클라우드환경에서의 보안및데이터보호 - 가상화솔루션중심으로 2019.3.7
Ⅰ Ⅱ Ⅲ Ⅳ Ⅴ 클라우드컴퓨팅클라우드보안위협클라우드환경에서의보안클라우드데이터보호회사소개
Ⅰ 클라우드컴퓨팅
클라우드컴퓨팅? 클라우드컴퓨팅 Ⅱ 서비스제공방식 (SaaS, PaaS, IaaS), 구현방법및구성유형 (Public, Private, Hybrid) - 4 -
인프라재분배 - 퍼블릭및프라이빗클라우드 클라우드컴퓨팅 Ⅱ - 5 -
클라우드컴퓨팅 - IaaS 클라우드컴퓨팅 Ⅱ IT 와데이터센터는모바일, 소셜, 빅데이터, 클라우드서비스를기반으로구축된거대한구조적변화중클라우드서비스의배포모델은크게퍼블릭및프라이빗의두가지유형 IaaS 를위한아키텍쳐모델 - 6 -
클라우드서비스특성 클라우드컴퓨팅 Ⅱ - 7 -
클라우드플랫폼구조 클라우드컴퓨팅 Ⅱ 하아퍼바이저 (Hypervisor) : 물리적서버위에존재하는가상화레이어 - 8 -
클라우드주요기술 클라우드컴퓨팅 Ⅱ 가상머신 & 가상화라이프사이클 가상화네트워크 - 9 -
Ⅱ 클라우드보안위협
클라우드보안위협과구분 클라우드보안위협 Ⅱ - 11 -
클라우드서비스의보안위협요소 클라우드보안위협 Ⅱ - 12 -
클라우드보안문제와해결책 클라우드보안위협 Ⅱ * 출처 : 소프트웨어정책연구소연구보고서 - 13 -
Ⅲ 클라우드환경에서의보안 [NEPYX NDT, NC]
클라우드환경에서의보안 망분리 클라우드보안 Ⅲ AWS 에서운영중인개발및업무서버에대한망분리및연계를통한보안강화 국정원, 금융위원회보안가이드라인준수 - 15 -
- 3SSOFT 에서자체개발하여공급하는망분리 / 망연계통합솔루션 인터넷망 업무망 방화벽 외부서버 / 메일연계솔루션 정보처리시스템 업무서버 외부서버 웹서버 방화벽 0 스위치 업무서버 인터넷 가상머신 (VM) VDI 서버 VDI 포탈서버 VDI 클라이언트 분리된망間데이터스트리밍을위한망연계솔루션 분리된망間자료 ( 파일 ) 를전송하는망연계솔루션 논리적망분리를위한 VDI 솔루션 물리적망분리를위한인터넷 / 업무용전용 PC - 16 -
- 3SSOFT 에서자체개발하여공급하는망분리 / 망연계통합솔루션 NEPYX NetDesktop (NDT) NEPYX NetCloud(NC) NEPYX NetworkBridge (NB) NEPYX FileBridge (FB) - 17 -
클라우드기반가상화솔루션 클라우드보안 Ⅲ NEPYX NetDesktop 솔루션은업무망, 연구소망, 생산망, 개발자망, 재택근무등내부업무환경개선을위한 SBC (Sever Based Computing) 방식의가상화 VDI 클라우드인프라를제공하는데스크톱가상화 (VDI) Solution 클라이언트 하이퍼바이저 (KVM) 인터넷망분리 제로클라이언트씬클라이언트 VDI 접속 사용자인증 가상머신 (VM) 스토리지 사용자정책 인터넷망분리 스마트워크 인터넷 스마트워크 재택 / 이동 / 해외출장근무 내부시스템 가상화관리 사용자데이터 사용자인증 / 정책 업무환경개선 내부업무환경개선개발자 VDI 등 - 18 -
클라우드기반가상화서버 클라우드보안 Ⅲ NEPYX NetDesktop 하드웨어아키텍처는 Software Define Storage 를지원하는클라우드구조의수평적 HW 구성 서버구성아키텍처 HOST 서버 Pool 구성 / 수평적클러스터링확장 VM 할당운영아키텍처 HOST 서버장애시타 HOST 로 VM 자동재할당 Web Web Web Web Pool VM VM VM VM Controller Controller Controller Controller Pool VM VM VM Host Host Host Host Pool VM VM VM VM 물리서버 물리서버물리서버 SDS ( Ceph Block Storage ) Storage Pool VM VM VM VM Software Define Storage HOST 서버장애시 - 19 -
클라우드기반가상화 SW 클라우드보안 Ⅲ NEPYX NetDesktop Software 는 SDS(Software Defined Storage) 기반의클라우드컴퓨팅환경에적합한 VDI 솔루션 서버 NDT Web NDT NDT Web 가상머신 OS 가상머신 User Application OS Portal Web 가상머신 User Application OS User NDT Application Controller NDT Controller NDT Controller, 하이퍼바이저 SDS, DB(KVM) 하이퍼바이저 (KVM) 하이퍼바이저 (KVM) Linux Linux Linux 가상화서버 (CA) 가상화서버 (CA) 가상화 HOST 서버 HOST 서버수평적확장 (N + 1 클라우드아키텍처 ) 통신 Protocol : RDP, SPICE, NMSP 클라이언트 PC 클라이언트 씬클라이언트 제로클라이언트 NetDesktop Client NetDesktop Client NetDesktop Client 운영체제 (Windows) 운영체제 (Windows) Linux Win7, Win8.1, Win10 32/64bit, Linux 지원 NMSP (NEPYX Multimedia Service Protocol) - 20 -
클라우드기반가상화 유연한운영기능 클라우드보안 Ⅲ 다양한 OS 환경지원, 고정사용자방식, DynamicPool 방식, 사용자인사 DB 또는 AD 연동, 보안정책관리등유연한운영기능제공 다양한 Client 사용자계정연동및관리 Windows Client Zero Client Linux Client 인증 관리자 VDI 사용자인증 인사정보연동 사용자계정관리연동, AD, SSO 연동 VM 그룹관리 고객사인사 DB 서버 다양한보안정책관리 관리서버 다양한가상머신운영방식 CD/DVD 사용자 / 그룹별 보안정책 스마트카드 VM 접속 VM 할당 표준이미지 A Static VM ( 고정 ) 외장 HDD USB 메모리 < 가상머신 > 로컬프린터 가상화서버 표준이미지 B Dynamic VM (Pool) - 21 -
클라우드기반가상화 SW 클라우드보안 Ⅲ 국정원보안적합성인증 (CC 인증 EAL3), 암호화통신및 IP 기반접근통제등의보안성제공 보안인증취득 암호화통신 / 암호화 패스워드일방향암호화관리자PC VDI서버 VM Client 국가정보원보안적합성인증동종업계국내최고등급 TLS1.2 암호화통신 TLS 1.2(RSA 2048, AES 256, SHA 256) RSA 공개키암호화통신 다양한보안정책 계정관리, 인사 DB 연동, AD 연동 IP 기반접근통제기능제공 접속 / 실패 / 로그아웃등 감사로그제공 USB/ 외장저정장치통제등 VDI 사용가능시간통제 백신및패치관리 Linux Cent OS 7.2 - OS 패치는사전영향도검토후패치 Linux 서버백신 - ClamAV / Linux 용상용백신 패턴정기업데이트 - 백신패치, PMS - 22 -
클라우드기반가상화 운영포털 클라우드보안 Ⅲ NetDesktop 은 VDI 클라우드운영포털을제공하며, VDI 관리를위한직관적이쉬운관리자인터페이스 VDI 운영포털메인화면 체크박스연동생성, 이동, 적용, 삭제 간편정보도메인, 부서, 사용자 상세정보 - 23 -
클라우드기반가상화 운영아키텍처 클라우드보안 Ⅲ PC AD 서버 / 계정관리서버 VDI HOST 서버 1 ~ N 웹브라우저 기존 AD 연동 Control Agent VM#1 VM#2 관리자 사용자데이터영역할당 가상화관리보안감사 VM#3 VM#N NetDesktop Security Virtual Channel 씬 Client NetDesktop Client VDI 포털 / 관리서버 Connection Manager 식별및인증 식별및인증 개발자 / 외주상근직원 사용자관리 가상화시스템관리 통신및암호 Storage Defined Storage 클라이언트관리 운영관리 제로클라이언트 NetDesktop Client 공지사항관리 이력관리 연결관리 VM 정책관리 KVM 하이퍼바이저 LINUX 임베디드 Linux 운영체제 개발자 / 외주상근직원 WAS DBMS 공유자원풀 LINUX Virtual Storage (Ceph) Network - 24 -
클라우드기반가상화 확장성 클라우드보안 Ⅲ - 25 -
클라우드기반가상화 보안성, 편의성 클라우드보안 Ⅲ - 26 -
운영포털 주변기기보안통제 클라우드보안 Ⅲ 주변기기사용제어프로세스 1 주변기기사용승인요청 6 주변기기사용 가상 PC 내주변기기사용필요사용자 5 승인 / 반려결과에따른실시간공지 4 승인 / 반려처리 사용자 Client 3 요청승인 / 반려 전체또는지정권한담당자 VDI 운영포탈 NEPYX NetDesktop 정책관리 연동 2 요청알림 (SMS 또는 Mail) 정책설정 정책등록 정책할당 CD/DVD 외장 HDD USB 메모리 < 가상머신 > 프린터 - 27 -
클라우드기반가상화 사용자계정연동 클라우드보안 Ⅲ AD 및 SSO 연동 / 인증구성 가상 PC 접속클라이언트 Active Directory VDI 운영포탈 연동 NEPYX NetDesktop 계정관리 인증서버 연동 연동 가상 PC 전체또는지정권한담당자 - 28 -
클라우드기반가상화 효율및보안 클라우드보안 Ⅲ Pool 방식의사용자가 VM 사용종료시 VM 자동초기화지원 ( 운영효율성향상, 보안강화 ) 일정시간사용하지않는 VM 은세션타임아웃기능지원 ( 자원운영효율화 ) 가상 PC 초기화 가상머신초기화 ( 보안관리, 효율적자원운영 ) Pool 방식의사용자가 VM 사용종료시 VM 초기화지원 관리자에의한 VM 일괄초기화지원 - VM 을 Pool 방식으로사용시, 보안관리를위해 VM 초기화필요 가상머신세션타임아웃 ( 효율적자원관리 ) VM 로그인후, VM 을사용하지않고방치하는경우자원낭비 일정시간사용하지않는경우자동세션타임아웃지원 사용자당최대사용시간지정지원 사용자 사용자 가상머신사용종료시, 가상머신초기화 ( 개인프로파일은유지 ) 관리담당자 일정시간미사용시세션자동종료지원 사용자당최대사용시간지정지원 관리담당자 초기화권한가상머신별, 그룹별, 전체 세션종료, VM 종료등권한 - 29 -
클라우드기반가상화 프로비저닝 클라우드보안 Ⅲ - 30 -
클라우드기반가상화 메시지전달 클라우드보안 Ⅲ 공지사항및작업메시지관리 관리자 1) 공지사항등록 VDI 운영포탈 2) 메시지전파등록 A D 3) 사용자메시지확인 ( 윈도우메시지서비스 ) 사용자 VDI 4) 공지사항확인 공지사항및메시지등록 공지사항및메시지수신 작업내용등공지사항등록 사용자공지메시지등록 등록된사용자공지메시지 AD 서버를통한송신 AD 계정의도메인컨트롤러계정을활용한메시지송신 각 VDI 사용자의윈도우메시지서비스를통한메시지수신 - 31 -
클라우드기반가상화 사례 클라우드보안 Ⅲ 서버 Farm 인터넷망 DMZ Zone 내 / 외부개발자여부에따라 VDI Zone 검토 업무망백본 인터넷망백본 클라우드용 4,000 유저 인터넷사용자 - 32 -
Ⅳ 데이터보호
데이터보호전략 @Cloud 데이터보호 Ⅳ 4 가지핵심고객요구사항지원 Storage IaaS ITaaS DRaaS TO THE CLOUD IN THE CLOUD SELF SERVICE DR Options 백업데이터장기보존 Cloud Workload 보호 End User 의사용편의성 On-Prem to Cloud IaaS 스토리지및회선비용 CSP 제공 Snapshot 관리 확보 백업 DR 센터확보 절감 Self Service Portal 연동 (On-Prem or Cloud) CloudCatalyst MSDP & CloudPoint NetBackup Self Service A.I.R to On-Prem or Cloud - 34 -
Backup to the Cloud #1 데이터보호 Ⅳ S3 Connector Accelerator Secure & Encrypted NetBackup Master/Media Server Bandwidth Throttling - 35 -
Backup to the Cloud #2 CloudCatalyst 데이터보호 Ⅳ - 36 -
Cloud 데이터보호방안 Backup in the Cloud 데이터보호 Ⅳ Snapshot 을통한시점보호 CloudPoint APIs NetBackup Discover & Protect IaaS Index, Catalog Snapshot Replicate - 37 -
CloudPoint 를활용한 Cloud Snapshot 통합관리방안 데이터보호 Ⅳ - 38 -
Cloud 데이터보호방안 Backup in the Cloud 데이터보호 Ⅳ - 39 -
Public Cloud Workload 백업방안 데이터보호 Ⅳ - 40 -
Public Cloud 와 Local DC Workload 통합백업방안 데이터보호 Ⅳ - 41 -
백업데이터다양한 DR 소산방안 데이터보호 Ⅳ - 42 -
Public Cloud 환경과연동 데이터보호 Ⅳ - 43 -
구축사례 G 건설 데이터보호 Ⅳ 백업저장장치 (PTL) 노후화로인한장애로업무효율성이떨어져이를개선하고자백업저장소중하나인 Cloud 를사용하여기존대비백업성능, 기능, 운영 / 관리개선 Master Server SAN 백업 NBU Client Administratio Catalog n Console Databases 백업마스터 FC HBA FC HBA SAN 백업서버 : 30대 Network 백업 : 12 대 범 례 Master Server San 백업 N/W 백업 SAN S/W ᆞ클라우드데이터전송할대상 NUBA 5240 14TB 로백업수행 ᆞ백업된데이터는 Cloud Storage 로전송 Note: CloudCatalyst 서버별하나의 NetBackup 도메인및클라우드공급자구성 Note: 여러미디어서버에서데이터를수신 (n:1) MSDP No Rehydration NBUA 5240 14TB 데이터전송트래픽감소 - 44 -
Ⅴ 회사소개
3S 소프트 회사소개 Ⅴ 일반현황 회사명 사업장주소 ( 본사 / 지사 ) 3S 소프트 본사 ) 서울특별시서초구양재동마방로 6 길 3, 린빌딩대구사무소 ) 대구광역시서구원대로 25-12, 2 층 설립일 2000 년 3 월매출액 320 억 (2018 년 ) 대표자명김종택전화번호 / 이메일 02.576.2436, jtkim@3ssoft.co.kr 법인등록번호 110111-1926116 사업자등록번호 214-86-53717 기술용역등록분야 시스템컨설팅, 소프트웨어개발 주요연혁 2017. 2016. 2015. 2011. 2007. 2007. 2007. 2005. 2002. 2000. 2000. 주요연혁 망연계차세대제품 CC(EAL4) 인증진행中망연계제품 CC(EAL2) 인증논리적망분리제품 CC(EAL3),GS 인증, 망연계제품 GS인증한국레드헷 (Redhat) Reseller 체결한국 Microstrategy 와 Reseller 체결기술보증기금벤처인증중소기업청 INNO-BIZ 기업선정기업부설연구소설립 Oracle Korea와 Reseller 체결한국베리타스 (www.veritas.co.kr) 과 Reseller 체결쓰리에스소프트, 법인설립 주요실적 라이나생명망연계시스템구축 스마트저축은행망분리망연계통합구축 청호이지캐쉬물리적망분리망연계통합구축 BNK 신용정보망연계시스템구축 IBK 저축은행망연계시스템구축 하이플러스스마트카드망분리시스템구축 대구은행망분리 ( 통합보안, 승인반출시스템연동개발 ) 서울시교통제어망연계시스템구축 실리콘웍스망연계시스템구축 경기도교통센타망분리 / 망연계통합시스템구축 하남시광역버스정보망망연계시스템구축 포스코생산망종합방재가상화시스템구축및확대 한국전력내부정보유출방지시스템 (VDI) 프로젝트 대구은행통합보안시스템 - 46 -
3S 소프트 주요사업분야 Open Sources by Expertise 차세대망연계기술 회사소개 Ⅴ 20년경험의이중화 ( 고가용성 ) 및데이터보호전문회사 시스템소프트웨어 이중화클러스터, 고가용성및백업 인피니밴드통신기술 시스템용량최적화관리 망분리및가상화기술 Oracle Database Cloud Platform 기술 데이터웨어 Data/Document 아카이빙 BI Meta Data/Analytic View 설계 / 구축 ETL 설계및 ETT Migration DW & Big Data 인프라등 Big Data 설계및구축 Linux Core 기술 Summary & Field Experience 전산업분야의풍부한경험 ( 금융, 유통, 통신, 공공, 제조 ) 대구은행, BC 카드, 신한금융, 하나은행, 한국은행, LG/ 삼성전자,SK 하이닉스, POSCO, 서울시, 한화갤러리아, EBAY, LGU+, KT, 현대백화점, GS 홈쇼핑등 IT Core 기술력 ( 보안, 통신, 시스템, DATA 분야 ) 보안, 네트워킹, Clustering, Backup, 용량설계, 시스템가상화, BI, ETL, DB, Big Data, Networking, Security, Cloud Application 및 Software R&D 지원역량보유 관련 Core 기술인력과 Know-How 지원 - 47 -