Hybrid Cloud Security

Lee Sang-jo

Security&Tech team

JANUBER

2

클라우드의진화

PhysicalServers

Public CloudVirtual Servers

Virtual Desktops Hybrid Environments

3

Hybrid Cloud 환경

Physical Servers

Virtual servers

Public Cloud Private Cloud

4

하이브리드클라우드도입이 최우선

하이브리드클라우드도입을최우선으로생각하는기업

66%

5

클라우드도입 시 방해요소

2016년 2위2015년 1위

6

IT인프라Cloud Instances

Public Cloud

Private CloudVirtual System Physical System

Cloud

Data Center

7

Cloud Instances

Public Cloud

Private CloudVirtual System Physical System

Cloud

Data Center

클라우드보안의 방향은?

8

어느부분에보안을적용해야하는가?

9

Shared Responsibility

You

Physical

Infrastructure

Network

Virtualization

Operating System

Applications

Data

Service Configuration

10

Shared Responsibility : Cloud

Cloud

Physical

Infrastructure

Network

Virtualization

You

Operating System

Applications

Data

Service Configuration

11

Shared Responsibility

Operating System

Applications

Data

Service Configuration

Security Solution

12

전체 인프라에 대한 연계성은?Cloud Instances

Public Cloud

Private CloudVirtual System Physical System

Cloud

Data Center

일괄적용하여관리할수있는가?기존인프라는어떻게?

Copyright 2016 Trend Micro Inc.13

14

DeepSecurity

Hypervisor or Cloudor Phsycal

HOST Firewall

1. 정보수집 (Information Gathering)- PortScan 등해커의각종스캔에대하여커널레벨에서의방어- 상태기반및정적차단모드지원으로의심트래픽차단

2. 시스템권한탈취및 Application 공격- 취약점공격을통한 Admin 권한탈취커널레벨에서의방어- 각종 Application 공격에대하여커널레벨에서의방어

3. C&C Callback 및악성 URL 등역공격- 백도어및좀비프로세스 Control 서버접근커널레벨에서의차단- VDI 등 End User의악성URL 접근차단

4. 각종파일변조및악성프로그램 2차생성- 시스템파일, 환경변수, 레지스트리등주요파일변조감시- 디렉터리및파일생성, 삭제감시

5. 운영서비스중지, 프로세스삽입공격- 서비스중단등의치명적영향에대한주요로그감사

6. 차후서버재접근을위한백도어, 루트킷등각종프로그램설치- 세계 1위의패턴보유량으로악성프로그램원천봉쇄- 빠른업데이트를통하여신규생성된악성프로그램도즉시차단

IntrusionPrevention

WEBReputation

IntegrityMonitoring

LOGInspection

Anti -Malware

해커의공격순서에따른Deep Security 대응프로세스

VM VMVMVM

통합모듈을통한다단계보안

Copyright 2016 Trend Micro Inc.15

Standard 환경

Copyright 2016 Trend Micro Inc.16

Network IPS 환경

Copyright 2016 Trend Micro Inc.17

Host Based 환경

18

Network Based Security

• 소규모환경에서 도입 어려움(高비용)

• 트래픽을 어플라이언스에서감시하는 방식

• 클라우드 내부에서 네트워크에대한 재설정이 필요

• 설계 시 확장 여부도 고려 대상

19

Host Based Security

• Agent 설치 방식

• 각 서버별로 트래픽을 감시

• VM의 증감부분에 대해비교적 자유로움

• 장애 발생시 영향도는 서버단위

• 별도의 설계가 불필요

20

Auto-Scailing

• 자동으로확장되고 줄어드는 인스턴스

• 보안을어떻게 적용할 것인가?

21

Auto-Scailing – 네트웍 기반

• 인스턴스확장 시

• 클라우드-어플라이언스연결을 위한 별도의설정이 필요함

22

Auto-Scailing – 호스트기반

• 인스턴스확장 시

• 에이전트적용 시 보호

23

Inter-VM Attack Malware/Exploit

24

Inter-VM Attack / Host Based

25

개별 서버에 대한 보안 적용

• OS 및 애플리케이션을기반으로 정확한 보안정책 생성

• 불필요한 규칙을줄임으로써 성능 향상

• 상황에 따른 정책 설정가능

26

Virtual Patching

Patch 평균 시간

176 Days

Recommendation

패치시인스턴스이슈

발생

Plan Properly

패치할때문제를

해결하는시간

27

중요 보안 이슈 경고

중요 보안 경고 제공

• Registry 변경

• Brute Force 경고

• 구성(중요) File 변경

• 로그인 이슈(실패)

전체 인프라에 대한 종합 감사추적(가시성 제공)

CloudTrail& AWS Config

Security Tools

Copyright 2016 Trend Micro Inc.28

메이저클라우드서비스에서입증된기능

Copyright 2016 Trend Micro Inc.29

Copyright 2016 Trend Micro Inc.30

보안 기능 강화 – 악성프로그램방지DSVADSA

백신

랜섬웨어 대책• 잘못된 암호화 및 변경을 차단• 암호화 파일의 자동 백업 및 복구

실시간 메모리 검색• 메모리 공간에서 실행되는 의심스러운

프로세스를 차단

동작 모니터링（AEGIS)• 설치된 프로그램 / 프로세스의 무단 변경을 감시• 시스템 파일에 대한 무단 변경을 감시

Copyright 2016 Trend Micro Inc.31

추가 – 랜섬웨어(Ransomware) 방어

C & C 트래픽탐지- 랜섬웨어별 특정명령및제어트래픽에대한검색및경고- IPS/IDS 기능

취약점방어(가상패치)- 패치가되기전까지 취약점악용에대해서버를보호, 즉가상으로서버에사용중인소프트웨어패치- IPS/IDS 기능

의심스러운동작모니터링- 랜섬웨어관련파일서버에서의심스러운활동을감지하고중지- IPS/IDS 기능, 무결성감지기능

악성코드스캐닝(Malware Scanning)- 악성소프트웨어를검색하고중지- 백신기능

물리적, 가상, 클라우드에구성된서버에서가장중요한데이터에영향을미치는랜섬웨어를방어

Copyright 2016 Trend Micro Inc.32

보안 기능 강화 – 응용프로그램제어DSVADSA

무결성 모니터링

• DSA 호스트에서 실행되는 응용 프로그램을 모니터링• 화이트리스트 / 블랙리스트 방식 운영 가능• 감지(로그) 또는 블록 선택 가능

• 보안 관리자의 작업의 효율성을 고려한 디자인• Maintenance mode / Production mode를 API 연동으로 자동

전환• 각 서버의 관리자에게 일시적으로 소프트웨어 업데이트 권한을

부여하거나 여러 호스트에서 공통 화이트리스트를 적용 할 수있는 등 운영을 고려한 디자인

• 일반 실행 파일의 바이너리와 라이브러리 외에 Java, PHP, Python 등 주요 Web 어플리케이션 프레임 워크에도 대응

Copyright 2016 Trend Micro Inc.33

Docker 컨테이너로확장

• 호스트와 Docker 컨테이너를 안전하게보호

• 모든 워크로드에서 일관된 보안 유지

Amazon ECS

Copyright 2016 Trend Micro Inc.34

Docker 배포를위한런타임보호

Deep Security Agent (DSA) Application

Container (e.g. MySQL)

Application Container

(e.g. NGINX)

Docker Engine

Operating SystemDS Kernel Modules

Real-Time

Anti-Malware (AM)

Policy Enforcement

(Containers)

Policy Enforcement (Host)

Intrusion Prevention /

Virtual Patching (IPS)*

• Intrusion Prevention/ Virtual Patching (IPS)

• Anti-Malware (AM)• Application Control• Host Firewall, WRS

DSA is installed directly on the Docker Host

• Docker Host visibility reported to DSM

• Log inspection• Integrity Monitoring

THANK YOU