SDN for security

4,338 views

Published on

Published in: Technology

SDN for security

  1. 1. 2013 OpenFlow Korea All Rights Reserved SDN 기반의 보안 August, 2013 OpenFlow Korea (www.OPENFLOW.or.kr) 발표자 : 안종석 (James) 기술매니저 James@openflow.or.kr
  2. 2. 2013 OpenFlow Korea All Rights Reserved Contents  SDN 기술 개요  시장 전망 과 표준화  SDN 관련 보안 트렌드  보안을 위한 Open Source / 표준 고려  가상화/SDN 관련 보안 제품 (예)  보안 관련 SDN 기업들  보안 비즈니스 모델(예)  가상화 환경의 보안
  3. 3. 2013 OpenFlow Korea All Rights Reserved Specialized Packet Forwarding Hardware App App App Specialized Packet Forwarding Hardware App App App Specialized Packet Forwarding Hardware App App App Specialized Packet Forwarding Hardware App App App Specialized Packet Forwarding Hardware Operating System Operating System Operating System Operating System Operating System App App App Network Operating System App App App SDN 기술 개요 - 전통 시장의 변화
  4. 4. 2013 OpenFlow Korea All Rights Reserved App Simple Packet Forwarding Hardware Simple Packet Forwarding Hardware Simple Packet Forwarding Hardware App App Simple Packet Forwarding Hardware Simple Packet Forwarding Hardware 벤더 고유 Network Operating System 1. 하드웨어와 오픈 인터페이스 3. 오픈 API 2. 확장 가능한 오픈 OS SDN 기술 개요 – 분리
  5. 5. 2013 OpenFlow Korea All Rights Reserved App Forwarding Forwarding Forwarding App App Forwarding Forwarding Controller SDN 기술 개요 – OpenFlow Data Data Data Data Data Flow Forwarding Forwarding Forwarding Forwarding Forwarding Data Data Data Data Data FlowFlowFlowFlow Flow Table Header Fields Counters Action VLAN • Port • Drop • Rewrite MPLS 콘트롤러 (Controller)
  6. 6. 2013 OpenFlow Korea All Rights Reserved Forwarding Forwarding Forwarding Forwarding Forwarding SDN 기술 개요 - VLAN Data Data Data Data Data 가상 레이어 (Virtualization or “Slicing” Layer)
  7. 7. 2013 OpenFlow Korea All Rights Reserved Forwarding Plane Control Plane Application Hardware Network Elements and Abstraction Analysis and Monitoring, Performance and Security Application Developer Environment Switch Light MuL SDN Controller Cisco ONE Controller  SDN 기술 개요 - 계층별 프로그래밍 • 시장에서는 기존 기업과 벤처들이 오픈 기반 SDN의 가능성을 현실화 하고 있다. Forwarding Data 콘트롤러 (Controller)
  8. 8. 2013 OpenFlow Korea All Rights Reserved SDN과 표준화 Name Drivers Industry Start ONF Google, Facebook,.. Service Providers 2011. Network Functions Virtualization Deutsch Telecom, British Telecom,.. Carriers 2013. 1. (첫번째 미팅) OpenDaylight Cisco, IBM, Ericsson,.. Vendors 2013. 4. What do they REALLY want?
  9. 9. 2013 OpenFlow Korea All Rights Reserved SDN 시장 전망 • Network Infrastructure Market 58% (US$ 2.1 Billion in 2016)  • Application and Services Market 42% (US$ 1.6 Billion in 2016) (US$ 2.1 Billion)  (US$ 1.6 Billion)
  10. 10. 2013 OpenFlow Korea All Rights Reserved Cloud and SDN Expedite Growth in Virtual Network/Security Services • Rise of SDN and network virtualization will lead to significant increase in virtualized network and security services (ADCs, WAN Optimization, Firewalls, etc.) • Will occur at enterprises and cloud service providers, but also across the Telecom space (SDN and NFV) • Established vendors and startups alike will be suppliers • Customers will benefit from speed and simplicity of provisioning, as well as from flexibility and service velocity • Appliance vendors must adapt to software- and service-based business models. May 9th, 2013 비즈니스 모델 변화 (IDC 권장)
  11. 11. 2013 OpenFlow Korea All Rights Reserved 보안을 위한 Open Source / 표준 고려 • FortNOX: 자바 기반의 SE-FloodLight (Security Extended version of BigSwitch)로 동일한 기능을 준비 중 – 공격 감지 (기존 센서 기술 응용 가능) – Authentication (관리 인증) – 스위치의 Flow 처리 성능 고려 – 시장에 Launching을 위한 준수사항과 인증 고려 • FRESCO: 오픈플로우 콘트롤러와 오픈플로우 애플리케이션 계층 사이에서 빠른 보안 이슈 감지와 완화 모듈들, 그리고 이들을 구성하여 보안 서비스를 효과적인 적용을 위한 OpenFlow 애플리케이션 프레임워크.  • Security Requirements in the Software Defined Networking Model : IETF에서 제안중인 프로토콜이며, 오픈플로우와 같이 SDN 콘트롤러등이나 애플리케이션들 사이에 추가적인 기능을 전재로 함 • Cloud Management Platform (CMP) 고려 – OpenStack의 Quantum (라우팅이나 보안 등의 기능 제공) – Stateful Firewall 등 기타 보안 기능 – LBaaS (Load Balancing as a Service)
  12. 12. 2013 OpenFlow Korea All Rights Reserved OpenFlowSec.org Coming Summer 2013 We are currently preparing releases of several new OpenFlow Security Packages • SE-Floodlight Server-side SE-Northbound API SRI Mediator Extension SRI Security Enforcement Kernel • OpenFlow Security Actuator Client Perl Lib SE-Northbound API SRI Security Response Director • OF-BotHunter Pre-requisites: package 1 and 2 BotHunter v1.7.2 Infection Profile Responder
  13. 13. 2013 OpenFlow Korea All Rights Reserved OpenFlowSec.org - Security Applications • +20 years of Network Defense Research applied to SDN SDN Security Mediation Actuator Infection Profile Responder (CEF/Syslog alert parser) Standard OF Switch Southbound API CL ‐Northbound API Authenticated SSL Sockets OF‐Bro OF‐Nikto/NessusOF‐IPTables with Alias Set Rule  Reduction  OF‐Cuckoo SE‐Floodlight OpenFlow Controller (beta) OF‐Suricata OF‐BotHunter
  14. 14. 2013 OpenFlow Korea All Rights Reserved OpenSAFE / FlowScale
  15. 15. 2013 OpenFlow Korea All Rights Reserved • 방화벽 가상 어플라이언스 (Virtual Appliance) (예) – 1 virtual CPU or 2 virtual CPUs at 1.5 GHz / RAM: 2 GB / Hard disk: 3 GB – Network interfaces 3개: Data interface (VSG-to-VEM) / 관리 / High-availability interface – 최대 성능 : 1.2 Gbps / 400 Mpps / 200,000 세션 / 초당 10,000 세션 / VPN 200 Mbps / 최대 VPN 터널 750 – 네트워크 기능: IEEE 802.1Q VLAN encapsulation / Traffic types: Unicast, broadcast, multicast, TCP, and User Datagram Protocol (UDP) / Jumbo frame support (up to 9216 bytes) / VXLAN aware • UTM 가상 어플라이언스 (예) – VMware, Citrix, Microsoft Hyper-V, KVM 지원 – Specifications: 1.5+ GHz processor / 1 GB RAM / 20 GB hard disk / Bootable CD-ROM / 2 or more network cards / 1 GB RAM / 40 GB IDE or SCSI hard disk drive / 3 PCI-NICs (Internet, Local Net, Demilitarized Zone) • SSL VPN 게이트웨이 가상 어플라이언스 (예) – License Server Licensing (설치 하드웨어 지정) – Subscription Licensing (유지보수/지원 포함) • 연수 선택 : 1,2,또는 3년 • 동시 사용자 수 선택 : 2500, 5000, 7500, 10K, 15K, 20K, 25K  일부 SDN 콘트롤러와 물리적 스위치는 이동하는 가상 어플라이언스의 VM을 자동으로 감지하여 이동한 위치에서 동일한 네트워크 정책을 유지 할 수 있음 보안 비즈니스 모델 변화 (기존 벤더)
  16. 16. 2013 OpenFlow Korea All Rights Reserved • Embrane은 ‘heleous’ 제품 군 : 가상화 환경에서 Site-to-Site VPN 기능 보유 방화벽, 로드밸런서 그리고 이들을 관리하는 콘트롤러를 제공하며, 운영 중에도 중단 없이 처 리능력을 향상하거나 네트워크 삽입을 할 수 있다. API를 사용하여 프로그램이 가능 하며 이중화 기능을 제공 한다. • 서비스 사업자를 위한 비즈니스 서비스 모델 보안 이슈와 기회 (Embrane 예)
  17. 17. 2013 OpenFlow Korea All Rights Reserved Qosmos/Insieme Networks: 보안 응용 Data Plane Traffic L4-7 프로토콜 & 애플리케이션 확인 기타 P2P e메일 비디오 웹 음성 비디오 최적화 분석 : NBAD, DLP, TMS, NG Firewall QoS/QoE VoLTE 컨텐츠 필터링 : SDN 콘트롤러 연동 IM
  18. 18. 2013 OpenFlow Korea All Rights Reserved vArmour: SDSec (Software Defined Security) SDN  Controller • Stealthy SDN security play : 투자(Total US$8M)를 받아 개발 중인 SDSec • 기술 개요: ASG(Application Security Gateway)가 감염된 서버의 로그(Rogue) 애플리케이션을 감지하면 SDN 콘트롤러로 신호를 보내 콘트롤러가 오픈플로우 스위치 내의 포워딩 플레인(Forwarding Plane)을 변경하여 감염된 서버를 격리하여 치료 한 뒤에 다시 운영에 복귀 시킨다.
  19. 19. 2013 OpenFlow Korea All Rights Reserved CatBird: SDS (Software Defined Security) • 기술 개요: Multi-control automation and validation within perfect inventory context (New VMs, VM configuration changes and VM movement). Controls that apply directly at the vSwitch(SDN) layer Virtual Switch Firewall VM1 VM2 VM3 Hypervisor Vulnerability Scanner IDS Firewall Updated Rules Audited Monitor New VM Traffic Audit Alerts/Workflows Scan New VM Audit Results/Workflows New VM Added Interfaces Audited SDS APIs SDS Manager VMs Fully Visible API Integration Automated Control Configuration Workflow Audit Real-Time Compliance
  20. 20. 2013 OpenFlow Korea All Rights Reserved OpenFlow Area Drop Actions OpenFlow pSwitch Data Center 3. Drop or QoS Action 2. Security Event 1. IDS/IPS 또는 Snort 나 Suricata OpenFlow/SDN Controller 보안 비즈니스 모델(예): IDS/IPS 고려사항 • OpenFlow 연동 IDS 센서 : 차단/제어 위치는 OpenFlow vSwitch/pSwitch • FortNOX 또는 SE-FloodLight 가능 • 확장성: 복수의 SDN 콘트롤러 연결을 고려 • 중앙관리 • 가상화 • 복수 Tenant 감지 (IDSaaS) • CMP(Quantum) 고려 • Embedded SDN 환경 고려 OpenFlow based vSwitch MAC  Srce. MAC  Dest. Srce. IP Dest.  IP Source TCP Port Dest. TCP  Port Action * * 192.168.10.20 * * * Drop
  21. 21. 2013 OpenFlow Korea All Rights Reserved 보안 비즈니스 모델(예): TMS MAC  Srce. MAC  Dest. Srce. IP Dest.  IP Source TCP Port Dest. TCP  Port Action * * * 192.168.10.20 80 * Port 3 고려사항 • DDoS 공격 차단 TMS (Treat Management System) • 분산 DDoS 탐지 센서들을 관리하는 게이트웨이 또는 외부 서비스 시스템을 SDN 콘트롤러와 연동 • 중앙관리 • SDN 콘트롤러 (감지한 Target IP 주소 트래픽 TMS 우회 명령 Flow) FortNOX 또는 SE- FloodLight 가능 • 가상화 • 복수 Tenant 감지 • CMP(Quantum) 고려 pSwitch/vSwitch pSwitch/vSwitch OpenFlow/SDN Controller TMS 3. DDoS 공격 Target Host IP 주소 트래픽을 TMS로 플로우 변경 Target Host 1. DDoS 센서 또는 게이트웨이에서 공격 감지시 Target Host IP 주소를 SDN 콘트롤러로 전달 2. DDoS 공격 필터링 한 정상 트래픽을 전송
  22. 22. 2013 OpenFlow Korea All Rights Reserved • 공개 SDN 콘트롤러 내장 보안장비 (레가시 환경에서 TMS, IPS 등 인라인 모드 설치가 필요 한 기기) • 오픈 가상스위치(Open vSwitch) 내장의 NIC or 스위치 사용 • OpenFlow 프로토콜 사용 • 위협 플로우 Redirect 하여 TMS로 전송 서버 NIC Open vSwitch VM 1 IP 주소 1 vNIC VM 2 IP주소 2 vNIC VM 3 IP 주소 3 vNIC SDN/OpenFlow Controller 보안 기능 Application 4)위협플로우 3) Flow 카운터 기반의 위협 분석 인라인 설치 TMS 장비 IP주소 2 VM 공격 Open pSwitch 보안 이슈와 기회 (인라인 TMS 모델 예)
  23. 23. 2013 OpenFlow Korea All Rights Reserved 보안 비즈니스 모델(예): 방화벽 가상화 환경의 SDN을 위한 방화벽 비즈니스 모델(예) • 가상화 : 리눅스나 하드웨어 어플라이언스에 탑재한 방화벽 코드를 가상화 서버에 적용 가능 • SDN 콘트롤러 호환성: SDN 콘트롤러 들에 포팅하는 방화벽 애플리케이션 고려 • OpenFlow 버전: 오픈 플로우를 이용한 응용 서비스를 위하여 오픈플로우 프로토콜 버전 업그레이드 계획 고려 • 스위치 연동: 오픈플로우 다른 버전의 스펙(Specification)의 스위치 연결 고려 • 콘트롤러 내의 App 호환: 한 콘트롤러에 공존하는 OpenFlow App 들의 완성도 고려 • 목표 시장을 위한 로드맵: 1) 방화벽 성능의 개선, 2) OpenFlow 연동, 3) SDN 콘트롤러 연동, 4) 보안 팀을 위한 CMP 지원 중앙 정책 관리 등 새로운 기능(자동 확장, VPN, NAT, DHCP, 라우팅 등등) 추가 고려 가상화 서버 하이퍼바이저 리눅스 방화벽 vNIC vNIC vSwitch 리눅스 웹서버 vNIC 리눅스 앱서버 vNIC 리눅스 DB서버 vNIC vSwitch NIC SDN Controller Orchestration
  24. 24. 2013 OpenFlow Korea All Rights Reserved Quantum API  Clients Cloud Management Platform (CMP) 고려사항 • 복수 Tenant 감지: 방화벽은 Tenant 별로 구분하여 트래픽이 격리된 방화벽 정책 실행 • OpenFlow vSwitch: 단순 필터링 방화벽 기능 제공 • Quantum Firewall: 각 Tenant의 Firewall agent는 Linux Firewall Box 상에서 동작 • Quantum 완성도: OpenStack의 Quantum 은 완성 중 • 운영 담당자: Cloud 서비스 운영 경험자 부족 및 보안 담당은 현재 대부분 별도 조직 • 비즈니스 환경: 구매 담당 과 판매 담당의 기술 이해 시간 필요 CMP 환경은 시간이 필요하며, 이를 고려한 비즈니스 모델 가능 보안 비즈니스 모델(예): 장기 계획 방화벽 Orchestration Plane Control Plane SDN/MAC Learning Data Plane Underlying Network VM Tenant 1 vNIC VM Tenant 2 vNIC VM Tenant 1 vNIC 물리 스위치가상 스위치 하이퍼바이저 가상 스위치 하이퍼바이저 라우터 방화벽 LBaaS IP 네트워크 Encapsulation: VLAN/GRE/VXLAN/NVFRE/STT…. VM Tenant 2 NIC Quantum Starting with the Havana release, the OpenStack Networking project's code name is Neutron
  25. 25. 2013 OpenFlow Korea All Rights Reserved • Grizzly (new) – LBaaS – FaaS – HA for dist. • 라우팅 • 벤더의 Quantum Plugin으로 물 리적 네트워크 연동 • 수동 / 자동 Provisioning • 공공 클라우드 모델은? 클라우드 관리 플랫폼 (CMP)
  26. 26. 2013 OpenFlow Korea All Rights Reserved 클라우드 관리
  27. 27. 2013 OpenFlow Korea All Rights Reserved 사용자 소유 사업자 소유 Infrastructure as a Service Platform as a Service Software as a Service 서비스 모델 SaaSIaaS PaaS 클라우드 계층 (Cloud Layer) 데이터 (Data) 인터페이스 (APIS, GUIs) 애플리케이션 (application) 솔루션 스택 (Programing languages) OS (Operating System) 가상 머신 (Virtual Machines) 가상네트워크 인프라 하이퍼바이저 (Hypervisors) 프로세스/메모리 데이터 스토리지 (Data Storage) 네트워크 물리적 환경 제공 / 데이터센터 사용자 소유 사용자 소유 사용자 소유 사업자 소유 or 공공 클라우드 사업자 소유 or 공공 클라우드 사업자 소유 or 공공 클라우드 가 상 화 가상화 기반의 클라우드 서비스
  28. 28. 2013 OpenFlow Korea All Rights Reserved 관리/제어 책임 (예) SaaSIaaS PaaS PCI DSS 요구사항 데이터에 대한 방화벽 설치/유지 모두 모두 서비스 사업자 벤더 Default Password/보안 설정 변경 모두 모두 서비스 사업자 저장 데이터 차단 모두 모두 서비스 사업자 오픈/공중망 사용시 암호화 전송 사용자 모두 서비스 사업자 안티바이러스 소프트웨어 주기적 업데이트 사용자 모두 서비스 사업자 보안 시스템과 애플리케이션의 개발/유지 모두 모두 모두 데이터 접근 제한 업무 확인 모두 모두 모두 컴퓨터 접근을 위한 개별 ID 할당 모두 모두 모두 데이터의 물리적 접근 제한 서비스 사업자 서비스 사업자 서비스 사업자 네트워크 자원과 데이터 접속 모니터/추적 모두 모두 서비스 사업자 보안 시스템과 프로세스의 주기적 테스트 모두 모두 서비스 사업자 모든 개인을 위한 정보보안 정책 유지 모두 모두 모두 서비스 유형별 보안 모델 고려사항 (예)
  29. 29. 2013 OpenFlow Korea All Rights Reserved 가상화 보안이슈 • 전통적 보안으로 가상인프라보호는 비용 및 복잡성을 증가시킬 수 있음. 네트워크 경계에서 위협 및 공격만을 차단 정책이 각 네트워크 세그먼트나 서버의 중요 어플리케이션에 국한 에이전트의 관리 기능으로 단일 물리적 서버를 보호 개별 서버 또는 네트워크의 중요 취약점을 패치 네트워크 경계뿐만 아니라 VM 간의 경계도 위협에서 보호 정책을 포괄적(웹, 데이터,  OS영역, DB)으로 적용하며 VMs 과 함께 이동 물리적 서버에 고려하는 것과 같이 각각의 VM의 서버에도 필요 패치, 트래킹 그리고 VM들의 임의 사용을 통제 Network IPS Server Protection System Patching Security Policies
  30. 30. 2013 OpenFlow Korea All Rights Reserved 가상화 환경에서 새로운 보안 위험 하드웨어 하이퍼바이저 OS App OS App OS App OS App OS App OS App Worm 공격 가상 환경 내부에서 감염 활동을 수행 VM간 무단 통신 하이퍼바이저 관리자 • VM 간 무단 통신으로 인한 보안 이슈 고려하여 물리 환경 수준 이상의 보안 정책이 필요 • VM의 OS 는 Rootkit등의 공격 차단을 위해 물리 환경 수준의 보안 정책이 필요 Rootkit 제어 공격
  31. 31. 2013 OpenFlow Korea All Rights Reserved 가상화 환경에서 새로운 보안 위험 • 가상화 후에 관리자 규정 준수, 관리자 통제 권한 확대 하드웨어 하이퍼바이저 OS App OS App OS App OS App OS App OS App 하드웨어 하이퍼바이저 관리 서버 쉽게 VM을 구축
  32. 32. 2013 OpenFlow Korea All Rights Reserved 하이퍼바이저보안이슈 • 하이퍼바이저는 Host  컴퓨터에서 다수의 운영체제가 동시에 실행되기 위한 가상플랫폼 • 하이퍼바이저 보안은 현재 가상화기술에서 중요하게 제기되고 있는 보안이슈로서 보안전문가들은 하이퍼바이저의 취약점 노출로 인한 공격발생을 우려하고 있다. • 하이퍼바이저가 위협에 노출될 경우 가상머신 또한 그대로 위협에 노출되기 때문이다. 하드웨어 하이퍼바이저 OS App OS App OS App OS App OS App OS App 하드웨어 하이퍼바이저 관리 서버
  33. 33. 2013 OpenFlow Korea All Rights Reserved 공공 클라우드와 인증 (아마존 예)
  34. 34. 2013 OpenFlow Korea All Rights Reserved 보안 제어 모델 애플리케이션 바이너리분석, 트랜잭션 보안, 웹 방화벽, SDLC 정보 DLP, 암호화, 데이터베이스 모니터, CMF 관리 IAM, 패치관리, 구성 관리, 모니터링, VA/VM, GRC 네트워크 NIDS/NIPS, 방화벽, DPI, DDoS 차단, QoS, DNSSEC, OAuth Trusted Computing 하드웨어 소프트웨어 API’s & RoT Compute&Storage 호스트 방화벽, HIDS/HIPS, 물리적 CCTV, Guards 준수 모델 PCI □ 방화벽 □ 코드 리뷰 □ WAF □ 암호화 □ 사용자 고유 ID □ 안티바이러스 □ 모니터링/IDS/IPS □ 패치/취약성 관리 □ 물리접속제어 □ Two Factor Authentication HIPAA GLBA SOX 클라우드 모델 압축 하드웨어 Facility 통합 / 미들웨어 APIs 접속 / 전달 애플리케이션 데이터 / 메타데이터 / 컨텐츠 프레젠테이션 APIs 서비스 사업자 / 벤더 / 준수의 차이 Virtualization Security is NOT Cloud Security! PaaS SaaS IaaS Consulting 보안 모델 변화와 영향 • Adaptive • Scalable • Automated • Resilient
  35. 35. 2013 OpenFlow Korea All Rights Reserved 요약 1. 가상화 기반의 공공클라우드 서비스를 고려한 서비스 사업자 / 벤더 / 준수의 차이 극복을 위한 노력 필요 2. 보안 모델의 변화와 시장의 환경 고려 3. 어플라이언스 벤더들은 소프트웨어나 서비스 기반의 비즈니스 모델을 도입
  36. 36. 2013 OpenFlow Korea All Rights Reserved OpenFlow Korea (www.OPENFLOW.or.kr)

×