Hybrid Cloud 를위한유연한보안전략 맥아피 ( 유클릭 ) 김경운팀장
목차. Data Center 의변화및과제 2. Hybrid Cloud 에대한보안대두 3. Hybrid Cloud 에대한보안전략 4. Cloud Data 보호전략 (CASB)
Data Center 의변화및과제 민첩성및유연성을기반으로 business focused Data Center 로변화 Physical Server Virtual Server Cloud Containers and PaaS Serverless Monolithic/Fixed Loosely Coupled / Agile / Focus on Business 99s 2s 2 매 년마다 Data Center 아키텍처는변화하여옴 4
Data Center 의변화및과제 Physical Server Virtual Server Cloud Containers and PaaS Serverless 기존 Data Center 최근 Data Center. 인프라에대한 Full control 2. 경계보안모델 3. 사람에의한접근제어 4. Human error 에대한 risk 가적음 5. IT 부서가보안에대해책임. 인프라에대한 control 이어려움 ( 가시성 ) 2. 보안의경계가모호해짐 3. Applications 및 API 에의한접근제어 4. Human errors 에대한 risk 가큼 (misconfigurations) 5. 개발자가보안에대해책임 5
Hybrid Cloud 에대한보안대두 85% 의기업이 Hybrid cloud 를도입하고있으며, 기존의보안접근법으로는적절한대응이어려움 84% 의기업들이 public cloud 에민감한데이터를저장하고있으며 2, 해당데이터의적절한보안조치가필요함 5% 의기업들이 cloud 도입의가장큰장애요인은적절한보안의부재이며자동화된보안이필요하다고대답함 3 Sources: ) RightScale 27 State of the Cloud Report http://assets.rightscale.com/uploads/pdfs/rightscale-27-state-of-the-cloud-report.pdf 2 & 3) McAfee, Building Trust in a Cloudy Sky 6
Hybrid Cloud 에대한보안전략 어떻게모든 workload 에대해가시성을확보할수있을까? 어떻게고도화된위협에대해탐지및보호를할수있을까? 어떻게성능이슈를최소화할수있을까? 어떻게복잡및다양한이슈에대한대응을효율화할수있을까? 완벽한가시성확보 Private 및 Public Cloud Infrastructure 에대한 Discovery 통합보호고도화된위협으로부터보호및컴플라이언스유지, 보안솔루션간의긴밀한공조를통해시너지보호 성능최적화 Cloud 및가상화환경에최적화된솔루션으로시스템리소스점유최소화 자동화및보안플랫폼화자동화된정책및보안솔루션의플랫폼화를통한효율성극대화 7
Hybrid Cloud 에대한보안전략 가시성확보전략 (Cloud Workload Discovery) McAfee epolicy Orchestrator 및 DevOps Tools Discover cloud infrastructure Monitor 위험 / 위협에대한탐지및평가 Compute Storage Network Benefits End-to-End 의보안상태평가 (workloads 및 platforms) Private 및 Public cloud 의 workload 를보호 컴플라이언스및규제준수 8
Hybrid Cloud 에대한보안전략 가시성확보전략 (Cloud Workload Discovery) 9
Hybrid Cloud 에대한보안전략 통합보호전략 (McAfee 보안포트폴리오 ) Network Protection Server Protection Database Protection Threat Intelligence 고도화및지능화된 Network 위협탐지및차단 Physical, Virtual, Cloud 를모두지원하는서버보호 Hybrid cloud 환경에서의 database 위협보호 실시간위협정보공유및알려지지않은위협보호 - McAfee Network Security Platform - McAfee Virtual Network Security Platform - McAfee Server Security Suite - MOVE Anti-Virus - Host Firewall - Host IPS - Application Control - Change Control - McAfee Data Center Security Suite for Databases - McAfee Threat Intelligence Exchange - McAfee Advanced Threat Defense (sandbox)
VPN Hybrid Cloud 에대한보안전략 통합보호전략 (McAfee vnsp) On Premise Customer Gateway Network Security Manager NS Series Sensor McAfee Virtual Network Sensor Internet Admin Internet Gateway Elastic Load Balancing AWS VPC Network Security Platform VPC Availability Zone # VPC Flow-logs Cloudtrail Amazon Inspector Availability Zone #2 Controller Cloud Workload Discovery McAfee Virtual Network Sensor Security Group McAfee Virtual Network Sensor McAfee Virtual Network Sensor Security Group McAfee Virtual Network Sensor Network Security Manager North-South 트래픽및 East-West( 서버간 ) 트래픽검사
Hybrid Cloud 에대한보안전략 통합보호전략 (McAfee Web Gateway Cloud) Main Office Appliance Tunnel to (vm/hw) Cloud Remote Office Appliance Tunnel (vm/hw) to Cloud Remote Office MPLS+Cloud Mobile User VPN+Cloud MPLS/VPN backhaul: internal traffic only
Hybrid Cloud 에대한보안전략 성능최적화전략 (McAfee MOVE Anti-Virus) McAfee epo VM VM MOVE MOVE MOVE SVM Virtual Infrastructure VM VM MOVE SVM VMtools VMtools VMware NSX or vcns Endpoint VMware vsphere NSX/vCNS Manager MOVE SVM Manager VM MOVE Virtual Infrastructure MOVE SVM VM VM VM MOVE MOVE MOVE Virtual Infrastructure VM VM MOVE SVM VMtools VMtools VMware NSX or vcns Endpoint VMware vsphere Multiplatform (any hypervisor) Agentless (VMware) 통합정책관리 3
Hybrid Cloud 에대한보안전략 자동화및보안플랫폼화전략 (McAfee TIE) 3rd Party Threat Intelligence McAfee Threat Intelligence Exchange Server (managed by epo) McAfee Global Threat Intelligence (Cloud 평판정보 ) McAfee Advanced Threat Defense ( 샌드박스 ) 인터넷 Data Exchange Layer McAfee epolicy Orchestrator ( 통합관리서버 ) McAfee MOVE AntiVirus McAfee Network Security Platform (IPS) 4
Cloud Data 보호 (CASB) 더이상 Data 로인해 Could 도입을고민하지마십시오!
Cloud Data 보호전략 CASB (Cloud Access Security Broker) Systems of Record CASB 에대한가트너의 4 가지주요관점 Shadow IT 로의데이터흐름 가시성 : Shadow IT 에대해어떠한컨텐츠가오고가는지가시성확보 CASB 위험방어 : 데이타유출, 내부자위협, 계정탈취등의위협탐지 규제준수 : 사내및산업규정및규제준수 인가된 IT 로의데이터흐름 데이터보호 : 보안위반또는실수로인한무단데이터접근및노출보호 Systems of Record
Cloud Data 보호전략 주요분석기관 3 관왕의유일한 CASB
Cloud Data 보호전략 Skyhigh CASB 의특화된보안모델 Ground Link Sky Gateway Sky Link Lightning Link SaaS Shadow IT IaaS Custom Apps 단일플랫폼에서모든 Cloud 서비스에대해일관된정책 실시간완벽한보호기존의저장된데이터데이터업로드 Cloud 내생성된데이터표준 apps 인증서포함 apps Agent 불필요충돌 X 식별통제보호
Cloud Data 보호전략 Skyhigh CASB 기능 ( 식별 ) Ground Link Sky Gateway Sky Link Lightning Link SaaS 및 IaaS 서비스내민감데이터탐지및식별 Shadow IT 민감데이터에대한접근및공유정보분석 SaaS IaaS Custom Apps IaaS 의보안설정분석및보안취약점분석 Shadow SaaS/IaaS 트래픽탐지및통제 악성코드, 데이터유출, 계정탈취등의위협탐지및방어
Cloud Data 보호전략 Skyhigh CASB 기능 ( 통제 ) Ground Link Sky Gateway Sky Link Lightning Link 데이터접근및공유권한설정 Shadow IT 장치및위치별데이터접근제어 IaaS SaaS Custom Apps! DLP 정책을통해고위험군데이터삭제 DLP 정책을통해중간위험군데이터격리 DLP 정책을통해하위위험군데이터자동교정
Cloud Data 보호 Skyhigh CASB 기능 ( 보호 ) Ground Link Sky Gateway Sky Link Lightning Link Shadow IT 고객사개인키를통해데이터암호화 SaaS IaaS Custom Apps IRM 과통합하여데이터유출보호
Summary 가시성확보 Public/Private cloud, physical, virtual 시스템에대한 discover Single pane of view 통합보호 Public/Private cloud, physical, virtual 시스템에대한고도화된위협방지 Cloud 및 virtual 환경에맞는성능최적화 실시간위협정보공유및보안솔루션통합을통한보안의플랫폼화 Cloud 데이터보호 Shadow IT 및인가된 IT 가시성확보 컨텐츠및상호관계분석을통한민감한데이터식별 Proxy, agent, API 등의모델을통한통제 데이터암호화등을통한보호
감사합니다. 맥아피 ( 유클릭 ) 김경운팀장 23