PowerPoint Presentation

See More. Secure More. Pervasive 가시성확보를위한보안전달플랫폼구축 인성디지탈신동엽 (dyshin@isd.co.kr)

1. 보안솔루션투자효과, 가시성플랫폼이높인다 2

현재, 보안 장비에 트래픽는 어떻게? (제한적 가시성) 모니터링 인프라의 복잡성 : 너무 많은 모니터링 패스와 방어 포인트 Intrusion Detection Intrusion System Intrusion Detection Detection System System Internet 라우터 Data Loss Prevention Data Loss Data Loss Prevention Prevention Email Threat Detection Email Threat Detection Email Threat Detection Spine 스위치 Leaf 스위치 IPS (Inline) IPS (Inline) IPS 복잡성 (Inline) 개별관리 네트워크 모니터링 및 분석 솔루션들 이 팀 단위/부서 단위로 구축되고 개별로 관리되어 중복투자 발생 사각지대 Span 또는 Mirror 포트 구성 제약으로 인해 네트워크 전 구간의 모니터링 불 가, 사각지대 발생 운용의 비효율성 모니터링 솔루션의 중복 투자로 CAPEX/OPEX 증가로 인한 비용증가 Anti-Malware (Inline) Anti-Malware Anti-Malware (Inline) (Inline) Forensics Forensics Forensics 네트워크가 확장되면서 모니터링 솔루션 구성이 점차 복잡 가상화된 서버 Farm 3

향후, 보안전달플랫폼 : See Everything 효과적인보안을위한기본적인빌딩블록 (BUILDING BLOCK) Intrusion Detection Intrusion System Detection Intrusion System Detection System Internet IPS IPS (Inline) IPS IPS(Inline) (Inline) (Inline) Anti-Malware (Inline) Data Loss Prevention Intrusion Detection System Forensics Email Threat Detection Data Loss Prevention Data Loss Prevention Data Loss Prevention 라우터 Spine 스위치 Anti-Malware (Inline) Anti-Malware Anti-Malware (Inline) (Inline) 보안전달플랫폼 Email Threat Detection Email Threat Detection Email Threat Detection Leaf 스위치 가상화된서버 Farm 전반적네트워크 Forensics 전체범위 : 물리적및가상화환경 Forensics Forensics 향상된포렌식을위한확장가능한메타테이타추출 목표한부문만의검사를위한어플리케이션의분리 모든툴은지속적연결유지 적은수의네트워크접속포인트 위협탐지를위한암호화된트래픽에대한가시성보장 툴의효율성증가 OPEX 비용감소 지속적서비스제공을위한인라인바이패스기능 4

보안전달플랫폼 : See Everything 산업계최초의보안전달플랫폼 (SECURITY DELIVERY PLATFORM) Internet IPS (Inline) Anti-Malware (Inline) Data Loss Prevention Intrusion Detection System CEM Email Threat Detection 라우터 Spine 스위치 Security Delivery Platform Leaf 스위치 GigaVUE-VM A completeand network-wide GIgaVUE Nodes reach: physical and virtual Scalable NetFlow metadata / IPFIX extraction Generation for improved forensics Application Isolation of Session applications Filtering for targeted inspection Visibility SSL to encrypted Decryption traffic for threat detection Inline Inline bypass for connected Bypass security applications 가상화된서버 Farm 모든툴은지속적연결유지 적은수의네트워크접속포인트 툴의효율성증가 OPEX 비용감소 5

기가몬주요협력파트너사 (Ecosystem Partners) 네트워크 보안및취약점관리 (Security and Vulnerability Management) 고객경험관리 (Customer Experience Management) 네트워크성능관리 (Network Performance Management) 어플리케이션성능관리 (Application Performance Management) 네트워크포렌식 / 빅데이터분석 (Network Forensics/Big Data Analytics) 6

We Fight Smart! 7

8

Inline Tools Inline Bypass Firewall1 Firewall2 Firewall1 L4 Switch x 2 Firewall2 IPS1 IPS2 IPS 2. L4 Switch x 2 IPS 네트워크와보안을 WAF1 WAF2 Si Si WAF 분리하다. L4 Switch x 2 WAF Si Si Out of Band Tools 9

Simple Network Secure Network Backbone Switch Backbone Switch Inline-Bypass 장애시에도라우팅경로변경없음 OSPF Routing / Multicast Routing 장애시라우팅경로변경발생 OSPF Routing / Multicast Routing 고객접속구간 Backbone Switch 고객접속구간 Backbone Switch 방화벽장애시불필요한라우팅경로변경발생 - 방화벽장애발생시불필요한라우팅경로변경에따른서비스안정저하 - 방화벽홀딩발생시트래픽처리불가에따른트래픽손실발생 방화벽장애시에도라우팅경로변경없음 - 방화벽장애발생시기가몬장비에서트래픽바이패스를통한정상처리 - 기존운영네트워크망에서불필요한라우팅경로발생이없음 10

Simple Network Secure Network Backbone Switch Backbone Switch 방화벽관리효율성증대 다수의방화벽관리및운영필요 다수접속구간 Backbone Switch 다수접속구간 Backbone Switch 다수의방화벽도입으로비효율적인운영및투자 - 주요서비스구간내인라인으로다수의방화벽운영으로장애요소증가 - 고객접속구간각라인별방화벽도입에따른비효율적인투자 소수의대용량방화벽도입으로효율적인방화벽관리 - 소수의대용량방화벽운영으로장애요소최소화및효율적인통합보안관리 - 방화벽장애시에도기가몬바이패스동작으로장애요소삭제 11

Case Study : E-Commerce 100G LOAD BALANCING Background & Challenge 다수의 100G 링크의트래픽을 10G 링크의분석장비그룹으로수용할필요성 로드밸런스 (Load Balance) 필요 GigaVUE-HD8 GigaVUE-HD4 Solution Results & Key Benefits 기가몬적용솔루션 : GigaVUE-HD4 & HD8 분석장비는 A 사보안팀에서자체제작 Flow Mapping 기술로 100G 트래픽의로드밸런싱 GigaSMART 의 Applicaton Session Filtering 적용으로분석플로우의 L7 filtering 100G 링크의분석방법제공으로기존 10G 솔루션활용및 CAPEX 절감효과 12

Case Study 엔터프라이즈 / 제조 INLINE AND OUT-OF-BAND MONITORING 도입배경 Inline Tools : SourceFire (now Cisco FirePOWER) IPS, Imperva WAF, Out-of-Band tools: FireEye, ExtraHop 인라인및 OOB 툴의통합구성및다계층보안요구 적용솔루션 Inline 감시구성을위한 GigaVUE-HC2 bypass 기술 (1 x 10Gb & 3 x 1Gb links) Web 트래픽감시성능향상을위한 APP aware feature 확보된동일인터넷트래픽을 OOB 툴 FireEye 와 ExtraHop 향동시전달 결과및핵심이점 서로다른 4 개의물리적링크에하나의 OOB 툴활용가능 인라인및 OOB 의통합구성및적은비용으로다계층보안구성가능 13

Lock PPS GigaVUE-HC2 Pwr Rdy Fan M/S Rear Rdy Pwr X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12 X13 X14 X15 X16 A B M NETWORK 1 A B M NETWORK 2 A B M NETWORK 3 A B M NETWORK 4 50 um Rdy Pwr X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12 X13 X14 X15 X16 A B M NETWORK 1 A B M NETWORK 2 A B M NETWORK 3 A B M NETWORK 4 50 um Lock PPS GigaVUE-HC2 Pwr Rdy Fan M/S Rear Rdy Pwr X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12 X13 X14 X15 X16 A B M NETWORK 1 A B M NETWORK 2 A B M NETWORK 3 A B M NETWORK 4 Off = Bypass On = Inline MODE (M) 50 um BPS-HC0-D25A4G Rdy Pwr X1 X2 X3 X4 X5 X6 X7 X8 X9 X10 X11 X12 X13 X14 X15 X16 A B M NETWORK 1 A B M NETWORK 2 A B M NETWORK 3 A B M NETWORK 4 Off = Bypass On = Inline MODE (M) 50 um BPS-HC0-D25A4G 1.Tap Firewall inside link first time (Port 1/1/19-20). send 100% traffic to inline active SourceFire 2.Tap Firewall inside link second time (Port 1/3/19-20), then send WEB traffic only to inline active WAF 3.Tap three 1G WAN router links for retail and AWS, send 100% traffic to inline SourceFire 1/1/21-22, 1/1/23-24, 1/3/17-18 4. Capture WEB/DNS/EMAIL traffic from 1/3/19 and 1/3/20 to passive FireEye (out-of-band) NOTE: traffic first send to hybrid port 1/1/x4, then from 1/1/x4 to FireEye on 1/1/x3 Nike CDT Gigamon HC2 Bypass Architecture 10G MM Fiber 1G copper 1G MM Fiber Border Router1 ISP1 Internet ISP2 Internet Router2 FireEye Primary Firewall Primary Inside FireEye Secondary Firewall Secondary Inside SourceFire Primary 1G WAF Primary 10G WR #1 1G WR #2 1G WR #3 1G SourceFire Secondary 1G WAF Secondary 10G WR #1 1G WR #2 1G WR #3 1G 10G 10G 10G 10G SX / SR SX / SR SX / SR SX / SR PTP IEEE 1588 Stack Mgmt Port Mgmt MODE (M) Off = Bypass On = Inline BPS-HC0-D25A4G 1 1 MODE (M) Off = Bypass On = Inline BPS-HC0-D25A4G 3 GigaVUE-HC2 PTP IEEE 1588 Stack Mgmt Port Mgmt 1 1 3 GigaVUE-HC2 Console Console 2 4 2 4 1G SPAN 1G SPAN L3 Switch Primary L3 Switch Secondary Extrahop 14

Case Study - 필요한트래픽만검사하자! WITH MANUAL SERIAL INLINE CONFIGURATION IPS Physical Cabling IPS EPS WAF Web Traffic GigaStream Non-Web Traffic WAF EPS 15

3. Big Data 대한대비 16

빅데이터 vs. 보안 너무많은데이터량 (TOO MUCH DATA) 보안툴 (Security Tools) 정책및시그니쳐기반 지능형분석기반 보안도구데이터처리량 네트워크속도 보안툴의처리속도보다빠르게증가하는데이터의량 Big Data 의문제 상황인식필요 네트워크 & 어플리케이션인프라 1Gb 10Gb 40Gb 100Gb 17

Visibility Fabric 구성도 INLINE Inline Tools IPS Remote Site Anti- Malware Core Spine Core Spine OUT-OF-BAND Out-of-Band Tools File Activity CEM SIEM Leaf Leaf Leaf Leaf DLP NPM GigaVUE-VM GigaVUE-VM GigaVUE-VM GigaVUE-VM APM 18

지능형트래픽제단기능 GigaSMART 19

ASF: DPI 기반특정어플리케이션세션필터링 LIMITATIONS OF PORT BASED APPROACH TO APPLICATION VISIBILITY Protocol HTTP SMTP FTP TELNET NTP BGP TCP/UDP Port # 80 25 20/21 23 123 179 Protocols? All Web 2.0 use port 80 & 443 20

ASF: DPI 기반특정어플리케이션세션필터링 L7 기반세션필터링, APPLICATION SESSION FILTERING 4 NETFLIX 3 2 1 NETFLIX NETFLIX NETFLIX Video Monitor 4 4 3 3 2 2 NETFLIX Exchange NETFLIX Exchange NETFLIX Exchange 1 1 NETFLIX Exchange Application Session Filtering 4 Exchange 3 Exchange 2 Exchange 1 Exchange Email Monitor Gigamon 의 Application Session Filtering 기술을사용하여웹서비스중특정 URL 의세션을구별하는등의레이어 7 데이터를시그너처기반으로어플리케이션세션을분류할수있음. 이를통해제한된모니터링 / 분석도구를효율적으로사용할수있는경제성을제공 2 2 NETFLIX Exchange 1 1 NETFLIX Exchange Collector 21

GigaSMART : Adaptive Packet Filtering L7 기반패킷필터링 22

FlowVUE 세션/FLOW 기반 샘플링 23

NetFlow Generation 전수트래픽 (UNSAMPLED) NETFLOW 생성기능 Gigamon 의 NetFlow 생성기능을사용하여전수트래픽의모니터링분석이가능하며, 동시에 6 개의수집서버로 NetFlow 전송가능. 지원버전 : NetFlow v5, v9 및 IPFIX 24

GigaSMART : Packet Slicing 대역폭, 스토리지보호를위한패킷사이즈조정기능 FLOW MAPPING 룰에따라, 다양한사이즈로패킷사이즈를조정 패킷헤더정보및필요한정보만저장하여패킷저장장치의스토리지최적화 25

GigaSMART : Packet Masking 개인정보등데이터마스킹기능제공 패킷의 PAYLOAD에포함된개인정보등민감한데이터를마스킹하는기능을제공 마스킹할패턴을정의하고인입포트에마스킹룰을적용 XXXXXXXXXXX 26

GigaSMART : Packet Header Stripping 패킷해더제거 VLAN, MPLS, VN-Tags, VXLAN, Cisco FabricPath, GTP tunnels, ISL tunnels, GRE 등분석 / 모니터링장비에서인식할수없는패킷헤더정보제거하는기능제공 패킷구분을위하여 VLAN tag 정보를추가하는기능제공 27

GigaSMART : De-Duplication 중복패킷제거로툴장비자원보호및신뢰성있는분석결과제공 분석 / 모니터링장비의정확성을위하여중복패킷제거 중복패킷제거혹은카운팅제공 28

GigaSMART : GTP Correlation 3G 또는 LTE 망내 GTP-u & GTP-c 패킷의연관성제공 GTP-u/GTP-c 연계분석을위하여동일분석 Tools 로전달 가입자기반의플로우샘플링기능제공 White List 제공으로특정가입자의 Tracking 기능제공 29

LAN Workstations GigaSMART : SSL Decryption (Out of Band) OUT-OF-BAND 방식으로 SSL 암호화패킷을복호화기능제공 IDS at the Perimeter Router Firewall TAP Switch Server Rack (Physical / Virtual) SSL Decryption IDS Anti-malware for Web Apps SSL Decryption Anti- Malware DLP at remote sites Router SSL Decryption DLP Firewall with SSL Proxy HQ TAP Database Router Branch 30

Off =Bypass On = Inline GigaSMART : SSL Decryption (In-Line) 외장형 SSL DECRYPTION 솔루션 + DLP/IPS 결합솔루션 : 인라인바이패스보호, 이중화 (HA), 로드밸런싱제공으로안정성및유연한확장성보장 SSL 장비 IPS DLP DPI Clear Text Encrypted Traffic Rdy Pwr 9 X1 X2 1 X 2 8 X3 X4 X 3 X 4 \ 7 X5 X6 X 5 X 6 \ SSL Decryption 6 X7 X8 X 7 X 8 \ 5 \ X9 X10 11 X9 X10 DLP DPI X11 X12 X11 X12 4 \ 2 \ X13 X14 X15 X16 1 A B A B 1 NETWORK 1 Gigamon \ HC 2 BPS IPS \ 3 M 10 A A \ B 2 NETWORK 2 M A A B M A B NETWORK 3 12 1 \ M Inline Series A B 4 NETWORK 4 \ M \ SX 50 um SX / SR 50 um Off = Bypass On = Inline M ODE (M) MODE (M) - 4G BPS-HC0-D25A4G Production Network 1 Side A Production Network 2 Side A 10 Gig Inline Bypass Network Stays Alive Production Network 2 Side B Production Network 1 Side B 31

4. Cloud 가시성 32

Public Cloud 사례 AWS EXAMPLE USE CASE: TOOLS IN AN ON-PREM DATA CENTER AWS VPC AWS EC2 Integration Virtual Traffic Policies Corporate Data Center GigaVUE-FM GigaVUE V Series L2 GRE Tunnel Tools Public Could 의트래픽을자사데이터센터의보안및분석장비로전송 VPC: Virtual Private Cloud. Any forward-looking indication of plans for products is preliminary and all future release dates are tentative and subject to change. 33

VISIBILITY MATTERS 34

Visibility Fabric 통합 포트폴리오 어플리케이션 Gigamon Applications 3rd Party Apps (e.g. Splunk, Viavi) API 패브릭 컨트롤 (관리 SW) API FabricVUE Traffic Analyzer Applications & Tools Infrastructure, User Community GigaVUE-FM Flow Mapping Masking NetFlow Generation SSL Decryption Header Stripping Tunneling FlowVUE Adaptive Packet Filtering Slicing Time Stamping Application Session Filtering GigaVUE-HD8 GigaVUE-HD4 GigaVUE-HB1 GigaVUE-TA100 White Box GV/OS GigaVUE-VM VMWare OpenStack AWS Q416 TAPs GigaVUE-TA40 G-TAP M Series G-TAP G-TAP BiDi G-TAP A Series Embedded TAPs G Series GigaVUE-HC2 TA Series (물리적 환경, 가상화 환경, 원격지노드 및 향후 SDN 상용 네트워크) H Series GigaVUE-TA10 패브릭 노드 GTP Correlation Inline Bypass Virtual Visibility Clustering API API 패브릭 서비스 트래픽 인텔리전스 De-duplication GigaVUE-2404 GigaVUE-420 G-SECURE-0216 35

Visibility Fabric 주요장비사양 장비모델명 장비외관 Visibility Throughput GigaVUE-HD8 GigaVUE-HD4 GigaVUE-HC2 GigaVUE-HB1 GigaVUE-TA10 2.4 Tbps 1.28 Tbps 960 Gbps 56 Gbps 640 Gbps Port Density 100G : 48 ports 40G : 64 ports 10G : 256 ports 1G : 352 ports 100G : 24 ports 40G : 32 ports 10G : 128 ports 1G : 176 ports 100 : 8 ports 40G : 24 ports 10G : 96 ports (1G) 10G : 4 ports 1G : 20 ports 40G : 4 ports 10G : 48 ports 36

홈페이지방문, E-Book 을신청 하세요. http://www.gigamon.com https://www.gigamon.com/resources/book/security-delivery-platformsdummies-3197 37

기가몬회사소개 Leader in Visibility for Security & Monitoring

기가몬 (Gigamon) 소개 설립연도 : 2004년 (Pioneered Market) 보유기술* : 26 개 핵심특허권, 28 개 특허 심사 중 본사위치 : 미국, 캘리포니아 Santa Clara 시장점유율** : 약 40% (가시성 시장의 리더 및 Innovator) 기업공개 : 2013년 6월 (NYSE, GIMO) 주요고객 : 1700+ 고객(포춘 100대 기업 중 75개+, 전세계 글로벌 100대 통신사 중 50개+) 주요사업 : 보안 및 관리툴을 위한 가시성 솔루션/ 모바일(Mobile), 데이타센타 (Datacenter), 클라우드 (Cloud) 2004년 창립기념 촬영사진 2015년 캘리포니아 본사 전경 *Customer and patent numbers FY15Q2, **Gartner published on Jan 19th, 2016 39

기가몬주요고객사 엔터프라이즈 ( 기준 : 2015 년 2 사분기 ) 서비스사업자 TECHNOLOGY INDUSTRIAL RETAIL FINANCE HEALTHCARE & INSURANCE GOVERNMENT 1700+ 글로벌고객 Fortune-100 내 75+ 기업 글로벌 TOP 100 SP 내 50 개 A broad spectrum of brand-name customers. 40

요약 (Why Gigamon?) 포춘지선정 100 대기업내 75+ 기업과 1,700 이상의글로벌고객에서입증된제품과기술력 산업계최초의보안전달플랫폼 (Security Delivery Platform) SDN (Cisco ACI, VMware NSX) 을포함한가상화및물리적환경내전체적인가시성제공 특허받은 Flow Mapping 기술을통한 Zero Packet Loss 및 N:M 필터링구현 클러스터링 (Clustering) 기술을통한구성관리의단순화및유연한확장성보장 진보된트래픽인텔리전스와서비스연결성 (Chaining) 을제공하는탁월한 GigaSMART 기능 SSL 복호화및어플리케이션세션기반필터링기능등의통합된가시성을제공하는유일한회사 한층넓고, 깊은트래픽인사이트 (Insight) 제공을위한전수 NetFlow / IPFIX 메타데이타제공 고객과파트너성공에 100% 집중하는회사 Customer numbers FY15Q2. 41

Thank You!