cisco live 2014´라우드... · 2015-05-26 · cisco 2014 annual security report. title: cisco...
TRANSCRIPT
클라우드 시큐리티
성 일 용
시스코 코리아 부사장
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
IT홖경의 변화
사업과 기술의 변화가 데이터 센터에 영향을 미치다Simple. Smart. Secure.
비지니스 영향
성장/ 생산성향상
새로운 경험과기대치
새로운 비지니스모델
세계화 보안/규정
기술적 변화
새로운 소프트웨어모바일/비디오 클라우드 사물인터넷 빅데이터
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
셀프 서비스기반 자동화
설계 디자인 배치준비
제품조달
설치 구성 보안 서비스준비
수동 작업
수 개월에서 몇 분
서비스 기반 셀프 서비스 기반 자동화 필요에 따른 용량 증설
클라우드 기반 데이터센터의 서비스
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
국내 클라우드 보안지침
4
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
국외 클라우드 보안지침
5
Section I. Cloud Architecture
1 Cloud Computing Architectural Framework
Section II. Governing in the Cloud
2 Governance and Enterprise Risk Management
3 Legal Issues: Contracts and Electronic Discovery
4 Compliance and Audit
5 Information Management and Data Security
6 Portability and Interoperability
Section III. Operating in the Cloud
7 Traditional Security, Business Continuity and Disaster Recovery
8 Data Center Operations
9 Incident Response, Notification and Remediation
10 Application Security
11 Encryption and Key Management
12 Identity and Access Management
13 Virtualization
14 Security as a Services
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
클라우드 컴퓨팅의 위협요소
6
Top Threats to Cloud Computing, CSA (2013)
Data Loss or Leakage
91%
Insecure Interfaces and APIs
91%
Malicious Insiders
90%
Account or Service
Hijacking 88%
Abuse and Nefarious
Use of Cloud
Computing87%
Shared Technology
Issues 84%
Unknown Risk
Profile 81%
DDoS91% 81
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
Public Cloud
클라우드 서비스데이터 센터
Private Cloud
클라우드홖경에서 보안을 걱정하는 것은 ?
• 가상 홖경에 따른 추가적 취약
• 아키텍쳐 변화에 따른 추가적 취약점.
• 외부에 위탁 사용하는 인프라 -네트웍/ 서버/ 스토리지에 대한 보안성의 불확실성.
• 클라우드 인프라와 사내 인프라에 대한 연동성.
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
클라우드 서비스 핵심 보안 위협
8 클라우드 서비스 정보보호 안내서 (2011, 11)
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
데이터센터 보안에 필수요구사항
세그멘테이션
침해대응
규정
가시성
네트워크: 물리적, 가상화 (VLAN, VRF), VPN
정책 : 부서, 역홗, 단말기에 따른접근제어
방화벽: 가상화
공격전, 공격중, 공격후침해로부터 보호
게이트웨어와 패트롤 졲
DPI(Deep Packet Inspection)
데이터 사용에 대한 정확한정보
업무따른 네트웍/어플리케애션접근 제어
인증, 단말, 어플리케이션에대한 인지능력
표준 및 규정 만족을 통한불필요한 비용 감소
규정 만족 (PCI DSS, HIPAA, FISMA )
보고, 확인, 제거
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
데이터센터의 권한을 잃을 수 있다.가입자의 침해로 인해서 데이터센터가 침해되면
1단계 – 가입자 침해
침해 인터넷 사이트 방문
2단계 – 서버 침해
가입자는 정해짂 권한에 따라서버에
접근 및 침해
대부분의 조직에서는 ACL기반의접근제어 및 세그멘테이션 기능을
사용
3단계 – VMBR설치Virtual Machine-based Rootkits
가상머신은 공격자가 조정할 수 있는 상황
대표적인VMBR(SubVirt, Blue Pill, Vitriol)
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
일반적인 가상화 홖경에서의 문제점
• 일괄된 정책 적용– 물리서비기준 정책적용- 가상머신에 어려움– 가상머신의 이동시 기졲 정책의 이동성 어려움
• 운용과 관리
– 가상머신에 대한 가시성, 연속성 부족
– 효율적 운용을 위한 매니지먼트 및 관리의 어려움
• 역홗 및 책임– 서버운용자가 가상네트웍에 대한 책임 갖게됨.– 조직내 업무의 중복 및 규정에 대한 문제점 발생.
• 가상머신과 어플리케이션의 세그멘테이션– 동일한 서버내에서 서버와 어플리케애션의 분리– 규정을 만족하는 시스템과 비만족 시스템의 혼재
정책, 업무흐름, 운용
Hypervisor
Initial Infectio
n
Secondary Infection
11
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
보안을 기반으로 하는 데이터센터 아키텍쳐 필요
12
76%
East– West 트래픽 North–South 트래픽
17%
7%
데이터센터간 트래픽
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 13
Open S
tandard
Open S
tandard
Role-based UI/APIs
SLAs/ Contracts
Expedition/Reputatio
n
Secu
rity
SaaS PaaS IaaS
Reporting
SLA mgmt
CapacityPlanning
Billing
Metering
Provisioning``
Monitoring
Cloud Application
Cloud Application
CloudApplication
Software Kernel (OS, VM Manager)
Firmware, Hardware
Compute
Network
Storage etc
Virtualized Resource Virtual ImageImage
metadataImage
Mgmt
Service Creation
Service Publishing
Service Analytics
Service Costumer
ServiceDeveloper
클라우드 서비스
Cloud Computing Use Cases White Paper v4.0 참조
클라우드 컴퓨팅 아키텍쳐
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 14
Open S
tandard
Open S
tandard
Role-based UI/APIs
SLAs/ Contracts
Expedition/Reputatio
n
Secu
rity
SaaS PaaS IaaS
Reporting
SLA mgmt
CapacityPlanning
Billing
Metering
Provisioning``
Monitoring
Cloud Application
Cloud Application
CloudApplication
Software Kernel (OS, VM Manager,Hypervisor)
Firmware, Hardware
Compute
Network
Storage etc
Virtualized Resource Virtual ImageImage
metadataImage
Mgmt
Service Creation
Service Publishing
Service Analytics
Service Costumer
ServiceDeveloper
클라우드 서비스
Cloud Computing Use Cases White Paper v4.0 참조
클라우드 컴퓨팅 홖경에서 잠재적 위협요소
1
2
3
4
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
클라우드 매니지먼트 보안
15
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
클라우드 매니지먼트 보안
16
Vulnerability Management Process - OpenStack
© 2009 Cisco Systems, Inc. All rights reserved. 17
가상 머신 기반의 서비스 (서버, 라우터, F/W,
IPS)
가상 네트웍 인터페이스와 Switch와 연동
퍼블릭 사업자용 가상 스위치/ 가상 라우터의
기능이 매우 제한적
트래픽에 대한 가시성 부족
클라우드 서비스를 위한 네트웍
Server
HypervisorVirtual Switch
OS
App
Router
OS
App
OS
App
FireWall, IPS
HyperVisor
App
OS
App
OS
Virtual Switch
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
Virtual
Switch
Virtual
Switch
Virtual
Switch
HyperVisor HyperVisor HyperVisor
V
M
V
M
V
M
V
M
V
M
V
M
V
M
V
M
V
M
V
M
V
M
V
M
클라우드 서비스를 위한 네트웍
VSM1
VSM2
VEM-N
VEM-1
VEM-2
L2 M
od
e
L3 M
od
e
Modular Switch
…Linecard-N
Supervisor-1
Supervisor-2
Linecard-1
Linecard-2
Bac
k P
lan
e
© 2009 Cisco Systems, Inc. All rights reserved. 19
HypervisorvSwitch
HypervisorvSwitch
HypervisorvSwitch
클라우드 홖경에서 예상되는 네트워크 보안 이슈1. Mac Address 변조 가능성
HypervisorvSwitch
HypervisorvSwitch
2. IP 변조 가능성
3. DHCP Server 로 위장 – 모든 Virtual Desktop 에 영향 가능성
4. ARP Spoofing – Router IP의 MAC으로 위장 전체 네트워크 마비가능성
• 일관된 보안 정책 유지의
어려움.
• 물리적 서버보안 이슈와
동일한 이슈 잔존.
• 가상 스위치의 한계로
인한 구성의 어려움.
클라우드 서비스를 위한 네트웍
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
하이퍼바이저 하이퍼바이저 하이퍼바이저하이퍼바이저
서버
가상 스위치
가상 스위치에서 보안 및 장애 진단
맥 어드레스 변조
아이피 변조
DHCP 서버로 위장
ARP Spoofing
Port Mirroring, NetFlow, QoS
정책의 이동성 및 무중단 운영모델
클라우드 서비스를 위한 네트웍
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
Tenant BTenant AVDC
vApp
vApp
VDC
Firewall Firewall Firewall
Firewall
FireWallFirewall
HyperVisor
Virtual Switch
Router Router
백신 VM을 설치,전체 VM 및 CPU,
Memory, 스토리지 및 네트워크
까지 보호 (VM Introspection)
Virtual Machine 들을 위한
가상방화벽 기능 제공
퍼블릭 Service Domain / Gateway
에 대한 가상 방화벽 / IPS 구성
필요.
클라우드 서비스를 위한 네트웍
보호엔짂
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
세그멘테이션/분리/가동성 수준
네트워크 세그멘테이션
VLAN 1 VXLAN 2
VLAN 3
VLAN기반 네트웍세그멘테이션
DEV
TEST
PROD
어플리케이션사이클에 의한세그멘테이션
PRODUCTION POD
DMZ
SHARED SERVICES
기본적데이터센터
세그멘테이션
어플리케이션별서비스 레벨에따른 마이크로세그멘테이션
WEB
APP
DB
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
클라우드 홖경에서 자동화된 차단 능력
Host 3
Application 1(Physical)
Host 1 Host 2
Application 2(Physical)
VM
VM
VM
방화벽/IPS가 초기 주요 보안 공격에 대한 탐지/경보
Proactive Detection Mitigation Incident Response and Mission Assurance
Attack Lifecycle
Weaponize Execute
Deliver Control Maintain
Exploit
Recon
정책서버방화벽, IPS분석 서버
방화벽/IPS에서 침해 및 공격상황 분석
정책서버를 통한 그룹 정책배포로 공격 차단 및 격리
지속적인 공격 상황에 대한 이벤트 수집 및 분석
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
지속적인 공격에 대응할 수 있어야 한다.
공격젂철저한확인
공격후침해 범위
복구
지속적인 공격
네트워크 단말기 모바일 가상화 클라우드
공격차단능력
공격중
특정시간 연속적
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
데이터 센터는 제4의 젂선
If data has any ―street value‖ — whether it’s a major corporation’s intellectual property or an individual’s healthcare data — it is desirable and, therefore, at risk.
And most organizations, large and small, have already been compromised and don’t even know it: 100 percent of business networks analyzed by Cisco have traffic going to websites that host malware.
Cisco 2014 Annual Security Report