Hybrid Cloud Security Lee Sang-jo Security&Tech team JANUBER
클라우드의진화 Virtual Servers Public Cloud Physical Servers Virtual Desktops Hybrid Environments 2
Hybrid Cloud 환경 Physical Servers Public Cloud Private Cloud Virtual servers 3
하이브리드클라우드도입이최우선 66% 하이브리드클라우드도입을최우선으로생각하는기업 4
클라우드도입시방해요소 2016 년 2 위 2015 년 1 위 5
IT 인프라 Cloud Instances Cloud Public Cloud Data Center Virtual System Physical System Private Cloud 6
클라우드보안의방향은? Cloud Instances Cloud Public Cloud Data Center Virtual System Physical System Private Cloud 7
어느부분에보안을적용해야하는가? 8
Shared Responsibility You Physical Infrastructure Network Virtualization Operating System Applications Data Service Configuration 9
Shared Responsibility : Cloud Cloud Physical Infrastructure Network Virtualization You Operating System Applications Data Service Configuration 10
Shared Responsibility Operating System Applications Data Service Configuration Security Solution 11
전체인프라에대한연계성은? 일괄적용하여관리할수있는가? 기존인프라는어떻게? Cloud Cloud Instances Data Center Public Cloud Virtual System Physical System Private Cloud 12
13 Copyright 2016 Trend Micro Inc.
DeepSecurity 통합모듈을통한다단계보안 해커의공격순서에따른 Deep Security 대응프로세스 HOST Firewall 1. 정보수집 (Information Gathering) - PortScan 등해커의각종스캔에대하여커널레벨에서의방어 - 상태기반및정적차단모드지원으로의심트래픽차단 Intrusion Prevention 2. 시스템권한탈취및 Application 공격 - 취약점공격을통한 Admin 권한탈취커널레벨에서의방어 - 각종 Application 공격에대하여커널레벨에서의방어 WEB Reputation 3. C&C Callback 및악성 URL 등역공격 - 백도어및좀비프로세스 Control 서버접근커널레벨에서의차단 - VDI 등 End User 의악성 URL 접근차단 Integrity Monitoring 4. 각종파일변조및악성프로그램 2 차생성 - 시스템파일, 환경변수, 레지스트리등주요파일변조감시 - 디렉터리및파일생성, 삭제감시 VM VM VM VM LOG Inspection 5. 운영서비스중지, 프로세스삽입공격 - 서비스중단등의치명적영향에대한주요로그감사 Hypervisor or Cloud or Phsycal Anti - Malware 6. 차후서버재접근을위한백도어, 루트킷등각종프로그램설치 - 세계 1 위의패턴보유량으로악성프로그램원천봉쇄 - 빠른업데이트를통하여신규생성된악성프로그램도즉시차단 14
Standard 환경 15 Copyright 2016 Trend Micro Inc.
Network IPS 환경 16 Copyright 2016 Trend Micro Inc.
Host Based 환경 17 Copyright 2016 Trend Micro Inc.
Network Based Security 소규모환경에서도입어려움 ( 高비용 ) 트래픽을어플라이언스에서감시하는방식 클라우드내부에서네트워크에대한재설정이필요 설계시확장여부도고려대상 18
Host Based Security Agent 설치방식 각서버별로트래픽을감시 VM 의증감부분에대해비교적자유로움 장애발생시영향도는서버단위 별도의설계가불필요 19
Auto-Scailing 자동으로확장되고줄어드는인스턴스 보안을어떻게적용할것인가? 20
Auto-Scailing 네트웍기반 인스턴스확장시 클라우드 - 어플라이언스연결을위한별도의설정이필요함 21
Auto-Scailing 호스트기반 인스턴스확장시 에이전트적용시보호 22
Inter-VM Attack Malware/Exploit 23
Inter-VM Attack / Host Based 24
개별서버에대한보안적용 OS 및애플리케이션을기반으로정확한보안정책생성 불필요한규칙을줄임으로써성능향상 상황에따른정책설정가능 25
Virtual Patching Patch 평균시간 176 Days Recommendation 패치시인스턴스이슈발생 Plan Properly 패치할때문제를해결하는시간 26
중요보안이슈경고 CloudTrail & AWS Config 중요보안경고제공 Registry 변경 Brute Force 경고 구성 ( 중요 ) File 변경 로그인이슈 ( 실패 ) 전체인프라에대한종합감사추적 ( 가시성제공 ) Security Tools 27
메이저클라우드서비스에서입증된기능 28 Copyright 2016 Trend Micro Inc.
29 Copyright 2016 Trend Micro Inc.
보안기능강화 악성프로그램방지 랜섬웨어대책 잘못된암호화및변경을차단 암호화파일의자동백업및복구 실시간메모리검색 메모리공간에서실행되는의심스러운프로세스를차단 DSA 백신 DSVA 동작모니터링 (AEGIS) 설치된프로그램 / 프로세스의무단변경을감시 시스템파일에대한무단변경을감시 30 Copyright 2016 Trend Micro Inc.
추가 랜섬웨어 (Ransomware) 방어 물리적, 가상, 클라우드에구성된서버에서가장중요한데이터에영향을미치는랜섬웨어를방어 악성코드스캐닝 (Malware Scanning) - 악성소프트웨어를검색하고중지 - 백신기능 취약점방어 ( 가상패치 ) - 패치가되기전까지취약점악용에대해서버를보호, 즉가상으로서버에사용중인소프트웨어패치 - IPS/IDS 기능 의심스러운동작모니터링 - 랜섬웨어관련파일서버에서의심스러운활동을감지하고중지 - IPS/IDS 기능, 무결성감지기능 C & C 트래픽탐지 - 랜섬웨어별특정명령및제어트래픽에대한검색및경고 - IPS/IDS 기능 31 Copyright 2016 Trend Micro Inc.
보안기능강화 응용프로그램제어 DSA 호스트에서실행되는응용프로그램을모니터링 화이트리스트 / 블랙리스트방식운영가능 감지 ( 로그 ) 또는블록선택가능 무결성모니터링 보안관리자의작업의효율성을고려한디자인 Maintenance mode / Production mode 를 API 연동으로자동전환 각서버의관리자에게일시적으로소프트웨어업데이트권한을부여하거나여러호스트에서공통화이트리스트를적용할수있는등운영을고려한디자인 일반실행파일의바이너리와라이브러리외에 Java, PHP, Python 등주요 Web 어플리케이션프레임워크에도대응 DSA DSVA 32 Copyright 2016 Trend Micro Inc.
Docker 컨테이너로확장 호스트와 Docker 컨테이너를안전하게보호 모든워크로드에서일관된보안유지 Amazon ECS 33 Copyright 2016 Trend Micro Inc.
Docker 배포를위한런타임보호 Deep Security Agent (DSA) Application Container (e.g. MySQL) Policy Enforcement (Containers) Application Container (e.g. NGINX) Intrusion Prevention / Virtual Patching (IPS)* Real-Time Anti-Malware (AM) DSA is installed directly on the Docker Host DS Kernel Modules Docker Engine Operating System Policy Enforcement (Host) Intrusion Prevention/ Virtual Patching (IPS) Anti-Malware (AM) Application Control Host Firewall, WRS Docker Host visibility reported to DSM Log inspection Integrity Monitoring 34 Copyright 2016 Trend Micro Inc.
THANK YOU