hybrid cloud security - trend micro internet security · - 시스템파일, 환경변수,...
TRANSCRIPT
Hybrid Cloud Security
Lee Sang-jo
Security&Tech team
JANUBER
2
클라우드의진화
PhysicalServers
Public CloudVirtual Servers
Virtual Desktops Hybrid Environments
3
Hybrid Cloud 환경
Physical Servers
Virtual servers
Public Cloud Private Cloud
4
하이브리드클라우드도입이 최우선
하이브리드클라우드도입을최우선으로생각하는기업
66%
5
클라우드도입 시 방해요소
2016년 2위2015년 1위
6
IT인프라Cloud Instances
Public Cloud
Private CloudVirtual System Physical System
Cloud
Data Center
7
Cloud Instances
Public Cloud
Private CloudVirtual System Physical System
Cloud
Data Center
클라우드보안의 방향은?
8
어느부분에보안을적용해야하는가?
9
Shared Responsibility
You
Physical
Infrastructure
Network
Virtualization
Operating System
Applications
Data
Service Configuration
10
Shared Responsibility : Cloud
Cloud
Physical
Infrastructure
Network
Virtualization
You
Operating System
Applications
Data
Service Configuration
11
Shared Responsibility
Operating System
Applications
Data
Service Configuration
Security Solution
12
전체 인프라에 대한 연계성은?Cloud Instances
Public Cloud
Private CloudVirtual System Physical System
Cloud
Data Center
일괄적용하여관리할수있는가?기존인프라는어떻게?
Copyright 2016 Trend Micro Inc.13
14
DeepSecurity
Hypervisor or Cloudor Phsycal
HOST Firewall
1. 정보수집 (Information Gathering)- PortScan 등해커의각종스캔에대하여커널레벨에서의방어- 상태기반및정적차단모드지원으로의심트래픽차단
2. 시스템권한탈취및 Application 공격- 취약점공격을통한 Admin 권한탈취커널레벨에서의방어- 각종 Application 공격에대하여커널레벨에서의방어
3. C&C Callback 및악성 URL 등역공격- 백도어및좀비프로세스 Control 서버접근커널레벨에서의차단- VDI 등 End User의악성URL 접근차단
4. 각종파일변조및악성프로그램 2차생성- 시스템파일, 환경변수, 레지스트리등주요파일변조감시- 디렉터리및파일생성, 삭제감시
5. 운영서비스중지, 프로세스삽입공격- 서비스중단등의치명적영향에대한주요로그감사
6. 차후서버재접근을위한백도어, 루트킷등각종프로그램설치- 세계 1위의패턴보유량으로악성프로그램원천봉쇄- 빠른업데이트를통하여신규생성된악성프로그램도즉시차단
IntrusionPrevention
WEBReputation
IntegrityMonitoring
LOGInspection
Anti -Malware
해커의공격순서에따른Deep Security 대응프로세스
VM VMVMVM
통합모듈을통한다단계보안
Copyright 2016 Trend Micro Inc.15
Standard 환경
Copyright 2016 Trend Micro Inc.16
Network IPS 환경
Copyright 2016 Trend Micro Inc.17
Host Based 환경
18
Network Based Security
• 소규모환경에서 도입 어려움(高비용)
• 트래픽을 어플라이언스에서감시하는 방식
• 클라우드 내부에서 네트워크에대한 재설정이 필요
• 설계 시 확장 여부도 고려 대상
19
Host Based Security
• Agent 설치 방식
• 각 서버별로 트래픽을 감시
• VM의 증감부분에 대해비교적 자유로움
• 장애 발생시 영향도는 서버단위
• 별도의 설계가 불필요
20
Auto-Scailing
• 자동으로확장되고 줄어드는 인스턴스
• 보안을어떻게 적용할 것인가?
21
Auto-Scailing – 네트웍 기반
• 인스턴스확장 시
• 클라우드-어플라이언스연결을 위한 별도의설정이 필요함
22
Auto-Scailing – 호스트기반
• 인스턴스확장 시
• 에이전트적용 시 보호
23
Inter-VM Attack Malware/Exploit
24
Inter-VM Attack / Host Based
25
개별 서버에 대한 보안 적용
• OS 및 애플리케이션을기반으로 정확한 보안정책 생성
• 불필요한 규칙을줄임으로써 성능 향상
• 상황에 따른 정책 설정가능
26
Virtual Patching
Patch 평균 시간
176 Days
Recommendation
패치시인스턴스이슈
발생
Plan Properly
패치할때문제를
해결하는시간
27
중요 보안 이슈 경고
중요 보안 경고 제공
• Registry 변경
• Brute Force 경고
• 구성(중요) File 변경
• 로그인 이슈(실패)
전체 인프라에 대한 종합 감사추적(가시성 제공)
CloudTrail& AWS Config
Security Tools
Copyright 2016 Trend Micro Inc.28
메이저클라우드서비스에서입증된기능
Copyright 2016 Trend Micro Inc.29
Copyright 2016 Trend Micro Inc.30
보안 기능 강화 – 악성프로그램방지DSVADSA
백신
랜섬웨어 대책• 잘못된 암호화 및 변경을 차단• 암호화 파일의 자동 백업 및 복구
실시간 메모리 검색• 메모리 공간에서 실행되는 의심스러운
프로세스를 차단
동작 모니터링(AEGIS)• 설치된 프로그램 / 프로세스의 무단 변경을 감시• 시스템 파일에 대한 무단 변경을 감시
Copyright 2016 Trend Micro Inc.31
추가 – 랜섬웨어(Ransomware) 방어
C & C 트래픽탐지- 랜섬웨어별 특정명령및제어트래픽에대한검색및경고- IPS/IDS 기능
취약점방어(가상패치)- 패치가되기전까지 취약점악용에대해서버를보호, 즉가상으로서버에사용중인소프트웨어패치- IPS/IDS 기능
의심스러운동작모니터링- 랜섬웨어관련파일서버에서의심스러운활동을감지하고중지- IPS/IDS 기능, 무결성감지기능
악성코드스캐닝(Malware Scanning)- 악성소프트웨어를검색하고중지- 백신기능
물리적, 가상, 클라우드에구성된서버에서가장중요한데이터에영향을미치는랜섬웨어를방어
Copyright 2016 Trend Micro Inc.32
보안 기능 강화 – 응용프로그램제어DSVADSA
무결성 모니터링
• DSA 호스트에서 실행되는 응용 프로그램을 모니터링• 화이트리스트 / 블랙리스트 방식 운영 가능• 감지(로그) 또는 블록 선택 가능
• 보안 관리자의 작업의 효율성을 고려한 디자인• Maintenance mode / Production mode를 API 연동으로 자동
전환• 각 서버의 관리자에게 일시적으로 소프트웨어 업데이트 권한을
부여하거나 여러 호스트에서 공통 화이트리스트를 적용 할 수있는 등 운영을 고려한 디자인
• 일반 실행 파일의 바이너리와 라이브러리 외에 Java, PHP, Python 등 주요 Web 어플리케이션 프레임 워크에도 대응
Copyright 2016 Trend Micro Inc.33
Docker 컨테이너로확장
• 호스트와 Docker 컨테이너를 안전하게보호
• 모든 워크로드에서 일관된 보안 유지
Amazon ECS
Copyright 2016 Trend Micro Inc.34
Docker 배포를위한런타임보호
Deep Security Agent (DSA) Application
Container (e.g. MySQL)
Application Container
(e.g. NGINX)
Docker Engine
Operating SystemDS Kernel Modules
Real-Time
Anti-Malware (AM)
Policy Enforcement
(Containers)
Policy Enforcement (Host)
Intrusion Prevention /
Virtual Patching (IPS)*
• Intrusion Prevention/ Virtual Patching (IPS)
• Anti-Malware (AM)• Application Control• Host Firewall, WRS
DSA is installed directly on the Docker Host
• Docker Host visibility reported to DSM
• Log inspection• Integrity Monitoring
THANK YOU