© 2011 Cisco and/or its affiliates. All rights reserved. 1 1 © 2013 Cisco and/or its affiliates. All rights reserved.

Seoul, Korea

March 28 – 29, 2013

김용호 부장

yonghkim@cisco.com

가상화에서 클라우드까지, 차세대 데이터센터를 위한 보안

Cisco Systems, BN ASIA Sales Team

mailto:yonghkim@cisco.com

Cisco Connect 2

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

• Click to edit Master text styles

Second level

Third level

Fourth level

© 2011 Cisco and/or its affiliates. All rights reserved. 2 2 © 2013 Cisco and/or its affiliates. All rights reserved.

Agenda 차세대 데이터 센터의 비즈니스 요구 사항

시스코 차세대 데이터센터 보안 프레임웍

혁신적인 데이터센터 보안구성

Why Cisco?

© 2013 Cisco and/or its affiliates. All rights reserved. 3

차세대 데이터 센터의 비즈니스 요구 사항

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

데이터센터의 발전 과정

전통적인 데이터센터

가상화된 데이터센터(VDC)

가상화된 데스크탑

내부, 프라이빗 클라우드

가상화된 프라이빗 클라우드(VPC)

퍼블릭 클라우드

자산 및 자원 통합

IT환경 가상화 자동화된 서비스 제공

운영방식의 표준화

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

클라우드 데이타 폭주 단말기 급증 에너지 효율성

한정된 예산 보안 및 규정 준수 24x7 상시 비즈니스 비즈니스 민첩성

© 2013 Cisco and/or its affiliates. All rights reserved. 6

시스코 차세대 데이터센터 보안 프레임웍

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 데이터 센터 보안 중점 사항

세그먼테이션

• 네트워크, 컴퓨팅 및 가상화에 대한 경계 수립

• 기능, 디바이스 및 조직별 차별화된 보안정책 적용

• 네트워크, 자원 및 응용프로그램에 대한 접근 제어

위협방어

• 내외부 공격 차단

•보안 감시 영역 선정 및 에지 경계 보호

• 접근 및 사용에 대한 정보 통제

가시성

• 자원 사용에 대한 투명성 제공

• 비즈니스 상황이 반영된 네트워크 활동 모니터링

• 운영 간소화 및 규정 준수 리포팅

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

물리적 환경에서의 ASA 포지셔닝

•데이터 센터 경계 방화벽/VPN 또는 IPS 기능 통합 수행

ASA5585-X

ASA CX 또는 ASA IPS 모듈과 함께 배치

대용량 트래픽에 대한 클러스터링

데이터센터내 코어 또는 분산 영역의 보안 서비스 노드 구성

ASA Service Module

IPS 4500 Series 또는 WSA와 함께 배치

주로 데이터 센터내의 분산 영역에 대한 보안 서비스 노드 구성

가상화 및 브랜치와 데이터센터간 VPN 망 구성

세그먼테이션

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상화 환경에서의 ASA 포지셔닝

•가상 데이터센터 또는 VDI 환경을 위한 방화벽/VPN 기능 수행

Hypervisor

Nexus 1000V

vPath

Tenant B Tenant A

VDC vApp

vApp

VDC

Virtual Network Management Center

vCenter ASA 1000v 클라우드 방화벽/VPN

VDC 방화벽 및 VPN 기능

가상데이터센터 간 트래픽에 대한 보안 정책 적용

브랜치와 가상데이터간 S2S IPSec VPN 망 구성

Virtual Security Gateway

서비스 영역별 가상 보안 게이트 웨이

가상 데이터센터내 서버팜별, 서비스영역별

Front-End 와 Back-End Application 간 접근 제어

세그먼테이션

ASA 1000V ASA 1000V ASA 1000V

VSG VSG

VSG

VSG

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

방화벽 세그먼테이션 가상화 구성 옵션

Web Server

Application Server

Database Server

Hypervisor

Virtual Service Nodes

VSN

VSN

Web Server

Application Server

Database Server

Hypervisor

VLANs

Physical Service Nodes

Virtual Contexts

가상 머신들의 트래픽이 VLAN을 통해 물리적 방화벽/VPN으로 전달

1 하이퍼바이저 기반의 방화벽 /VPN 가상화

2

세그먼테이션

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

위협방어 옵션

Valid SMTP connection?

Bad or unwanted content?

Command & control site?

Hostile action? Malicious content on the

endpoint?

WWW

Reputation Signatures Platform-specific Rules & Logic

Cisco Security Intelligence Operations Signatures

Threat

Research

Domain

Registration

Content

Inspection

Spam Traps,

Honeypots,

Crawlers

Blocklists &

Reputation

3rd Party

Partnerships

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

위협 방어 옵션

상황인식기반 차세대 방화벽 모듈

데이터 센터급 고성능 IPS 어플리안스 Cisco® IPS 4500

Cisco® ASA CX

위협방어

• 외부에서 내부로의 공격 방어

• 서버, 서비스 및 네트워크 단위 공격 탐지 및 차단

• 공격자 변화 추이 추적 및 실시간 위협 정보 반영

• 내부에서 외부로의 인터넷 접속에 대한 보안

• 내부사용자/서버의 규정위반, 행위기반 사용통제

• 상황인식기반 로컬보안정책 + 실시간 위협정보 반영

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가시화옵션

Devices Access

Catalyst® 3750-X

Bra

nc

h

Ca

mp

us

Catalyst® 3560-X

Catalyst® 4500

Catalyst® 4500

Access Point

Access Point

Distribution

Catalyst® 3750-X Stack

WLC

Catalyst® 6500

Edge

Site-to-Site VPN

ASA

ISR

Catalyst® 6500

Remote

Access

Cisco ISE

Management

StealthWatch Management

Console

StealthWatch FlowCollector

NetFlow Capable

Correlate and display Flow and Identity Info

Cisco TrustSec: Access Control, Profiling and Posture

NetFlow

Identity

AAA services, profiling and posture assessment

Collect and analyze NetFlow Records

Scalable NetFlow Infrastructure

가시화

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 데이터 센터 보안 포트폴리오

세그먼테이션 ASA 5585-X, ASASM VSG AS1000v Nexus1000v TrustSec

위협방어 IPS 4500 ASA CX

가시성 CSM NetFlow VNMC ISE

© 2013 Cisco and/or its affiliates. All rights reserved. 15

혁신적인 데이터센터 보안구성

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

전통적인 데이터센터 보안 구성

PUBLIC 코어영역 Layer 3

방화벽

L4 SW

IPS

L4 SW

방화벽

IPS

N-Tier

분산영역 Layer 3

서버팜A 서버팜B 억세스/서버영역 Layer 2

방화벽 PRIVATE

스토리지/백엔드

구성의 한계

복잡한 구조, N-Tier Network

다수의 보안 운영 포인트

하단 구성 변경 및 스케일업 한계성

보안 장애 발생시 서비스 중단 포인트 증가

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 차세대 데이터센터 보안 구성안

•물리적 보안 서비스 노드

분산영역 Layer 2

억세스/ 서버영역

코어영역 Layer 3

ASA5585-S60

또는 IPS SSP 모듈 추가

Clustering

Link

2

Tier

L2

구간

L 3

구간

서버팜A 서버팜B

구성의 혁신

간소한 구조, Flat Network

구성의 유연성 극대화

수용 능력 증감에 따른 자유로운 확장성

물리적 데이터센터 서비스 노드로써의 가상화 지원

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

물리적 보안 서비스 노드 주요 적용 기술

하나의 스위치 또는 방화벽에서 상위 두대의 스위치 연결 포트와 포트채널 구성

Dual Active Forwarding Paths 구성으로 모든 이용 가능한 업링크 대역폭 사용 가능s all available uplink bandwidth

Loop-Free 디자인 및 STP에 의해 블록되는 포트가 없는 구성으로 링크나 장비의 장애시 빠른 컨버전스 제공

•Virtual Port Channel

peer link

vPC

EC EC

Active Standby

vPC 기술

peer link

vPC

EC EC

Active Standby

ASA 에서의 vPC 지원

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

물리적 보안 서비스 노드 주요 적용 기술 •Multi-Chassis Etherchannel (MEC)

No Port Channel

STP에 의해 단 하나의 Active 링크로만 사용하거나 추가적인 대기 Standby 링크 허용

LACP Load Balance

src-dst-IP (hash)

Single-Chassis

LACP Port Channel

두개의 링크 모두 Active 할 수 있으나 상하단 연결 디바이스의 이중화 불가

LACP Load Balance

src-dst-IP (hash)

VPC

PEER

LINK

vPC Multi-Chassis

LACP Port Channel

모든 링크를 사용할 수 있으며 최상의 이중화 구성 지원

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

물리적 보안 서비스 노드 주요 적용 기술 •Transparent Firewall & Bridge Group

vlan 10

vlan 12

vlan 13

vlan 11

Bridge Group1

BVI1

Transparent Firewall Context

하나의 브리지 그룹 당 4개의 VLAN 구성 지원 하나의 방화벽 또는 가상방화벽 당 8개의 브리지 그룹 구성 지원 다수의 네트워크를 구성 변경 없이 수용할 수 있으며 디자인 유연성 제공

vlan 14

vlan 16

vlan 17

vlan 15

Bridge Group2

BVI2

vlan 29

vlan 31

vlan 32

vlan 30

Bridge Group8

BVI8 …

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

물리적 보안 서비스 노드 주요 적용 기술 •방화벽 클러스터링

Clu

ste

r C

ontr

ol Lin

k

최대 120 Gbps 방화벽 또는 64 Gbps 방화벽 + IPS 성능 제공

구성방식

ASA5585 8대 또는 8개의 방화벽 SSP까지 클러스터링 지원

일반적인 스위치 및 라우터를 이용한 로드밸런싱

ECLB(Ether Channel Load Balancing), ECMP(Equal Cost Multi-Path) 또는 시스코 PBR(Policy Based Routing)을 이용

동작방식

시스코에서 개발된 ASA의 Cluster Control Protocol를 이용하여 상태 정보 및 커넥션 정보 공유

시스코 VSS 및 VPC 환경 지원

클러스터링 구성 멤버간 고가용성 지원, 서비스 무중단 업그레이드 지원

관리방식

One Management 로 단일 방화벽처럼 정책관리 및 모니터링

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

물리적 보안 서비스 노드 주요 적용 기술

•가상방화벽내에서도 다양한 보안 서비스 기능 수행

고객 1

고객 2

고객 3

CTX 1

CTX 2

CTX 3

인터넷

차세대 데이터센터를 위한 가상 서비스 노드 기능 고도화

Dynamic Routing 지원

Enhanced Internet Gateway Routing Protocol (EIGRP)

OSPF

S2S IPSec VPN 지원

Internet Key Exchange (IKE) v.1 and IKE v.2 Site-to-Site VPN

차세대 암호화 알고리즘 (일명 Suit-B) 지원

Remote Access VPN 지원

IPSec 및 SSL VPN 동시 지원

AnyConnect Client

혼합 모드 지원

L2(Transparent) 모드 및 Routed 모드 가상방화벽 동시 지원

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

서버 가상화 보안 이슈

VM 이동시 보안 정책 연속성 및 이동성 확보

로컬 스위칭 가시성 및 보안성 유지

무중단 운영 및 보안 관리독립성 보장

구성의 간소화 및 확장성 유지

Port Group

Server Admin

Network Admin Security

Admin

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 데이터센터 가상화 서비스 노드 •VSN : Virtual Service Node

Multi-Hypervisor

WAN

Router

Servers

Tenant A

ASA

1000V

Nexus 1000V vPath 물리적 인프라

가상화.클라우드 Data Center

VSG

VXLAN

Nexus 1000v

•분산형 스위치

• NX-OS 기반 구성

6000+ Customers

VSG

• VM 기반 제어

• Zone 기반 방화벽 역할

Shipping

vWAAS

• WAN 최적화

• Application Traffic 가속

Shipping

Switches

CSR

1000v

Zone A

Zone B

Contents Security

• ESAv

• WSAv

Beta

vWAAS ESAv WSAv

ASA 1000v

• Edge Firewall/ VPN

• Protocol Inspection

Shipping

• WAN L3 gateway

• Routing & VPN

CSR 1000V (Cloud Router)

Beta

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 VSN 구성 옵션

가상 어플라이언스

VSM vWAAS VSG ASA1000V

vCloud Director SCVMM Openstack Openstack

VEM-2

vPath

WS 2012 Hyper-V

VXLAN

VEM-1

vPath

KVM

VXLAN

VEM-1

vPath

ESX

VXLAN

VEM-2

vPath

Xen Server

VXLAN

Nexus 1100

NAM VSG Primary

VSM

NAM VSG Secondary

VSM

일관성 있는 기능 구현

일관성 있는 네트워크 서비스

일관성 있는 운영 모델

투자 보호 효과

설치 및 운영시간 단축 효과

위험요소 감소

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상화 환경하의 VSN 핵심 아키텍처

•Nexus 1000v 가상 스위치

vmnic vmnic VMWare

ESX

VMWare

ESX

vSphere Hypervisor

vSphere Hypervisor

Cisco Nexus 1000V

vPath

vCenter Server Nexus 7K/5K

Cisco N1Kv VSM

(Virtual Supervisor Module)

Port-Profile : Gold-SVC vethernet Red-SVC Red-SVC

Cisco VNMC

vMotion

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 차세대 데이터센터 보안 구성안

• 가상화 서버팜의 3-Tier 구성

•가상 보안 서비스 노드 구성안

Web

Server Web

Server

App

Server App

Server

DB

server DB

server

웹서버존에서 APP서버존으로 HTTPS 접속만 허용

APP서버존에서 DB서버존으로 SQLNET 접속만 허용

Tenant A

Web

Server Web

Server

App

Server App

Server

DB

server DB

server

Tenant B

웹서비스를 위한 HTTP/HTTPS

서비스 오픈

서버관리를 위한 SSH 서비스 오픈

모든 트래픽 차단

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 차세대 데이터센터 보안 구성안

• 소유권별 보안 및 3-Tier 구성의 가상서버존 보안

•가상 보안 서비스 노드 구성안

Web

Server Web

Server

App

Server App

Server

DB

server DB

server

웹서버존에서 APP서버존으로 HTTPS 접속만 허용

APP서버존에서 DB서버존으로 SQLNET 접속만 허용

Tenant A

Web

Server Web

Server

App

Server App

Server

DB

server DB

server

Tenant B

인터넷 에지 보안을 위한 ASA1Kv 클라우드방화벽/VPN

VSG for

Secure Zoning

웹서비스를 위한 HTTP/HTTPS

서비스 오픈

서버관리를 위한 SSH 서비스 오픈

모든 트래픽 차단

VSG for

Secure Zoning

Benefits

VM들의 확장 및 이동성을 보장하면서

소유권의 완전 분리 및 가상서버간 보안 확보

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상 보안 서비스 노드 주요 적용 기술 •ASA1000v with N1Kv VXLAN 게이트웨이 : 확장성 높은 세그먼테이션

VM VM VM VM VM

Cisco® ASA 1000V이 VXLAN에 대한 에지 방화벽으로 동작

VXLAN과 VLAN간의 에지 방화벽

VXLAN

VLAN

VXLAN: LAN 세그먼트의 확장

16M 개의 세그먼트 지원

Layer 3 구간에 대한 LAN 세그먼트 지원

기존 네트워크 장비와 완벽 호환

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상 보안 서비스 노드 주요 적용 기술

•vPath를 이용한 ASA1Kv 와 VSG간 보안 서비스 체이닝 기술

Cisco Nexus 1000V

Distributed Virtual Switch

VM VM VM

VM VM

VM

VM VM VM

VM

VM

VM VM VM

VM VM VM VM

Cisco vPath

Cisco VSG

Cisco ASA 1000V

1 2

3

4 5

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상 보안 서비스 노드 주요 적용 기술

•vPath를 활용한 성능 가속화 기술

Cisco Nexus 1000V

Distributed Virtual Switch

VM VM VM

VM VM

VM

VM VM VM

VM

VM

VM VM VM

VM VM VM VM

Cisco vPath

Cisco VSG

Cisco ASA 1000V

1 2

3

ACL offloaded to

Nexus 1000V

(policy enforcement)

Remaining

packets from flow

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상 보안 서비스 노드 주요 적용 기술 •vFath의 유연한 이동성 및 무중단 운영 기술

Cisco Nexus® 1000V

Distributed Virtual Switch vPath

Cisco Nexus® 1000V Distributed Virtual Switch 업그레이드

준비

VM VM VM

VM VM

VM

VM VM

VM

VM

VM

Cisco VNMC

Cisco ASA

1000V

(Active)

VM

VM

VM VM VM

VM VM VM

vPath

Cisco® ASA 1000V

(Standby)

효율성 높은 구성 (다중 호스트에 대한 보안)

운영의 간소화 (간편한 H/W 업그레이드 지원)

가상환경 유동성 인식 기반 (VMware vMotion 지원)

Cisco ASA 1000V

(Active)

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

가상 보안 서비스 노드 주요 적용 기술

•고가용성 기술 : 어떤 레벨에서의 장애에도 무중단 서비스

서로다른 하이퍼바이저상의 ASA간 Active/Standby 구성

하이퍼바이저 가용성과 ASA 가용성 구성 연동

소프트웨어 및 하드웨어 장애에 대한 가용성 제공

Cisco® ASA 1000V

(Standby) Cisco ASA 1000V

(Active)

Stateful

Failover

Connection

Cisco® ASA 1000V

(Offline) Cisco ASA 1000V

(Active)

Cisco® ASA

1000V

(Standby)

VM VM VM

VM VM

VM

VM VM

VM

VM

VM

VM

VM

VM VM VM

VM VM VM

© 2013 Cisco and/or its affiliates. All rights reserved. 34

Why Cisco?

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

보안

네트워크 컴퓨팅

Cisco Connect Korea 2013

© 2013 Cisco and/or its affiliates. All rights reserved.

시스코 차세대 데이터센터 보안 솔루션

•차세대 데이터센터 발전 형태별 맞춤형 보안 구성 제공

신속하고 정밀한 위협 대응 • 상황인식기반의 위협 관리 • 글로벌 실시간 위협 정보 반영

데이터센터의 모든 형태별 보안 세그먼테이션 구성 지원

효율적인 운영 및 보안 가시성 • 물리/가상화 별 효과적인

운영관리 툴 • 넷플로우기반 내부 위협 분석

검증된 디자인 • 엔드-투-엔드 보안 아키텍처에

대해 랩테스트를 통한 검증 및 솔루션 제공

시스코만의

어드벤티지

© 2013 Cisco and/or its affiliates. All rights reserved. 37

Thank you.