데스크탑 가상화를 활용한 망분리 방안 김준철 부장 Sales Engineer Citrix Korea
Citrix = 토탈 클라우드 서비스 매끄러운 사용자 경험 안전한 접근 클라우드 솔루션 1010SL1010101SSL01
목 차 망분리 사업 전망 금융전산 망분리 가이드라인 표준 데스크탑 방안 VDI 망분리 종류와 장단점 시트릭스 망분리 가이드 M생명 구축 사례 VDI 망분리 고려 사항
최근 보안 사고 특징 및 망분리 사업 전망
최근 금융사고 형태 3.20 사이버공격 카드사 고객정보유출 정의 APT 공격으로 인한 업무 무력화 내부접근자로부터의 정보유출 공격경로 직원PC악성코드 감염 -> PMS서버 감염 -> 악성코드배포 USB를 이용한 정보유출 가이드 라인 망분리 인터넷 차단 망분리? DRM? ECM?
망분리 사업의 특징
2014 망분리 시장 전망
Voice of Customer
금융전산 망분리 가이드라인
금융전산 망분리 가이드라인 정의 물리적 망분리 통신망을 물리적으로 업무용과 인터 넷용으로 분리하고 별도PC 사용 논리적 망분리 통신망을S/W적으로업무용과인터넷용으 로분리하고논리적으로분리된PC사용 대상 전산센터 본점, 영업점 업무망 인터넷망 구성안 PC 1인당 2개 PC 1인당 1 PC
금융전산 망분리 가이드라인(전체)
금융전산 망분리 솔루션 종류
표준 데스크탑 방안
이제는 사용자 PC 관리 변화가 필요한 때!
APT 공격 예 첨부파일 클릭과 동시에 백그라운드로 백도어가 복사되고 서비스로 등록됨
전통적인 기업 PC 구조 사용자 어플리케이션 기업 데이타 + 악성 코드 + 데이타 기업 어플리케이션 Windows OS 이미지
데스크탑 초기화 방식 데이터 중앙 저장 사용자 데이터 별도 관리 관리자에 의해 중앙 관리 기존 PC 방식 로그오프시 Reset 새 이미지 배포 1 : 1 1 :n 재부팅, 로그온시 설치된 모든 프로그램 Reset 공통 OS, 업무 어플리케이션 이미지를 공유 로그온 시 새로운 Clean이미지를 배포 데스크탑 공유 Reset 방식
데스크탑 초기화 방식 장점 보안/안정성 향상 사용자 컴퓨팅 환경 표준화 VDI 구축 /운영 비용 절감 사이버 공격시 가장 신속한 업무 복귀
어떻게 망분리 할것인가? VDI 망분리 종류와 장단점
망분리 타입(인터넷 망분리) 인터넷망분리(PC : 인터넷 차단, 업무망 접속) 물리 PC(업무) 가상 PC(인터넷) 사내업무서버 인터넷 1인 1PC 인터넷 VDI Zone 장점 가장 빠르게 적용 보안이 뛰어남 업무환경 변화 적음 업무망분리에 비해 저비 용 인터넷 망분리 단점 스마트워크 업무 불가
망분리 타입(업무망분리) 업무망분리(PC : 인터넷접속, 업무망 차단) 물리 PC(인터넷) 가상 PC(업무) 사내업무서버 인터넷 업무망 VDI Zone 1인 1PC 장점 장애, 사이버공격에 신속한 대응 스마트워크 지원 정보중앙 저장 및 유출 방지 업무망 망분리 단점 업무환경 변화 많음 인터넷 망분리에 비 해 고비용
시트릭스 망분리 가이드
망분리 타입-1 (인터넷 망분리) 인터넷 망분리 W2K8 W2K8 W2K8 W2K8 VM VM VM VM XenServer SBC (Server Base Computing) 서버당 200 User 브라우저만 제공 용도 : 인터넷 검색 개인 이메일 Product : Citrix XenApp 사내업무서버 인터넷 VM VM VM VM XenServer VDI (Virtual Desktop Infra) 서버당 50 User OS 제공 용도 : 인터넷 뱅킹 인터넷 쇼핑 Product : Citrix XenDesktop 1000 명 규모 인터넷망분리 시니리오 (500VM 필요,동시접속 50%) Full VDI (100%) SBC(80%) + VDI (20%) 1인 1PC VDI 서버 10대 SBC 서버 2대 VDI 서버 2대
망분리 타입-2(업무망분리) 업무망분리 1000 명 규모 업무망분리 시니리오 (1000VM 필요,동시접속 100%) Dedicate VM Reset VM 사내업무서버 인터넷 서버수량 (서버당 50VM) 20대 20대 스토리지* (VM당 30GB) 30TB = 30GB * 1000VM 1.3TB = 30GB * 1 + 1GB* 1000VM 업무망 VDI Zone 장점 100% 개인화 지원 중앙 단일 이미지 로 표준화 및 보안 이 뛰어남. 구축비용 감소. 1인 1PC 기존 PC의 관리방 식과 동일하여 표 단점 준화 및 관리 어려 움. * 개인 데이터 저장공간 제외됨. 어플리케이션 호환 성 테스트 필수
M생명 구축 사례 다우기술 VDI 지원팀 김정도 부장 (jdkim@daou.com)
사업 추진 개요 2011년 4월 가상 데스크탑 1,000VM 구축 추진 2011년 9월 가상데스크탑 1,000VM 이행 2012년 4월 A사 제품으로 1,000VM 구축완료 2013년 4월 가상데스크탑 500VM 확대 구축 추진 2013년 5월 Citrix 1,500VM 이관 이행 2013년 11월 Citrix 1,500VM 구축 완료
확장 추진 시 도전과 기회 Challenge 취약한 네트워크 인프라 전사 화상회의 문화의 확산 요구 TCO 변화관리 Winsows XP EOS Opportunity 전사 IPT(IP Telephony) 전환 금융권 망분리 의무 적용 Windows XP EOS
Citrix 선정 배경 #1 UC 환경에 최적화된 VDI환경 제공 Cient #1 Cient #3 Cient #2 1 : N 다자간 화상회의 단말기 #1 단말기 #2 단말기 #3 결과 단말기 모델명 모델 A 모델 B 모델 C 단말기 Spec Dual-core AMD G-Series T48E 1.65 GHz Dual-core AMD G-Series T48E 1.65 GHz Dual-core AMD G-T56N 1.65 GHz Thin Client 단말기 3ea로 Test결과 영상/오디오 Delay 없이 우수함. 적용 Citrix Receiver Receiver 3.1적용 Receiver 3.1적용 Receiver 3.1적용 Receiver 3.1버전에서 가장 최적화 됨. USB 마이크폰 MS LX-3000 MS LX-3000 MS LX-3000 오디오 출력 우수 USB 웹캠 MS HD Cinema Logitech C210 Logitech C210 비디오 출력 우수
Citrix 선정 배경 #2 네트워크 최적화 기능 제공 타사 대비 수배 빠른 Flash기반 웹 프로그램과 동영상 재생 속도 성능 로컬클라이언트 장치 또는 서버의 성능을 고려한 플래시 재생으로 성능 및 확장성 개선 타사 대비 수배 작은 네트워크 대역폭 점유 대역폭 프레임 Rate Citrix XenDesktop LAN 환경 타사 VDI 제품 WAN 환경 Flash 처리 속도 비교 Citrix HDX for Multimedia 지원 요건 사용자 단말단에 설치된 Codec 을 통해 가속. Virtual Desktop에 IE 7 이상, Adobe Flash Player 10 이상 필요. AVI, MPEG, MPG, ASF, WMA, WMV 파일 포맷 지원 Citrix HDX for Flash 지원 요건 사용자 단말단에 IE에 Adobe Flash Player 10 이상 필요. Virtual Desktop에 IE 7 이상, Adobe Flash Player 10 이상 필요.
Citrix 선정 배경 #3 다양한 업무용 주변장치 지원 접속PC 및 주변장치 Citrix XenDesktop 정책 적용 가상데스크톱에서 주변장치 이용 사용자 단말기 Computer policies User policies 웹캠 헤드셋 Citrix Desktop Studio HDX Policy Machines 정책 Users 정책 다중정책 우선순위 정책 Filter - Client IP - Client name - Desktop Group - Desktop type - OU - User or Group 가상 데스크탑 가상 데스크탑 마이크폰 스캐너 프린터 보안동글 통장 프린터 카드 리더기 기타
시스템 구성도 Mini PC Direct Access VDI 구성도 Virtual Desktops IPCC (MACS/TAS) TFC지점 본사 고객센터 Mini PC WAN (MSPP) LAN MACS TAS CRM 통합녹취 WAN (ADSL) N/W Device Server : 33EA FC지점 Zero-Client 2.9GHz 2P16Core 176G 기존PC Storage NetApp (30T/40T) 기간계 ERP WTS...... 금융P/지점 기존PC Remote Access 자택/모바일 Centralized V.D. Infrastructure Other Biz. Systems
사용자 가상데스크탑 환경 ᵒ OS : Windows 7 ᵒ CPU : 2 vcpu ( 2P/16 Core Server) ᵒ RAM : 3G ᵒ HDD : OS 40G / DATA 40G ᵒ OS : Windows 7 ᵒ CPU : Pentinum 2.5Ghz ᵒ RAM : 2G ᵒ HDD : SSD 16G or 64G Virtual Desktops LAN N/W Device Server Storage Centralized V.D. Infrastructure
가상화 추진 Keyword TCO측면(1VM당 가격) 집적도 Dedupe / Thin Provisioning 한번에 많이 vs 점진적 도입 Snap Shot PC유지보수 비용 교체 주기 망분리 변화관리측면(저항) Smart Office OTP Windows 7? 망분리
향후 추진 계획 앱 가상화(Citrix XenApp) 적용 확대 ᵒ ᵒ 영업포털을 FC 주요도구로 활용 하도록 유도 그룹웨어 등 확대 적용 망분리를 위한 전사 확대 적용 ᵒ ᵒ 가상화 관리 포털 구현 2014년 상반기 본사 2014년 / 지점 2015년 확대 추진 전사 가상화 전환 완료 가상화와 IPT인프라를 활용한 새로운 혁신 모델 개발 가상 데스크톱 비즈니스 혁신 도구
망분리 고려사항 설계 고려사항 성능 호환성 이슈 사용자 편의성 사용자 환경 분석의 VM 리소스 설정 기존 보안 어플리 사용자 접근 편리 객관성 네트워크 Bandwidth 예측 어플리케이션 호환 성 확보 스토리지 IOPS 국내 포탈 환경에 맞는 네트워크 동영상 네트워크 부하 케이션과의 호환 성 인터넷뱅킹 ActiveX 호환성 사용자 편의 기능 망분리 호환 기능
A B
Work better. Live better.