Training for Virtualization in Korean
-
Upload
james-ahn -
Category
Technology
-
view
3.088 -
download
0
description
Transcript of Training for Virtualization in Korean
2013 OpenFlow Korea All Rights Reserved
가상화 응용 기술 교육
June, 2013
OpenFlow Koreawww.OPENFLOW.or.kr
www.facebook.com/OpenFlowKorea
발표자 : 안종석기술매니저[email protected]
2013 OpenFlow Korea All Rights Reserved
주제 명 내용
I 가상화 응용 기술의 개요가상화 기술이 응용되는 분야와 이에 관련한표준화 및 시장 동향과 가상화 기술 기반인 서버 가상화 소개
II 네트워크 가상화네트워크 가상화 관련 기술 개요와 새로운 기술 동향인 NFV(Network Functions Virtualisation)과 SDN(Software Defined Networking) 소개
III 가상화 기반의 클라우드 서비스 가상화 네트워크의 프로비져닝을 위한 자동화기술 소개
IV 데스크탑 가상화 무선망 환경 데스크탑 가상화 기술과 망분리
V 가상화 환경의 보안 가상화 환경의 보안 이슈와 기회
VI 가상화 기술환경 하의 감리 방안 변화하는 가상화 환경에 필요한 감리방안
가상화 응용 기술 교육 개요
가상화 기반 기술을 응용하는 개념들을 상용/공개를 포함하여 폭넓게소개하고, 응용 기술의 이해를 통한 감리 방안을 고려
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
• 기술 개요• 응용 기술• 감리 관련 시장• 서버 가상화• 데모
2013 OpenFlow Korea All Rights Reserved
가상화 기술 개요
1. 하드웨어 가상화– 서버 가상화: 단일 서버를 논리적으로 구분하여 복수의 서버인 것처럼 이용하는 기술
– 스토리지 가상화: 다른 기종의 스토리지나 솔루션을 한데 묶어 스토리지 풀(pool)을 만들고, 물리적인 디스크 공간에 가상으로 원하는 크기의 용량을 할당
– 네트워크 가상화: 호스트 가상화, 링크 가상화, 라우터 가상화, 스위치 가상화 등을 포함
– 어플라이언스 가상화: 가상 어플라이언스 (방화벽, UTM, IDS/IPS, 무선랜 콘트롤러, WAN 가속기 등등)
2. 워크로드 가상화– 트랙잭션 가상화: 워크로드 관리를 바탕으로 새로운 인스턴스를 생성하거나 워크로드가
낮은 서버 쪽으로 작업량을 배분
– 태스크 가상화: 애플리케이션과 데이터를 특정 하드웨어 플랫폼으로부터 분리하고, 이를통해 애플리케이션 서비스의 실행 자체가 가상화
– 프리젠테이션 가상화: 프리젠테이션 가상화를 구현하는 기술에는 씬 클라이언트(Thin Client), 네트워크 컴퓨팅(Network Computing), SBC(Server-Based Computing)
3. 인포메이션 가상화– 파일 시스템 가상화– 데이터 가상화
시트릭스(Citrix)는 서버 기반 컴퓨팅을 애플리케이션 가상화, VMware는 프리젠테이션 가상화 라고 칭하고 있다. 데스크톱 가상화는 서버 기반 컴퓨팅의 대부분 기능을 포괄하고 있으며, 용어 역시 혼용되어 사용되고 있다.
2013 OpenFlow Korea All Rights Reserved
Cloud and SDN Expedite Growth in Virtual Network/Security Services
• Rise of SDN and network virtualization will lead to significant increase in virtualized network and security services (ADCs, WAN Optimization, Firewalls, etc.)
• Will occur at enterprises and cloud service providers, but also across the Telecom space (SDN and NFV)
• Established vendors and startups alike will be suppliers • Customers will benefit from speed and simplicity of provisioning, as
well as from flexibility and service velocity • Appliance vendors must adapt to software- and service-based
business models.
May 9th, 2013
비즈니스 모델 변화 (IDC 권장)
2013 OpenFlow Korea All Rights Reserved
• 과거 가상화되지 않은 서비스를 도입하는데 걸리는 시간은 현재 가상화를 통해 큰폭으로 단축. (공공 클라우드는 가용성 / 오픈 환경 고려하여 서비스 자동화 부분 고용확대 고려)
$1,8005 일, 2 분$3002 분
$10,00010 주
기업용스토리지
VLAN 네트워크
방화벽, load‐balancer
침입탐지, 보안, 모니터링
가용성
현재과거
+
가상화 기술 개요 – 가상화 서비스
2013 OpenFlow Korea All Rights Reserved
• 인프라 서비스가 가상화의 영역으로 들어오는 Software Defined Datacenter Services를통해 진정한 비즈니스 즉시 대응이 가능
5 일, 2 분 3 분
VDCVDC미래
Software‐defined Datacenter Services
가상화 기술 개요 – 가상화 기반의 서비스
2013 OpenFlow Korea All Rights Reserved
사용자 소유 사업자 소유
Infrastructure as a Service
Platformas a Service
Softwareas a Service
서비스 모델SaaSIaaS PaaS
클라우드 계층 (Cloud Layer)
데이터 (Data)
인터페이스 (APIS, GUIs)
애플리케이션 (application)
솔루션 스택 (Programing languages)
운영체제 (OS: Operating System)
가상 머신 (Virtual Machines)
가상네트워크 인프라
하이퍼바이저 (Hypervisors)
프로세스/메모리
데이터 스토리지 (Data Storage)
네트워크
물리적 환경 제공 / 데이터센터
사용자 소유
사용자 소유
사용자 소유
사업자 소유or
공공클라우드
사업자 소유or
공공클라우드
사업자 소유or
공공클라우드
가상화
클라우드 서비스와 가상화 정보시스템
2013 OpenFlow Korea All Rights Reserved
정부전산센터, 클라우드 컴퓨팅센터로 전환 추진
• [김관용기자] 정부통합전산센터(센터장 김우환)가 '정부 3.0'의 하드웨어(HW)적 기반마련을 위해 '클라우드 컴퓨팅센터'로 전환을 추진한다.2013년 04월 08일 김관용기자 [email protected]
2013 OpenFlow Korea All Rights Reserved
범정부 클라우드 추진현황 및 향후 계획
• (추진일정) ’15년까지 주요과제 완료, 내용연수를 고려하여 클라우드 인프라정보자원 통합은 ’17년까지 추진 (행정안전부 2012.2012. 6.)
2013 OpenFlow Korea All Rights Reserved
사용자환경
애플리케이션
운영체제
업무자료
행정기관 클라우드 사무환경 기술모델
① 데스크톱 가상화 : 사무실에는 모니터, 키보드 역할을 하는 단말기만 남고 운영체제, 애플리케이션, 업무자료 등 나머지는 모두 중앙화 (망분리를 위한 데스크탑 가상화?)
② 애플리케이션 가상화 : 사무실에는 단말기 및 운영체제가 남고, 애플리케이션과업무자료는 중앙화
③ 클라우드 스토리지 : 단말기 플랫폼의 제약 없이 어디서든 사용 가능한 업무환경제공으로 기존 PC환경에서 개인별 업무자료만 중앙화
애플리케이션
단말기
운영체제
업무자료
가상화
데스크탑 가상화
사용자환경
애플리케이션
단말기
운영체제
업무자료가상화
애플리케이션 가상화
사용자환경
애플리케이션
단말기
운영체제
업무자료 가상화
클라우드 스토리지
사용자환경
애플리케이션
단말기
운영체제
업무자료
개인 PC
데스크톱 가상화와 VDI?
애플리케이션
운영체제
업무자료
2013 OpenFlow Korea All Rights Reserved
2017 이후 G-클라우드 모델
• 프라이빗(부처단독), 퍼블릭(부처공통), 하이브리드 + 민간협업
(행정안전부 2012. 6.)
2013 OpenFlow Korea All Rights Reserved
클라우드 제안요청서 (예)
사업명 사업예산 사업기간 비고
클라우드 시범 풀 구축 총 예산 : 2,380백만원 계약일로부터 ~ 2013.5.31
VDI 구축 총 예산 : 500백만원 계약일로부터 ~ 2013.5.31
지식경제 R&D 소셜플랫폼 구축 총 예산 : 600백만원 계약일로부터 4개월
감리대상범위
□ 클라우드 시범 풀 구축, VDI 구축 및 지식경제 R&D 소셜플랫폼 구축 사업 관련 감리
□ 클라우드 컴퓨팅 PMO 업무 및 사업관리 지원
□ 사업 내용○ 한국산업기술진흥원 클라우드 시범 풀 구축, 클라우드 VDI 구축, 지식경제 R&D 소셜플랫폼구축, 제안요청서 참조 바람
□ 사업수행의 적용 규정○ 「정보시스템 감리기준」(행정안전부고시 제2012-11호)에서 정한 감리 기준을 원칙으로 함
『클라우드 시범 풀, VDI 구축 및 지식경제 R&D 소셜플랫폼 구축사업 감리』( 2013. 2. )
2013 OpenFlow Korea All Rights Reserved
공공 클라우드의 전망
전자신문 (2013.05.22) : 한국과 미국 클라우드 보안 인증 프로그램 현황전자신문 (2013.05.22) : 한국과 미국 클라우드 보안 인증 프로그램 현황
http://www.etnews.com/news/international/2770648_1496.htmlhttp://www.etnews.com/news/international/2770648_1496.html
전자신문 (2013.05.22) : 한국과 미국 클라우드 보안 인증 프로그램 현황
http://www.etnews.com/news/international/2770648_1496.html
Bloter.net (2013.05.24) : 클라우드 법은 5~6월미래창조과학부 자체규제심사와 총리실 규제 심사를거쳐, 7~8월 법제처 심사와차관회의 국무회의를 거쳐 9월국회에 최종 제출될 예정http://www.bloter.net/archives/153851#
국내 기업의 시간 여유?or 경쟁력 약화?
“중앙정부 제외 공공기관·지자체민간클라우드 서비스 이용 허용”
2013 OpenFlow Korea All Rights Reserved
가상화의 발전
X86Windows
XP
12% Hardware Utilization
App App
X86Windows
2003
15% Hardware Utilization
App App
X86Suse
18% Hardware Utilization
App App
X86Red Hat
10% Hardware Utilization
App App
x86 Multi-Core, Multi Processor
70% Hardware Utilization
Guest OS
Host OS
X86Windows
XP
App. A
X86Windows
2003
App. B
X86SuseLinux
App. C
X86Red HatLinux
App. D
2013 OpenFlow Korea All Rights Reserved
Full virtualization (Type-1 Hypervisors)– VMware ESX, Linux KVM, Microsoft Hyper-V, Xen 3.
Container-based– OpenVZ, Linux Vserver
Host-based (Type-2 Hypervisors)– Microsoft Virtual Server, VMware Server and Workstation
Paravirtualization– Xen, [Microsoft Hyper-V], some VMware ESX device drivers
OS를 가상화하는 방법
Application
OS 1 OS 2
Hardware
VMMHost OS
Application
Full virtualization Host-based
PrivilegedVM Admin
Host VM
Hardware
CPU Memory IO Disk
Applications
VM 1
Shared Host OS ImageVMM
Applications
VM n VM 1 VM 2
Applications
ModifiedGuest OS 1
Hardware
VMM
Applications
ModifiedGuest OS n
CPU Memory IO Disk
Container-based Paravirtualization
2013 OpenFlow Korea All Rights Reserved
하드웨어
엔터프라이즈 환경의 워크로드를 수용하는 CPU, Memory 수용 능력Dynamic Resource Allocation을 통한 시스템 Utilization 보장
CPU, Memory, NIC, HDD 가상화
하이퍼바이저
VMVMVMVM
VMVM VMVM
2013 OpenFlow Korea All Rights Reserved
VM 이동
• 가용성• 절전 솔루션 이용• Provisioning 변경• VMware (예) vMotion
2013 OpenFlow Korea All Rights Reserved
스토리지 이동
• 스토리지 사용 가상 어플라이언스의 선택 고려
2013 OpenFlow Korea All Rights Reserved
VM 이동시 네트워크/보안 정책 적용 고려
• 필요 정책의
다이나믹한 적용
Dynamic Configuration
• Detect/Authenticate• VLAN /802.1q• QoS/Rate Limit/Shape• Allow/Deny IPs• Allow/Deny protocols
VM
Service Provisioning
2013 OpenFlow Korea All Rights Reservedhttp://www.virtualizationmatrix.com/matrix.php
2013 OpenFlow Korea All Rights Reserved
CNA
CNA
FC HBA
FC HBA
NIC
NIC
SAN (FC)
SAN (FC)
LAN (Ethernet)
LAN (Ethernet)
SAN (FCoE)
LAN (Ethernet)
10 GE/FCoE
PCIe Bus
FC10 GE
Menlo ASIC
네트워크 가상화 ‐ I/O Virtualization
CNA (Converged Network Adapter) ‐ FCoE
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ NIC Virtualization
4 Digitalhenge
For Server Virtualization |
Improves performance by providing dedicated I/ O and data isolation amongst VMs
Single Root I/ O Virtualization SR-IOV
Improves network performance and CPU utilization by reducing sorting overhead of networking traffic
Virtual Machine Device Queues VMDq
Intel Ethernet with VMDq
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ NIC Virtualization
11 Digitalhenge
Ethernet I/ O in a Virtualized Environment
with VMDq
and spreading the processing amongst multiple cores, near line-rate bandwidth can be achieved.
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ NIC Virtualization
Ethernet I/ O in a Virtualized Environment
with SR-IOV
Using Intel SR-IOV and Intel VT-d, Ethernet data can be moved directly to and from a VM, without the VMM
the data.
This results in improved I/ O throughput, reduced latency and CPU utilization.
2013 OpenFlow Korea All Rights Reserved
분산 스위치 (Distributed Switch)
• Scale-out 프로그래밍 고려: 메모리, 스토리지• VMware Switch , Big Switch
2013 OpenFlow Korea All Rights Reserved
가상 어플라이언스 (Virtual Appliance) 와 오케스트레이션
• 서버 VM• 스위치/라우터• Firewall VM (가상 방화벽 어플라이언스)• IDS/IPS VM (가상 IDS/IPS 어플라이언스)• LB VM (로드밸런서)• 가상 어플라이언스를 포함한 오케스트레이션
2013 OpenFlow Korea All Rights Reserved
Demonstration (데모) – 하드웨어 구성
1. VMware ESXi Server
– CPU : Intel Xeon E3-1230 (3.2 GHz, Quad Core)
– RAM : Samsung 16 GB (PC3-10600R, ECC)
– Server Board : Intel S1200KP (LGA1155/DDR3)
– SSD : Extreme SATA III SSD (120 GB)
– HDD : Samsung 7200 rpm (300 GB)
2. Laptop (Dell Inspiron)
– CPU : Intel i7-3612QM (2.10 GHz)
– RAM : 8 GB
2013 OpenFlow Korea All Rights Reserved
Demonstration (데모) – 데모 기본 구성
vSphere Client
VMware ESXi
vSphere Client (Windows 7) VMware ESXi Server (5.1) Windows XP (2 CPU / 1516 MB RAM) Virtual Router (Vyatta: 1 CPU / 512 MB RAM) Linux Server (2 CPU / 1024 MB RAM) Windows Server (4 CPU / 2048 MB RAM)
VMware ESXi
VNET10
VM(Virtual Router)
VNET01
VM(Windows Server)
VM(Windows XP)
VM(Linux Server)
2013 OpenFlow Korea All Rights Reserved
Demonstration (데모) – Client View
1. 클라이언트에서서버 접속
2. 서버선택3. Main Menu4. 가상 서버 전원
켜기5. VM 확인6. 스토리지 확인7. 네트워크 확인8. Snapshot9. Performance
변화 확인
2013 OpenFlow Korea All Rights Reserved
• ESXi는 실제로 호스트(서버)에 설치되는 Bare Metal 기반 하이퍼바이저로써 물리적자원을 vCompute(가상컴퓨팅)자원으로 변환하여 클라우드 인프라에 제공
VM 확장
하드웨어 확장
2세대 VT 하드웨어 지원
용도에 따라 설계된스케쥴러
페이지 공유
메모리 팽창
VMXNET3
VMDirectPath I/O
스토리지 스택 최적화
RAW Device 지원
160개의 논리적 CPU 지원최대 512개의 VM최대 2TB 물리RAM
CPU 오버헤드 최소화Intel‐VT, AMD‐V
메모리 효율성 극대화
유선 속도에 버금가는 네트워크 액세스
초당 200k 이상의 IOPS20마이크로 초 미만의 낮은 지연
VM당 최대 32 vCPUVM당 최대 1TB vRAM
스토리지
네트워킹
가상머신
CPU
메모리
ESX
서버 가상화 솔루션 예: VMware vSphere v5.1
2013 OpenFlow Korea All Rights Reserved
• vSphere의 VM(가상 머신)에 설치 및 운영을 지원하는 Guest 운영체제의 종류
지원되는 운영체제 (32/64bit 포함)
Microsoft (총 141 종류)MS DOS 6.22, Windows 3.1, Windows 95, Windows 98, Windows XP
Widows Vista, Windows 7, Windows NT, Windows PE, Windows 2000, Windows 2003, Windows 2008 (R2 포함)
Linux 계열 (총 384 종류)
Asianux Server 3/4, CentOS 4/5/6, Debian GNULinux 4/5/6, Open Enterprise Server, Oracle Enterprise Linux 4/5/6, Redhat Enterprise Linux 2/34/5/6, SUSE Linux Enterprise Server 7/8/9/10/11, Novell Linux Desktop
9, Mandriva Linux 2006/2007/2008/2009/2010, Mendrake Linux 8/9/10, Sun Java Desktop System 2, Turbo Linux 7/8/10/11, Ubuntu 5/6/7/8/9/10/11
기타 계열 (총 65종류) MAC OS X 10, eComStation 1/2, FreeBSD 4/5/6/7/8, IBM OS/2 Warp 4, Netware 4/5/6, Solaris 8/9/10, SCO Unixware 7/OpenServer 5
세부사항: http://www.vmware.com/resources/compatibility/search.php?deviceCategory=software
서버 가상화 솔루션 예: VMware vSphere v5.1
2013 OpenFlow Korea All Rights Reserved
가상화 시장의 주요 하이퍼바이저 (Hypervisor) 비교
http://www.virtualizationmatrix.com/matrix.php
2013 OpenFlow Korea All Rights Reserved
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
• NFV• SDN• OpenFlow• Start-up
2013 OpenFlow Korea All Rights Reserved
네트워크용 Virtual Appliances
하드웨어 어플라이언스의 가상화로 시작 (기존 네트워크의 VLAN 개념)
2013 OpenFlow Korea All Rights Reserved
Network Virtualization 개요
1. 서버 가상화로 시작한 네트워크 가상화2. 네트워크 벤더의 장비내 가상화 (네트워크 장비 기반)
VRF 2 [EIGRP]
VRF 1 [OSPF]10.10.10.0/30 10.10.20.0/30
10.10.20.0/3010.10.20.0/30
2013 OpenFlow Korea All Rights Reserved
서버 가상화 기반의 네트워크 가상화 벤더 비교
http://www.virtualizationmatrix.com/matrix.php
• 서버 내의 네트워크 관련 가상화 기술 비교
2013 OpenFlow Korea All Rights Reserved
NFV (Network Function Virtualisation)
• 서비스 사업자들 주도로 NFV 표준화 진행 중
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ Virtual Device Contexts
• 범용 서버 하드웨어 사용• 범용 서버 OS 사용• 공개 기반 기술 수용 가능• Somewhat similar to host-based virtualization?
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ Device Virtualization Benefits
DataBaseservers
EnterpriseNetwork
LB
LB
LB
Applicationservers
Front-endservers
Firewalls
EnterpriseNetwork
Front-endFirewalls
DataBaseservers
Applicationservers
Front-endservers
FE virtualcontext
APP virtualcontext
DB virtualcontext
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화
• Simple example: IEEE 802.1Q Virtual LANs
VLAN trunk
802.1Q: 12 bits field up to 4096 VLANs on same physical cable
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ Data & Control Plane virtualization: VRF
• The VRF: Virtual Routing and Forwarding instance
VLAN Trunk, physicalinterfaces, tunnels, etc.
VRF 3Logical or
Physical Int(Layer 3)
Logical or Physical Int(Layer 3)
VRF 2
VRF 1
Each VRF = separate forwarding table
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ Device Partitioning‐Firewall
• Example 1: Firewall Services Module virtual contexts• Example 2: Virtual Appliance• Virtualization of data/control/management planes
2013 OpenFlow Korea All Rights Reserved
ApplicationServers
SAN Island forDepartment #2
Collapsed Fabric with VSANs
SAN Island forDepartment #3
SAN Island forDepartment #1
DiskArrays
네트워크 가상화 ‐ SAN Virtualization (VSAN)
• Separate physical fabrics• Over‐provisioning ports on each island• High number of switches to manage
• Common redundant physical infrastructure• Less over‐provisioning required—lower $$• Fewer switches to manage• Move unused ports non‐disruptively• Analogous to Ethernet VLANs
Common Storage Pool Shared Amongst VSANs
Department #3VSAN
Cisco MDS 9000 Family
Department #2VSAN
Department #1VSAN
2013 OpenFlow Korea All Rights Reserved
네트워크 가상화 ‐ Virtual SANs (VSANs)
• SAN islands– Duplication of hardware resources– Just-in-time provisioning
SAN Islands
Department A
Department B Department C
Virtual SANs (VSANs)
Department A
Department B
Department C
VSAN: consolidation of SANs on one physical infrastructure Just like VLANs, VSAN traffic carries a tag in the frame
2013 OpenFlow Korea All Rights Reserved
Virtual Topology 2
Quality AssuranceNetwork
네트워크 가상화
• 패브릭 아키텍처• Overlay of logical topologies (1:N)• One physical network supports N virtual networks
Physical Topology
OutsourcedIT Department
Virtual Topology 1 Virtual Topology 3
Sandboxed Department(Regulatory Compliance)
2013 OpenFlow Korea All Rights Reserved
Server Rack with Top‐of‐Row
VM
VM VM
VM
VM
VM
• Authenticate• VLAN #1• Bandwidth (10Mbps)• Allow IPs• Deny protocols
• Authenticate• VLAN #7• Priority (High)• Deny IPs
Date/Time Switch IP
Port # VM ID
May 5 / 13:02 10.1.1.10 ge.1.8. Green VM
May 6 / 00:10 10.1.1.10 ge.1.7. Red VM
May 8 / 12:21 10.1.1.10 ge.1.3. Green VM
May 9 / 13:22 10.1.1.10 ge.1.8. Green VM
May 15 / 13:33 10.1.1.10 ge.1.3. Green VM
May 25 / 16:02 10.1.1.10 ge.1.8. Green VM
May 30 / 22:30 10.1.1.10 ge.1.3. Green VM
위치 추적등 가상 환경 가시화 관리 필요
ge.1.1
ge.1.2
ge.1.3
ge.1.4
ge.1.5
ge.1.6
ge.1.7
ge.1.8
Dynamic Configuration
대쉬보드
51
가상화 가용성 자동화를 위한 네트워크와 SDN
• VM 이동 지원 자동화 : 물리적 서버 장애시, 절전시, 효율적 자원 사용
2013 OpenFlow Korea All Rights Reserved
오픈를로우는 가상/클라우드를 위한 오버레이 단점 해결
• 오버레이 (Overlay) 네트워크 기술의 등장과 이의 단점 해결 필요• OpenFlow를 사용하여 물리적 라우터를 경유하지 않는 직접 최단 경로
구성 가능• SDN을 사용하여 자동화 운영가능
OpenFlow는 VM간 최단 직접경로 구성 가능
Overlay
What is Overlay Network? : Overlay network is created on existing network infrastructure (physical and/or virtual) using a network protocol. Examples of overlay network protocol are: GRE, STT, VPLS, OTV, LISP and VXLAN
R
2013 OpenFlow Korea All Rights Reserved
“spaghetti”
sFlow
• sFlow를 Distributed Monitoring 기능은 각각의 Open vSwitch에서 sFLow통계를 생성하여가상망 내의 트래픽 흐름의 가시화 관리
• 플로우 정보를 분석하여 위협이 되는 트래픽 형태를 탐지
2013 OpenFlow Korea All Rights Reserved
Specialized Packet Forwarding Hardware
App App App
Specialized Packet Forwarding Hardware
App App App
Specialized Packet Forwarding Hardware
App App App
Specialized Packet Forwarding Hardware
App App App
Specialized Packet Forwarding Hardware
OperatingSystem
OperatingSystem
OperatingSystem
OperatingSystem
OperatingSystem
App App App
Network Operating System
App App App
전통 네트워크 기술 시장의 변화
2013 OpenFlow Korea All Rights Reserved
App
Simple Packet Forwarding Hardware
Simple Packet Forwarding Hardware
Simple Packet Forwarding Hardware
App App
Simple Packet Forwarding Hardware Simple Packet
Forwarding Hardware
벤더 고유 Network Operating System
1. 하드웨어와 오픈 인터페이스
3. 오픈 API 2. 확장 가능한 오픈 OS
The Software-defined Network
2013 OpenFlow Korea All Rights Reserved
App
Forwarding
Forwarding
Forwarding
App App
Forwarding
Forwarding
Controller
The Software-Defined Networking
Data
Data
Data
Data
Data
Flow
Forwarding
Forwarding
Forwarding
Forwarding
Forwarding
Data
Data
Data
Data
Data
FlowFlowFlowFlow
Flow Table
Header Fields Counters Action
VLAN
• Port• Drop• Rewrite
MPLS
콘트롤러 (Controller)
2013 OpenFlow Korea All Rights Reserved
Forwarding
Forwarding
Forwarding
Forwarding
Forwarding
The Software-Defined Networking
Data
Data
Data
Data
Data
가상 레이어 (Virtualization or “Slicing” Layer)
2013 OpenFlow Korea All Rights Reserved
Forwarding Plane
Control Plane
Application
Hardware
Network Elements and Abstraction
Analysis and Monitoring, Performance and Security
Application Developer Environment
Switch Light
MuL SDN Controller
Cisco ONE Controller
SDN은 네트워크 계층별 프로그래밍 가능
• 시장에서는 기존 기업과 벤처들이 오픈 기반 SDN의 가능성을 현실화 하고있다.
ForwardingData
콘트롤러(Controller)
2013 OpenFlow Korea All Rights Reserved
Google – Use Case (OpenFlow/SDN)
• 2012년 구글에서 G-Scale에 적용한 OpenFlow/SDN 사례 발표• 직접 제작한 하드웨어를 기반으로 오픈소스를 이용한 개발 기술 사용
http://cafe.naver.com/openflow/513
2013 OpenFlow Korea All Rights Reserved
TE (TrafficEngineering)
TE 서버에서 경로의 여유 대역폭과 응답시간 고려하여사용할 플로우와 대역폭 할당
구글의 TE를 이용한 트래픽 자동 정책 제어
2013 OpenFlow Korea All Rights Reserved
Pica8
• Pica8은 SDN 환경을 구축 할 수 있는 오픈스위치를 제공한다.• 스위치는 부팅 시 OVS(Open vSwitch) 모드와 Layer2/Layer3 모드를 선택 할 수
있다. • 현재 OpenFlow 1.2, Open vSwitch 1.9를 지원
2013 OpenFlow Korea All Rights Reserved
• 사용 인텔 칩에 최적화한 코드를 사용하여 VM간 전송 속도를 크게 향상• NFV , OpenStack 등 데이터센터에서 가상화 인프라 처리 속도 향상에 필요한
애플리케이션 제공
6WIND
2013 OpenFlow Korea All Rights Reserved
Plexxi
• Plexxi offers the first and only affinity‐driven networking solution, specifically built for the fluid and dynamic nature of today’s data center computing needs.
• Top‐of‐rack 스위치의 업링크 포트에 WAN에서 사용하는 WDM 기술을 이용 Ring 구성을하여 각 스펙트럼에 다이나믹하게 대역폭을 할당한다.
• 2‐10X lower oversubscription, 10X lower latency, 50% less annual power usage, 70% less CapEx cost per port
2013 OpenFlow Korea All Rights Reserved
Big Switch Networks
• Big Switch는 공개한 FloodLight 컨트롤러를 기반으로 기능을 추가한 Big Network Controller를 제공 한다.
• 공개한 오픈 스위치 ‘Switch Light’는 Linux 기반의 가상 스위치는 물론 Broadcom범용 칩등을 사용하는 하드웨어 기반 스위치에서도 동작 할 수 있는 드라이버를 제공한다.
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
• 오케스트레이션• 클라우드서비스
비교• 데모 (동영상)
2013 OpenFlow Korea All Rights Reserved
클라우드 인프라
SW 정의스토리지
SW 정의네트워킹
SW 정의재해복구
SW 정의보안
가상화
SW 정의 컴퓨팅 및 메모리
시큐어 멀티 테넌시SW 정의 DC 서비스배치 및 로드 밸런싱
가상화는 데이터 센터 인프라 자원(스토리지,네트워크,보안,재해복구)으로 그범위를 넓혀 이제는 데이터 센터 자체에 대한 가상화(SDDC¹)가 진행1.Software Defined Data Center
SDDC / 클라우드 서비스
2013 OpenFlow Korea All Rights Reserved
public iaas private iaas
클라우드 서비스 기술 시장
2013 OpenFlow Korea All Rights Reserved
클라우드 서비스를 위한 가상화 기반 비교
• 주요 상용/공개 가상화 기반의 클라우드 서비스 지원 비교
2013 OpenFlow Korea All Rights Reserved
클라우드 처리속도 테스트
2013 OpenFlow Korea All Rights Reserved
OpenStack/SDN (Quantum)
Orchestration Plane
Control PlaneSDN/MAC Learning
Data PlaneUnderlying Network
VM Tenant
1
vNIC
VMTenant
2
vNIC
VM Tenant
1
vNIC
물리 스위치가상 스위치
하이퍼바이저
가상 스위치
하이퍼바이저
라우터
방화벽
LBaaS
IP 네트워크
Encapsulation: VLAN/GRE/VXLAN/NVFRE/STT….
VMTenant
2
NIC
QuantumOperation
&
Monitoring
Plane
sFlow
Ganglia
Puppet
…
2013 OpenFlow Korea All Rights Reserved
• Grizzly (new)– LBaaS– FaaS– HA for
dist.• 라우팅• 벤더의
Quantum Plugin으로 물리적 네트워크연동
• 수동 / 자동Provisioning
• 공공 클라우드모델은?
클라우드 관리 플랫폼 (CMP)
2013 OpenFlow Korea All Rights Reserved
클라우드 관리
망분리?
2013 OpenFlow Korea All Rights Reserved
eBay – Use Case (OpenStack/SDN)
• Any Application Anywhere - Dedicated physical environments cause fragmentation
• Soft Cabling - Datacenter reconfiguration is costly and cannot be automated• Shared Standardized Infrastructure - Simplifies automation and improves
supply chain efficiency• Virtualize everything - White space between applications and infrastructure
helps agility• Automate everything - Automation helps agility and efficiency
QADEV
Prod
PCI
QA DEV
DEVQA
Secure
Prod
Principles
http://cafe.naver.com/openflow/1218
2013 OpenFlow Korea All Rights Reserved
1. Physical Networking Hardware : Delta Networks의 스위치를 선택, 기능은
리눅스 기반의 Cumulus Networks의 소프트웨어를 탑재
2. Physical Networking Software : Cumulus Networks의 스위치 소프트웨어를 사용
(동일한 스위치 기능을 제공 가능한 리눅스 기반의 스위치 소프트웨어)
3. Logical Networking Software : Nicira 사용
4. Storage : ceph를 사용 (부가 기능 사용 가능)
5. Hypervisor : 리눅스의 KVM
6. Automation : Chef를 사용. OpenStack 서비스를 하는 Inktank의 지원
7. Internet & SAN : Arista 스위치
8. HA Solution : VMware, HP
DreamHost – Use Case (OpenStack/SDN)
http://cafe.naver.com/openflow/1221
2013 OpenFlow Korea All Rights Reserved
Cloud Convertor
2013 OpenFlow Korea All Rights Reserved
Silver Peak
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
• VDI 기술 비교• 망분리 기술 비교
2013 OpenFlow Korea All Rights Reserved
데스크톱 OS 및 애플리케이션을로컬 설치 및 운영
데이터센터에서 운영되는클라이언트 애플리케이션 없음
클라이언트-서버 모델
Terminal Server
서버 기반 컴퓨팅 (SBC)
몇몇 애플리케이션은데이터센터에서 운영
몇몇 애플리케이션은 로컬클라이언트에서 운영
필요에 따라 호스트 또는로컬 클라이언트에서
운영할 수 있는 유연성 제공
가상 머신 컴퓨팅
VDI (호스팅) 로컬
데스크톱 전체가 데이터센터의서버에 호스팅 되거나
로컬 클라이언트에서 운영
데스크톱 컴퓨팅의 진화
2013 OpenFlow Korea All Rights Reserved
서버 기반과 PC 기반 가상화의 비교
• 국내의 논리적 망분리는 PC 기반 가상화 기술이 경쟁
2013 OpenFlow Korea All Rights Reserved
VDI (Virtual Desktop Infrastructures) 개요
망분리 솔루션?
2013 OpenFlow Korea All Rights Reserved
End-of-RowServer Rack with Top-of-Row
VM
VM VM
VM
VM
VM
Traffic /Security Monitoring & Analysis
SDN Controller can deliver flow monitoring, threat management, log management, compliance reporting and increased operational efficiency for logical VM connections.
Dynamic Configuration
SDN Dashboard
Flow Monitoring
Flow Based Switches
Cloud
81
2013 OpenFlow Korea All Rights Reserved
데스크탑 가상화 아키텍쳐
• VDI (Virtual Desktop Infrastructures) 는 모바일 환경에서 사용자 들의 편의성과쉬운 관리를 위한 기능 위주로 발전
2013 OpenFlow Korea All Rights Reserved
데스크톱 가상화
서버 기반 컴퓨팅(SBC)와 데스크톱 가상화(VDI)
• VM(가상머신)기반의 데스크톱 환경
• 사용자에게 개별 VM을 제공
• Isolated, independent 환경
• 고가용성제공, 어플리케이션 호환문제해결
VDI
• Server Based Computing (SBC) or Remote Desktop Service
• 서버 OS의 세션을 사용자가 공유• 애플리케이션 “프리젠테이션” 가상화• Host OS의 제약사항을 그대로 따름
SBC
2013 OpenFlow Korea All Rights Reserved
데스크탑 가상화 기술 비교
• 국내 망분리 시장에서는 서버기반 가상화 VDI 와 함께 PC 기반 가상화 솔루션이 경쟁
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
• 가상화 환경 보안• 클라우드 보안• Start-up
2013 OpenFlow Korea All Rights Reserved
가상화 보안이슈
• 전통적 보안으로 가상인프라보호는 비용 및 복잡성을 증가시킬 수 있음.
네트워크 경계에서 위협 및공격만을 차단
정책이 각 네트워크세그먼트나 서버의 중요어플리케이션에 국한
에이전트의 관리기능으로 단일 물리적
서버를 보호
개별 서버 또는 네트워크의중요 취약점을 패치
네트워크 경계뿐만 아니라VM 간의 경계도 위협에서
보호
정책을 포괄적(웹, 데이터, OS영역, DB)으로 적용하며
VMs 과 함께 이동
물리적 서버에 고려하는것과 같이 각각의 VM의
서버에도 필요
패치, 트래킹 그리고VM들의 임의 사용을 통제
Network IPS
Server Protection
System Patching
Security Policies
2013 OpenFlow Korea All Rights Reserved
가상화 환경에서 새로운 보안 위험
하드웨어
하이퍼바이저
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
Worm 공격
가상 환경 내부에서감염 활동을 수행
VM간 무단 통신
하이퍼바이저 관리자
• VM 간 무단 통신으로 인한 보안 이슈 고려하여 물리 환경 수준 이상의 보안 정책이 필요• VM의 OS 는 Rootkit등의 공격 차단을 위해 물리 환경 수준의 보안 정책이 필요
Rootkit 제어 공격
2013 OpenFlow Korea All Rights Reserved
가상화 환경에서 새로운 보안 위험
• 가상화 후에 관리자 규정 준수, 관리자 통제 권한 확대
하드웨어
하이퍼바이저
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
하드웨어
하이퍼바이저관리 서버
쉽게 VM을 구축
2013 OpenFlow Korea All Rights Reserved
하이퍼바이저보안이슈
• 하이퍼바이저는 Host 컴퓨터에서 다수의 운영체제가 동시에 실행되기 위한 가상플랫폼• 하이퍼바이저 보안은 현재 가상화기술에서 중요하게 제기되고 있는 보안이슈로서
보안전문가들은 하이퍼바이저의 취약점 노출로 인한 공격발생을 우려하고 있다.• 하이퍼바이저가 위협에 노출될 경우 가상머신 또한 그대로 위협에 노출되기 때문이다.
하드웨어
하이퍼바이저
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
하드웨어
하이퍼바이저관리 서버
2013 OpenFlow Korea All Rights Reserved
공공 클라우드와 보안인증 프로그램 현황 (아마존 예)
2013 OpenFlow Korea All Rights Reserved
관리/제어 책임 (예)SaaSIaaS PaaS
PCI DSS 요구사항
데이터에 대한 방화벽 설치/유지 모두 모두 서비스 사업자
벤더 Default Password/보안 설정 변경 모두 모두 서비스 사업자
저장 데이터 차단 모두 모두 서비스 사업자
오픈/공중망 사용시 암호화 전송 사용자 모두 서비스 사업자
안티바이러스 소프트웨어 주기적 업데이트 사용자 모두 서비스 사업자
보안 시스템과 애플리케이션의 개발/유지 모두 모두 모두
데이터 접근 제한 업무 확인 모두 모두 모두
컴퓨터 접근을 위한 개별 ID 할당 모두 모두 모두
데이터의 물리적 접근 제한 서비스 사업자 서비스 사업자 서비스 사업자
네트워크 자원과 데이터 접속 모니터/추적 모두 모두 서비스 사업자
보안 시스템과 프로세스의 주기적 테스트 모두 모두 서비스 사업자
모든 개인을 위한 정보보안 정책 유지 모두 모두 모두
서비스 유형별 보안감리 모델 고려사항 (예)
2013 OpenFlow Korea All Rights Reserved
• 방화벽 가상 어플라이언스 (Virtual Appliance) (예)
– 1 virtual CPU or 2 virtual CPUs at 1.5 GHz / RAM: 2 GB / Hard disk: 3 GB– Network interfaces 3개: Data interface (VSG-to-VEM) / 관리 / High-availability interface
– 최대 성능 : 1.2 Gbps / 400 Mpps / 200,000 세션 / 초당 10,000 세션 / VPN 200 Mbps / 최대VPN 터널 750
– 네트워크 기능: IEEE 802.1Q VLAN encapsulation / Traffic types: Unicast, broadcast, multicast, TCP, and User Datagram Protocol (UDP) / Jumbo frame support (up to 9216 bytes) / VXLAN aware
• UTM 가상 어플라이언스 (예)
– VMware, Citrix, Microsoft Hyper-V, KVM 지원– Specifications: 1.5+ GHz processor / 1 GB RAM / 20 GB hard disk / Bootable CD-ROM / 2
or more network cards / 1 GB RAM / 40 GB IDE or SCSI hard disk drive / 3 PCI-NICs (Internet, Local Net, Demilitarized Zone)
• SSL VPN 게이트웨이 가상 어플라이언스 (예)
– License Server Licensing (설치 하드웨어 지정)– Subscription Licensing (유지보수/지원 포함)
• 연수 선택 : 1,2,또는 3년• 동시 사용자 수 선택 : 2500, 5000, 7500, 10K, 15K, 20K, 25K
일부 SDN 콘트롤러와 물리적 스위치는 이동하는 가상 어플라이언스의 VM을 자동으로감지하여 이동한 위치에서 동일한 네트워크 정책을 유지 할 수 있음
보안 비즈니스 모델 변화 (기존 벤더 비즈니스 모델)
2013 OpenFlow Korea All Rights Reserved
보안 제어 모델
애플리케이션바이너리분석, 트랜잭션 보안, 웹 방화벽, SDLC
정보DLP, 암호화, 데이터베이스 모니터, CMF
관리IAM, 패치관리, 구성 관리, 모니터링, VA/VM, GRC
네트워크NIDS/NIPS, 방화벽, DPI, DDoS 차단, QoS,
DNSSEC, OAuth
Trusted Computing하드웨어 소프트웨어 API’s & RoT
Compute&Storage호스트 방화벽, HIDS/HIPS,
물리적CCTV, Guards
준수 모델
PCI
□ 방화벽□ 코드 리뷰□ WAF□ 암호화□ 사용자 고유 ID□ 안티바이러스□ 모니터링/IDS/IPS□ 패치/취약성 관리□ 물리접속제어□ Two Factor Authentication
HIPAA
GLBA
SOX
클라우드 모델
압축
하드웨어
Facility
통합 / 미들웨어
APIs
접속 / 전달
애플리케이션
데이터 / 메타데이터 / 컨텐츠
프레젠테이션
APIs
서비스 사업자 / 벤더 / 준수의 차이Virtualization Security is NOT Cloud Security!
PaaS
SaaS
IaaS
Consulting
감리모델 변화와 국내 기업들의 영향
2013 OpenFlow Korea All Rights Reserved
SDN Controller
• vArmour: SDSec (Software Defined Security)• 기술 개요: ASG(Application Security Gateway)가 감염된 서버의 로그(Rogue)
애플리케이션을 감지하면 공개 SDN 콘트롤러로 신호를 보내 콘트롤러가 오픈플로우 스위치 내의 포워딩 플레인(Forwarding Plane)을 변경하여 감염된 서버를 격리하여 치료 한 뒤에 다시 운영에 복귀 시킨다.
보안 이슈와 기회 (vArmour 예)
2013 OpenFlow Korea All Rights Reserved
Qosmos
• The company’s award-winning Deep Packet Inspection (DPI) and Layer 7 Network Intelligence (NI) technologies recognize thousands of communication protocols and metadata attributes
• 실시간으로 네트워크 트래픽을 식별하고 분류 및 추출하는 NI 기술을 이용하여프로토콜 식별기능 제공과 메타데이터를 제공 할 수 있다. 이를 이용하여 가시화한프로토콜 관리와 향상된 제어 및 SDK를 이용하여 자신만의 플러그인 생성을 하여보안/가시화 기능 구현이 가능하다.
DataPlane Traffic
L4-7 프로토콜 & 애플리케이션확인
기타
P2P
e메일
비디오
웹
음성
비디오 최적화
분석 : NBAD, DLP, TMS, NG Firewall
QoS/QoE
VoLTE
컨텐츠 필터링 : SDN 콘트롤러 연동
IMDecoding engine
2013 OpenFlow Korea All Rights Reserved
OpenSAFE / FlowScale
2013 OpenFlow Korea All Rights Reserved
• Embrane은 ‘heleous’ 제품 군 : 가상화 환경에서 Site-to-Site VPN 기능 보유 방화벽, 로드밸런서 그리고 이들을 관리하는 콘트롤러를 제공하며, 운영 중에도 중단 없이 처리능력을 향상하거나 네트워크 삽입을 할 수 있다. API를 사용하여 프로그램이 가능하며 이중화 기능을 제공 한다.
• 서비스 사업자를 위한 비즈니스 서비스 모델
보안 이슈와 기회 (Embrane 예)
2013 OpenFlow Korea All Rights Reserved
• 가상화 : 리눅스나 하드웨어 어플라이언스에 탑재한 방화벽 코드를 가상화 서버에 적용 가능
• 공개 SDN 콘트롤러 호환성: 확대 서비스를 위해 SDN 콘트롤러 들에 포팅하는 방화벽 애플리케이션 고려
• 프로토콜 버전: 확대 서비스를 위하여 다른 버전의 스펙(Specification)의 스위치 연결 고려
• 콘트롤러 내의 App 호환: 한 콘트롤러에 공존하는 다른 App 들의 완성도 고려
• 목표 시장을 위한 로드맵: 1) 방화벽 성능의 개선, 2) 프로토콜 연동, 3) SDN 콘트롤러 연동, 4) 보안 팀을 위한 CMP 지원 중앙 정책 관리 등 새로운 기능(자동 확장, VPN, NAT, DHCP, 라우팅 등등) 추가 고려
가상화 서버
하이퍼바이저
vSwitch
리눅스
웹서버
vNIC
리눅스
앱서버
vNIC
리눅스
DB서버
vNIC
리눅스
방화벽
vNIC vNIC
vSwitch
NIC
공개 SDN Controller
Orch
estration
보안 이슈와 기회 (방화벽 가상화 모델 예)
2013 OpenFlow Korea All Rights Reserved
OpenFlow Area
Drop Actions
OpenFlow pSwitch
Data Center
3. Drop or QoS Action
2. Security Event
1. IDS/IPS 또는 Snort 나 Suricata
OpenFlow/SDN Controller
99
보안 비즈니스 모델(예): IDS/IPS
고려사항
• OpenFlow 연동 IDS 센서 :차단/제어 위치는 OpenFlow vSwitch/pSwitch
• FortNOX 또는 SE-FloodLight 가능
• 확장성: 복수의 SDN콘트롤러 연결을 고려
• 중앙관리• 가상화• 복수 Tenant 감지 (IDSaaS)• CMP(Quantum) 고려• Embedded SDN 환경 고려
OpenFlow based vSwitch
MAC Srce.
MAC Dest.
Srce.IP
Dest. IP
SourceTCP Port
Dest. TCP Port Action
* * 192.168.10.20 * * * Drop
2013 OpenFlow Korea All Rights Reserved
보안 비즈니스 모델(예): 서비스 사업자용 TMS
MAC Srce.
MAC Dest.
Srce.IP
Dest. IP
SourceTCP Port
Dest. TCP Port Action
* * * 192.168.10.20 80 * Port 3
고려사항
• DDoS 공격 차단 TMS (Treat Management System)
• 분산 DDoS 탐지센서들을 관리하는게이트웨이 또는 외부서비스 시스템을 SDN 콘트롤러와 연동
• 중앙관리• SDN 콘트롤러 (감지한
Target IP 주소 트래픽TMS 우회 명령 Flow) FortNOX 또는 SE-FloodLight 가능
• 가상화• 복수 Tenant 감지• CMP(Quantum) 고려
pSwitch/vSwitch pSwitch/vSwitch
OpenFlow/SDN Controller
TMS
3. DDoS 공격 Target Host IP 주소 트래픽을 TMS로 플로우 변경
Target Host
1. DDoS 센서 또는 게이트웨이에서공격 감지시 Target Host IP 주소를SDN 콘트롤러로 전달
2. DDoS 공격 필터링 한 정상 트래픽을 전송
2013 OpenFlow Korea All Rights Reserved
• 공개 SDN 콘트롤러 내장 보안장비 (레가시 환경에서 TMS, IPS 등 인라인 모드 설치가 필요한 기기)
• 오픈 가상스위치(Open vSwitch) 내장의 NIC or 스위치 사용• OpenFlow 프로토콜 사용• 위협 플로우 Redirect 하여 TMS로 전송
서버
NIC Open vSwitch
VM 1IP 주소 1
vNIC
VM 2IP주소 2
vNIC
VM 3IP 주소 3
vNIC
SDN/OpenFlow Controller
보안 기능 Application
4) 위협
플로
우
3) Flow 카운터기반의 위협 분석
인라인 설치 TMS 장비
IP주소 2 VM 공격
Open pSwitch
보안 이슈와 기회 (인라인 TMS 모델 예)
2013 OpenFlow Korea All Rights Reserved
목차
I. 가상화 응용 기술의 개요
II. 네트워크 가상화
III. 가상화 기반의 클라우드 서비스
IV. 데스크톱 가상화
V. 가상화 환경의 보안
VI. 가상화 기술환경 하의 감리 방안
• 점검 프레임워크• Checklist
2013 OpenFlow Korea All Rights Reserved
가상화 정보시스템 감리점검 프레임워크
가상화 시스템감리의 고려(예)
2013 OpenFlow Korea All Rights Reserved
Operational Checklist (예) : 아마존
1. Basic Operations Checklist2. Enterprise Operations Checklist3. Auditing Security Checklist
사용자가 시스템 적용전에 점검을 도움
클라우드 마이그레이션운영 전략을 점검
보안 제어를 점검
2013 OpenFlow Korea All Rights Reserved
Basic / Enterprise Operations Checklist
2013 OpenFlow Korea All Rights Reserved
클라우드 보안 점검 영역 Auditing Security Checklist (예)
• (예) 아마존의 클라우드 서비스를 위한 Auditing Security Checklist 영역ChecklistChecklistChecklistChecklistChecklistChecklistChecklistChecklistChecklist
Checklist
2013 OpenFlow Korea All Rights Reserved
Summary
1. 가상화 기반의 응용 서비스 기술의 확대
2. 응용 서비스들은 영역별 고유 기술로 발전
3. 공공클라우드 서비스 기반의 시장 변화 고려
4. 기술 변화를 수용하는 감리모델
5. 감리 모델의 변화와 시장의 영향: 어플라이언스 벤더의
소프트웨어나 서비스 기반의 비즈니스 모델을 도입
2013 OpenFlow Korea All Rights Reserved
OpenFlow Korea(www.OPENFLOW.or.kr)