Deep Security 표준 제안서
Agenda
2
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
Trend
Micro
Worldwide Endpoint Security
Revenue Share by Vendor, 2010
Source: IDC, 2011
Trend Micro
Source: 2011 Technavio – Global Virtualization
Security Management Solutions
Source: 2012 Technavio – Global
Cloud Security Software Market
Trend Micro is No.1 in Server, Virtualization, & Cloud Security
Why is Trend Micro an Expert?
#1 in Cloud Security
#1 in Virtualization
Security
#1 in Server
Security
Trend
Micro
Trend
Micro
3
4
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
제안 배경 및 목적
Deep Security 제안 배경 & 목적
데이터 센터의 가상화를 진행하면서 물리적 서버와 가상화 환경에서 다양한 플랫폼의 서버를 운영함에 있어 시스템
및 해당 서버들이 운영하는 어플리케이션 및 네트워크에서 발생하는 여러가지 취약점에 대한 공격들의 다각화 및
지능화 되고 있는 시점에서 시스템 내부정보에 대한 무결성 확보 및 취약점에 대한 보다 빠르고 안정적인 패치를
적용하는 통합 보안 솔루션의 도입이 필요한 시점이다.
시스템 / 네트워크 보안 (물리적, 가상환경 동시지원)
- 내부 감염으로 인한 공격 탐지 및 방어 부재
- 취약점에 대한 패치 즉각적인 적용 어려움
- 내부 공격으로부터 취약
데이터 무결성 모니터링
- 비 인가된 변경에 대한 통제 부재
- 시스템 무결성에 대한 필요성 대두
내부 시스템 접속에 대한 감사
효율적인 운영 및 보안성 향상
• 통합관리를 가능하게 하여 운영적 효용성 향상
• 가상 패치를 통한 제로데이 공격에 대한 신속한 대응
• 가상화 전환 시 확장성 보장
5
가상환경의 Agent-less백신 제공
- 가상환경의 리소스 경합 발생 이슈 대두
- 중앙에서 일괄적인 스케줄링 가능
6
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
새로운 과제:
1. AV Storm+
OS
AppTypical AV
Console
OS OS OS OS
App App AppAppAV AV AV AVAV
3:00 AM Scan
7
가상환경에서 동시에 패턴 업데이트, 스캔을 진행할 때 이슈 발생
A/V Storm
시스템/네트워크 보안 이슈
새로운 과제:
1. AV Storm
2. Instant-on Gaps
+휴면상태 VMs 운영중인 VMs
OSOSOSOSOS
8
가상환경에서 휴면상태의 서버가 켜져서 운영될 때 발생하는 이슈
AV App AV App AV AppAV AppAV App
Instant-on Gaps
시스템/네트워크 보안 이슈
새로운 과제:
1. AV Storm
2. Instant-on Gaps
3. VM간 내부 공격
+
OS OS OS OS
Network
IDS / IPSvSwitch vSwitch
휴면상태 운영 중
9
가상환경에서 내부 VM간의 공격에 대한 이슈
AV App AV AppAV AppAV App
Inter-VM Attack
시스템/네트워크 보안 이슈
OS OS
Network
IDS / IPSvSwitch vSwitch
OS
Cloud
Computing
새로운 과제:
1. AV Storm
2. Instant-on Gaps
3. VM간 내부 공격
4. VM 이동성
+
10
가상환경에서 HOST간 Guest OS가 이동될때 발생하는 이슈
AV App AV App AV App
휴면상태 운영 중
VM 이동성
시스템/네트워크 보안 이슈
OS
New
새로운 과제:
1. AV Storm
2. Instant-on Gaps
3. VM간 내부 공격
4. VM 이동성
5. VM 무분별 확장
+
11
가상환경에서 Guest VM 확장 시 발생하는 이슈
AV App
OSOS
AV App AV App
OS
AV App
OS
휴면상태 운영중인 VMs
VM의 무분별 확장
시스템/네트워크 보안 이슈
12
패치 적용 시 까지 수 일 또는 몇 달 수요
• Microsoft
• Oracle
• Adobe
취약점 코드 수정 불가
• 개발자의 이직
• 다른 프로젝트 수행
보안 패치 서비스 중단• Red Hat 3 -- Oct 2010
• Windows 2000 -- Jul 2010
• Solaris 8 -- Mar 2009
• Oracle 10.1 -- Jan 2009
패치 불가시스템
• 비용, 규정, SLA 계약
• POS
• Kiosks
• Medical Devices
시스템/네트워크 보안 이슈
보안패치가 꼭 필요하지만 호환성에 대한
부분을 검증하기까지 보안적인 홀 존재
웹 서버의 취약점 발견 시 즉각적인 대응의
어려움이 존재 함.
보안 지원 서비스가 중단된 시스템에 대해서
정상적으로 시스템 업데이트를 하지 못하고
계약 만료로 인하여 추가적인 비용부담 발생
패치 불가 시스템의 경우, 가상화를 진행하여
Virtual Appliance 형태로 패치지원 가능
OS 및 Application 취약점 이슈
Advanced Reporting
Module
Single Management
Console
Firewall
HIPS /
Virtual
Patching
File Integrity
MonitoringAntivirusLog
Inspection
Web
Application
Protection
Threat Management
통합보안관리이슈
1
3
13
14
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
Alerts
SecurityProfiles
SecurityUpdates
IT Infrastructure 통합
• vCenter 연동
• Active Directory 연동
• Log correlation
• Web services
• SIEM (ESM) 연동
PHYSICAL VIRTUAL CLOUD
Deep Security
관리자
Deep Security Agent
Deep Security Virtual Agent
Deep Security 구성
15
Reports
VDI
Deep Security Manager
Trend MicroSecurity Center
Deep SecurityManager Security Center
Deep Security Agent
Deep Security Virtual Appliance
Deep Security
Deep Security 기본 구성요소
16
무결성 모니터링
로그 감사
IDS/ IPS
Web App Protection
Applications Control
Stateful F/W
알려진 취약점이나 Zero-day공격에 대한 탐지 및 차단
Web Application취약점에 대한 방어
네트워크에 접속하는 application을제어하고, 향상된 가시성 제공
표면적인 공격감소 효과, DoS 방어 & 포트스캔을 통한 탐지.
폴더, 파일& 레지스트리 키 그리고 서비스에 대한 악의적이고 승인되지
않은 변경에 대한 탐지
많은 양의 로그 이벤트 중에서 중요한 보안 이벤트 확인의 최적화.
Deep Security
가상화 및 물리적 환경의 보안 솔루션 제공
17
안티 멀웨어 (백신) 멀 웨어 탐지 및 차단 (웹 위협, 바이러스& 웜, 트로이 잔)
DPI(Deep Packet Inspection) 기능을 이용한 Virtual Patching 기능 제공
승인되지 않은 변경내역을 기록하고 시스템 및 어플리케이션에 최적화된 로그 정보를 제공하여
효과적인 감사를 위한 분석 자료를 제공함.
vShield API를 이용하여 Kernel Level에서 실시간 검사, 스캔 및 치료를 진행함
18
가상기기
운영체제
애플리케이션
가상기기
운영체제
애플리케이션
가상기기
운영체제
애플리케이션
VMware vSphere
트렌드마이크로
Deep Security
가상 장치
IDS/IPS(침입 탐지)
방화벽 안티멀웨어웹 애플리케이션보호
VMware EPSECVMsafe API
가상기기
운영체제
애플리케이션
Deep Security
Deep Security Virtual Appliance
- Inter VM Attack방어
- Application aware F/W
- Stateful Firewall 제공
- Exploit 패턴 분석 및 차단
- 취약점 분석 및 차단
Filtered Traffic
Raw Traffic
정상적인 패킷 통과Stateful Firewall1
악성 네트워크 패턴 차단Exploit Filters2
알려진 취약점으로 부터 보호Vulnerability Filters3
알려지지 않은
취약점으로 부터 보호(Zero-day) Smart Filters4
Custom Filters 특정한 APP에 대한 보호5
Deep p
ack
et
insp
ect
ion
19
Deep Security
심층 패킷분석 (DPI ; Deep Packet Inspection)
위협
패킷
유입
방역
및
모니터링
정상
데이터
패킷
수신
신규 패턴업데이트
I/O발생시 커널단에서 패킷을 Hooking
Agent 또는 Virtual Appliance를 통해 취약점공격 방어
공격 패킷을 제외한 정상 패킷 수신 및 무결성 보장
Stateful inspection F/W
Deep Security Manager
Virtual Patching 처리
인터넷
DPI(Deep Packet Inspection)
네트워크 패턴분석 / 차단
컨텐츠 취약점분석 / 차단
Log
Inspection
Integrity
Monitering
악의적 패킷 발견 시 동작 방식 (DPI ; Deep Packet Inspection)
트렌드 마이크로보안센터
Reports
MS외 타 벤더
20
내부 승인되지 않은 변경통제 및
시스템 및 어플리케이션에 대한
감사자료 생성
취약점 발견
Alerts
(분석 및 패턴 생성)
(취약점 정보제공)
( Exploit을 이용한 공격 )
정기적인 패턴업데이트
Anti Virus (agent & agent-less)
Deep Security
21
공격 성공 후 내부
정보 유출
- Root kit 설치
- 중요 데이터 외부 전송
- 설정 값 변경 및 데이터 값 수정
- 단말의 좀비화
Deep Security
네트워크 보안 장비와 Deep Security 의 차이점
• Stateful F/W
• IDS/IPS, WAP
• IDS/IPS
• Integrity Monitoring
• Log Inspection
• Virus Vaccine
• Integrity Monitoring
• Log Inspection
- 시스템 포트 스캔
- OS 에 대한 기본 정보 및
설정 정보 획득
- 어플리케이션 버전 정보 등.
시스템 정보
수집단계
타겟에 대한 취약점
정보 수집 단계
- S/W 취약점 발견
- 취약한 설정 정보수집
- 취약한 관리정책 정보 수집
- 내부 시스템 접근시도
탐지
차단
탐지 불가
22
Deep Security 이점
데이터변조및서비스파괴
방지
정책준수(Compliance)
운영비용절감
기업내 OS, Apps 그리고Web Apps의취약점방어
의심적악성행위에대한탐지및차단
Web reputation에의한악성웹사이트접근방지
PCI DSS, OWASP
및기타요구사항
차단된공격및정책준수상황의상세리포트
안전한코딩작업예정되지않은패치관리
클라우드기반이벤트 White list 및신뢰된이벤트는 FIM 관리를간소화
Agent-less 구조는가상화비용절감
기업내 platforms & apps 통합보안으로비용절감
23
• Windows 2000, Windows 7, Windows 8• Windows XP, 2003 (32 & 64 bit)• Windows Server 2008 (32 & 64 bit)• Windows Server 2012 (64 bit)
• Over 8 on SPARC• Over 10 on x86 (64 bit)
• Red Hat over 4 (32 & 64 bit)• Ubuntu• SuSE• CentOS
• VMware ESX Server (guest OS)• VMware Server (host & guest OS)
• HP-UX over 11i• AIX over 5.x
• KVM• Xen Server & Desktop
Deep Security
지원 가능 플랫폼
24
Deep Security
지원 가능 모듈
25
• Common Criteria
• Evaluation Assurance Level 4 Augmented (EAL 4)
• Achieved certification across more platforms (Windows, Solaris, Linux) than any other host-based intrusion prevention product.
• NSS Labs
• Third Brigade Deep Security is the first product to pass NSS Labs’ PCI Suitability testing for Host Intrusion Prevention Systems (HIPS).
Deep Security
국제 인증 정보
26
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
27
Deep Security 기능
Deep Security Main Page ( 직관적인 관리 UI제공 )
Stateful Firewall
DPI (IDS/IPS)
WEB Application Protection
Integrity Monitoring
Log Inspection
28
Deep Security 기능
물리적 환경의서버 & Desktop보안 지원
가상화 환경의
서버 & Desktop보안 지원
Deep Security Main Page (물리적 환경 및 가상화 환경을 동시 지원)
29
* Active Directory & vCenter 연동을 통해 계정 관리
Deep Security 기능
Deep Security Main Page (확장성)
• Group관리
• vCenter연동
• Active Directory 연동
- 각 OS에 대한 정책 설정 화면
- 백신, 방화벽, DPI 설정
- 각 Computer 또는 vCenter를 통해서 룰적용
- 각 OS에 대한 보안 템플릿 제공
- 자산 중요성에 따른 차별화 보안제공
- Customized 된 보안 템플릿 생성가능
30
Deep Security 기능
가상 Appliance를 이용할 때
- IDS/IPS Rule 적용 확인
- OS 및 Application 취약점에 대한 필터링 제공
- DSAgent 설치 후 해당 OS 취약점 확인 가능
- Exploit & 취약점에 대한 Filtering제공
- 특정 Application 에 대한 제어기능 제공
- Detect 또는 Prevent 기능을 제공
- Activity, File Sharing, Remote Login, VoIP등의
Type을 기본으로 제어
Deep Security 기능
31
심층패킷 분석 – IDS/IPS & Application Control
- 웹 취약점에 대한 Filtering 기능 제공
- XSS, SQL injection 과 같은 WEB APP 취약점 보호
- 취약점에 대한 타입 별 그룹핑 제공
- 트레픽 방향에 대한 정의
- DPI 룰 적용 간편화 제공
Deep Security
32
심층패킷 분석 – Web Application Protection & APP types
33
Deep Security
OS별 최적화된 Security Profile제공
34
Scan For Recommendations
129 DPI Rule(s) recommended for this computer
Agent를 통한 Guest VM Scan 후 취약점에 대한 레포트기능 및 적합한 대응 방안 제시
Deep Security
취약점 정보 추출
35
Deep Security
필요 패치정보 제공
36
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
Deep Security Deployment
37
• Deep Security Management 최소 사양
구분 규격 수량 비고
Deep Security
Manager
(Minimum
Requirement)
- CPU : x86 Processor 64bit or 32bit
- RAM : 8G
- HDD : 1.5G (5G recommended)
- Support OS :
Microsoft Windows Server 2008(32/64 bit), Server 2008 R2(64bit)
Microsoft Windows Server 2003 SP2 (32/64 bit)
Linux RHEL v5.0 and v6.0 (64 bit)
Note : 64 bit OS is recommended
- Support DB :
Oracle (11g, 10g or 10g Express)
Microsoft SQL Server (2008 SP1, 2005 SP2 or SP3, 2005 Express)
- Supported Brower For Web Console :
Mozilla Firefox 3.x (cookies enabled)
Internet Explorer 7.x and 8.x (cookies enabled)
1
Deep Security Deployment
38
• Deep Security Management Database 고려사항
구분 규격 수량 비고
Database Requirement
* Database 선택
- DSM Installation file의 Embedded DB 사용 가능(Production에는 권장
하지 않음)
- Oracle Database
- Microsoft Database
* Database 연결
- Named Pipes (DSM과 DB 서버가 동일한 시스템에 있는 경우 권장)
- TCP (DB 서버가 원격에 있는 경우 권장)
- DB 접속은 Windows 인증을 지원하지 않음
* DSM과 DB 서버간 Ping Time은 2ms를 넘지 않도록 함
1
39
Deep Security Deployment
• Deep Security Management Multi-Node 구성
- DSM은하나의 DB를이용하여여러개의노드로병행운영할수있음
- DSM을여러개의노드로운영함으로써높은신뢰성과, HA 지원, 가상환경확대지원그리고보다높은
성능을제공함
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security Management Multi-Node 구성
- 2 DSMs 의경우 HA를 위해 20,000 이하권장
- 최신모델 CPU의 Dual/Quad Core, 원격 DB 기준으로검증
- 3 DSMs 이상구성은권장하지않음
No. of DSM Architecture / Memory 관리가능한최대 Agent 수 검증수준
1 DSM 64-bit 8G RAM 1 ~ 20,000 전체 테스트 확인
2 DSMs 64-bit 8G RAM 20,000 ~ 50,000GUI 테스트, 적합한 성능 및 리소스 사용
상태 검증
3 DSMs 64-bit 8G RAM 50,000 ~ 100,000
40
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security Agent 최소사양
구분 규격 수량 비고
Deep Security Agent
(Minimum
Requirement)
- Memory : 128MB
- Disk Space : 100MB (200MB 권장)
- Support OS :
Microsoft Windows XP, 7, Vista, 2003 and 2008 (32 bit and 64 bit)
Microsoft Windows 2008 R2 (64 bit)
Red Hat Enterprise Linux v4, v5 and v6 (32 bit and 64 bit)
Suse Linux Enterprise Server 10 and 11 (32 bit and 64 bit)
Solaris 9 or 10 (64 bit Sparc)
Solaris 10 (64 bit x86)
AIX 5.3 or 6.1
HP-UX 11i v3
1
41
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security Relay 최소사양
구분 규격 수량 비고
Deep Security Relay
(Minimum
Requirement)
- Memory : 512MB
- Disk Space : 100MB (200MB 권장)
- Support OS :
Microsoft Windows XP SP3 (64 bit)
Microsoft Windows 7 (64 bit)
Microsoft Windows 2003 SP2 (64 bit)
Microsoft Windows 2008 (64 bit)
Microsoft Windows 2008 R2 (64 bit)
Red Hat Enterprise Linux v5 (64 bit)
Red Hat Enterprise Linux v5 (64 bit)
1
42
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security Notifier 최소사양
구분 규격 수량 비고
Deep Security Notifier
(Minimum
Requirement)
- Memory : 256MB
- Disk Space : 100MB
- Support OS :
Microsoft Windows XP SP3 (32 bit and 64 bit)
Microsoft Windows 7 (32 bit and 64 bit)
Microsoft Windows 2003 SP2 (32 bit and 64 bit)
Microsoft Windows 2008 (32bit and 64 bit)
Microsoft Windows 2008 R2 (32bit and 64 bit)
1
43
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security Virtual Appliance 요구사항
구분 규격 수량 비고
Deep Security
Virtual Appliance
(Requirement)
- CPU : 64 bit, Intel-VT and enabled BIOS
- Memory : Default 1GB(ESX 호스트 메모리 사용)
2GB : 25 VM
- Disk Space : 20GB (ESX 호스트 로컬 스토리지)
- Support OS : VMWare vSphere v5.0
- VMSafe-NET API 필요
단, Free 버전인 ESXi는 해당 API 지원 안되므로 DSVA를 사용할 수 없음
- DSVA 배포를 위해서는 VMWare Center Server 필요
- DSVA의 Anti-Malware 기능 사용시 VMWare vShield Manager와 vShield
Endpoint 필요(vShield Endpoint 없이는 DSVA AV 기능 Enable 안됨)
1
44
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security Virtual Appliance 요구사항
구분 규격 수량 비고
Deep Security 8.0
For DSVA
(Requirement)
- VMWare vShield Manager v5.0
- VMWare vShield Endpoint (EPSec) v5.0
- VMWare Tools 설치 (모든 지원하는 VM에 vShield Endpoint Driver를
위한 ESXi 5 패치 ESXi500-201109001 적용)
1
Deep Security 7.5
For DSVA
(Requirement)
- VMWare vShield Manager v4.1
- VMWare vShield Endpoint (EPSec) v1.0
- 모든 지원하는 VM에 VMWare vShield EPSec Thin Agent Driver v1.0
Update 2(build 402356))
1
45
Deep Security Deployment
Classificati
on
8/26/2016
• VMWare vShield 고려사항
• vShield Manager(w. vShield Endpoint)는 VMWare website를 통해 OVA 로패키지된파일을
다운로드받을수있음
• vShield Endpoint를 위한 License key 필요
구분 규격 수량 비고
vShield Manager
(Requirement)
- CPU : 1 vCPU
- Memory : 8GB
- Disk Space :
8GB (for vShield Manager)
5GB (per vShield App per ESX host)
100MB (per vShield Edge)
1
46
Deep Security Deployment
Classificati
on
8/26/2016
• Open Port 요구사항
47
Deep Security Deployment Model
Classificati
on
8/26/2016
48
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security 기능시험항목플랫폼 중요도 항목 기능명 비고
WindowsLinuxSolaris
○네트워크 트래픽의 MAC addresses, Frame types, Protocols, IP addresses, 그리고 port numbers 제어
Firewall
WindowsLinuxSolaris
○ TCP flags 기반의 TCP connection 제어 Firewall
WindowsLinuxSolaris
○ 룰에 위반되는 패킷 데이터에 대한 캡처 및 저장 Firewall
WindowsLinuxSolaris
네트워크 인터페이스별 서로 다른 룰 적용 Firewall
WindowsLinuxSolaris
Port-Scanning과 같은 Pre-Attack에 대한 탐지 Firewall
WindowsLinuxSolaris
○OS나 Middleware Application들의 취약점들을 공격하는 어떤 종류의원치않는 통신에 대해서도 탐지 및 차단
Deep Packet Inspection
WindowsLinuxSolaris
○ 호스트나 룰 기반의 '탐지' 또는 '차단' Deep Packet Inspection
WindowsLinuxSolaris
○ 타 보안 Vendor에서 제공하는 취약점 공격 차단 Deep Packet Inspection
WindowsLinuxSolaris
○ 취약점들을 이용한 공격의 패킷 데이터를 저장 Deep Packet Inspection
WindowsLinuxSolaris
특정Application으로부터의 통신 탐지 Application Control
WindowsLinuxSolaris
특정Application으로부터의 통신 차단 Application Control Target Application 지정
49
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security 기능시험항목
플랫폼 중요도 항목 기능명 비고WindowsLinuxSolaris
○SQL Injections과 Cross Site Scripting와 같은 Web Application 공격에 대해탐지 및 차단
Web Application Protection
WindowsLinuxSolaris
○operationg systems과 middleware applications의 파일 또는 폴더에 대한 변조탐지
Integrity Monitoring
WindowsLinuxSolaris
네트워크 Open Port 변조 사항 탐지 Integrity Monitoring
WindowsLinuxSolaris
operating systems에서의 프로세스/서비스들의 상태 모니터링 Integrity Monitoring
WindowsLinuxSolaris
Windows의 레지스트리 키와 값에 대한 변조 모니터링 Integrity Monitoring
Windows OnlyDSVA
○ 에이전트 설치 없이 VM의 무결성 검사 기능 제공 Integrity Monitoring
WindowsLinuxSolaris
로그에서 미리 지정한 의심스러운 행위 발생시 관리자에게 알려줄 수 있도록로그 모니터링
Log Inspection
WindowsDSVA
악성코드 탐지 및 제거 Anti-Malware ESX 4.1 또는 상위 버전
WindowsDSVA
악성코드 검사로 인한 시스템 리소스 증가를 피하기 위한 가상 환경에서의특별한 기술 제공
Anti-Malware ESX 4.1 또는 상위 버전
DSVA ○ VM의 UI에 악성코드 탐지 이벤트를 공지 Anti-MalwareDSVA ○ 의심스러운 Website 접속 차단 Anti-MalwareDSVA ○ VM의 UI에 의심스러운 Website 접속 차단 이벤트 공지 Anti-MalwareWindowsDSVA
VM에 에이전트 없이 악성코드 탐지/제거 Anti-Malware
WindowsDSVA
악성코드 실시간 감시 스케줄 설정 Anti-Malware
○ vSphere5.0 / vSheild5.0 연계한 VM에 탑재 없이 AV 기능 제공 Anti-Malware
50
Deep Security Deployment
Classificati
on
8/26/2016
• Deep Security 기능시험항목
플랫폼 중요도 항목 기능명 비고○ 하나의 관리 시스템에 Multi operating system을 위한 보안 제어 Deep Security Manager
이벤트 정보 메일로 전송 Deep Security ManagervCenter 연동 가능 Deep Security Manager
SIEM(ESM)과 연동하기 위한 syslog로 이벤트 전송Deep Security AgentDeep Security Virtual Appliance
○ 관리자 콘솔을 통한 모든 운영 내용 기록 Deep Security ManagerMulti 패턴 배포 서버 제공 Relay여러 VM들을 하나의 정책 프로파일 템플릿으로 같이 제어 가능 Security Profile리포팅 기능 Report
○각 VM에 필요한 맞춤형 룰을 자동으로 적용 및 탐지더 이상 필요하지 않는 룰에 대해서는 제외 처리
Recommendation Scan Agent 사용
WindowsLinuxSolaris
○ Windows / Linux / Solaris 플랫폼 지원 System requirements
○가상환경에서 Agent 방식 및 Agent-less 방식 모두 제공, 하나의 관리자콘솔에서 모두 제어
조직화된 처리방식,Agent-less 방식은 현재VMWare ESX만 제공
51
52
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
경쟁 제품 비교
53
Category Companies Description Deep Security
Positioning
Security
Suites
통합 보안 벤더.
Host IDS/IPS 외 추가기능.
가상화용 AV 제공.
Enterprise 환경과서버군을 위해 설계된 더포괄적인 플랫폼을 지원.
Network Security
F/W 및 IDS/IPS에 맞혀진가상 Appliance 중심의제품
물리적, 가상화, Cloud
Computing 서버 환경에서동작하는 통합 서버 보안플랫폼 제공
Compliance
특정 기능을 명명하는벤더/솔루션•파일 무결성 검사•Configuration 감사 및제어
번거로운 과정없이Compliance 요구사항에맞는 기능 집합 제공.
높은 수준의 상호보완적인통합된 보안 기능 제공
54
• 장점– 중앙 관리 및 정책 수행
– Hypervisor 종류에 상관없이 VDI용 AV로 이행
• 단점– VDI와 서버에 복잡하고 일치되지 않는 보안 모델을 가짐
(VDI에서 수동검사의 부제)
– 모든 VM에 Agent가 필요
– Scanning 측면에서 Network상에 성능 병목 현상 발생
– FIM과 IDS/IPS는별도 제품으로 지원
MOVE AV for VDI
Classificati
on
8/26/2016
• 장점– Hypervisor 종류에 상관없이 지원
– Scan caching으로 중복 검사 회피
• 단점– 모든 VM에 Agent가 필요
– AV storm 가능성이 여전히 존재, “임의적”
검사를 위해서 수동 작업이 필요
SEP 12
55
• 장점– 높은 처리량 및 낮은 지연 발생
– Vmsafe를사용한 가상 Appliance 적용
– Juniper H/W 제품들과 잠재적으로 통합지원 (Nexus와 유사한 방법)
• 단점– 단지 IDS/IPS 기능에 모듈이 제한적임
– 높은 학습 곡선, Default rule의 부족
Virtual Gateway (VGW)
56
• 장점– Compliance 감사에 End to End Workflow 제공– 규제력 있는 Compliance 정책들에서의 포괄적 지원– Compliance 위반에 대한 조치 기능 지원– Compliance 이벤트에 대한 리포트 기능 제공
• 단점– 운영/유지 및 설치시 다루기가 다소 어려움– 관리자 및 사용자의 사용에 복잡성– 높은 TCO(총소유비용)
Enterprise
57
58
1. 회사소개
3. 보안 이슈
4. Deep Security 제품 소개
5. Deep Security 기능 안내
6. Deep Security PoC 시나리오
2. 제안 배경 및 목적
7. 경쟁 제품 비교
8. 기대효과 및 도입사례
Deep Security는 F/W 및 IDS/IPS의 기능들을 에이전트 형태로 제공하여 네트워크 패턴및 Contents 분석을
통한 가상패치 기능과 시스템 파일 및 서비스, 레지스트리의 임의 수정에 대한 무결성 모니터링, 시스템 로그
검사를 통한 사후 감사 가능토록 지원하여 제로데이 공격에 대한 방어 및 감사 데이터 제공
사용하는 모든 플랫폼에 대한 방어 제공
구축 효과
그룹정책
보안홀방어
시스템감사
관리자 및 사용자에 보안 패치에 대한 부담을 관리자 및
사용자에게
개발한 프로그램까지 취약점 점검 및 공격 탐지 알림
시스템 무결성 검사를 통한 Compliance 보호
플랫폼 및 서버, App별 알려진, 알려지지 않은 위협 정리 보고
Log Inspection을 통한 다양한 Application의로그 조사
일관적인 컴퓨터 보안 레벨 관리
중요 Application 및 특정 Application에대한 정책 적용
플랫폼 및 컴퓨터 환경/구성의 일괄 관리 및 적용
취약점에 대한
모든 방어방안
제공
시스템의 변경 및악의적 행위 감시
일괄적인 플랫폼및 컴퓨터 관리
기반
Deep Security 기대 효과
59
60
DMZ
ESX Server x 9 ( CPU 16 socket)
Shared
Storage Network
vShield
Manager
DS Virtual
Appliance
DS Agent
DS
Manager
DS
Agent
TDA DTAS
위치 OS 수량 전체
DMZ
Windows 2003 48
68Windows 2000 6
Linux 14
Inside Windows 2003 7 7
ESX서버 CPU OS 수량
Essentials Plus 1
2Windows 2000 1
Linux 1
Essentials Plus 2
2
Windows 2008 1
Windows 2003 4
Linux 3
Essentials Plus 3
2Windows 2003 7
Linux 4
Standard 1 2Windows 2003 4
Linux 2
Standard 2 2Windows 2003 5
Linux 5
Standard 3 2 Windows 2003 4
Standard 4 2 Windows 2003 3
ESX204 2Windows 2003 5
Linux 3
ESX205 2 Windows 2003 4
OS 각 OS 수량
Windows 2008 1
Windows 2003 94
Windows 2000 7
Linux 32
Total # 134
6509
L3
Guard
Detect
L2
FWSL
X 6
물리적환경서버(Agent 기반) 가상환경서버(Agentless 기반)
전체서버현황
Agentless A/V
Stateful F/W
Integrity Monitoring
IDS/IPS/WAP
Log Inspection
고립망vCenter
Deep Security 도입사례(국내)
Internet
Deep Security 도입사례(일본)
• 고객사– ㈜텔레콤크레딧
– 설립: 1993년 3월
– 자본금: 5,000만엔
– 종업원수: 80명(2009년 6월현재)
– 사업내용: 그래딧카드결제대행업무, 편의점결제대행업무, TRUSTe 인증취득심사∙지원컨설팅업무, 쇼핑몰운영업무, 제휴(affiliate) 서비스(BannerBridge,
MoBri), 광고대리점업무
• 도입요구사항– personal firewall 도입
– 보안패치적용
– 새로운취약점발견과대응
– 웹애플리케이션보호(WAF 도입)
– 로그에대한파일정합성감사∙변경탐지
– 파일정합성감시
61
Deep Security 도입사례(일본)
• 고객사– ㈜전통(전기통신)국제정보서비스
– 설립: 1975년 12월 11일
– 자본금: 81억 8,050만엔
– 종업원수: 2,320명(2010년 3월말현재)
– 사업내용: 컨설팅서비스, 스프트웨어제품판매/지원, 시스템인티그레이션서비스, 아웃소싱서비스
• 도입요구사항– 클라우드구축서비스제공에있어서물리/가상화환경을통합하여관리할수
있는보안이필요
– 금융기관의 B to C 서비스이용에도견딜수있는최고품질의보안이필요
– 유연성과보안을겸비한기반구축
– PCI DSS에준거한보안솔루션
62
Deep Security 도입사례(네덜란드)
• 고객사– 공증법무기관
– 종업원수 : 300여명
– 80% 가상화, 100여서버시스템
– VMWare vSphere 환경
• 도입요구사항– 운영서버들에 99%의 Uptime 유지
– 가상화환경에특화된 Anti-Virus 솔루션필요
– Vmsafe API 연동하는가상화보안솔루션
– 고려사항 : 가상패치, AV, VM간공격대응, 모니터링 가시성
63
Deep Security 도입사례(캐나다)
• 도입계기– 네트워크웜발생으로약 2주간네트워크마비
– 기존운영중인 AV의패턴미업데이트
– Deep Security 배포이후 7번의관련공격차단/격리
• 도입계기– 데이터센터가상화추진
– 서비스를하는모든 Application에정부에서규제하는보안정책을 Deep
Security에의해적용및탐지 / 차단
64
Trend MicroCloud Security Architecture
65
8/26/2016 Confidential | Copyright 2012 TrendMicro Inc. 28/26/2016 Confidential | Copyright 2012 TrendMicro Inc. 66
감사합니다!!