6th SDN Interest Group Seminar - Session2 (131210)

0 views
843 views

Published on

지난 2013년 12월 10일 진행된 오픈플로우코리아와 Open Networking Foundation 이 공동으로 기획한 Open & Virtual Networking Conference 2013의 발표 자료입니다.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
0
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
34
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

6th SDN Interest Group Seminar - Session2 (131210)

  1. 1. 소프트웨어 정의 데이터 센터를 위한 Palo Alto Networks의 차세대 보안 팔로알토 네트웍스 이창빈 이사 rlee@paloaltonetworks.com
  2. 2. Session Objectives  가상 환경 보안에 있어서의 어려움  팔로알토 네트웍스의 차세대 보안  VMware와 팔로알토 네트웍스가 공동 개발한 완벽한 보안 솔루션 둘러보기
  3. 3. Agenda  데이터 센터의 진화  진화에 있어서의 보안 Challenge는?  가능한 해결책은?  어떠한 방식으로 해결 가능한가?  Closing
  4. 4. Virtual 데이터센터 아키텍처의 진화 DB WebApp Traditional 데이터센터 Current 데이터센터 DB WebApp Future 데이터센터 Dynamic, automated, “services-oriented”
  5. 5. Infrastructure 서버 가상화 클라우드 소프트웨어 정의 데이터센터는 신속하고, 유연하고, 간편함 • 빠른 워크로드 프로비저닝– weeks to hours • 제한없는 워크로드 분배 및 이동 • 성능과 확장성을 제공하는 IaaS(IT as a service) • 간편한 데이터센터 운영과 경제성 Its about Speed – 소프트웨어 정의 데이터센터 전환
  6. 6. 현대의 데이터센터 요구사항 Page 6 | © 2012 Palo Alto Networks. Proprietary and Confidential.  데이터센터 아키텍처는 원하는 워크로드를 어디서든, 어떤 하드웨어 위에서든 구동가능  위의 사항들이 신속하게, 효과적으로, 쉽게, 그리고 안전하게 처리  Configuration 업무의 자동화  쉬운 통합을 위한 추상화(Abstraction) 및 API 제공  리소스를 전체적으로 관리할 수 있는 광범위한 뷰를 통해 빠른 의사 결정 지원
  7. 7. Agenda  데이터 센터의 진화  진화에 있어서의 보안 Challenge는?  가능한 해결책은?  어떠한 방식으로 해결 가능한가?  Closing
  8. 8. 일반적인 데이터센터 Physical 방화벽 구축 시나리오  일반적으로 L3 모드로 게이트웨이에 위치  VM간의 트래픽을 방화벽으로 보내 보안 검증  “VM” 인지 하지 못함  VLAN 구성이 복잡해 짐  FW이 Performance bottleneck의 주범이 됨  수동 Configuration으로 인한 복잡한 보안 정책 초래 전통적인 물리적 방화벽은 소프트웨어 정의 데이터센터에 제한을 가져온다
  9. 9. 보안 정책은 가상화를 따라잡기 힘들다?... 수동(manual) 보안 정책 변경 No VM 컨텍스트 자동화된 워크 플로우와의 연동 안됨
  10. 10. Agenda  데이터 센터의 진화  진화에 있어서의 보안 Challenge는?  가능한 해결책은?  어떠한 방식으로 해결 가능한가?  Closing
  11. 11. 애플리케이션도 진화한다… 네트워크 보안 정책이 방화벽에 적용됨 • 모든 트래픽 감시 • Trust/Un-trust의 경계 정의 • 접근 허용 레거시 방화벽은 더 이상 해답이 될 수 없다
  12. 12. Threats Come from Surprising Places … Application Usage and Threat Report – February 2013 “애플리케이션 활용 및 위협 리포트 (팔로알토 네트웍스) – 2013년 2월  애프리케이션 로그 및 위협 로그를 수집/분석한 보안 통계 자료  전 세계 3,000개 이상의 회사에서 통계분석  95%의 위협/공격 로그가 단지 Top 10개의 애플리케이션에서 생성  10개 중 9개의 애플리케이션이 데이터 센터에서 사용되는 일반적인 비즈니스 애플리케이션  MS-SQL  MS-RPC  SMB  MS SQL Monitor  MS Office Communicator  SIP  Active Directory  RPC  DNS
  13. 13. 광범위한 보안 솔루션에 대한 필요성 VMware NSX 플랫폼 NSX Distributed 방화벽 VM level zoning without VLAN/VXLAN dependencies 접근제어 트래픽 필터링 하이퍼 바이저 레벨의 분산 정책 적용 Palo Alto Networks 차세대 보안 차세대 방화벽 Known/Un-Known 위협에 대한 보호 제공 가시성 및 안전한 애플리케이션 활용 사용자, 디바이스 및 애플리케이션 인식 가능한 정책 진보된 보안 위협 변화하는 애플리케이션 원격 사용자 및 디바이스 증가 최신 멀웨어
  14. 14. VM-시리즈 방화벽  VM(가상머신)에 설치되는 팔로알토 네트웍스의 방화벽  VM에서 구동되는 완전환 차세대 방화벽  App-ID 애플리케이션 분석  User-ID 사용자 분석  Content-ID 컨텐츠 분석  WildFire APT 공격 탐지  통합 관리서버(파노라마)를 통한 중앙 관리
  15. 15. VMware NSX와 차세대 보안 통합 솔루션 Any Application (without modification) Virtual Networks VMware NSX Network Virtualization Platform Logical L2 Any Network Hardware Any Cloud Management Platform Logical Firewall Logical Load Balancer Logical L3 Logical VPN Any Hypervisor Palo Alto Networks 차세대 보안 파노라마 Palo Alto Networks VM-Series Palo Alto Networks PA-5000 Series 컴포넌트:  VMware vCenter 와 vShield Manager  VMware NSX (NSX 매니저와 NSX API 포함– 클라우드 프로비저닝, VMware NSX 방화벽– Native, kernel-based firewall and traffic steering)  Palo Alto Networks Panorama – 보안 프로비저닝 및 오케스트레이션 (including REST APIs)  Palo Alto Networks VM-Series – 차세대 보안 플랫폼
  16. 16. Agenda  데이터 센터의 진화  진화에 있어서의 보안 Challenge는?  가능한 해결책은?  어떠한 방식으로 해결 가능한가?  Closing
  17. 17. Joint solution 요구사항 1. VM간 트래픽에 대한 진정한 차세대 보안을 제공해야 한다 2. VMware orchestration Tool과 완벽히 통합되어 구축 및 관리가 용이해야 한다 3. Virtual 환경과 보안 환경의 dynamic한 동기화 제공 4. 통합된 Virtual Management와 보안 Management 제공
  18. 18. 세가지 단계: 1 팔로알토 네트웍스 차세대 방화벽을 NSX 매니저에 등록 2 NSX 방화벽 및 팔로알토 네트웍스 VM-시리즈 방화벽을 배포 3 보안 정책 설정 및 운영
  19. 19. 모든 솔루션 컴포넌트의 자동화된 배포 기능 VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM Cloud Admin Security Admin
  20. 20. NSX Logical Container 정의 후 정책 적용 VM VM VM VM VMVM VM VM VMVM VM VM VM VM VM VM VM VMVMVMVM VM VM VM VM VM VM VM VM VM VM VM VM VM VMVM VM VM VMVM VM VM VM VM VM VM VM VMVMVMVM VM VM VM VM VM VM VM VM VM 애플리케이션 관리를 단순화
  21. 21. VM 컨텍스트를 차세대 방화벽에 적용 VM VM VM VM VM VM VM VM VM VM VM VM VM VM VM NSX Manager NSX Logical Container Virtualization 컨텍스트 보안 정책 및 Configuration
  22. 22. 솔루션: Transparent Insertion with dynamic context-based security policy & automation VMware NSX VM-Series를 서비스로 등록 (Register VM-Series as an available service)
  23. 23. VM-Series를 NSX의 서비스로 등록
  24. 24. 솔루션: Transparent Insertion with dynamic context-based security policy & automation VMware NSX VM-Series를 모든 호스트에 자동으로 설치 (Automatically deploy VM- Series on all hosts) 방화벽 관리 서버로부터 라이선스와 정책 내려 받음 (Check in and receive licenses and policy from Panorama)
  25. 25. VM 배포, 자동 라이선스 발행 및 NGFW로의 정책 적용
  26. 26. 솔루션: Transparent Insertion with dynamic context-based security policy & automation VMware NSX 방화벽 서비스 추가를 위한 하이퍼바이저 정책 (Hypervisor rules for firewall service insertion)
  27. 27. 팔로알토 네트웍스 차세대 방화벽으로 보낼 트래픽을 선택
  28. 28. Security Admin 솔루션: Transparent Insertion with dynamic context-based security policy & automation Virtual Infrastructure Admin VMware NSX VM 배포 실시간 컨텍스트를 업데이트 (Update with real-time context of VM deployment) 정책에 사용할 VM 컨텍스트를 방화벽에 업데이트 (Dynamically update firewalls with VM context for use in policy) VM-Series에 보안 정책 생성 및 적용 (Create and install security policy on VM-Series)
  29. 29. Context-aware, 애플리케이션 보안 정책 생성
  30. 30. Agenda  데이터 센터의 진화  진화에 있어서의 보안 Challenge는?  가능한 해결책은?  어떠한 방식으로 해결 가능한가?  Closing
  31. 31. 소프트웨어 정의 데이터센터를 보호하기 위한 통합 보안솔루션 팔로알토 네트웍스 차세대 보안과 VMware NSX의 장점: • 투명한 보안 집행을 통한 애플리케이션 Delivery의 가속화 • 단순화된 비즈니스 Policy를 통해 운영 효율을 최적화 • 차세대 보안을 통해 보안 및 컴플라이언스 요구사항을 해결
  32. 32. Next-Generation Firewall for MS SharePoint Best Practice and Methodology  PA-5000 Series in Layer 3 mode (core DC deployment)  VM-Series in Layer 2 mode  Identify SharePoint Components  Palo Alto Networks supports the following: Sharepoint-base, Sharepoint-admin, Sharepoint-wiki Sharepoint-calendar, Sharepoint-documents Sharepoint-blog-posting  Isolate the Components with Security Groups:  Web – Sharepoint Web Servers  Application – Sharepoint Application Servers  Database – MS SQL Servers  Active-Directory – Domain controller  External – Users and administrators  Apply User-Based Policy Controls  Protect SharePoint Environments from Threats 33 | © 2013, Palo Alto Networks. Confidential and Proprietary. SharePoint Web Servers Database SQL Servers SharePoint Application Server Zone 1 – Front-End Zone 2 – Mid-tier Zone 3 – Back-End Zone 4 – Infrastructure Directory (AD) Server
  33. 33. Policy Example
  34. 34. Source 35 | © 2013, Palo Alto Networks. Confidential and Proprietary.
  35. 35. Destination 36 | © 2013, Palo Alto Networks. Confidential and Proprietary.
  36. 36. APP-ID Example 37 | © 2013, Palo Alto Networks. Confidential and Proprietary.
  37. 37. Next Steps  Stop by our booth to learn more about Palo Alto Networks NGFWs  Safe enablement of DC traffic based on applications, users, and content  30-60 day evaluation of the VM-Series or PA-5000 Series  Participate in an AVR (Application Visibility Report) 38 | © 2013, Palo Alto Networks. Confidential and Proprietary. Palo Alto Networks AVR Offer • Bring Your Security Admin • Install Palo Alto Networks Next- Generation Firewalls in Your Network • We’ll tell you what applications and threats we see in your network!

×