Deep Security 표준제안서 -...

Deep Security 표준 제안서

Agenda

2

1. 회사소개

3. 보안 이슈

4. Deep Security 제품 소개

5. Deep Security 기능 안내

6. Deep Security PoC 시나리오

2. 제안 배경 및 목적

7. 경쟁 제품 비교

8. 기대효과 및 도입사례

Trend

Micro

Worldwide Endpoint Security

Revenue Share by Vendor, 2010

Source: IDC, 2011

Trend Micro

Source: 2011 Technavio – Global Virtualization

Security Management Solutions

Source: 2012 Technavio – Global

Cloud Security Software Market

Trend Micro is No.1 in Server, Virtualization, & Cloud Security

Why is Trend Micro an Expert?

#1 in Cloud Security

#1 in Virtualization

Security

#1 in Server

Security

Trend

Micro

Trend

Micro

3

4

1. 회사소개

3. 보안 이슈







제안 배경 및 목적

Deep Security 제안 배경 & 목적

데이터 센터의 가상화를 진행하면서 물리적 서버와 가상화 환경에서 다양한 플랫폼의 서버를 운영함에 있어 시스템

및 해당 서버들이 운영하는 어플리케이션 및 네트워크에서 발생하는 여러가지 취약점에 대한 공격들의 다각화 및

지능화 되고 있는 시점에서 시스템 내부정보에 대한 무결성 확보 및 취약점에 대한 보다 빠르고 안정적인 패치를

적용하는 통합 보안 솔루션의 도입이 필요한 시점이다.

시스템 / 네트워크 보안 (물리적, 가상환경 동시지원)

- 내부 감염으로 인한 공격 탐지 및 방어 부재

- 취약점에 대한 패치 즉각적인 적용 어려움

- 내부 공격으로부터 취약

데이터 무결성 모니터링

- 비 인가된 변경에 대한 통제 부재

- 시스템 무결성에 대한 필요성 대두

내부 시스템 접속에 대한 감사

효율적인 운영 및 보안성 향상

• 통합관리를 가능하게 하여 운영적 효용성 향상

• 가상 패치를 통한 제로데이 공격에 대한 신속한 대응

• 가상화 전환 시 확장성 보장

5

가상환경의 Agent-less백신 제공

- 가상환경의 리소스 경합 발생 이슈 대두

- 중앙에서 일괄적인 스케줄링 가능

6

1. 회사소개

3. 보안 이슈







새로운 과제:

1. AV Storm+

OS

AppTypical AV

Console

OS OS OS OS

App App AppAppAV AV AV AVAV

3:00 AM Scan

7

가상환경에서 동시에 패턴 업데이트, 스캔을 진행할 때 이슈 발생

A/V Storm

시스템/네트워크 보안 이슈

새로운 과제:

1. AV Storm

2. Instant-on Gaps

+휴면상태 VMs 운영중인 VMs

OSOSOSOSOS

8

가상환경에서 휴면상태의 서버가 켜져서 운영될 때 발생하는 이슈

AV App AV App AV AppAV AppAV App

Instant-on Gaps


새로운 과제:

1. AV Storm

2. Instant-on Gaps

3. VM간 내부 공격

+

OS OS OS OS

Network

IDS / IPSvSwitch vSwitch

휴면상태 운영 중

9

가상환경에서 내부 VM간의 공격에 대한 이슈

AV App AV AppAV AppAV App

Inter-VM Attack


OS OS

Network

IDS / IPSvSwitch vSwitch

OS

Cloud

Computing

새로운 과제:

1. AV Storm

2. Instant-on Gaps


4. VM 이동성

+

10

가상환경에서 HOST간 Guest OS가 이동될때 발생하는 이슈

AV App AV App AV App

휴면상태 운영 중

VM 이동성


OS

New

새로운 과제:

1. AV Storm

2. Instant-on Gaps


4. VM 이동성

5. VM 무분별 확장

+

11

가상환경에서 Guest VM 확장 시 발생하는 이슈

AV App

OSOS

AV App AV App

OS

AV App

OS

휴면상태 운영중인 VMs

VM의 무분별 확장


12

패치 적용 시 까지 수 일 또는 몇 달 수요

• Microsoft

• Oracle

• Adobe

취약점 코드 수정 불가

• 개발자의 이직

• 다른 프로젝트 수행

보안 패치 서비스 중단• Red Hat 3 -- Oct 2010

• Windows 2000 -- Jul 2010

• Solaris 8 -- Mar 2009

• Oracle 10.1 -- Jan 2009

패치 불가시스템

• 비용, 규정, SLA 계약

• POS

• Kiosks

• Medical Devices


보안패치가 꼭 필요하지만 호환성에 대한

부분을 검증하기까지 보안적인 홀 존재

웹 서버의 취약점 발견 시 즉각적인 대응의

어려움이 존재 함.

보안 지원 서비스가 중단된 시스템에 대해서

정상적으로 시스템 업데이트를 하지 못하고

계약 만료로 인하여 추가적인 비용부담 발생

패치 불가 시스템의 경우, 가상화를 진행하여

Virtual Appliance 형태로 패치지원 가능

OS 및 Application 취약점 이슈

Advanced Reporting

Module

Single Management

Console

Firewall

HIPS /

Virtual

Patching

File Integrity

MonitoringAntivirusLog

Inspection

Web

Application

Protection

Threat Management

통합보안관리이슈

1

3

13

14

1. 회사소개

3. 보안 이슈







Alerts

SecurityProfiles

SecurityUpdates

IT Infrastructure 통합

• vCenter 연동

• Active Directory 연동

• Log correlation

• Web services

• SIEM (ESM) 연동

PHYSICAL VIRTUAL CLOUD

Deep Security

관리자

Deep Security Agent

Deep Security Virtual Agent

Deep Security 구성

15

Reports

VDI

Deep Security Manager

Trend MicroSecurity Center

Deep SecurityManager Security Center

Deep Security Agent

Deep Security Virtual Appliance

Deep Security

Deep Security 기본 구성요소

16

무결성 모니터링

로그 감사

IDS/ IPS

Web App Protection

Applications Control

Stateful F/W

알려진 취약점이나 Zero-day공격에 대한 탐지 및 차단

Web Application취약점에 대한 방어

네트워크에 접속하는 application을제어하고, 향상된 가시성 제공

표면적인 공격감소 효과, DoS 방어 & 포트스캔을 통한 탐지.

폴더, 파일& 레지스트리 키 그리고 서비스에 대한 악의적이고 승인되지

않은 변경에 대한 탐지

많은 양의 로그 이벤트 중에서 중요한 보안 이벤트 확인의 최적화.

Deep Security

가상화 및 물리적 환경의 보안 솔루션 제공

17

안티 멀웨어 (백신) 멀 웨어 탐지 및 차단 (웹 위협, 바이러스& 웜, 트로이 잔)

DPI(Deep Packet Inspection) 기능을 이용한 Virtual Patching 기능 제공

승인되지 않은 변경내역을 기록하고 시스템 및 어플리케이션에 최적화된 로그 정보를 제공하여

효과적인 감사를 위한 분석 자료를 제공함.

vShield API를 이용하여 Kernel Level에서 실시간 검사, 스캔 및 치료를 진행함

18

가상기기

운영체제

애플리케이션

가상기기

운영체제

애플리케이션

가상기기

운영체제

애플리케이션

VMware vSphere

트렌드마이크로

Deep Security

가상 장치

IDS/IPS(침입 탐지)

방화벽 안티멀웨어웹 애플리케이션보호

VMware EPSECVMsafe API

가상기기

운영체제

애플리케이션

Deep Security

Deep Security Virtual Appliance

- Inter VM Attack방어

- Application aware F/W

- Stateful Firewall 제공

- Exploit 패턴 분석 및 차단

- 취약점 분석 및 차단

Filtered Traffic

Raw Traffic

정상적인 패킷 통과Stateful Firewall1

악성 네트워크 패턴 차단Exploit Filters2

알려진 취약점으로 부터 보호Vulnerability Filters3

알려지지 않은

취약점으로 부터 보호(Zero-day) Smart Filters4

Custom Filters 특정한 APP에 대한 보호5

Deep p

ack

et

insp

ect

ion

19

Deep Security

심층 패킷분석 (DPI ; Deep Packet Inspection)

위협

패킷

유입

방역

및

모니터링

정상

데이터

패킷

수신

신규 패턴업데이트

I/O발생시 커널단에서 패킷을 Hooking

Agent 또는 Virtual Appliance를 통해 취약점공격 방어

공격 패킷을 제외한 정상 패킷 수신 및 무결성 보장

Stateful inspection F/W

Deep Security Manager

Virtual Patching 처리

인터넷

DPI(Deep Packet Inspection)

네트워크 패턴분석 / 차단

컨텐츠 취약점분석 / 차단

Log

Inspection

Integrity

Monitering

악의적 패킷 발견 시 동작 방식 (DPI ; Deep Packet Inspection)

트렌드 마이크로보안센터

Reports

MS외 타 벤더

20

내부 승인되지 않은 변경통제 및

시스템 및 어플리케이션에 대한

감사자료 생성

취약점 발견

Alerts

(분석 및 패턴 생성)

(취약점 정보제공)

( Exploit을 이용한 공격 )

정기적인 패턴업데이트

Anti Virus (agent & agent-less)

Deep Security

21

공격 성공 후 내부

정보 유출

- Root kit 설치

- 중요 데이터 외부 전송

- 설정 값 변경 및 데이터 값 수정

- 단말의 좀비화

Deep Security

네트워크 보안 장비와 Deep Security 의 차이점

• Stateful F/W

• IDS/IPS, WAP

• IDS/IPS

• Integrity Monitoring

• Log Inspection

• Virus Vaccine

• Integrity Monitoring

• Log Inspection

- 시스템 포트 스캔

- OS 에 대한 기본 정보 및

설정 정보 획득

- 어플리케이션 버전 정보 등.

시스템 정보

수집단계

타겟에 대한 취약점

정보 수집 단계

- S/W 취약점 발견

- 취약한 설정 정보수집

- 취약한 관리정책 정보 수집

- 내부 시스템 접근시도

탐지

차단

탐지 불가

22

Deep Security 이점

데이터변조및서비스파괴

방지

정책준수(Compliance)

운영비용절감

기업내 OS, Apps 그리고Web Apps의취약점방어

의심적악성행위에대한탐지및차단

Web reputation에의한악성웹사이트접근방지

PCI DSS, OWASP

및기타요구사항

차단된공격및정책준수상황의상세리포트

안전한코딩작업예정되지않은패치관리

클라우드기반이벤트 White list 및신뢰된이벤트는 FIM 관리를간소화

Agent-less 구조는가상화비용절감

기업내 platforms & apps 통합보안으로비용절감

23

• Windows 2000, Windows 7, Windows 8• Windows XP, 2003 (32 & 64 bit)• Windows Server 2008 (32 & 64 bit)• Windows Server 2012 (64 bit)

• Over 8 on SPARC• Over 10 on x86 (64 bit)

• Red Hat over 4 (32 & 64 bit)• Ubuntu• SuSE• CentOS

• VMware ESX Server (guest OS)• VMware Server (host & guest OS)

• HP-UX over 11i• AIX over 5.x

• KVM• Xen Server & Desktop

Deep Security

지원 가능 플랫폼

24

Deep Security

지원 가능 모듈

25

• Common Criteria

• Evaluation Assurance Level 4 Augmented (EAL 4)

• Achieved certification across more platforms (Windows, Solaris, Linux) than any other host-based intrusion prevention product.

• NSS Labs

• Third Brigade Deep Security is the first product to pass NSS Labs’ PCI Suitability testing for Host Intrusion Prevention Systems (HIPS).

Deep Security

국제 인증 정보

26

1. 회사소개

3. 보안 이슈







27

Deep Security 기능

Deep Security Main Page ( 직관적인 관리 UI제공 )

Stateful Firewall

DPI (IDS/IPS)

WEB Application Protection

Integrity Monitoring

Log Inspection

28


물리적 환경의서버 & Desktop보안 지원

가상화 환경의

서버 & Desktop보안 지원

Deep Security Main Page (물리적 환경 및 가상화 환경을 동시 지원)

29

* Active Directory & vCenter 연동을 통해 계정 관리


Deep Security Main Page (확장성)

• Group관리

• vCenter연동

• Active Directory 연동

- 각 OS에 대한 정책 설정 화면

- 백신, 방화벽, DPI 설정

- 각 Computer 또는 vCenter를 통해서 룰적용

- 각 OS에 대한 보안 템플릿 제공

- 자산 중요성에 따른 차별화 보안제공

- Customized 된 보안 템플릿 생성가능

30


가상 Appliance를 이용할 때

- IDS/IPS Rule 적용 확인

- OS 및 Application 취약점에 대한 필터링 제공

- DSAgent 설치 후 해당 OS 취약점 확인 가능

- Exploit & 취약점에 대한 Filtering제공

- 특정 Application 에 대한 제어기능 제공

- Detect 또는 Prevent 기능을 제공

- Activity, File Sharing, Remote Login, VoIP등의

Type을 기본으로 제어


31

심층패킷 분석 – IDS/IPS & Application Control

- 웹 취약점에 대한 Filtering 기능 제공

- XSS, SQL injection 과 같은 WEB APP 취약점 보호

- 취약점에 대한 타입 별 그룹핑 제공

- 트레픽 방향에 대한 정의

- DPI 룰 적용 간편화 제공

Deep Security

32

심층패킷 분석 – Web Application Protection & APP types

33

Deep Security

OS별 최적화된 Security Profile제공

34

Scan For Recommendations

129 DPI Rule(s) recommended for this computer

Agent를 통한 Guest VM Scan 후 취약점에 대한 레포트기능 및 적합한 대응 방안 제시

Deep Security

취약점 정보 추출

35

Deep Security

필요 패치정보 제공

36

1. 회사소개

3. 보안 이슈







Deep Security Deployment

37

• Deep Security Management 최소 사양

구분 규격 수량 비고

Deep Security

Manager

(Minimum

Requirement)

- CPU : x86 Processor 64bit or 32bit

- RAM : 8G

- HDD : 1.5G (5G recommended)

- Support OS :

Microsoft Windows Server 2008(32/64 bit), Server 2008 R2(64bit)

Microsoft Windows Server 2003 SP2 (32/64 bit)

Linux RHEL v5.0 and v6.0 (64 bit)

Note : 64 bit OS is recommended

- Support DB :

Oracle (11g, 10g or 10g Express)

Microsoft SQL Server (2008 SP1, 2005 SP2 or SP3, 2005 Express)

- Supported Brower For Web Console :

Mozilla Firefox 3.x (cookies enabled)

Internet Explorer 7.x and 8.x (cookies enabled)

1


38

• Deep Security Management Database 고려사항


Database Requirement

* Database 선택

- DSM Installation file의 Embedded DB 사용 가능(Production에는 권장

하지 않음)

- Oracle Database

- Microsoft Database

* Database 연결

- Named Pipes (DSM과 DB 서버가 동일한 시스템에 있는 경우 권장)

- TCP (DB 서버가 원격에 있는 경우 권장)

- DB 접속은 Windows 인증을 지원하지 않음

* DSM과 DB 서버간 Ping Time은 2ms를 넘지 않도록 함

1

39


• Deep Security Management Multi-Node 구성

- DSM은하나의 DB를이용하여여러개의노드로병행운영할수있음

- DSM을여러개의노드로운영함으로써높은신뢰성과, HA 지원, 가상환경확대지원그리고보다높은

성능을제공함


Classificati

on

8/26/2016

• Deep Security Management Multi-Node 구성

- 2 DSMs 의경우 HA를 위해 20,000 이하권장

- 최신모델 CPU의 Dual/Quad Core, 원격 DB 기준으로검증

- 3 DSMs 이상구성은권장하지않음

No. of DSM Architecture / Memory 관리가능한최대 Agent 수 검증수준

1 DSM 64-bit 8G RAM 1 ~ 20,000 전체 테스트 확인

2 DSMs 64-bit 8G RAM 20,000 ~ 50,000GUI 테스트, 적합한 성능 및 리소스 사용

상태 검증

3 DSMs 64-bit 8G RAM 50,000 ~ 100,000

40


Classificati

on

8/26/2016

• Deep Security Agent 최소사양


Deep Security Agent

(Minimum

Requirement)

- Memory : 128MB

- Disk Space : 100MB (200MB 권장)

- Support OS :

Microsoft Windows XP, 7, Vista, 2003 and 2008 (32 bit and 64 bit)

Microsoft Windows 2008 R2 (64 bit)

Red Hat Enterprise Linux v4, v5 and v6 (32 bit and 64 bit)

Suse Linux Enterprise Server 10 and 11 (32 bit and 64 bit)

Solaris 9 or 10 (64 bit Sparc)

Solaris 10 (64 bit x86)

AIX 5.3 or 6.1

HP-UX 11i v3

1

41


Classificati

on

8/26/2016

• Deep Security Relay 최소사양


Deep Security Relay

(Minimum

Requirement)

- Memory : 512MB

- Disk Space : 100MB (200MB 권장)

- Support OS :

Microsoft Windows XP SP3 (64 bit)

Microsoft Windows 7 (64 bit)

Microsoft Windows 2003 SP2 (64 bit)

Microsoft Windows 2008 (64 bit)

Microsoft Windows 2008 R2 (64 bit)

Red Hat Enterprise Linux v5 (64 bit)

Red Hat Enterprise Linux v5 (64 bit)

1

42


Classificati

on

8/26/2016

• Deep Security Notifier 최소사양


Deep Security Notifier

(Minimum

Requirement)

- Memory : 256MB

- Disk Space : 100MB

- Support OS :

Microsoft Windows XP SP3 (32 bit and 64 bit)

Microsoft Windows 7 (32 bit and 64 bit)

Microsoft Windows 2003 SP2 (32 bit and 64 bit)

Microsoft Windows 2008 (32bit and 64 bit)

Microsoft Windows 2008 R2 (32bit and 64 bit)

1

43


Classificati

on

8/26/2016

• Deep Security Virtual Appliance 요구사항


Deep Security

Virtual Appliance

(Requirement)

- CPU : 64 bit, Intel-VT and enabled BIOS

- Memory : Default 1GB(ESX 호스트 메모리 사용)

2GB : 25 VM

- Disk Space : 20GB (ESX 호스트 로컬 스토리지)

- Support OS : VMWare vSphere v5.0

- VMSafe-NET API 필요

단, Free 버전인 ESXi는 해당 API 지원 안되므로 DSVA를 사용할 수 없음

- DSVA 배포를 위해서는 VMWare Center Server 필요

- DSVA의 Anti-Malware 기능 사용시 VMWare vShield Manager와 vShield

Endpoint 필요(vShield Endpoint 없이는 DSVA AV 기능 Enable 안됨)

1

44


Classificati

on

8/26/2016

• Deep Security Virtual Appliance 요구사항


Deep Security 8.0

For DSVA

(Requirement)

- VMWare vShield Manager v5.0

- VMWare vShield Endpoint (EPSec) v5.0

- VMWare Tools 설치 (모든 지원하는 VM에 vShield Endpoint Driver를

위한 ESXi 5 패치 ESXi500-201109001 적용)

1

Deep Security 7.5

For DSVA

(Requirement)

- VMWare vShield Manager v4.1

- VMWare vShield Endpoint (EPSec) v1.0

- 모든 지원하는 VM에 VMWare vShield EPSec Thin Agent Driver v1.0

Update 2(build 402356))

1

45


Classificati

on

8/26/2016

• VMWare vShield 고려사항

• vShield Manager(w. vShield Endpoint)는 VMWare website를 통해 OVA 로패키지된파일을

다운로드받을수있음

• vShield Endpoint를 위한 License key 필요


vShield Manager

(Requirement)

- CPU : 1 vCPU

- Memory : 8GB

- Disk Space :

8GB (for vShield Manager)

5GB (per vShield App per ESX host)

100MB (per vShield Edge)

1

46


Classificati

on

8/26/2016

• Open Port 요구사항

47

Deep Security Deployment Model

Classificati

on

8/26/2016

48


Classificati

on

8/26/2016

• Deep Security 기능시험항목플랫폼 중요도 항목 기능명 비고

WindowsLinuxSolaris

○네트워크 트래픽의 MAC addresses, Frame types, Protocols, IP addresses, 그리고 port numbers 제어

Firewall

WindowsLinuxSolaris

○ TCP flags 기반의 TCP connection 제어 Firewall

WindowsLinuxSolaris

○ 룰에 위반되는 패킷 데이터에 대한 캡처 및 저장 Firewall

WindowsLinuxSolaris

네트워크 인터페이스별 서로 다른 룰 적용 Firewall

WindowsLinuxSolaris

Port-Scanning과 같은 Pre-Attack에 대한 탐지 Firewall

WindowsLinuxSolaris

○OS나 Middleware Application들의 취약점들을 공격하는 어떤 종류의원치않는 통신에 대해서도 탐지 및 차단

Deep Packet Inspection

WindowsLinuxSolaris

○ 호스트나 룰 기반의 '탐지' 또는 '차단' Deep Packet Inspection

WindowsLinuxSolaris

○ 타 보안 Vendor에서 제공하는 취약점 공격 차단 Deep Packet Inspection

WindowsLinuxSolaris

○ 취약점들을 이용한 공격의 패킷 데이터를 저장 Deep Packet Inspection

WindowsLinuxSolaris

특정Application으로부터의 통신 탐지 Application Control

WindowsLinuxSolaris

특정Application으로부터의 통신 차단 Application Control Target Application 지정

49


Classificati

on

8/26/2016

• Deep Security 기능시험항목

플랫폼 중요도 항목 기능명 비고WindowsLinuxSolaris

○SQL Injections과 Cross Site Scripting와 같은 Web Application 공격에 대해탐지 및 차단

Web Application Protection

WindowsLinuxSolaris

○operationg systems과 middleware applications의 파일 또는 폴더에 대한 변조탐지


WindowsLinuxSolaris

네트워크 Open Port 변조 사항 탐지 Integrity Monitoring

WindowsLinuxSolaris

operating systems에서의 프로세스/서비스들의 상태 모니터링 Integrity Monitoring

WindowsLinuxSolaris

Windows의 레지스트리 키와 값에 대한 변조 모니터링 Integrity Monitoring

Windows OnlyDSVA

○ 에이전트 설치 없이 VM의 무결성 검사 기능 제공 Integrity Monitoring

WindowsLinuxSolaris

로그에서 미리 지정한 의심스러운 행위 발생시 관리자에게 알려줄 수 있도록로그 모니터링

Log Inspection

WindowsDSVA

악성코드 탐지 및 제거 Anti-Malware ESX 4.1 또는 상위 버전

WindowsDSVA

악성코드 검사로 인한 시스템 리소스 증가를 피하기 위한 가상 환경에서의특별한 기술 제공

Anti-Malware ESX 4.1 또는 상위 버전

DSVA ○ VM의 UI에 악성코드 탐지 이벤트를 공지 Anti-MalwareDSVA ○ 의심스러운 Website 접속 차단 Anti-MalwareDSVA ○ VM의 UI에 의심스러운 Website 접속 차단 이벤트 공지 Anti-MalwareWindowsDSVA

VM에 에이전트 없이 악성코드 탐지/제거 Anti-Malware

WindowsDSVA

악성코드 실시간 감시 스케줄 설정 Anti-Malware

○ vSphere5.0 / vSheild5.0 연계한 VM에 탑재 없이 AV 기능 제공 Anti-Malware

50


Classificati

on

8/26/2016

• Deep Security 기능시험항목

플랫폼 중요도 항목 기능명 비고○ 하나의 관리 시스템에 Multi operating system을 위한 보안 제어 Deep Security Manager

이벤트 정보 메일로 전송 Deep Security ManagervCenter 연동 가능 Deep Security Manager

SIEM(ESM)과 연동하기 위한 syslog로 이벤트 전송Deep Security AgentDeep Security Virtual Appliance

○ 관리자 콘솔을 통한 모든 운영 내용 기록 Deep Security ManagerMulti 패턴 배포 서버 제공 Relay여러 VM들을 하나의 정책 프로파일 템플릿으로 같이 제어 가능 Security Profile리포팅 기능 Report

○각 VM에 필요한 맞춤형 룰을 자동으로 적용 및 탐지더 이상 필요하지 않는 룰에 대해서는 제외 처리

Recommendation Scan Agent 사용

WindowsLinuxSolaris

○ Windows / Linux / Solaris 플랫폼 지원 System requirements

○가상환경에서 Agent 방식 및 Agent-less 방식 모두 제공, 하나의 관리자콘솔에서 모두 제어

조직화된 처리방식,Agent-less 방식은 현재VMWare ESX만 제공

51

52

1. 회사소개

3. 보안 이슈







경쟁 제품 비교

53

Category Companies Description Deep Security

Positioning

Security

Suites

통합 보안 벤더.

Host IDS/IPS 외 추가기능.

가상화용 AV 제공.

Enterprise 환경과서버군을 위해 설계된 더포괄적인 플랫폼을 지원.

Network Security

F/W 및 IDS/IPS에 맞혀진가상 Appliance 중심의제품

물리적, 가상화, Cloud

Computing 서버 환경에서동작하는 통합 서버 보안플랫폼 제공

Compliance

특정 기능을 명명하는벤더/솔루션•파일 무결성 검사•Configuration 감사 및제어

번거로운 과정없이Compliance 요구사항에맞는 기능 집합 제공.

높은 수준의 상호보완적인통합된 보안 기능 제공

54

• 장점– 중앙 관리 및 정책 수행

– Hypervisor 종류에 상관없이 VDI용 AV로 이행

• 단점– VDI와 서버에 복잡하고 일치되지 않는 보안 모델을 가짐

(VDI에서 수동검사의 부제)

– 모든 VM에 Agent가 필요

– Scanning 측면에서 Network상에 성능 병목 현상 발생

– FIM과 IDS/IPS는별도 제품으로 지원

MOVE AV for VDI

Classificati

on

8/26/2016

• 장점– Hypervisor 종류에 상관없이 지원

– Scan caching으로 중복 검사 회피

• 단점– 모든 VM에 Agent가 필요

– AV storm 가능성이 여전히 존재, “임의적”

검사를 위해서 수동 작업이 필요

SEP 12

55

• 장점– 높은 처리량 및 낮은 지연 발생

– Vmsafe를사용한 가상 Appliance 적용

– Juniper H/W 제품들과 잠재적으로 통합지원 (Nexus와 유사한 방법)

• 단점– 단지 IDS/IPS 기능에 모듈이 제한적임

– 높은 학습 곡선, Default rule의 부족

Virtual Gateway (VGW)

56

• 장점– Compliance 감사에 End to End Workflow 제공– 규제력 있는 Compliance 정책들에서의 포괄적 지원– Compliance 위반에 대한 조치 기능 지원– Compliance 이벤트에 대한 리포트 기능 제공

• 단점– 운영/유지 및 설치시 다루기가 다소 어려움– 관리자 및 사용자의 사용에 복잡성– 높은 TCO(총소유비용)

Enterprise

57

58

1. 회사소개

3. 보안 이슈







Deep Security는 F/W 및 IDS/IPS의 기능들을 에이전트 형태로 제공하여 네트워크 패턴및 Contents 분석을

통한 가상패치 기능과 시스템 파일 및 서비스, 레지스트리의 임의 수정에 대한 무결성 모니터링, 시스템 로그

검사를 통한 사후 감사 가능토록 지원하여 제로데이 공격에 대한 방어 및 감사 데이터 제공

사용하는 모든 플랫폼에 대한 방어 제공

구축 효과

그룹정책

보안홀방어

시스템감사

관리자 및 사용자에 보안 패치에 대한 부담을 관리자 및

사용자에게

개발한 프로그램까지 취약점 점검 및 공격 탐지 알림

시스템 무결성 검사를 통한 Compliance 보호

플랫폼 및 서버, App별 알려진, 알려지지 않은 위협 정리 보고

Log Inspection을 통한 다양한 Application의로그 조사

일관적인 컴퓨터 보안 레벨 관리

중요 Application 및 특정 Application에대한 정책 적용

플랫폼 및 컴퓨터 환경/구성의 일괄 관리 및 적용

취약점에 대한

모든 방어방안

제공

시스템의 변경 및악의적 행위 감시

일괄적인 플랫폼및 컴퓨터 관리

기반

Deep Security 기대 효과

59

60

DMZ

ESX Server x 9 ( CPU 16 socket)

Shared

Storage Network

vShield

Manager

DS Virtual

Appliance

DS Agent

DS

Manager

DS

Agent

TDA DTAS

위치 OS 수량 전체

DMZ

Windows 2003 48

68Windows 2000 6

Linux 14

Inside Windows 2003 7 7

ESX서버 CPU OS 수량

Essentials Plus 1

2Windows 2000 1

Linux 1

Essentials Plus 2

2

Windows 2008 1

Windows 2003 4

Linux 3

Essentials Plus 3

2Windows 2003 7

Linux 4

Standard 1 2Windows 2003 4

Linux 2

Standard 2 2Windows 2003 5

Linux 5

Standard 3 2 Windows 2003 4

Standard 4 2 Windows 2003 3

ESX204 2Windows 2003 5

Linux 3

ESX205 2 Windows 2003 4

OS 각 OS 수량

Windows 2008 1

Windows 2003 94

Windows 2000 7

Linux 32

Total # 134

6509

L3

Guard

Detect

L2

FWSL

X 6

물리적환경서버(Agent 기반) 가상환경서버(Agentless 기반)

전체서버현황

Agentless A/V

Stateful F/W


IDS/IPS/WAP

Log Inspection

고립망vCenter

Deep Security 도입사례(국내)

Internet

Deep Security 도입사례(일본)

• 고객사– ㈜텔레콤크레딧

– 설립: 1993년 3월

– 자본금: 5,000만엔

– 종업원수: 80명(2009년 6월현재)

– 사업내용: 그래딧카드결제대행업무, 편의점결제대행업무, TRUSTe 인증취득심사∙지원컨설팅업무, 쇼핑몰운영업무, 제휴(affiliate) 서비스(BannerBridge,

MoBri), 광고대리점업무

• 도입요구사항– personal firewall 도입

– 보안패치적용

– 새로운취약점발견과대응

– 웹애플리케이션보호(WAF 도입)

– 로그에대한파일정합성감사∙변경탐지

– 파일정합성감시

61

Deep Security 도입사례(일본)

• 고객사– ㈜전통(전기통신)국제정보서비스

– 설립: 1975년 12월 11일

– 자본금: 81억 8,050만엔

– 종업원수: 2,320명(2010년 3월말현재)

– 사업내용: 컨설팅서비스, 스프트웨어제품판매/지원, 시스템인티그레이션서비스, 아웃소싱서비스

• 도입요구사항– 클라우드구축서비스제공에있어서물리/가상화환경을통합하여관리할수

있는보안이필요

– 금융기관의 B to C 서비스이용에도견딜수있는최고품질의보안이필요

– 유연성과보안을겸비한기반구축

– PCI DSS에준거한보안솔루션

62

Deep Security 도입사례(네덜란드)

• 고객사– 공증법무기관

– 종업원수 : 300여명

– 80% 가상화, 100여서버시스템

– VMWare vSphere 환경

• 도입요구사항– 운영서버들에 99%의 Uptime 유지

– 가상화환경에특화된 Anti-Virus 솔루션필요

– Vmsafe API 연동하는가상화보안솔루션

– 고려사항 : 가상패치, AV, VM간공격대응, 모니터링 가시성

63

Deep Security 도입사례(캐나다)

• 도입계기– 네트워크웜발생으로약 2주간네트워크마비

– 기존운영중인 AV의패턴미업데이트

– Deep Security 배포이후 7번의관련공격차단/격리

• 도입계기– 데이터센터가상화추진

– 서비스를하는모든 Application에정부에서규제하는보안정책을 Deep

Security에의해적용및탐지 / 차단

64

Trend MicroCloud Security Architecture

65

8/26/2016 Confidential | Copyright 2012 TrendMicro Inc. 28/26/2016 Confidential | Copyright 2012 TrendMicro Inc. 66

감사합니다!!

Deep Security 표준제안서 -...

Documents

Transcript of Deep Security 표준제안서 -...