클라우드 시큐리티

성 일 용

시스코 코리아 부사장

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

IT홖경의 변화

사업과 기술의 변화가 데이터 센터에 영향을 미치다Simple. Smart. Secure.

비지니스 영향

성장/ 생산성향상

새로운 경험과기대치

새로운 비지니스모델

세계화 보안/규정

기술적 변화

새로운 소프트웨어모바일/비디오 클라우드 사물인터넷 빅데이터

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

셀프 서비스기반 자동화

설계 디자인 배치준비

제품조달

설치 구성 보안 서비스준비

수동 작업

수 개월에서 몇 분

서비스 기반 셀프 서비스 기반 자동화 필요에 따른 용량 증설

클라우드 기반 데이터센터의 서비스

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

국내 클라우드 보안지침

4

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

국외 클라우드 보안지침

5

Section I. Cloud Architecture

1 Cloud Computing Architectural Framework

Section II. Governing in the Cloud

2 Governance and Enterprise Risk Management

3 Legal Issues: Contracts and Electronic Discovery

4 Compliance and Audit

5 Information Management and Data Security

6 Portability and Interoperability

Section III. Operating in the Cloud

7 Traditional Security, Business Continuity and Disaster Recovery

8 Data Center Operations

9 Incident Response, Notification and Remediation

10 Application Security

11 Encryption and Key Management

12 Identity and Access Management

13 Virtualization

14 Security as a Services

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

클라우드 컴퓨팅의 위협요소

6

Top Threats to Cloud Computing, CSA (2013)

Data Loss or Leakage

91%

Insecure Interfaces and APIs

91%

Malicious Insiders

90%

Account or Service

Hijacking 88%

Abuse and Nefarious

Use of Cloud

Computing87%

Shared Technology

Issues 84%

Unknown Risk

Profile 81%

DDoS91% 81

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

Public Cloud

클라우드 서비스데이터 센터

Private Cloud

클라우드홖경에서 보안을 걱정하는 것은 ?

• 가상 홖경에 따른 추가적 취약

• 아키텍쳐 변화에 따른 추가적 취약점.

• 외부에 위탁 사용하는 인프라 -네트웍/ 서버/ 스토리지에 대한 보안성의 불확실성.

• 클라우드 인프라와 사내 인프라에 대한 연동성.

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

클라우드 서비스 핵심 보안 위협

8 클라우드 서비스 정보보호 안내서 (2011, 11)

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

데이터센터 보안에 필수요구사항

세그멘테이션

침해대응

규정

가시성

네트워크: 물리적, 가상화 (VLAN, VRF), VPN

정책 : 부서, 역홗, 단말기에 따른접근제어

방화벽: 가상화

공격전, 공격중, 공격후침해로부터 보호

게이트웨어와 패트롤 졲

DPI(Deep Packet Inspection)

데이터 사용에 대한 정확한정보

업무따른 네트웍/어플리케애션접근 제어

인증, 단말, 어플리케이션에대한 인지능력

표준 및 규정 만족을 통한불필요한 비용 감소

규정 만족 (PCI DSS, HIPAA, FISMA )

보고, 확인, 제거

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

데이터센터의 권한을 잃을 수 있다.가입자의 침해로 인해서 데이터센터가 침해되면

1단계 – 가입자 침해

침해 인터넷 사이트 방문

2단계 – 서버 침해

가입자는 정해짂 권한에 따라서버에

접근 및 침해

대부분의 조직에서는 ACL기반의접근제어 및 세그멘테이션 기능을

사용

3단계 – VMBR설치Virtual Machine-based Rootkits

가상머신은 공격자가 조정할 수 있는 상황

대표적인VMBR(SubVirt, Blue Pill, Vitriol)

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

일반적인 가상화 홖경에서의 문제점

• 일괄된 정책 적용– 물리서비기준 정책적용- 가상머신에 어려움– 가상머신의 이동시 기졲 정책의 이동성 어려움

• 운용과 관리

– 가상머신에 대한 가시성, 연속성 부족

– 효율적 운용을 위한 매니지먼트 및 관리의 어려움

• 역홗 및 책임– 서버운용자가 가상네트웍에 대한 책임 갖게됨.– 조직내 업무의 중복 및 규정에 대한 문제점 발생.

• 가상머신과 어플리케이션의 세그멘테이션– 동일한 서버내에서 서버와 어플리케애션의 분리– 규정을 만족하는 시스템과 비만족 시스템의 혼재

정책, 업무흐름, 운용

Hypervisor

Initial Infectio

n

Secondary Infection

11

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

보안을 기반으로 하는 데이터센터 아키텍쳐 필요

12

76%

East– West 트래픽 North–South 트래픽

17%

7%

데이터센터간 트래픽

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 13

Open S

tandard

Open S

tandard

Role-based UI/APIs

SLAs/ Contracts

Expedition/Reputatio

n

Secu

rity

SaaS PaaS IaaS

Reporting

SLA mgmt

CapacityPlanning

Billing

Metering

Provisioning``

Monitoring

Cloud Application

Cloud Application

CloudApplication

Software Kernel (OS, VM Manager)

Firmware, Hardware

Compute

Network

Storage etc

Virtualized Resource Virtual ImageImage

metadataImage

Mgmt

Service Creation

Service Publishing

Service Analytics

Service Costumer

ServiceDeveloper

클라우드 서비스

Cloud Computing Use Cases White Paper v4.0 참조

클라우드 컴퓨팅 아키텍쳐

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public 14

Open S

tandard

Open S

tandard

Role-based UI/APIs

SLAs/ Contracts

Expedition/Reputatio

n

Secu

rity

SaaS PaaS IaaS

Reporting

SLA mgmt

CapacityPlanning

Billing

Metering

Provisioning``

Monitoring

Cloud Application

Cloud Application

CloudApplication

Software Kernel (OS, VM Manager,Hypervisor)

Firmware, Hardware

Compute

Network

Storage etc

Virtualized Resource Virtual ImageImage

metadataImage

Mgmt

Service Creation

Service Publishing

Service Analytics

Service Costumer

ServiceDeveloper

클라우드 서비스

Cloud Computing Use Cases White Paper v4.0 참조

클라우드 컴퓨팅 홖경에서 잠재적 위협요소

1

2

3

4

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

클라우드 매니지먼트 보안

15

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

클라우드 매니지먼트 보안

16

Vulnerability Management Process - OpenStack

© 2009 Cisco Systems, Inc. All rights reserved. 17

가상 머신 기반의 서비스 (서버, 라우터, F/W,

IPS)

가상 네트웍 인터페이스와 Switch와 연동

퍼블릭 사업자용 가상 스위치/ 가상 라우터의

기능이 매우 제한적

트래픽에 대한 가시성 부족

클라우드 서비스를 위한 네트웍

Server

HypervisorVirtual Switch

OS

App

Router

OS

App

OS

App

FireWall, IPS

HyperVisor

App

OS

App

OS

Virtual Switch

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

Virtual

Switch

Virtual

Switch

Virtual

Switch

HyperVisor HyperVisor HyperVisor

V

M

V

M

V

M

V

M

V

M

V

M

V

M

V

M

V

M

V

M

V

M

V

M

클라우드 서비스를 위한 네트웍

VSM1

VSM2

VEM-N

VEM-1

VEM-2

L2 M

od

e

L3 M

od

e

Modular Switch

…Linecard-N

Supervisor-1

Supervisor-2

Linecard-1

Linecard-2

Bac

k P

lan

e

© 2009 Cisco Systems, Inc. All rights reserved. 19

HypervisorvSwitch

HypervisorvSwitch

HypervisorvSwitch

클라우드 홖경에서 예상되는 네트워크 보안 이슈1. Mac Address 변조 가능성

HypervisorvSwitch

HypervisorvSwitch

2. IP 변조 가능성

3. DHCP Server 로 위장 – 모든 Virtual Desktop 에 영향 가능성

4. ARP Spoofing – Router IP의 MAC으로 위장 전체 네트워크 마비가능성

• 일관된 보안 정책 유지의

어려움.

• 물리적 서버보안 이슈와

동일한 이슈 잔존.

• 가상 스위치의 한계로

인한 구성의 어려움.

클라우드 서비스를 위한 네트웍

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

하이퍼바이저 하이퍼바이저 하이퍼바이저하이퍼바이저

서버

가상 스위치

가상 스위치에서 보안 및 장애 진단

맥 어드레스 변조

아이피 변조

DHCP 서버로 위장

ARP Spoofing

Port Mirroring, NetFlow, QoS

정책의 이동성 및 무중단 운영모델

클라우드 서비스를 위한 네트웍

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

Tenant BTenant AVDC

vApp

vApp

VDC

Firewall Firewall Firewall

Firewall

FireWallFirewall

HyperVisor

Virtual Switch

Router Router

백신 VM을 설치,전체 VM 및 CPU,

Memory, 스토리지 및 네트워크

까지 보호 (VM Introspection)

Virtual Machine 들을 위한

가상방화벽 기능 제공

퍼블릭 Service Domain / Gateway

에 대한 가상 방화벽 / IPS 구성

필요.

클라우드 서비스를 위한 네트웍

보호엔짂

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

세그멘테이션/분리/가동성 수준

네트워크 세그멘테이션

VLAN 1 VXLAN 2

VLAN 3

VLAN기반 네트웍세그멘테이션

DEV

TEST

PROD

어플리케이션사이클에 의한세그멘테이션

PRODUCTION POD

DMZ

SHARED SERVICES

기본적데이터센터

세그멘테이션

어플리케이션별서비스 레벨에따른 마이크로세그멘테이션

WEB

APP

DB

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

클라우드 홖경에서 자동화된 차단 능력

Host 3

Application 1(Physical)

Host 1 Host 2

Application 2(Physical)

VM

VM

VM

방화벽/IPS가 초기 주요 보안 공격에 대한 탐지/경보

Proactive Detection Mitigation Incident Response and Mission Assurance

Attack Lifecycle

Weaponize Execute

Deliver Control Maintain

Exploit

Recon

정책서버방화벽, IPS분석 서버

방화벽/IPS에서 침해 및 공격상황 분석

정책서버를 통한 그룹 정책배포로 공격 차단 및 격리

지속적인 공격 상황에 대한 이벤트 수집 및 분석

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

지속적인 공격에 대응할 수 있어야 한다.

공격젂철저한확인

공격후침해 범위

복구

지속적인 공격

네트워크 단말기 모바일 가상화 클라우드

공격차단능력

공격중

특정시간 연속적

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

데이터 센터는 제4의 젂선

If data has any ―street value‖ — whether it’s a major corporation’s intellectual property or an individual’s healthcare data — it is desirable and, therefore, at risk.

And most organizations, large and small, have already been compromised and don’t even know it: 100 percent of business networks analyzed by Cisco have traffic going to websites that host malware.

Cisco 2014 Annual Security Report