클라우드환경에서의

보안및데이터보호

-가상화솔루션중심으로

2019.3.7

클라우드 컴퓨팅

클라우드 보안 위협

클라우드 환경에서의 보안

클라우드 데이터 보호

회사 소개

Ⅰ

Ⅱ

Ⅲ

Ⅳ

Ⅴ

Ⅰ

클라우드컴퓨팅

- 4 -

클라우드컴퓨팅 Ⅱ클라우드컴퓨팅 ?서비스제공방식(SaaS, PaaS, IaaS), 구현방법및구성유형(Public, Private, Hybrid)

- 5 -

클라우드컴퓨팅 Ⅱ인프라재분배-퍼블릭및프라이빗클라우드

- 6 -

클라우드컴퓨팅 Ⅱ클라우드컴퓨팅 - IaaS

IaaS를위한아키텍쳐모델

IT와데이터센터는모바일, 소셜, 빅데이터, 클라우드서비스를기반으로구축된거대한구조적변화중클라우드서비스의배포모델은크게퍼블릭및프라이빗의두가지유형

- 7 -

클라우드컴퓨팅 Ⅱ클라우드서비스특성

- 8 -

클라우드컴퓨팅 Ⅱ클라우드플랫폼구조하아퍼바이저 (Hypervisor) : 물리적서버위에존재하는가상화레이어

- 9 -

클라우드컴퓨팅 Ⅱ클라우드주요기술

• 가상머신& 가상화라이프사이클

• 가상화네트워크

Ⅱ

클라우드보안위협

- 11 -

클라우드보안위협 Ⅱ

클라우드보안위협과구분

- 12 -

클라우드보안위협 Ⅱ클라우드서비스의보안위협요소

- 13 -

클라우드보안위협 Ⅱ클라우드보안문제와해결책

* 출처: 소프트웨어정책연구소 연구보고서

Ⅲ클라우드환경에서의보안

[NEPYX NDT, NC]

- 15 -

클라우드보안 Ⅲ클라우드환경에서의보안 – 망분리AWS에서운영중인개발및업무서버에대한망분리및연계를통한보안강화–국정원, 금융위원회보안가이드라인준수

- 16 -

0

- 3SSOFT에서자체개발하여공급하는망분리/망연계통합솔루션

분리된 망 間 자료(파일)를 전송하는 망 연계 솔루션

물리적 망 분리를 위한 인터넷/업무용 전용 PC

논리적 망 분리를 위한 VDI 솔루션

분리된 망 間 데이터 스트리밍을 위한 망 연계 솔루션

인터넷 망

방화벽

인터넷

웹서버

외부서버

외부서버

가상머신(VM) VDI 서버

스위치

VDI 포탈서버

업무 망

정보처리시스템

업무서버

업무서버

VDI 클라이언트

방화벽

/ 메일 연계 솔루션

- 17 -

- 3SSOFT에서자체개발하여공급하는망분리/망연계통합솔루션

NEPYX NetDesktop (NDT)NEPYX NetCloud(NC)

NEPYX NetworkBridge (NB) NEPYX FileBridge (FB)

- 18 -

클라우드기반가상화솔루션 클라우드보안 Ⅲ

NEPYX NetDesktop 솔루션은업무망, 연구소망, 생산망, 개발자망, 재택근무등내부업무환경개선을위한

SBC (Sever Based Computing) 방식의가상화VDI 클라우드인프라를제공하는데스크톱가상화 (VDI) Solution

인터넷망분리

스마트워크

업무환경개선

VDI 접속

클라이언트

하이퍼바이저 (KVM)

스토리지

사용자

인증

가상머신(VM)

사용자

정책

가상화관리

사용자데이터

사용자인증/정책

제로클라이언트씬클라이언트

인터넷 망 분리

스마트 워크

내부시스템

재택/이동/해외출장근무

내부업무환경개선개발자VDI등

인터넷

- 19 -

클라우드기반가상화서버 클라우드보안 Ⅲ

NEPYX NetDesktop 하드웨어아키텍처는Software Define Storage를지원하는클라우드구조의수평적 HW구성

SDS ( Ceph Block Storage )

VM

VM

VM

VM

VM

VM

VM

VMVM

VM VM

VMVM

VM

VM

HOST 서버 장애 시 타 HOST로 VM 자동 재할당

물리서버

Controller

Web

Host

물리서버

Controller

Web

Host

물리서버

Controller

Web

Host

Web Pool

Controller Pool

Host Pool

HOST 서버 Pool 구성 / 수평적 클러스터링 확장

Storage Pool

서버 구성 아키텍처 VM 할당 운영 아키텍처

HOST서버장애시Software Define Storage

- 20 -

클라우드기반가상화 – SW 클라우드보안 Ⅲ

NEPYX NetDesktop Software는 SDS(SoftwareDefinedStorage)기반의클라우드컴퓨팅환경에적합한VDI 솔루션

NetDesktop Client

Linux

제로 클라이언트

NetDesktop Client

운영체제 (Windows)

씬 클라이언트

NetDesktop Client

운영체제 (Windows)

PC 클라이언트

Win7, Win8.1, Win10 32/64bit, Linux 지원

통신 Protocol : RDP, SPICE, NMSP

※ NMSP (NEPYX Multimedia Service Protocol)

서버

클라이언트

하이퍼바이저 (KVM)

Linux

가상화 서버 (CA)

NDT Web

NDT Controller

가상머신 OSUser Application

하이퍼바이저 (KVM)

Linux

가상화 서버 (CA)

NDT Web

NDT Controller

가상머신 OSUser Application

하이퍼바이저 (KVM)

Linux

가상화 HOST 서버

NDTPortal Web

NDT Controller, SDS, DB

가상머신 OSUser Application HOST 서버 수평적 확장

(N + 1 클라우드 아키텍처)

- 21 -

클라우드기반가상화 – 유연한운영기능 클라우드보안 Ⅲ

다양한OS 환경지원, 고정사용자방식, DynamicPool 방식 ,사용자인사DB 또는AD연동, 보안정책관리등유연한운영기능 제공

관리자

관리서버

가상화서버

인증

VM접속VM 할당

다양한 가상머신 운영 방식

표준이미지 B

표준이미지AStatic VM (고정)

Dynamic VM (Pool)

WindowsClient

ZeroClient

LinuxClient

다양한 Client

CD/DVD

외장 HDD

USB 메모리 로컬 프린터<가상머신>

스마트카드

사용자/그룹별

보안정책

다양한 보안 정책 관리

사용자 계정 연동 및 관리

• 사용자계정관리연동, AD, SSO 연동• VM 그룹관리

고객사인사DB서버VDI 사용자 인증인사정보연동

- 22 -

클라우드기반가상화 – SW 클라우드보안 Ⅲ

국가정보원보안적합성인증

동종업계국내최고등급

▪ 계정관리, 인사 DB 연동, AD연동

▪ IP기반 접근 통제 기능 제공

▪ 접속/실패/로그아웃 등▪ 감사로그 제공

▪ USB/외장 저정 장치 통제 등▪ VDI 사용 가능 시간 통제

보안 인증 취득

다양한 보안 정책

VM Client관리자PC

TLS1.2 암호화 통신

VDI서버

RSA공개키암호화 통신TLS 1.2(RSA 2048, AES 256, SHA 256)

패스워드 일방향 암호화

▪ Linux 서버 백신- ClamAV / Linux 용 상용백신

▪ 패턴 정기 업데이트- 백신 패치, PMS

▪ Linux Cent OS 7.2- OS 패치는사전 영향도 검토 후 패치

암호화 통신 / 암호화

백신 및 패치관리

▪ 국정원 보안 적합성 인증(CC인증 EAL3), 암호화 통신 및 IP기반 접근통제 등의 보안성 제공

- 23 -

클라우드기반가상화 – 운영포털 클라우드보안 Ⅲ

체크박스 연동생성 , 이동,적용, 삭제

간편 정보도메인, 부서, 사용자 상세정보

VDI 운영포털메인 화면

NetDesktop 은VDI 클라우드운영포털을제공하며, VDI관리를위한직관적이쉬운관리자인터페이스

- 24 -

클라우드기반가상화 – 운영아키텍처 클라우드보안 Ⅲ

제로클라이언트

NetDesktop Client

임베디드 Linux 운영체제

관리자

AD 서버 / 계정관리서버

기존 AD 연동

사용자 데이터 영역 할당

VDI 포털 / 관리서버

LINUX

Connection Manager

DBMS

WAS

사용자 관리

클라이언트 관리

가상화 시스템 관리

운영관리

이력 관리 VM 정책 관리

연결 관리공지사항 관리

VDI HOST 서버 1 ~ N

KVM 하이퍼바이저

LINUX

Control Agent

가상화 관리

보안감사

식별 및 인증

통신 및 암호

VM#1 VM#2

VM#3 VM#N

NetDesktop Security Virtual Channel

식별 및 인증

StorageDefinedStorage

공유자원풀

Virtual Storage(Ceph)

Network

씬 Client

NetDesktop Client

개발자 / 외주상근직원

PC

웹 브라우저

개발자 / 외주상근직원

- 25 -

클라우드기반가상화 – 확장성 클라우드보안 Ⅲ

- 26 -

클라우드기반가상화 – 보안성, 편의성 클라우드보안 Ⅲ

- 27 -

운영포털 – 주변기기보안통제 클라우드보안 Ⅲ

주변기기 사용 제어 프로세스

가상PC 내주변기기사용필요사용자

전체또는지정

권한담당자

① 주변기기 사용 승인 요청

③ 요청 승인 / 반려

④ 승인 / 반려 처리

⑤ 승인 / 반려 결과에 따른 실시간 공지

⑥ 주변기기 사용

사용자Client

② 요청 알림 (SMS 또는 Mail)

NEPYX NetDesktop 정책관리

정책설정

연동

VDI 운영포탈

<가상머신>

CD/DVD

외장 HDD

USB 메모리

프린터

•정책등록•정책할당

- 28 -

클라우드기반가상화 – 사용자계정연동 클라우드보안 Ⅲ

AD 및 SSO 연동 / 인증 구성

VDI 운영포탈

가상PC접속클라이언트

전체또는지정권한담당자

Active Directory

인증서버 가상PC

연동

NEPYX NetDesktop 계정관리

연동

연동

- 29 -

클라우드기반가상화 – 효율및보안 클라우드보안 Ⅲ

가상 PC 초기화

가상머신 초기화 (보안관리, 효율적 자원 운영)

• 가상머신 사용종료 시, 가상머신 초기화(개인 프로파일은 유지)

▪ Pool 방식의 사용자가 VM 사용종료 시 VM 초기화 지원▪ 관리자에 의한 VM 일괄 초기화 지원

사용자

- VM을 Pool 방식으로 사용 시, 보안관리를 위해 VM 초기화 필요

초기화 권한가상머신별, 그룹별, 전체

관리담당자

가상머신 세션 타임 아웃 (효율적 자원 관리)

• 일정시간 미 사용시 세션 자동 종료 지원

• 사용자당 최대 사용시간 지정 지원

사용자

세션종료, VM 종료 등 권한

관리담당자

▪ VM 로그인 후, VM을 사용하지 않고 방치하는 경우 자원 낭비▪ 일정시간 사용하지 않는 경우 자동 세션타임 아웃 지원▪ 사용자당 최대 사용 시간 지정 지원

▪ Pool 방식의 사용자가 VM 사용종료 시 VM 자동 초기화 지원 (운영 효율성 향상, 보안강화)▪ 일정 시간 사용하지 않는 VM은 세션 타임아웃 기능 지원 (자원 운영 효율화)

- 30 -

클라우드기반가상화 – 프로비저닝 클라우드보안 Ⅲ

- 31 -

클라우드기반가상화 – 메시지전달 클라우드보안 Ⅲ

공지사항 및 작업 메시지 관리

VDI운영포탈

AD

사용자VDI

2) 메시지 전파등록

관리자

1) 공지사항 등록

4) 공지사항 확인

3) 사용자 메시지 확인(윈도우 메시지 서비스)

• 작업내용등공지사항등록

• 사용자공지메시지등록

• 등록된사용자공지메시지AD 서버를통한송신

• AD 계정의도메인컨트롤러계정을활용한메시지

송신

• 각VDI 사용자의윈도우메시지서비스를통한메시지

수신

공지사항및메시지등록 공지사항및메시지수신

- 32 -

클라우드기반가상화 – 사례 클라우드보안 Ⅲ

업무망백본

인터넷망백본

인터넷망 DMZ Zone

서버 Farm

…

클라우드용 4,000 유저 인터넷 사용자

내/외부개발자여부에따라VDI Zone 검토

Ⅳ

데이터보호

- 34 -

데이터보호전략@Cloud

4 가지핵심고객요구사항지원

• 백업데이터장기보존

• 스토리지및회선비용

절감

TO THE CLOUD

Storage

CloudCatalyst

• Cloud Workload보호

• CSP 제공 Snapshot관리

IN THE CLOUD

IaaS

MSDP & CloudPoint

• End User의사용편의성

확보

• Self Service Portal 연동

SELF SERVICE

ITaaS

NetBackup Self Service

• On-Prem to Cloud IaaS

• 백업DR센터확보

(On-Prem or Cloud)

DR Options

DRaaS

A.I.R to On-Premor Cloud

데이터보호 Ⅳ

- 35 -

Backup to the Cloud #1

NetBackupMaster/Media Server

S3 Connector

Accelerator

Secure & Encrypted

Bandwidth Throttling

데이터보호 Ⅳ

- 36 -

Backup to the Cloud #2• CloudCatalyst

데이터보호 Ⅳ

- 37 -

Cloud 데이터보호방안 Backup in the Cloud

Snapshot 을 통한 시점 보호

CloudPoint

Discover& Protect

Snapshot

NetBackup

IaaS

Index, Catalog

Replicate

APIs

데이터보호 Ⅳ

- 38 -

CloudPoint를활용한Cloud Snapshot 통합관리방안

데이터보호 Ⅳ

- 39 -

Cloud 데이터보호방안 Backup in the Cloud 데이터보호 Ⅳ

- 40 -

Public Cloud Workload 백업방안 데이터보호 Ⅳ

- 41 -

Public Cloud 와 Local DC Workload 통합백업방안

데이터보호 Ⅳ

- 42 -

백업데이터다양한 DR소산방안 데이터보호 Ⅳ

- 43 -

Public Cloud 환경과연동 데이터보호 Ⅳ

- 44 -

구축사례 – G건설 데이터보호 Ⅳ

백업저장장치(PTL)노후화로인한장애로업무효율성이떨어져 이를개선하고자 백업저장소중하나인

Cloud를사용하여기존대비 백업성능, 기능, 운영/관리개선

Network 백업 : 12대

SAN 백업NBU Client

•••

SAN 백업 서버 : 30대

FC HBAFC HBA

SAN S/W

Master Server범

례

San 백업

N/W 백업

Master Server

Administration ConsoleCatalog

Databases 백업 마스터

NBUA 5240 14TB

MSDP No Rehydration

데이터 전송 트래픽 감소

✓✓

Note: CloudCatalyst 서버 별하나의 NetBackup 도메인 및클라우드 공급자 구성

Note: 여러 미디어 서버에서데이터를 수신 (n:1)

ᆞ클라우드 데이터 전송 할 대상

NUBA 5240 14TB 로 백업 수행

ᆞ백업 된 데이터는 Cloud

Storage 로 전송

Ⅴ

회사소개

- 46 -

회사소개 Ⅴ㈜ 3S소프트

일반현황

주요 연혁

회사명 ㈜3S소프트

사업장 주소(본사 / 지사)

본사) 서울특별시 서초구 양재동 마방로 6길 3, 린 빌딩대구 사무소) 대구광역시 서구 원대로 25-12, 2층

설립일 2000년 3월 매출액 320억(2018년)

대표자명 김종택 전화번호 / 이메일 02.576.2436, jtkim@3ssoft.co.kr

법인등록번호 110111-1926116 사업자등록번호 214-86-53717

기술용역등록분야 시스템 컨설팅, 소프트웨어 개발

주요연혁 주요실적

• 라이나생명 망연계 시스템 구축• 스마트저축은행 망분리 망연계 통합 구축• 청호이지캐쉬 물리적 망분리망연계 통합 구축• BNK 신용정보 망연계 시스템 구축• IBK 저축은행 망연계 시스템 구축• 하이플러스 스마트 카드 망분리 시스템 구축• 대구은행 망분리(통합보안, 승인반출시스템 연동 개발)• 서울시 교통제어 망연계 시스템 구축• 실리콘웍스 망연계 시스템 구축• 경기도교통센타 망분리/망연계 통합 시스템 구축• 하남시 광역 버스 정보망 망연계 시스템 구축• 포스코 생산망 종합방재 가상화 시스템 구축 및 확대• 한국전력 내부정보 유출 방지 시스템(VDI) 프로젝트• 대구은행 통합 보안 시스템

2017.

2016.

2015.

2011.

2007.

2007.

2007.

2005.

2002.

2000.

2000.

망연계 차세대 제품 CC(EAL4) 인증 진행 中

망연계 제품 CC(EAL2) 인증

논리적 망분리 제품 CC(EAL3) ,GS 인증, 망연계제품 GS인증

한국 레드헷(Redhat) Reseller 체결

한국 Microstrategy 와 Reseller 체결

기술보증기금 벤처 인증

중소기업청 INNO-BIZ 기업 선정

기업부설 연구소 설립

Oracle Korea와 Reseller 체결

한국 베리타스 (www.veritas.co.kr) 과 Reseller 체결

쓰리에스소프트, 법인 설립

- 47 -

회사소개 Ⅴ㈜ 3S소프트

주요 사업분야

Open Sources by Expertise 시스템 소프트웨어

데이터웨어

차세대 망연계 기술

인피니밴드 통신 기술

망분리 및 가상화 기술

Cloud Platform 기술

Data/Document 아카이빙

BI Meta Data/Analytic View 설계/구축

ETL 설계 및 ETT Migration

DW & Big Data 인프라 등

Big Data 설계 및 구축

Core 기술 Summary & Field Experience

이중화 클러스터, 고가용성 및 백업

시스템 용량 최적화 관리

Oracle Database

Linux

전산업분야의풍부한경험 (금융, 유통, 통신, 공공, 제조)

• 대구은행, BC카드, 신한금융, 하나은행, 한국은행, LG/삼성 전자,SK 하이닉스,

POSCO, 서울시, 한화갤러리아, EBAY, LGU+, KT, 현대백화점, GS홈쇼핑 등

IT Core 기술력 (보안, 통신, 시스템, DATA 분야)

• 보안, 네트워킹, Clustering, Backup, 용량 설계, 시스템 가상화, BI, ETL, DB, Big

Data, Networking, Security, Cloud

Application 및 Software R&D 지원역량보유

• 관련 Core 기술 인력과 Know-How 지원

20년 경험의 이중화(고가용성) 및 데이터보호 전문회사