네트워크가상화보안현황및보안연관성 안종석
(JongSeog Ahn)
목 적 : 네트워크 가상화/SDN환경에서 보안을 강화할 수
있는 방안을 소개하고 향후 관련 시장에서 이슈를
선정할 수 있도록 한다.
교육 주제 : 네트워크 가상화 보안현황 및 보안연관성
(가상 기반의 클라우드 서비스 보안과 SDN)
목적 주제
목차
I. 네트워크 가상화 개요
• 네트워크 가상화• Software Defined Networking(SDN) 개요• Network Functions Virtualization(NFV) 개요
II. 클라우드 서비스와 보안
• 클라우드 서비스• 가상화 환경의 보안 요소
III.소프트웨어 정의 보안
• SDN 기반 보안• Software Defined Security• 공개/상용 기술 소개
목차
I. 네트워크 가상화 개요
• 네트워크 가상화• Software Defined Networking(SDN) 개요• Network Functions Virtualization(NFV) 개요
II. 클라우드 서비스와 보안
• 클라우드 서비스• 가상화 환경의 보안 요소
III.소프트웨어 정의 보안
• SDN 기반 보안• Software Defined Security• 공개/상용 기술 소개
I. 네트워크 가상화 개요
I. 네트워크 가상화 개요
SDN
NFV
7
I. 네트워크 가상화 개요
Type 1 Hypervisors
VMware, Xen Project, Hyper-V
Type 2 Hypervisors
KVM, VirtualBoxContainers
LXC
I. 네트워크 가상화 개요
8
9
I. 가상화란: 가상화 개요
I. 가상화란: 가상화 개요
10
I. 가상화란: 가상화 개요
11
VRF 2 [EIGRP]
VRF 1 [OSPF]10.10.10.0/30 10.10.20.0/30
10.10.20.0/3010.10.20.0/30
I. 가상화란: 가상화 개요
12
13
I. 네트워크 가상화 개요: SDN
14
I. 네트워크 가상화 개요: SDN
15
I. 네트워크 가상화 개요: SDN
16
I. 네트워크 가상화 개요: SDN
3TEN8
6WIND
A10 Networks
Active Broadband Networks
ADVA Optical
Alcatel-Lucent/Nuage
Alibaba
Aricent
Arista Networks
Aruba Networks
Atto Research Korea
Auvik Networks
Baidu
Barefoot Networks
Beijing Internet Institute (BII)
Big Switch Networks
BISDN
Blue Ocean Networks
Broadcom
Brocade
BTI Systems
Centec Networks
Ceragon
China Mobile
China Telecom
Ciena
Cisco
Citrix
Colt
Coriant
Corsa Technology
Criterion Networks
Cyan
Dell/Force10
Deutsche Telekom
ECI Telecom
Ericsson
EstiNet Technologies
ETRI
Extreme Networks
F5/LineRate
Fiberhome Technologies
FishNet Security
Freescale
Friesty
Fujitsu
Gencore Systems
Gigamon
Glimmerglass
Goldman Sachs
Guardicore
Hitachi
HP
Huawei
IBM
Infinera
Infoblox
Intel
Institute for Information Industry
Intelligent Security Management
Intune Networks
IP Infusion
Itential
ITRI
Ixia
Juniper Networks
KDDI
KEMP Technologies
Konodrac
Korea Telecom
L3 Communication Systems-EastLancopeLevel3 CommunicationsLSI CorporationLuxoft
Marvell
MediaTek
Mellanox
Metaswitch Networks
Microsoft
Midokura
MRV
NAIM Networks
NCL Communication
NEC
Netgear
Netronome
Netscout Systems
NSN
NoviFlow
NTT Communications
Oki Electric Industry Co
Optelian
Oracle
Orange
Overture Networks
PCCW Global
Pertino
Pica8
Plexxi
Procera Networks
Qosmos
Rackspace
Radware
Riverbed Technology
Saisei NetworksSamsungSanctum NetworksSDN Essentials
SDN Solutions
SK Telecom
Spirent
Swisscom
Tail-f Systems
Tallac Networks
Tata Communications
Tekelec
Telecom Italia
Telefónica
Telekom Malaysia
Telesoft Technologies
Tellabs
Tencent
Thales
Tilera
Transmode
TW Telecom
UBIqube
Vello Systems
Verizon
Virtela
Vmware/Nicira
Vodafone
Wipro Limited
Xilinx
Xinguard
Xpliant
Yahoo!
Zhone Technologies
ZTE
Network Device
Software
ASIC
TCAM TCAM TCAM TCAM TCAM
Low-Level ASIC Interface
TCAMTCAM
Configuration
CLI
Services
Security
Virus Protect
Snooping
Access Control
Spanning Tree
Routing ACL QoS
Operating System (OS)
SN
MP
Web
I. 네트워크 가상화 개요: SDN
I. 네트워크 가상화 개요: SDN
Enabling a shift from
protocols to
applications
콘트롤러 콘트롤러 콘트롤러
네트워크 장비
소프트웨어
네트워크 장비
소프트웨어
네트워크 장비
소프트웨어
I. 네트워크 가상화 개요: SDN
Operating System (OS)
•
•
•
•
•
• 제어
I. 네트워크 가상화 개요: SDN
Database
Protocol
Program전지(全知) 전능(全能)
• 전지(全知) 하기 위해필요한 것은? SDN
• 전능(全能) 하기 위해필요한 것은? Coding
Legacy
SDN
I. 네트워크 가상화 개요: SDN
http://dtucker.co.uk/hack/building-a-router-with-openvswitch.html
VMware NSX (DLR)
Cisco ACI (Distributed D/G)
Nuage (VRS)
OpenStack ‘Juno’ (DVR)
Juniper OpenContrail (vRouter)
Midokura Midonet (Logical L3 Routing)
I. 네트워크 가상화 개요: SDN
IndependentSoftware Vendors
BRAS
Firewall
DPI
CDN
Tester/QoEmonitor
WANAcceleration
MessageRouter
Radio NetworkController
CarrierGrade NAT
Session BorderController
Classical Network Appliance
Approach
PE Router
SGSN/GGSN
Generic High Volume
Ethernet Switches
Generic High Volume Servers
Generic High Volume Storage
Orchestrated,automatic
remote install
Network Functions
Virtualisation Approach
hypervisors
I. 네트워크 가상화 개요: NFV
Working Group
Architecture of the Virtualisation
InfrastructureSteve Wright (AT&T) + Yun Chao Hu (HW)
Managing Editor: Andy Reid (BT)
Working Group
Reliability & Availability
Chair: Naseem Khan (VZ)
Vice Chair: Markus Schoeller (NEC)
Working Group
Management & OrchestrationDiego Lopez (TF) + Raquel Morera (VZ)
Working Group
Software ArchitectureFred Feisullin (Sprint) +
Marie-Paule Odini (HP)
Expert Group
SecurityBob Briscoe (BT)
Expert Group
Performance & PortabilityFrancisco Javier Ramón Salguero (TF)
Technical Steering CommitteeChair: Technical Manager : Don Clarke (BT)
Vice Chair / Assistant Technical Manager : Diego Lopez (TF)
Programme Manager : TBA
NOC Chair (ISG Vice Chair) + WG Chairs + Expert Group Leaders + Others
Additional Expert Groups
can be convened at discretion
of Technical Steering Committee
HW = Huawei
TF = Telefonica
VZ = Verizon
I. 네트워크 가상화 개요: NFV
OSS / BSS
EMS 2
VNF 2
EMS 3
VNF 3
EMS 1
VNF 1
Virtualisation Layer
Virtual Storage Virtual NetworkVirtual Compute
StorageHardware
Network Hardware
Computing Hardware
Service, VNF & Infrastructure Description
VNF (Virtualised Network Function)
Hardware Resources
Orchestrator
VNFManagers
VirtualisedInfrastructure
Manager
Network Functions Virtualisation – Update White Paper October 15-17, 2013 at the “SDN and OpenFlow World Congress”, Frankfurt-Germany.
A Virtual Network Function (VNF) utilises these
virtualised resources, and may use various VMs (Virtual
Compute) connected via some Virtual Networks.
I. 네트워크 가상화 개요: NFV
I. 네트워크 가상화 개요: NFV
I. 네트워크 가상화 개요: SDN
Distributed Registry(Strongly
Consistent)Distributed Key-Value Store
DB
Network Graph(Eventually consistent)
--- eMail WWW Phone ---
--- SMTP HTTP RTP ---
TCP UDP ---
IP
이더넷 PPP
--- CSMA async sonet ---
--- copper fiber radio ---
I. 네트워크 가상화 개요: NFV
I. 네트워크 가상화 개요
• 네트워크 가상화• Software Defined Networking(SDN) 개요• Network Functions Virtualization(NFV) 개요
II. 클라우드 서비스와 보안
• 클라우드 서비스• 가상화 환경의 보안 요소
III.소프트웨어 정의 보안
• SDN 기반 보안• Software Defined Security• 공개/상용 기술 소개
사용자 소유 사업자 소유
Infrastructure as a Service
Platformas a Service
Softwareas a Service
서비스 모델
SaaSIaaS PaaS클라우드 계층 (Cloud Layer)
데이터 (Data)
인터페이스 (APIs, GUIs)
애플리케이션 (application)
솔루션 스택 (Programing languages)
운영체제 (OS: Operating System)
가상 머신 (Virtual Machines)
가상네트워크 인프라
하이퍼바이저 (Hypervisors)
프로세스/메모리
데이터 스토리지 (Data Storage)
네트워크
물리적 환경 제공 / 데이터센터
사용자 소유
사용자 소유
사용자 소유
사업자 소유or 공공
클라우드
사업자 소유or공공
클라우드
사업자 소유or공공
클라우드
가상화
II. 클라우드 서비스와 보안
30
Product/Framework
OpenStack CloudStackVMware
vCloud SuiteMicrosoftSCVMM
Licence Apache 2.0 Apache 2.0 Propritary Propritary
Primaryhypervisor
KVM Xen ESXI Hyper-V
Secondaryhypervisors
Xen, Hyper-V, vSphere, LXCKVM, Hyper-V, vSphere, LX
C- -
Primarylanguage
Python Java Mix of Mix of
Primarystorage type
Cluster: CEPH, GlusterFSSAN: iSCSI, NFS
SAN: iSCSI, NFSSAN: iSCSI, NFS, FC, FCoE
Cluster: vSANSAN: iSCSI, FC, FCoE
Cluster: SMB 3.0
Network Virtualization
Open vSwitch, VMware NSX,Arista EOS, Cisco Nexus, Brocade , HP, Mellanox, NEC OpenFlow Plugin,
OpenDaylight
Open vSwitchVMware NSX,
Arista EOS, Cisco Nexus, Brocade , HP
NVGRE virtual switch
Multi-tenant,Self Service Portal
Yes, Horizon Yes YesYes, Self-Service Portal/SCV
MM
Hybrid Cloudsolutions
RackConnect allowsmigrate to RackSpace
Citrix CloudPlatform allows migration between clouds
vCloud ConnectorSCVMM allows migrate to
Azure
Cost of implementation
Free, add consultancy and integration fee
Free, add consultancy and integration fee
31
II. 클라우드 서비스와 보안
$3002 분
$10,00010 주
기업용 스토리지
VLAN 네트워크
방화벽, load-balancer
침입탐지, 보안, 모니터링
가용성
현재과거
+일
32
II. 클라우드 서비스와 보안
33
https://console.aws.amazon.com/console/home?region=ap-northeast-1
II. 클라우드 서비스와 보안
34
II. 클라우드 서비스와 보안
35
II. 클라우드 서비스와 보안
36
II. 클라우드 서비스와 보안
37
II. 클라우드 서비스와 보안
Dynamic Configuration
Detect/Authenticate VLAN /802.1q QoS/Rate Limit/Shape Allow/Deny IPs Allow/Deny protocols
VM
Service Provisioning
38
인증/권한 패브릭 스위치 오버레이 오픈플로우
II. 클라우드 서비스와 보안
네트워크 경계에서 위협 및공격만을 차단
정책이 각 네트워크세그먼트나 서버의 중요어플리케이션에 국한
에이전트의 관리기능으로 단일 물리적
서버를 보호
개별 서버 또는 네트워크의중요 취약점을 패치
네트워크 경계뿐만 아니라VM 간의 경계도 위협에서
보호
정책을 포괄적(웹, 데이터, OS영역, DB)으로 적용하며
VMs 과 함께 이동
물리적 서버에 고려하는 것과같이 각각의 VM의 서버에도
필요
패치, 트래킹 그리고 VM들의임의 사용을 통제
Network IPS
Server Protection
System Patching
Security Policies
39
II. 클라우드 서비스와 보안
하드웨어
하이퍼바이저
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
Worm 공격
가상 환경 내부에서감염 활동을 수행
VM간 무단 통신
하이퍼바이저 관리자
Rootkit 제어 공격
40
II. 클라우드 서비스와 보안
하드웨어
하이퍼바이저
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
하드웨어
하이퍼바이저관리 서버
쉽게 VM을 구축
41
II. 클라우드 서비스와 보안
하드웨어
하이퍼바이저
OS
App
OS
App
OS
App
OS
App
OS
App
OS
App
42
II. 클라우드 서비스와 보안
infrastructure
network
compute
infrastructure
43
II. 클라우드 서비스와 보안
44
II. 클라우드 서비스와 보안
45
II. 클라우드 서비스와 보안
• Segmentation based on service and security requirements Web services–portals, web-based warehouses
Applications services–ERP
Core service–DNS,DHCP, NTP, FTP, RADIUS
Data base services–MS SQL, Oracle, Sybase
• Benefit from a Service Oriented Architecture (SOA) Zones can be hosted by different managed service pr
oviders.
Borders between application categories, or zones can be easier protected
Distribution of malware or hacker attacks is limited to one zone.
Outages, failures and administration errors are restricted to one zone only.
46
II. 클라우드 서비스와 보안
47
II. 클라우드 서비스와 보안
목차
1. 네트워크 가상화 개요
• 네트워크 가상화• Software Defined Networking(SDN) 개요• Network Functions Virtualization(NFV) 개요
2. 클라우드 서비스와 보안
• 클라우드 서비스• 가상화 환경의 보안 요소
3. 소프트웨어 정의 보안
• SDN 기반 보안• Software Defined Security• 공개/상용 기술 소개
관리/제어 책임 (예)
SaaSIaaS PaaSPCI DSS 요구사항
데이터에 대한 방화벽 설치/유지 모두 모두 서비스 사업자
벤더 Default Password/보안 설정 변경 모두 모두 서비스 사업자
저장 데이터 차단 모두 모두 서비스 사업자
오픈/공중망 사용시 암호화 전송 사용자 모두 서비스 사업자
안티바이러스 소프트웨어 주기적 업데이트 사용자 모두 서비스 사업자
보안 시스템과 애플리케이션의 개발/유지 모두 모두 모두
데이터 접근 제한 업무 확인 모두 모두 모두
컴퓨터 접근을 위한 개별 ID 할당 모두 모두 모두
데이터의 물리적 접근 제한 서비스 사업자 서비스 사업자 서비스 사업자
네트워크 자원과 데이터 접속 모니터/추적 모두 모두 서비스 사업자
보안 시스템과 프로세스의 주기적 테스트 모두 모두 서비스 사업자
모든 개인을 위한 정보보안 정책 유지 모두 모두 모두
III. 소프트웨어 정의 보안
49
사용자가 시스템 적용전에 점검을 도움
클라우드 마이그레이션운영 전략을 점검
보안 제어를 점검
• Basic Operations Checklist
• Enterprise Operations Checklist
• Auditing Security Checklist
50
III. 소프트웨어 정의 보안
51
III. 소프트웨어 정의 보안
ChecklistChecklist
ChecklistChecklist
ChecklistChecklist
ChecklistChecklist
Checklist
Checklist
52
III. 소프트웨어 정의 보안
Version 1.0
Released: January 6, 2014
53
III. 소프트웨어 정의 보안
54
Version 1.0
Released: January 6, 2014
III. 소프트웨어 정의 보안
55
III. 가상 네트워크 설계: 보안 대책
• 가상화 : 리눅스나 하드웨어 어플라이언스에 탑재한 방화벽 가상화
• SDN 콘트롤러 호환성: 하이퍼바이저 vs 오케스트레이터
• 프로토콜 버전: Southbound (OpenFlow vs Netconf or Something)
• 콘트롤러 내의 App 호환: 콘트롤러에 공존하는 다른 App 들의 완성도
• 목표 시장을 위한 로드맵: 1) 성능의 개선, 2) 프로토콜, 3) SDN 콘트롤러 연동, 4) 아키텍처, CMP 지원 (자동 확장, VPN, 등등) 추가 고려
가상화 서버
하이퍼바이저
vSwitch
리눅스
웹서버
vNIC
리눅스
앱서버
vNIC
리눅스
DB서버
vNIC
리눅스
방화벽
vNIC vNIC
vSwitch
NIC
공개 SDN Controller
Orch
estra
tion
방화벽(Controller)
vSwitch(방화벽 에이전트)
56
III. 소프트웨어 정의 보안
vSwitch(방화벽 에이전트)vSwitch
(방화벽 에이전트)vSwitch(방화벽 에이전트)vSwitch
(방화벽 에이전트)
OpenFlow Area
Drop Actions
vSwitch/pSwitch
Data Center
3. Drop or QoS Action
2. Security Event
1. IDS/IPS 또는 Snort 나 Suricata
OpenFlow/SDN Controller
고려사항
OpenFlow 연동 IDS 센서 :차단/제어 위치는 OpenFlow vSwitch/pSwitch
확장성: 복수의 SDN 콘트롤러 연결을 고려
중앙관리
가상화
복수 Tenant 감지 (IDSaaS)
CMP(OpenStack) 고려
Embedded SDN 환경 고려
OpenFlow based vSwitch
MAC Srce.
MAC Dest.
Srce.IP
Dest. IP
SourceTCP Port
Dest. TCP Port
Action
* * 192.168.10.20 * * * Drop
57
III. 소프트웨어 정의 보안
고려사항
DDoS 공격 차단 TMS (Treat Management System)
분산 DDoS 탐지 센서들을 관리하는 게이트웨이또는 외부 서비스 시스템을 SDN 콘트롤러와 연동
중앙관리
SDN 콘트롤러 (감지한Target IP 주소 트래픽TMS 우회 명령 Flow) 가상화
복수 Tenant 감지
CMP 고려
MAC Srce.
MAC Dest.
Srce.IP
Dest. IP
SourceTCP Port
Dest. TCP Port
Action
* * * 192.168.10.20 80 * Port 3
pSwitch/vSwitch pSwitch/vSwitch
OpenFlow/SDN Controller
TMS
3. DDoS 공격 Target Host IP 주소 트래픽을 TMS로 플로우 변경
Target Host
1. DDoS 센서 또는 게이트웨이에서공격 감지시 Target Host IP주소를 SDN 콘트롤러로 전달
2. DDoS 공격 필터링 한 정상 트래픽을 전송
58
III. 소프트웨어 정의 보안
• 공개 SDN 콘트롤러 내장 보안장비 (레가시 환경에서 TMS, IPS 등인라인 모드 설치가 필요한 기기)
• 오픈 가상스위치(Open vSwitch) 내장의 NIC or 스위치 사용
• OpenFlow 프로토콜 사용
• 위협 플로우 Redirect 하여 TMS로 전송
서버
NICOpen vSwitch
VM 1IP 주소 1
vNIC
VM 2IP주소 2
vNIC
VM 3IP 주소 3
vNIC
SDN/OpenFlow Controller
보안 기능 Application
4) 위
협플
로우
3) Flow 카운터기반의 위협 분석
인라인 설치 TMS 장비
IP주소 2 VM 공격
Open pSwitch
59
III. 소프트웨어 정의 보안
60
III. 소프트웨어 정의 보안
61
vArmour• 2011년 2명의보안솔루션전문가가 $8M(약 80억원)을투자받아창업
• 솔루션개발진행중(스텔스모드)
특징• 보안가시성 : 애플리케이션, 자산, 패킷, 접속별가시성확보
• 위협탐지 : 실시간탐지및가시성을통해복합위협분석탐지
• 공격치료 : 비지니스프로세스기반의치료정책
• 정책관리및수행 : 애플리케이션, 워크그룹, 테넌트간통신에대한제어
기술개요①악성코드감염가상머신감지
②SDN 컨트롤러보고
③포워딩플레인변경
④감염된서버격리
⑤감염된서버치료
⑥감염된서버복구
III. 소프트웨어 정의 보안
62
Catbird Networks• 보안가상화전문회사(2,000년에설립)
• 투자금 : $1억2천만(약 1조 2천억)
• 주요제품 : 실시간가상머신모니터링
이동, 생성, 소멸, 메타데이타등
하이퍼바이저별에이전트가상머신설치하여전체하이퍼바이저모니터링
Cisco ACI, VMware NSX, OpenStack등과연동
Virtual Switch
Firewall
VM1
VM2
VM3
Hypervisor
Vulnerability Scanner
IDS
Firewall Updated Rules Audited
Monitor New VM Traffic Audit
Alerts/Workflows
Scan New VM Audit Results/Workflows
New VM Added Interfaces Audited
SDSAPIs
SDS Manager
VMs Fully Visible
API Integration
Automated Control
Configuration
Workflow Audit
Real-Time Compliance
환율. 1$ = 1,012.20원(2014년 7월 7일매매기준율)
III. 소프트웨어 정의 보안
• ‘heleous’ 제품 군으로 가상화 환경에서 Site-to-Site VPN 기능을 가진 방화벽, 로드밸런서 그리고 이들을 관리하는 SDN 콘트롤러 기능제공 ‘ESM’(Elastic Services Manager)를 제공하며, 운영 중에도 중단없이 처리능력을 향상하거나 네트워크 삽입을 할 수 있다. API를 사용하여 프로그램이 가능하며 이중화 기능을 제공 한다.
63
III. 소프트웨어 정의 보안
보안 제어 모델
애플리케이션바이너리분석, 트랜잭션 보안, 웹 방화벽, SDLC
정보DLP, 암호화, 데이터베이스 모니터, CMF
관리IAM, 패치관리, 구성 관리, 모니터링, VA/VM, GRC
네트워크NIDS/NIPS, 방화벽, DPI, DDoS 차단, QoS,
DNSSEC, OAuth
Trusted Computing하드웨어 소프트웨어 API’s & RoT
Compute&Storage호스트 방화벽, HIDS/HIPS,
물리적CCTV, Guards
준수 모델
PCI
□ 방화벽□ 코드 리뷰□ WAF□ 암호화□ 사용자 고유 ID□ 안티바이러스□ 모니터링/IDS/IPS□ 패치/취약성 관리□ 물리접속제어□ Two Factor Authentication
HIPAA
GLBA
SOX
클라우드 모델
압축
하드웨어
Facility
통합 / 미들웨어
APIs
접속 / 전달
애플리케이션
데이터 / 메타데이터 / 컨텐츠
프레젠테이션
APIs
서비스 사업자 / 벤더 / 준수의 차이(RFP/Contract/인증)Virtualization Security is NOT Cloud Security!
PaaS
SaaS
IaaS
Consulting
64
III. 소프트웨어 정의 보안
Top Related