Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Secure Virtual Private Cloud(VPC)를 활용한 보안성 강화와 비용절감 - 안경진 부장, 포티넷 코리아 :: AWS Summit Seoul 2019

202 views

Published on

스폰서 발표 세션 | Secure Virtual Private Cloud(VPC)를 활용한 보안성 강화와 비용절감
안경진 부장, 포티넷 코리아

포티넷 보안 솔루션을 활용하여 AWS 클라우드 보안강화와 비용절감에 대한 실제 구축사례를 통해 알아봅니다.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Secure Virtual Private Cloud(VPC)를 활용한 보안성 강화와 비용절감 - 안경진 부장, 포티넷 코리아 :: AWS Summit Seoul 2019

  1. 1. S U M M I T S E O U L © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 안경진 부장(SE), Fortinet Korea. Fortinet 솔루션으로 구현하는 Security Hub
  2. 2. 2 The Cyber Security Risk is Real! 데이터의 유실과 유출. 매일 6,977,108건 발생 HTTPS://BREACHLEVELINDEX.COM 2017년 미국 신용평가기관 Equifax에서 143백만건의 신용정보 유출 퍼블릭 클라우드도 공격으로부터 자유롭지 못하다 클라우드 컴퓨팅으로 전환시 보안의 위협을 반드시 고려해야 한다. – Gartner 2018
  3. 3. 3 데이터 유출 불충분한 ID, 인증 정보 및 접근 권한 관리 안전하지 못한 API 시스템과 어플리케이션 취약점 계정권한 탈취 악의적인 내부직원 APT 공격 데이터 손실 불충분한 실사 클라우드 서비스 오용 및 악용 DoS (Denial of service) 공유 기술 취약점 클라우드 보안 위협 12가지 클라우드를 통한 여러가지 새로운 보안 위협발생. 많은 양의 데이터가 클라우드, 특히 퍼블릭 클라우드 서비스에 저장되면 이는 자연스럽게 공격자들의 주 공격 목표가 된다.
  4. 4. 4 퍼블릭클라우드 보안의 책임영역 클라우드보안의 책임은 서비스사업자가 아니라, 바로 사용자 퍼블릭클라우드 사업자 책임 보안영역 퍼블릭클라우드 사업자 제공영역 Storage Network Compute 고객직접 구축영역 Encryption & Network Traffic Protection Applications, Platform & User Management OS, Firewall & Network Settings & Configuration Data & Content 적절하지 못한 보안기능적용으로 야기된 클라우드 보안사고 비율 95% 고객책임 보안 영역
  5. 5. 5 클라우드 통합 커넥터 관리 & 자동화 퍼블릭 클라우드 전환시 고려해야할 보안 3대 요소 Connectors 자동화 스크립트 Threat Feeds 이중화 Auto-Scaling Stateful 방화벽 제로데이 차세대 방화벽 IPSec VPN WAF SSL VPN 메일보안 App- Control 세그먼트 SD-WAN 보안정책 제어 컴플라이언스 가시성 광범위한 보안솔루션
  6. 6. 6 네트워크 시큐리티 분야의 글로벌 리더, Fortinet (포티넷) Gartner Magic Quadrant for Enterprise Network Firewalls, Adam Hills, Jeremy D'Hoinne, Rajpreet Kaur, 4 October 2018 Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advice technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to its research, including any warranties of merchantability or fitness for a particular purpose. Gartner Peer Insights reviews constitute the subjective opinions of individual end-users based on their own experiences, and do not represent the views of Gartner or its affiliates. ©GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates, and is used herein with permission. All rights reserved. Gartner Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls), Rajpreet Kaur & Claudio Neiva, 20 September 2018 Disclaimer: Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advice technology users to select only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to its research, including any warranties of merchantability or fitness for a particular purpose. ©GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates, and is used herein with permission. All rights reserved.
  7. 7. 7 네트워크 보안 분야의 다양한 포트폴리오 제공 Built From The Ground Up To Deliver True Integration End To End Endpoint Security FortiClient Email Security FortiMail Web Application Security FortiWeb Management & Analytics FortiSIEM FortiAnalyzer FortiManager Advanced Threat Protection FortiSandbox Secure Unified Access FortiSwitch FortiAP Multi-Cloud Security FortiGate Virtual Firewall FortiGate Cloud Firewall FortiCASB FortiGate Enterprise Firewall IPS SWG SD-WAN VPN Network Security Open Ecosystem Partner API DevOps Connectors
  8. 8. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  9. 9. 9 Inside out Security Advanced App Protection Cloud Services Hub 퍼블릭 클라우드 주요 유즈-케이스 IaaS and SaaS Security Management Remote Access VPN Public Cloud Based Security Management Public Cloud Based Security Management FortiGate-VM FortiGate-VM Cloud Remote Access Points Internet VPC1 VPC2 V M Public Cloud Based Infrastructure Public Cloud Management API FortiCASB FortiClient FortiGate -VM V M V M VM VM VM Internet Cloud Services Hub Transit VPC Web based and Mail Applications Sandbox Web & Mail Security NGFW Public Cloud Based Infrastructure V M V M VM VM VPC2 V M V M Internet Cloud Services Hub Transit VPC Public Cloud Based Infrastructure VPC1 V M VM VM VM Public Cloud Management API FortiCASB Cloud Network 1 Cloud Network 2 V M V M V M VM VM VM
  10. 10. 10 VPC VPC-A VPC VPC-A VPC VPC-A 0 2 4 6 8 10 구축 전 Server VPC 구축 보안성 도입비용 운영비용 Internet Internet Internet 보안성 향상을 위한 3rd Party 솔루션 필요  AWS 기본 보안기능 적용만으로 지능화된 공격 방어 어려움  트래픽가시성 부재로 공격트래픽 분석 어려움  운영관리의 어려움 퍼블릭 클라우드 보안을 위한 조언 • 퍼블릭 클라우드 활용에 있어 보안은 늘 고민거리다. 퍼블릭 클라우드를 통해 핵심 애플리케이션과 데이터를 활용하지 않는 주된 이유이기도 했다. 그러나 써드파티 도구와 신중한 SLA의 조합은 이러한 우려를 상당 부분 해소시켜줄 수 있다. 초기형 Public Cloud 구성 AWS VPC 기본보안기능 Route Table • 서브넷 단위 Network ACL • 서브넷 단위 • Stateless • Allow/Deny Security Group(500 per vpc) • 인스턴스 단위 • Inbound(50) rule/ Outbound(50) rule관리 • Allow only
  11. 11. 11 VPC VPC-A VPC VPC-A VPC VPC-A 0 2 4 6 8 10 구축 전 Server VPC 구축 보안솔루션 구축 보안성 도입비용 운영비용 Internet Internet Internet 보안솔루션의 높은 도입비용  보안성 향상  독립적 운영가능 (컴플라이언스)  하지만 높은 도입비용과 운영비용의 부담 (이원화된 관리) 3rd 보안솔루션 도입 NGFW WAF NGFW WAF NGFW WAF
  12. 12. 12 VPC VPC-A VPC VPC-A VPC VPC-A Sandboxing Container Security Mail Security VPC NGFW WAF Internet 0 2 4 6 8 10 구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 보안성 도입비용 운영비용 Transit GW 보안과 비용 모두 만족 하지만 좀 더 !  통합 보안허브의 구축으로 보안성유지와 동시에 도입비용, 운영비용절감  보안허브에 APT솔루션(FSA, SEG, etc)구축으로 지능화된 APT공격 대응  3rd Party 보안DB 피드로 더 향상된 보안성 필요 통합 보안허브 구축
  13. 13. 13 VPC VPC-A VPC VPC-A VPC VPC-A Sandboxing Container Security Mail Security VPC NGFW WAF Internet Amazon Inspector Amazon Macie flow logs 0 2 4 6 8 10 구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 AWS Security Feed 보안성 도입비용 운영비용 Fabric Connector AWS Security Hub Transit GW 좀더 향상된 보안성제공, 자동화된 운영 필요성  3rd Party 보안DB 피드로 보안성 향상.  운영가용성 극대화와 운영의 자동화 필요 AWS 보안 Feed 연동
  14. 14. 14 VPC VPC-A VPC VPC-A VPC VPC-A Internet Amazon Inspector Amazon Macie flow logs 0 2 4 6 8 10 구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 AWS Security Feed AWS Lambda Automation 보안성 도입비용 운영비용 Transit GW Fortinet Fabric Connector와 AWS Lambda  AWS의 CloudWatch를 활용한 Security Hub내 솔루션 상태 모니터링  NGFW에서 발생한 수백개의 보안이벤트로그 기반 Lambda 운영자동화 (라우팅변경, 정책설정 등) Sandboxing Container Security Mail Security VPC NGFW WAF Fabric Connector AWS Security Hub Lambda Function CloudWatch Event Trigger API Gateway AWS Lambda연동 Automation Fabric Connector Fabric Connector와 Lambda 연동
  15. 15. 15 VPC VPC-A VPC VPC-A VPC VPC-A Internet Amazon Inspector Amazon Macie flow logs 0 2 4 6 8 10 구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 AWS Security Feed AWS Lambda Automation 보안성 도입비용 운영비용 Enterprise Data Center / Branch Office Transit GW On premise Datacenter연동을 통한 Hybrid 운영  On-premise 와 전용선 및 암호화채널을 통한 연동으로 유연한 서비스 제공. Sandboxing Container Security Mail Security VPC NGFW WAF Fabric Connector AWS Security Hub Lambda Function CloudWatch Event Trigger API Gateway AWS Lambda연동 Automation Fabric Connector Hybrid Cloud DX/ IPSec
  16. 16. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  17. 17. 17 클라우드 시큐리티 통합/자동화 시나리오 Dynamic Policy Cloud IaaS Visibility Automation Action Threat Feeds
  18. 18. 18 Fortinet Security Fabric, Public Cloud 연게 NETWORK MULTI- CLOUD OPEN ECOSYSTEM EMAIL UNIFIED ACCESS ENDPOINT WEB APPS ADVANCED THREAT PROTECTION MANAGEMENT- ANALYTICS IaaS 가시성 : 클라우드 – 온프레미스 환경간의 트래픽 가시성 확장, 통합 운용 환경 제공
  19. 19. 19 1 - EC2 is infected and generates malicious Traffic2 – FortiGate sends traffic logs to FortiAnalyzer3 – FortiAnalyzer detects host compromission based on IoC4 – FortiGate Automation Engine calls AWS Lambda to add tag5 – FortiGate uses AWS Fabric Connector to update quarantined host list6 – EC2 Instance is quarantined and FortiGate stops all traffic Demonstration : AWS Security Automation tag.quarantine= Automation Engine Lambda Function IoC Database Yes AWS Fabric Connector No CnC Server
  20. 20. 20 FortiGate의 Automation운영 : Demonstration
  21. 21. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
  22. 22. 22 Security Hub 구축 레퍼런스 고객사 요구사항 AWS 솔루션 Fortinet 솔루션 이중화 NLB, ALB Fail-Over NLB, ALB SSL Offload ALB GW 방화벽 FortiGate Web APP 보호 FortiWeb 보안솔루션 도입 비용절감 및 운영의 일원화 • Secure Hub VPC • VPC Peering • VPC Transit FortiGate, FortiWeb
  23. 23. 23 Security Hub 구축 레퍼런스 VPC Subnet Availability zone Subnet Subnet Availability zone Subnet VPC Subnet Availability zone Subnet Availability zone Peering / Transit NGFW NGFW WAF WAF Instances Instances Network LoadBalancer • 이중화 / 부하분산 FortiGate (NGFW) • 중앙정책 관리 • 가시성 높은 로그뷰 Application LoadBalancer • SSL Offload • 이중화 / 부하분산 FortiWeb(WAF) • 웹어플리케이션 보호 VPC Peering / Transit • VPC간 통신 • Secure VPC Hub 통신 • 특정 통신회선 Down시 자동 Failover Application Server • VPC간 통신 • Secure VPC Hub 통신
  24. 24. Thank you! © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved. 안경진 부장(SE), Fortinet. brendanan@fortinet.com

×