORA DP-MSQ DE-ALT MyDiamo SG-ANA SG-KMS 키관리서버 (SG-KMS) 통합된안전한키관리

Cloud 환경에서 DB 암호화이슈 cost 초기암호화대상선정 Applciation 수정 Query tuning 일반보안제품 DB 암호화 필요할때즉시적용하기어려움!= Cloud Service time

MyDiamo MySQL/MariaDB 전용암호화솔루션 Column based Encryption(O) File Encryption (X) 암호화후성능저하, 리소스사용최소화 Storage Engine Level Encryption Triggers, Views 등을사용하지않음. UDF(User Define Function) 등의사용자정의객체를이용하지않음. Engine Level에서의암호화수행 Application 수정최소화 Encryption with Access Control & Audit 각 DB 계정별암복호화권한관리 암복호화수행시 IP 기반접근제어기능제공 권한변경및암복호화수행시로깅 편리한설치및설정기능제공 간편한설치패키지제공 phpmyadmin 기반의 GUI 제공

MyDiamo 개요 (2) MyDiamo 주요기능 다양한암호화알고리즘제공 AES/ARIA/SEED 128,256, SHA1, SHA256, HASH160 국정원의암호화검증필모듈사용 부분암호화기능및인덱스컬럼에대한암호화기능제공 암호화된컬럼에대한범위검색가능 암호화대상컬럼 varchar/char/numeric type ( int, float, double 등 ) 암호화컬럼에대한 DB 계정 /IP 별접근제어 암호화컬럼에대한감사및접근제어기능지원

MyDiamo 개요 (2) MyDiamo 지원환경 지원 OS Linux : Oracle Linux 4,5 / Redhat Linux 3,4,5 / SuSe Linux 9,10,11 / Debian Linux 4,5,6 and etc (Fedora, opensuse, CentOS, Ubuntu) Windows : XP / Vista / 7 / 2008 server 지원 DB 버전 MySQL 5.1 이상 MariaDB V5.5 이상 지원 Storage Engine MyISAM, InnoDB

MyDiamo GUI phpmyadmin 를이용한 GUI 제공 phpmyadmin 에 phpmydiamo 추가설치 정책설정 / 암복호화 / 권한설정 / 접근제어설정

MyDiamo 암호화전후성능비교 실제 OLTP 서비스사용시성능을예상하기위한시나리오 데이터조회 (select) 테스트 ( select * from damo_zip where idx= loop_cnt) 10,000 번반복실행 비암호화테이블 : 4.27 초 암호화테이블 : 4.49 초 ( 약 105%) 데이터갱신 (update) 테스트 ( update damo_zip set chr = substr(chr,1,7), etc= aaa where idx=loop_cnt) 10,000 번실행 비암호화테이블 : 4.13 초 암호화테이블 : 4.45 초 ( 약 107%) 인덱스를이용한데이터조회및갱신암호화전후성능차이 7% 이내

D Amo KMS 의키관리 : Asymmetric Key : Symmetric Key D Amo SG-KMS DoD 5220.22-M 5. 키폐기 (Destruction) 1. 키의생성 (Generation) FIPS PUB 186-2 TTAS.KO-12.0001/R1 표준준용 키백업 (Backup) 키복구 (Restore) PKCS #1, #8 TTAS.KO-12.0004/R1 표준준용 2. 키의저장 (Store) PKCS #1, #8 TTAS.KO-12.0004/R1 표준준용 3. 키의분배 (Distribution) 4. 키사용 (Use) PKCS#1, #8 TTAS.KO-12.0004/R1 FIPS 197 KS X 1213:2004 표준준용 PKCS #1, #8 TTAS.KO-12.0004/R1 표준준용

Cloud 환경에서 DB 암호화 Storage Node DB VM #1 MySQL Computing Node MyDiamo Linux/Windows DB VM #2 MySQL MyDiamo Linux/Windows 안전한키관리 Virtual 스위치 Virtual 키관리서버

Penta Cloud Admin Console Service Connection Service Mgmt. Systems Appliance (WAPPLES) Appliance (D Amo KMS) Appliance (ISign+) SW Update License Product Management Store/Backup (conf., policy, key) Log Customer Mgmt. Systems User Account Management Billing & Metering Web Browser VM (WAPPLES) VM (D Amo KMS) VM (ISign+) VM (New Product)

감사합니다!