클라우드환경에서의 보안및데이터보호 · 서비스제공방식(saas, paas, iaas),...
TRANSCRIPT
클라우드환경에서의
보안및데이터보호
-가상화솔루션중심으로
2019.3.7
클라우드 컴퓨팅
클라우드 보안 위협
클라우드 환경에서의 보안
클라우드 데이터 보호
회사 소개
Ⅰ
Ⅱ
Ⅲ
Ⅳ
Ⅴ
Ⅰ
클라우드컴퓨팅
- 4 -
클라우드컴퓨팅 Ⅱ클라우드컴퓨팅 ?서비스제공방식(SaaS, PaaS, IaaS), 구현방법및구성유형(Public, Private, Hybrid)
- 5 -
클라우드컴퓨팅 Ⅱ인프라재분배-퍼블릭및프라이빗클라우드
- 6 -
클라우드컴퓨팅 Ⅱ클라우드컴퓨팅 - IaaS
IaaS를위한아키텍쳐모델
IT와데이터센터는모바일, 소셜, 빅데이터, 클라우드서비스를기반으로구축된거대한구조적변화중클라우드서비스의배포모델은크게퍼블릭및프라이빗의두가지유형
- 7 -
클라우드컴퓨팅 Ⅱ클라우드서비스특성
- 8 -
클라우드컴퓨팅 Ⅱ클라우드플랫폼구조하아퍼바이저 (Hypervisor) : 물리적서버위에존재하는가상화레이어
- 9 -
클라우드컴퓨팅 Ⅱ클라우드주요기술
• 가상머신& 가상화라이프사이클
• 가상화네트워크
Ⅱ
클라우드보안위협
- 11 -
클라우드보안위협 Ⅱ
클라우드보안위협과구분
- 12 -
클라우드보안위협 Ⅱ클라우드서비스의보안위협요소
- 13 -
클라우드보안위협 Ⅱ클라우드보안문제와해결책
* 출처: 소프트웨어정책연구소 연구보고서
Ⅲ클라우드환경에서의보안
[NEPYX NDT, NC]
- 15 -
클라우드보안 Ⅲ클라우드환경에서의보안 – 망분리AWS에서운영중인개발및업무서버에대한망분리및연계를통한보안강화–국정원, 금융위원회보안가이드라인준수
- 16 -
0
- 3SSOFT에서자체개발하여공급하는망분리/망연계통합솔루션
분리된 망 間 자료(파일)를 전송하는 망 연계 솔루션
물리적 망 분리를 위한 인터넷/업무용 전용 PC
논리적 망 분리를 위한 VDI 솔루션
분리된 망 間 데이터 스트리밍을 위한 망 연계 솔루션
인터넷 망
방화벽
인터넷
웹서버
외부서버
외부서버
가상머신(VM) VDI 서버
스위치
VDI 포탈서버
업무 망
정보처리시스템
업무서버
업무서버
VDI 클라이언트
방화벽
/ 메일 연계 솔루션
- 17 -
- 3SSOFT에서자체개발하여공급하는망분리/망연계통합솔루션
NEPYX NetDesktop (NDT)NEPYX NetCloud(NC)
NEPYX NetworkBridge (NB) NEPYX FileBridge (FB)
- 18 -
클라우드기반가상화솔루션 클라우드보안 Ⅲ
NEPYX NetDesktop 솔루션은업무망, 연구소망, 생산망, 개발자망, 재택근무등내부업무환경개선을위한
SBC (Sever Based Computing) 방식의가상화VDI 클라우드인프라를제공하는데스크톱가상화 (VDI) Solution
인터넷망분리
스마트워크
업무환경개선
VDI 접속
클라이언트
하이퍼바이저 (KVM)
스토리지
사용자
인증
가상머신(VM)
사용자
정책
가상화관리
사용자데이터
사용자인증/정책
제로클라이언트씬클라이언트
인터넷 망 분리
스마트 워크
내부시스템
재택/이동/해외출장근무
내부업무환경개선개발자VDI등
인터넷
- 19 -
클라우드기반가상화서버 클라우드보안 Ⅲ
NEPYX NetDesktop 하드웨어아키텍처는Software Define Storage를지원하는클라우드구조의수평적 HW구성
SDS ( Ceph Block Storage )
VM
VM
VM
VM
VM
VM
VM
VMVM
VM VM
VMVM
VM
VM
HOST 서버 장애 시 타 HOST로 VM 자동 재할당
물리서버
Controller
Web
Host
물리서버
Controller
Web
Host
물리서버
Controller
Web
Host
Web Pool
Controller Pool
Host Pool
HOST 서버 Pool 구성 / 수평적 클러스터링 확장
Storage Pool
서버 구성 아키텍처 VM 할당 운영 아키텍처
HOST서버장애시Software Define Storage
- 20 -
클라우드기반가상화 – SW 클라우드보안 Ⅲ
NEPYX NetDesktop Software는 SDS(SoftwareDefinedStorage)기반의클라우드컴퓨팅환경에적합한VDI 솔루션
NetDesktop Client
Linux
제로 클라이언트
NetDesktop Client
운영체제 (Windows)
씬 클라이언트
NetDesktop Client
운영체제 (Windows)
PC 클라이언트
Win7, Win8.1, Win10 32/64bit, Linux 지원
통신 Protocol : RDP, SPICE, NMSP
※ NMSP (NEPYX Multimedia Service Protocol)
서버
클라이언트
하이퍼바이저 (KVM)
Linux
가상화 서버 (CA)
NDT Web
NDT Controller
가상머신 OSUser Application
하이퍼바이저 (KVM)
Linux
가상화 서버 (CA)
NDT Web
NDT Controller
가상머신 OSUser Application
하이퍼바이저 (KVM)
Linux
가상화 HOST 서버
NDTPortal Web
NDT Controller, SDS, DB
가상머신 OSUser Application HOST 서버 수평적 확장
(N + 1 클라우드 아키텍처)
- 21 -
클라우드기반가상화 – 유연한운영기능 클라우드보안 Ⅲ
다양한OS 환경지원, 고정사용자방식, DynamicPool 방식 ,사용자인사DB 또는AD연동, 보안정책관리등유연한운영기능 제공
관리자
관리서버
가상화서버
인증
VM접속VM 할당
다양한 가상머신 운영 방식
표준이미지 B
표준이미지AStatic VM (고정)
Dynamic VM (Pool)
WindowsClient
ZeroClient
LinuxClient
다양한 Client
CD/DVD
외장 HDD
USB 메모리 로컬 프린터<가상머신>
스마트카드
사용자/그룹별
보안정책
다양한 보안 정책 관리
사용자 계정 연동 및 관리
• 사용자계정관리연동, AD, SSO 연동• VM 그룹관리
고객사인사DB서버VDI 사용자 인증인사정보연동
- 22 -
클라우드기반가상화 – SW 클라우드보안 Ⅲ
국가정보원보안적합성인증
동종업계국내최고등급
▪ 계정관리, 인사 DB 연동, AD연동
▪ IP기반 접근 통제 기능 제공
▪ 접속/실패/로그아웃 등▪ 감사로그 제공
▪ USB/외장 저정 장치 통제 등▪ VDI 사용 가능 시간 통제
보안 인증 취득
다양한 보안 정책
VM Client관리자PC
TLS1.2 암호화 통신
VDI서버
RSA공개키암호화 통신TLS 1.2(RSA 2048, AES 256, SHA 256)
패스워드 일방향 암호화
▪ Linux 서버 백신- ClamAV / Linux 용 상용백신
▪ 패턴 정기 업데이트- 백신 패치, PMS
▪ Linux Cent OS 7.2- OS 패치는사전 영향도 검토 후 패치
암호화 통신 / 암호화
백신 및 패치관리
▪ 국정원 보안 적합성 인증(CC인증 EAL3), 암호화 통신 및 IP기반 접근통제 등의 보안성 제공
- 23 -
클라우드기반가상화 – 운영포털 클라우드보안 Ⅲ
체크박스 연동생성 , 이동,적용, 삭제
간편 정보도메인, 부서, 사용자 상세정보
VDI 운영포털메인 화면
NetDesktop 은VDI 클라우드운영포털을제공하며, VDI관리를위한직관적이쉬운관리자인터페이스
- 24 -
클라우드기반가상화 – 운영아키텍처 클라우드보안 Ⅲ
제로클라이언트
NetDesktop Client
임베디드 Linux 운영체제
관리자
AD 서버 / 계정관리서버
기존 AD 연동
사용자 데이터 영역 할당
VDI 포털 / 관리서버
LINUX
Connection Manager
DBMS
WAS
사용자 관리
클라이언트 관리
가상화 시스템 관리
운영관리
이력 관리 VM 정책 관리
연결 관리공지사항 관리
VDI HOST 서버 1 ~ N
KVM 하이퍼바이저
LINUX
Control Agent
가상화 관리
보안감사
식별 및 인증
통신 및 암호
VM#1 VM#2
VM#3 VM#N
NetDesktop Security Virtual Channel
식별 및 인증
StorageDefinedStorage
공유자원풀
Virtual Storage(Ceph)
Network
씬 Client
NetDesktop Client
개발자 / 외주상근직원
PC
웹 브라우저
개발자 / 외주상근직원
- 25 -
클라우드기반가상화 – 확장성 클라우드보안 Ⅲ
- 26 -
클라우드기반가상화 – 보안성, 편의성 클라우드보안 Ⅲ
- 27 -
운영포털 – 주변기기보안통제 클라우드보안 Ⅲ
주변기기 사용 제어 프로세스
가상PC 내주변기기사용필요사용자
전체또는지정
권한담당자
① 주변기기 사용 승인 요청
③ 요청 승인 / 반려
④ 승인 / 반려 처리
⑤ 승인 / 반려 결과에 따른 실시간 공지
⑥ 주변기기 사용
사용자Client
② 요청 알림 (SMS 또는 Mail)
NEPYX NetDesktop 정책관리
정책설정
연동
VDI 운영포탈
<가상머신>
CD/DVD
외장 HDD
USB 메모리
프린터
•정책등록•정책할당
- 28 -
클라우드기반가상화 – 사용자계정연동 클라우드보안 Ⅲ
AD 및 SSO 연동 / 인증 구성
VDI 운영포탈
가상PC접속클라이언트
전체또는지정권한담당자
Active Directory
인증서버 가상PC
연동
NEPYX NetDesktop 계정관리
연동
연동
- 29 -
클라우드기반가상화 – 효율및보안 클라우드보안 Ⅲ
가상 PC 초기화
가상머신 초기화 (보안관리, 효율적 자원 운영)
• 가상머신 사용종료 시, 가상머신 초기화(개인 프로파일은 유지)
▪ Pool 방식의 사용자가 VM 사용종료 시 VM 초기화 지원▪ 관리자에 의한 VM 일괄 초기화 지원
사용자
- VM을 Pool 방식으로 사용 시, 보안관리를 위해 VM 초기화 필요
초기화 권한가상머신별, 그룹별, 전체
관리담당자
가상머신 세션 타임 아웃 (효율적 자원 관리)
• 일정시간 미 사용시 세션 자동 종료 지원
• 사용자당 최대 사용시간 지정 지원
사용자
세션종료, VM 종료 등 권한
관리담당자
▪ VM 로그인 후, VM을 사용하지 않고 방치하는 경우 자원 낭비▪ 일정시간 사용하지 않는 경우 자동 세션타임 아웃 지원▪ 사용자당 최대 사용 시간 지정 지원
▪ Pool 방식의 사용자가 VM 사용종료 시 VM 자동 초기화 지원 (운영 효율성 향상, 보안강화)▪ 일정 시간 사용하지 않는 VM은 세션 타임아웃 기능 지원 (자원 운영 효율화)
- 30 -
클라우드기반가상화 – 프로비저닝 클라우드보안 Ⅲ
- 31 -
클라우드기반가상화 – 메시지전달 클라우드보안 Ⅲ
공지사항 및 작업 메시지 관리
VDI운영포탈
AD
사용자VDI
2) 메시지 전파등록
관리자
1) 공지사항 등록
4) 공지사항 확인
3) 사용자 메시지 확인(윈도우 메시지 서비스)
• 작업내용등공지사항등록
• 사용자공지메시지등록
• 등록된사용자공지메시지AD 서버를통한송신
• AD 계정의도메인컨트롤러계정을활용한메시지
송신
• 각VDI 사용자의윈도우메시지서비스를통한메시지
수신
공지사항및메시지등록 공지사항및메시지수신
- 32 -
클라우드기반가상화 – 사례 클라우드보안 Ⅲ
업무망백본
인터넷망백본
인터넷망 DMZ Zone
서버 Farm
…
클라우드용 4,000 유저 인터넷 사용자
내/외부개발자여부에따라VDI Zone 검토
Ⅳ
데이터보호
- 34 -
데이터보호전략@Cloud
4 가지핵심고객요구사항지원
• 백업데이터장기보존
• 스토리지및회선비용
절감
TO THE CLOUD
Storage
CloudCatalyst
• Cloud Workload보호
• CSP 제공 Snapshot관리
IN THE CLOUD
IaaS
MSDP & CloudPoint
• End User의사용편의성
확보
• Self Service Portal 연동
SELF SERVICE
ITaaS
NetBackup Self Service
• On-Prem to Cloud IaaS
• 백업DR센터확보
(On-Prem or Cloud)
DR Options
DRaaS
A.I.R to On-Premor Cloud
데이터보호 Ⅳ
- 35 -
Backup to the Cloud #1
NetBackupMaster/Media Server
S3 Connector
Accelerator
Secure & Encrypted
Bandwidth Throttling
데이터보호 Ⅳ
- 36 -
Backup to the Cloud #2• CloudCatalyst
데이터보호 Ⅳ
- 37 -
Cloud 데이터보호방안 Backup in the Cloud
Snapshot 을 통한 시점 보호
CloudPoint
Discover& Protect
Snapshot
NetBackup
IaaS
Index, Catalog
Replicate
APIs
데이터보호 Ⅳ
- 38 -
CloudPoint를활용한Cloud Snapshot 통합관리방안
데이터보호 Ⅳ
- 39 -
Cloud 데이터보호방안 Backup in the Cloud 데이터보호 Ⅳ
- 40 -
Public Cloud Workload 백업방안 데이터보호 Ⅳ
- 41 -
Public Cloud 와 Local DC Workload 통합백업방안
데이터보호 Ⅳ
- 42 -
백업데이터다양한 DR소산방안 데이터보호 Ⅳ
- 43 -
Public Cloud 환경과연동 데이터보호 Ⅳ
- 44 -
구축사례 – G건설 데이터보호 Ⅳ
백업저장장치(PTL)노후화로인한장애로업무효율성이떨어져 이를개선하고자 백업저장소중하나인
Cloud를사용하여기존대비 백업성능, 기능, 운영/관리개선
Network 백업 : 12대
SAN 백업NBU Client
•••
SAN 백업 서버 : 30대
FC HBAFC HBA
SAN S/W
Master Server범
례
San 백업
N/W 백업
Master Server
Administration ConsoleCatalog
Databases 백업 마스터
NBUA 5240 14TB
MSDP No Rehydration
데이터 전송 트래픽 감소
✓✓
Note: CloudCatalyst 서버 별하나의 NetBackup 도메인 및클라우드 공급자 구성
Note: 여러 미디어 서버에서데이터를 수신 (n:1)
ᆞ클라우드 데이터 전송 할 대상
NUBA 5240 14TB 로 백업 수행
ᆞ백업 된 데이터는 Cloud
Storage 로 전송
Ⅴ
회사소개
- 46 -
회사소개 Ⅴ㈜ 3S소프트
일반현황
주요 연혁
회사명 ㈜3S소프트
사업장 주소(본사 / 지사)
본사) 서울특별시 서초구 양재동 마방로 6길 3, 린 빌딩대구 사무소) 대구광역시 서구 원대로 25-12, 2층
설립일 2000년 3월 매출액 320억(2018년)
대표자명 김종택 전화번호 / 이메일 02.576.2436, [email protected]
법인등록번호 110111-1926116 사업자등록번호 214-86-53717
기술용역등록분야 시스템 컨설팅, 소프트웨어 개발
주요연혁 주요실적
• 라이나생명 망연계 시스템 구축• 스마트저축은행 망분리 망연계 통합 구축• 청호이지캐쉬 물리적 망분리망연계 통합 구축• BNK 신용정보 망연계 시스템 구축• IBK 저축은행 망연계 시스템 구축• 하이플러스 스마트 카드 망분리 시스템 구축• 대구은행 망분리(통합보안, 승인반출시스템 연동 개발)• 서울시 교통제어 망연계 시스템 구축• 실리콘웍스 망연계 시스템 구축• 경기도교통센타 망분리/망연계 통합 시스템 구축• 하남시 광역 버스 정보망 망연계 시스템 구축• 포스코 생산망 종합방재 가상화 시스템 구축 및 확대• 한국전력 내부정보 유출 방지 시스템(VDI) 프로젝트• 대구은행 통합 보안 시스템
2017.
2016.
2015.
2011.
2007.
2007.
2007.
2005.
2002.
2000.
2000.
망연계 차세대 제품 CC(EAL4) 인증 진행 中
망연계 제품 CC(EAL2) 인증
논리적 망분리 제품 CC(EAL3) ,GS 인증, 망연계제품 GS인증
한국 레드헷(Redhat) Reseller 체결
한국 Microstrategy 와 Reseller 체결
기술보증기금 벤처 인증
중소기업청 INNO-BIZ 기업 선정
기업부설 연구소 설립
Oracle Korea와 Reseller 체결
한국 베리타스 (www.veritas.co.kr) 과 Reseller 체결
쓰리에스소프트, 법인 설립
- 47 -
회사소개 Ⅴ㈜ 3S소프트
주요 사업분야
Open Sources by Expertise 시스템 소프트웨어
데이터웨어
차세대 망연계 기술
인피니밴드 통신 기술
망분리 및 가상화 기술
Cloud Platform 기술
Data/Document 아카이빙
BI Meta Data/Analytic View 설계/구축
ETL 설계 및 ETT Migration
DW & Big Data 인프라 등
Big Data 설계 및 구축
Core 기술 Summary & Field Experience
이중화 클러스터, 고가용성 및 백업
시스템 용량 최적화 관리
Oracle Database
Linux
전산업분야의풍부한경험 (금융, 유통, 통신, 공공, 제조)
• 대구은행, BC카드, 신한금융, 하나은행, 한국은행, LG/삼성 전자,SK 하이닉스,
POSCO, 서울시, 한화갤러리아, EBAY, LGU+, KT, 현대백화점, GS홈쇼핑 등
IT Core 기술력 (보안, 통신, 시스템, DATA 분야)
• 보안, 네트워킹, Clustering, Backup, 용량 설계, 시스템 가상화, BI, ETL, DB, Big
Data, Networking, Security, Cloud
Application 및 Software R&D 지원역량보유
• 관련 Core 기술 인력과 Know-How 지원
20년 경험의 이중화(고가용성) 및 데이터보호 전문회사