클라우드시큐리티 성일용시스코코리아부사장
IT 홖경의변화 기술적변화 모바일 / 비디오클라우드새로운소프트웨어사물인터넷빅데이터 사업과기술의변화가데이터센터에영향을미치다 Simple. Smart. Secure. 성장 / 생산성향상 새로운비지니스모델 새로운경험과기대치 세계화 보안 / 규정 비지니스영향
클라우드기반데이터센터의서비스 수개월에서몇분 설계 디자인 배치 준비 제품설치구성보안서비스조달셀프서비스준비기반자동화수동작업 서비스기반셀프서비스기반자동화필요에따른용량증설
국내클라우드보안지침
국외클라우드보안지침 2015 Cisco and/or its affiliates. All rights reserved. 14 Security Cisco Public as a Services 5 Section I. Cloud Architecture 1 Cloud Computing Architectural Framework Section II. Governing in the Cloud 2 Governance and Enterprise Risk anagement 3 Legal Issues: Contracts and Electronic Discovery 4 Compliance and Audit 5 Information anagement and Data Security 6 Portability and Interoperability Section III. Operating in the Cloud 7 Traditional Security, Business Continuity and Disaster Recovery 8 Data Center Operations 9 Incident Response, Notification and Remediation 10 Application Security 11 Encryption and Key anagement 12 Identity and Access anagement 13 irtualization
클라우드컴퓨팅의위협요소 Data Loss or Leakage 91% Insecure Interfaces and APIs 91% alicious Insiders 90% Account or Service Hijacking 88% Abuse and Nefarious Use of Cloud Computing 87% Shared Technology Issues 84% Unknown Risk Profile 81% DDoS 91% 81 6 Top Threats to Cloud Computing, CSA (2013)
클라우드홖경에서보안을걱정하는것은? 데이터센터 클라우드서비스 Private Cloud Public Cloud 가상홖경에따른추가적취약 아키텍쳐변화에따른추가적취약점. 외부에위탁사용하는인프라 - 네트웍 / 서버 / 스토리지에대한보안성의불확실성. 클라우드인프라와사내인프라에대한연동성.
클라우드서비스핵심보안위협 8 클라우드서비스정보보호안내서 (2011, 11)
데이터센터보안에필수요구사항 데이터사용에대한정확한정보 업무따른네트웍 / 어플리케애션접근제어 인증, 단말, 어플리케이션에대한인지능력 가시성 세그멘테이션 침해대응 네트워크 : 물리적, 가상화 (LAN, RF), PN 정책 : 부서, 역홗, 단말기에따른접근제어 방화벽 : 가상화 표준및규정만족을통한불필요한비용감소 규정만족 (PCI DSS, HIPAA, FISA ) 보고, 확인, 제거 규정 공격전, 공격중, 공격후침해로부터보호 게이트웨어와패트롤졲 DPI(Deep Packet Inspection)
데이터센터의권한을잃을수있다. 가입자의침해로인해서데이터센터가침해되면 1 단계 가입자침해 2 단계 서버침해 3 단계 BR 설치 irtual achine-based Rootkits 대부분의조직에서는 ACL 기반의접근제어및세그멘테이션기능을사용 침해인터넷사이트방문 가입자는정해짂권한에따라서버에접근및침해 가상머신은공격자가조정할수있는상황 대표적인 BR(Subirt, Blue Pill, itriol)
일반적인가상화홖경에서의문제점 정책, 업무흐름, 운용 일괄된정책적용 물리서비기준정책적용 - 가상머신에어려움 가상머신의이동시기졲정책의이동성어려움 운용과관리 가상머신에대한가시성, 연속성부족 효율적운용을위한매니지먼트및관리의어려움 역홗및책임 서버운용자가가상네트웍에대한책임갖게됨. 조직내업무의중복및규정에대한문제점발생. 가상머신과어플리케이션의세그멘테이션 동일한서버내에서서버와어플리케애션의분리 규정을만족하는시스템과비만족시스템의혼재 Initial Infectio n Hypervisor Secondary Infection 11
보안을기반으로하는데이터센터아키텍쳐필요 76 % 17 % 7 % East West 트래픽 North South 트래픽 데이터센터간트래픽 12
Open Standard Security Open Standard 클라우드컴퓨팅아키텍쳐 Service Costumer Role-based UI/APIs SLAs/ Contracts Expedition /Reputatio n SaaS PaaS IaaS Cloud Application Cloud Application Cloud Application irtualized Resource Comput Networ e k Storage etc 클라우드서비스 irtual Image Image metadata Image Software Kernel (OS, anager) gmt Reporting SLA mgmt Capacity Planning Billing etering Provisioning `` Service Developer Service Creation Service Publishing Service Analytics Firmware, Hardware onitoring Cloud Computing Use Cases White Paper v4.0 참조 13
Open Standard Security Open Standard 클라우드컴퓨팅홖경에서잠재적위협요소 Service Costumer Role-based UI/APIs SLAs/ Contracts Expedition /Reputatio n 4 3 SaaS PaaS IaaS Cloud Application Cloud Application Cloud Application irtualized Resource Comput Networ e k Storage etc 클라우드서비스 irtual Image Image metadata Image Software Kernel (OS, anager, Hypervisor) gmt Reporting SLA mgmt Capacity Planning Billing etering Provisioning `` Service Developer Service Creation Service Publishing Service Analytics 1 2 Firmware, Hardware onitoring Cloud Computing Use Cases White Paper v4.0 참조 14
클라우드매니지먼트보안 15
클라우드매니지먼트보안 ulnerability anagement Process - OpenStack 16
클라우드서비스를위한네트웍 App App App Router FireWall, IPS OS OS OS irtual Switch Hypervisor Server App App OS OS irtual Switch Hyperisor 가상머신기반의서비스 ( 서버, 라우터, F/W, IPS) 가상네트웍인터페이스와 Switch와연동 퍼블릭사업자용가상스위치 / 가상라우터의기능이매우제한적 트래픽에대한가시성부족 2009 Cisco Systems, Inc. All rights reserved. 17
Back Plane L2 ode L3 ode 클라우드서비스를위한네트웍 E-N S1 E-1 S2 E-2 odular Switch Supervisor-1 Supervisor-2 Linecard-1 Linecard-2 Linecard-N irtual irtual irtual Switch Switch Switch Hyperisor Hyperisor Hyperisor
클라우드서비스를위한네트웍 일관된보안정책유지의어려움. 물리적서버보안이슈와동일한이슈잔존. 가상스위치의한계로인한구성의어려움. vswitch Hypervisor vswitch Hypervisor vswitch Hypervisor vswitch Hypervisor vswitch Hypervisor 클라우드홖경에서예상되는네트워크보안이슈 1. ac Address 변조가능성 2. IP 변조가능성 3. DHCP Server 로위장 모든 irtual Desktop 에영향가능성 4. ARP Spoofing Router IP 의 AC 으로위장전체네트워크마비가능성 2009 Cisco Systems, Inc. All rights reserved. 19
클라우드서비스를위한네트웍 하이퍼바이저 가상스위치 하이퍼바이저하이퍼바이저하이퍼바이저 가상스위치에서보안및장애진단 맥어드레스변조 아이피변조 서버 DHCP 서버로위장 ARP Spoofing Port irroring, NetFlow, QoS 정책의이동성및무중단운영모델
클라우드서비스를위한네트웍 Tenant A Tenant B DC DC vapp Firewall Firewall Firewall vapp Firewall Firewall Router FireWall Router irtual Switch Hyperisor 보호엔짂 백신 을설치, 전체 및 CPU, emory, 스토리지및네트워크까지보호 ( Introspection) irtual achine 들을위한가상방화벽기능제공 퍼블릭 Service Domain / Gateway 에대한가상방화벽 / IPS 구성필요.
네트워크세그멘테이션 PRODUCTION POD DZ DE LAN 1 XLAN 2 WEB TEST APP SHARED SERICES PROD LAN 3 DB 기본적데이터센터세그멘테이션 어플리케이션사이클에의한세그멘테이션 LAN 기반네트웍세그멘테이션 어플리케이션별서비스레벨에따른마이크로세그멘테이션 세그멘테이션 / 분리 / 가동성수준
클라우드홖경에서자동화된차단능력 방화벽 /IPS가초기주요보안공격에대한탐지 / 경보방화벽 /IPS에서침해및공격상황분석정책서버를통한그룹정책배포로공격차단및격리지속적인공격상황에대한이벤트수집및분석 정책서버 방화벽, IPS 분석서버 Attack Lifecycle Recon Deliver Control aintain Host 1 Host 2 Host 3 Weaponize Exploit Execute Application 1 (Physical) Application 2 (Physical) Proactive Detection itigation Incident Response and ission Assurance
지속적인공격에대응할수있어야한다. 지속적인공격 공격젂철저한확인 공격중공격차단능력 공격후침해범위복구 네트워크단말기모바일가상화클라우드 특정시간 연속적
데이터센터는제 4 의젂선 If data has any street value whether it s a major corporation s intellectual property or an individual s healthcare data it is desirable and, therefore, at risk. And most organizations, large and small, have already been compromised and don t even know it: 100 percent of business networks analyzed by Cisco have traffic going to websites that host malware. Cisco 2014 Annual Security Report