가상화/클라우드 보안
수천만 이상의 위협을 효과적으로 차단하고 있습니다.
가상화 및
클라우드 보안 이슈
Inter-VM 공격 등과 같은 이슈에 취약한 가상화 서비스와 클라우드의 경우
물리적 시스템과는 전혀 다른 관점의 보안을 필요로 합니다.
가상화 환경의 일반적인 문제점
| 가상화 환경에서 보안의 한계 | Deep Security로 해결 | |
|---|---|---|
| AV-Storm 문제 | 정해진 시간에 모든 VM들이 AV스캐닝 동작하거나 패턴 업데이트 시 전체 시스템의 과부하 현상 발생 | Deep Security 는 예약/수동 검사나 패턴 업데이트를 서로간의 Sequence(순서)를 가지고 수행함으로써 AV-Storm을 해결 |
| OS/Application 취약점 보안 | 가상 데스크탑 생성, 복제, 제거 등의 작업이 자주 발생하는 과정에서 취약점(패치)관리 어려움 존재 | Deep Security 는 시스템에 영향없이(보안패치, 재부팅, 시스템 리소스 영향 없이)Zero-day/Exploit 공격에 대한 방어 |
| Agent 설치 구성 방식의 한계 | 기존 안티바이러스는 모두 Agent 기반으로 Application 호환성 문제, 리소스 사용 문제 등이 발생 | Agent-less 방식(Agent 설치 없이)으로 모든 가상 데스크탑에 기능 적용 및 모니터링 가능 |
| VM간 공격시 무방비 | 가상 네트워크는 기존 네트워크 보안 솔루션으로 모니터링이 안됨 | Deep Security가 제공하는 Host-base의 IPS/IDS로 방어 |
클라우드
보안 이슈
AWS와 같은 클라우드 서비스 업체에서는 스니핑, 스푸핑 등과 같은 잘 알려진
기본적인 네트워크 보안과 각 잘 알려진 시스템 이슈에 대한 보안만을 제공합니다.
클라우드보안 책임의 분담(AWS)
가상화 및
클라우드 의 보안
현재까지 물리적 시스템에서는 기업 인프라의 최 상단에서 접근을 통제하거나
공격을 차단하는 네트워크기반의 보안 장비가 유용했습니다.
하지만 앞으로의 가상화 또는 클라우드 환경에서는 보안성, 유연성, 확장성,
관리 효율성을 위한 호스트 기반의 ALL-IN-ONE 보안 장비가 필요합니다.
클라우드 네트워크 기반 장비의 장단점
-
클라우드 네트워크
기반 장비의 단점 -
- 서비스 확장을 고려한 설계가 필요
- 단일 장애 포인트 요소
- "2"의 대책 ⇒ 인스턴스 증가 ⇒ 비용 증가
- 공유 환경을 위한 하드웨어는 설치 불가
- 네트워크 차단 실패 시 차후 대응 불가
-
클라우드 네트워크
기반 장비의 장점 -
- 인스턴스의 증감에 대해서만 고려
- 장애 시 영향도는 인스턴스 단위로 세부대응 가능
- 필요한 때에 필요한 만큼 = 클라우드 개념
- 오토스케일링 기능 지원으로 HA 보안 구성 가능
가상화 및 클라우드의 보안
| 비교항목 | 네트워크 기반 | 호스트(SW)기반 (Deep Security) |
|---|---|---|
| 구성방식 | Hardware Appliance (Inline/Tap) | Software Agent (Inline/Tap) |
| Inter-VM 웹 트래픽 모니터링/탐지/차단 | 불가능 | 가능 |
| VM 취약점 스캔 | 불가능 | 각 VM에 대한 웹, OS 취약점 스캔기능 제공 |
| 가상패칭 (Virtual Patching) | 불가능 | 각 VM에 대한 웹, OS 취약점 가상 패칭 기능 제공 |
| 통합관리 | 다수장비 통합관리 | 장비 및 VM 통합보안관리로 서버 및 애플리케이션 가시성 제공 |
| 맞춤형 룰 설정 | 모든 서버에 동일한 정책 | 서버의 용도, OS, App 에 따라 맞춤형 설정 |
| 성능 | 네트워크 레이어에서 트래픽 분석하여 모든 서버들에 포함되는 탐지 룰 적용으로 성능이슈 발생 | 각 서버 레이어별 트래픽을 분산분석 및 필수탐지 룰 적용으로 성능 최적화 |
| 오탐의 영향 | 오탐이 발생할 경우 모든 서버들에 발생할 수 있음 | 오탐이 발생하더라도 적용된 서버에만 조치 |
| 장애 대처 | 보안기능 장애 발생시 전체 트래픽에 영향 | 해당 서버만 조치하여 타 서버들에 영향 없음 |
-
Deep Security
가상 어플라이언스 VMware 호스트에 가상 어플라이언스를
올려 호스트에 배포된 모든 VM을
에이전트 없이 보호합니다.가상 어플라이언스는 에이전트리스 방식의 무결성 검사, 안티바이러스, IDS/IPS, 웹 애플리케이션 보호, 애플리케이션 컨트롤, 방화벽 보호를 제공합니다. 로그 감사와 심층 방어를 위해 Deep Security 에이전트를 함께 사용할 수 있습니다.
-
Deep Security
에이전트 서버나 가상머신에
보호 기능을 배포합니다.서버나 가상머신에 배포되는 소프트웨어 구성요소로서 보안 정책을 적용합니다. 안티바이러스, IDS/IPS, 웹 애플리케이션 보호, 어플리케이션 컨트롤, 방화벽, 무결성 검사 및 로그 감사를 수행합니다.
-
Deep Security
매니저 관리자가 보안 프로파일
(Security Profile)을 생성하고
이를 서버에 적용시킬 수 있습니다 .서버나 가상머신에 배포되는 소프트웨어 구성요소로서 보안 정책을 적용합니다. 안티바이러스, IDS/IPS, 웹 애플리케이션 보호, 어플리케이션 컨트롤, 방화벽, 무결성 검사 및 로그 감사를 수행합니다.
-
서비스로 제공되는
Deep Security 아마존 웹 서비스 등을 위한 유연한
클라우드 보안을 제공합니다 .데이터센터를 클라우드로 이전함에 따라 기업은 클라우드 서비스 제공업체와 공동 보안 책임(shared security responsibility)을 지게 됩니다. Deep Security는 업계 선두의 클라우드 서비스 제공업체(아마존 웹 서비스(AWS), Microsoft Azure, VMware vCloud Hybrid Service)와 긴밀하게 통합되어 유연하게 적용할 수 있는 클라우드 보안을 제공하여 클라우드의 모든 이점을 안심하고 누릴 수 있도록 지원합니다. 자세히보기
-
보안
센터 최신 위협에 대응할 수 있도록 지속적으로
보안 업데이트를 제공합니다.전담 보안 전문가 팀이 새로운 취약점을 해결하는 보안 업데이트를 신속하게 개발하여 공급합니다. 보안 센터는 이러한 보안 업데이트와 정보에 액세스할 수 있는 고객 포털을 관리합니다. 보안 업데이트는 자동으로 Deep Security 매니저에 전송할 수도 있고 요청시 수분 내에 수천 대의 서버에 전송할 수도 있습니다.
가상패치
상처에 붙이는 반창고 상처에 침입하는 바이러스균으로부터 반창고가 보호
가상패치 OS및 애플리케이션의 취약점을 노린 공격을 네트워크 레벨에서 차단
'가상패치'란, 취약점을 노린 공격코드를 네트워크 레벨에서 차단하는 기능으로, 마치 (가상으로) 보안패치가 적용된 것과 동일한 상태를 만들어내는 것에서 '가상패치'라고 불립니다.
비유를 하자면, 상처에 붙이는 반창고를 생각해보면 됩니다. 사람은 상처를 입었을 때, 바이러스균의 침입을 막기 위해 상처가 나을 때까지 반창고를 붙입니다. 이를 서버에 대입하면 상처가 취약점이고, 바이러스균의 침입이 취약점을 노린 공격입니다. 가상패치(반창고)는 취약점(상처)를 노린 공격(바이러스균의 침입)을 가상패치(반창고)로 막을 수 있습니다.
가상패치는 다음과 같은 과제를 해결합니다.
-
취약점 솔루션의 도입 및 운용 부담을 경감합니다.
Deep Security는 전용 하드웨어를 필요로 하지 않는 소프트웨어 형태로 도입되기 때문에 초기 도입 비용을 낮출 수 있습니다. 대책을 실시하고 싶은 서버에 설치하여 취약점 대책을 실현할 수 있으므로 네트워크형 IDS/IPS와 달리 네트워크 구성을 변경할 필요가 없으며, 도입에 필요한 작업도 줄일 수 있습니다. 운용에 있어서도 자동으로 취약점을 보호하므로 중요도가 높은 보안패치가 발표되었을 때에도 긴급한 검증 및 적용에 따른 운용 부담을 줄일 수 있습니다. 때문에 계획적인 운용에 따른 패치 관리를 실현할 수 있습니다.
-
서버를 멈추지 않고 취약점을 보호합니다.
Deep Security의 취약점 대책은 보안패치 적용을 통한 취약점 대책과 달리, 직접적으로 OS 및 애플리케이션에 대한 변경을 주지 않고 네트워크 레벨에서 취약점을 공격하는 패킷을 차단합니다. 가상패치를 통한 취약점 보호는 서버의 재기동을 필요로 하지 않기 때문에 고객님의 업무에 지장을 주지 않습니다. 또한 수정 프로그램을 적용할 수 없는 공백 기간을 틈 타 수정 프로그램을 악용하는 공격을 방어할 수 있습니다.