스폰서 발표 세션 | Secure Virtual Private Cloud(VPC)를 활용한 보안성 강화와 비용절감 안경진 부장, 포티넷 코리아 포티넷 보안 솔루션을 활용하여 AWS 클라우드 보안강화와 비용절감에 대한 실제 구축사례를 통해 알아봅니다.

1. S U M M I T
S E O U L
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
안경진 부장(SE), Fortinet Korea.
Fortinet 솔루션으로 구현하는 Security Hub

2. 2
The Cyber Security Risk is Real!
데이터의 유실과 유출.
매일 6,977,108건 발생
HTTPS://BREACHLEVELINDEX.COM
2017년
미국 신용평가기관
Equifax에서
143백만건의
신용정보 유출
퍼블릭 클라우드도
공격으로부터
자유롭지 못하다
클라우드 컴퓨팅으로 전환시 보안의 위협을 반드시 고려해야 한다. – Gartner 2018

3. 3
데이터 유출
불충분한 ID, 인증 정보
및 접근 권한 관리
안전하지 못한 API
시스템과
어플리케이션 취약점
계정권한 탈취 악의적인 내부직원 APT 공격
데이터 손실 불충분한 실사
클라우드 서비스 오용
및 악용
DoS
(Denial of service)
공유 기술 취약점
클라우드 보안 위협 12가지
클라우드를 통한 여러가지 새로운 보안 위협발생. 많은 양의 데이터가 클라우드, 특히 퍼블릭 클라우드
서비스에 저장되면 이는 자연스럽게 공격자들의 주 공격 목표가 된다.

4. 4
퍼블릭클라우드 보안의 책임영역
클라우드보안의 책임은 서비스사업자가 아니라, 바로 사용자
퍼블릭클라우드
사업자 책임
보안영역
퍼블릭클라우드 사업자
제공영역
Storage Network Compute
고객직접 구축영역
Encryption & Network Traffic Protection
Applications, Platform & User Management
OS, Firewall & Network Settings &
Configuration
Data & Content
적절하지 못한
보안기능적용으로 야기된
클라우드 보안사고 비율
95% 고객책임
보안 영역

5. 5
클라우드 통합 커넥터
관리 & 자동화
퍼블릭 클라우드 전환시 고려해야할 보안 3대 요소
Connectors
자동화
스크립트
Threat Feeds 이중화 Auto-Scaling
Stateful
방화벽
제로데이
차세대
방화벽
IPSec VPN
WAF
SSL VPN
메일보안
App-
Control
세그먼트
SD-WAN
보안정책
제어
컴플라이언스
가시성
광범위한 보안솔루션

6. 6
네트워크 시큐리티 분야의 글로벌 리더, Fortinet (포티넷)
Gartner Magic Quadrant for Enterprise Network Firewalls, Adam Hills, Jeremy D'Hoinne, Rajpreet Kaur, 4 October 2018
Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advice technology users to select only those
vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and should
not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to its research, including any warranties of
merchantability or fitness for a particular purpose.
Gartner Peer Insights reviews constitute the subjective opinions of individual end-users based on their own experiences, and do not represent the views of
Gartner or its affiliates.
©GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates, and is used herein with permission. All rights reserved.
Gartner Magic Quadrant for Unified Threat Management (SMB Multifunction Firewalls), Rajpreet Kaur & Claudio Neiva, 20 September 2018
Disclaimer: Gartner does not endorse any vendor, product or service depicted in its research publications, and does not advice technology users to select
only those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner’s research organization and
should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied, with respect to its research, including any warranties of
merchantability or fitness for a particular purpose.
©GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates, and is used herein with permission. All rights reserved.

7. 7
네트워크 보안 분야의 다양한 포트폴리오 제공
Built From The Ground Up To Deliver True Integration End To End
Endpoint
Security
FortiClient
Email
Security
FortiMail
Web Application
Security
FortiWeb
Management
& Analytics
FortiSIEM
FortiAnalyzer
FortiManager
Advanced
Threat Protection
FortiSandbox
Secure
Unified Access
FortiSwitch
FortiAP
Multi-Cloud
Security
FortiGate
Virtual Firewall
FortiGate
Cloud Firewall
FortiCASB
FortiGate
Enterprise Firewall
IPS
SWG
SD-WAN
VPN
Network
Security
Open
Ecosystem
Partner API
DevOps
Connectors

8. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

9. 9
Inside out Security Advanced App
Protection
Cloud Services Hub
퍼블릭 클라우드 주요 유즈-케이스
IaaS and SaaS Security Management Remote Access VPN
Public Cloud Based Security
Management
Public Cloud Based Security
Management
FortiGate-VM
FortiGate-VM
Cloud Remote Access
Points
Internet
VPC1 VPC2
V
M
Public Cloud Based
Infrastructure
Public Cloud Management API
FortiCASB
FortiClient
FortiGate
-VM
V
M
V
M
VM
VM
VM
Internet
Cloud
Services Hub
Transit VPC
Web based and Mail
Applications
Sandbox Web & Mail Security
NGFW
Public Cloud Based
Infrastructure
V
M
V
M
VM
VM
VPC2
V
M
V
M
Internet
Cloud Services
Hub
Transit VPC
Public Cloud Based
Infrastructure
VPC1
V
M
VM
VM
VM
Public Cloud Management API
FortiCASB
Cloud
Network 1
Cloud
Network 2
V
M
V
M
V
M
VM
VM
VM

10. 10
VPC
VPC-A
VPC
VPC-A
VPC
VPC-A
0
2
4
6
8
10
구축 전 Server VPC 구축
보안성 도입비용 운영비용
Internet
Internet
Internet
보안성 향상을 위한 3rd Party 솔루션 필요
 AWS 기본 보안기능 적용만으로 지능화된 공격 방어
어려움
 트래픽가시성 부재로 공격트래픽 분석 어려움
 운영관리의 어려움
퍼블릭 클라우드 보안을 위한 조언
• 퍼블릭 클라우드 활용에 있어 보안은 늘 고민거리다. 퍼블릭
클라우드를 통해 핵심 애플리케이션과 데이터를 활용하지 않는
주된 이유이기도 했다. 그러나 써드파티 도구와 신중한 SLA의
조합은 이러한 우려를 상당 부분 해소시켜줄 수 있다.
초기형 Public Cloud 구성 AWS VPC 기본보안기능
Route Table
• 서브넷 단위
Network ACL
• 서브넷 단위
• Stateless
• Allow/Deny
Security Group(500 per vpc)
• 인스턴스 단위
• Inbound(50) rule/ Outbound(50) rule관리
• Allow only

11. 11
VPC
VPC-A
VPC
VPC-A
VPC
VPC-A
0
2
4
6
8
10
구축 전 Server VPC 구축 보안솔루션 구축
보안성 도입비용 운영비용
Internet
Internet
Internet
보안솔루션의 높은 도입비용
 보안성 향상
 독립적 운영가능 (컴플라이언스)
 하지만 높은 도입비용과 운영비용의 부담 (이원화된 관리)
3rd 보안솔루션 도입
NGFW WAF
NGFW WAF
NGFW WAF

12. 12
VPC
VPC-A
VPC
VPC-A
VPC
VPC-A
Sandboxing Container
Security
Mail
Security
VPC
NGFW WAF
Internet
0
2
4
6
8
10
구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경
보안성 도입비용 운영비용
Transit GW
보안과 비용 모두 만족 하지만 좀 더 !
 통합 보안허브의 구축으로 보안성유지와 동시에 도입비용,
운영비용절감
 보안허브에 APT솔루션(FSA, SEG, etc)구축으로 지능화된
APT공격 대응
 3rd Party 보안DB 피드로 더 향상된 보안성 필요
통합 보안허브 구축

13. 13
VPC
VPC-A
VPC
VPC-A
VPC
VPC-A Sandboxing Container
Security
Mail
Security
VPC
NGFW WAF
Internet
Amazon
Inspector
Amazon
Macie flow logs
0
2
4
6
8
10
구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 AWS Security Feed
보안성 도입비용 운영비용
Fabric Connector
AWS Security Hub
Transit GW
좀더 향상된 보안성제공, 자동화된 운영 필요성
 3rd Party 보안DB 피드로 보안성 향상.
 운영가용성 극대화와 운영의 자동화 필요
AWS 보안 Feed 연동

14. 14
VPC
VPC-A
VPC
VPC-A
VPC
VPC-A
Internet
Amazon
Inspector
Amazon
Macie flow logs
0
2
4
6
8
10
구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 AWS Security Feed AWS Lambda
Automation
보안성 도입비용 운영비용
Transit GW
Fortinet Fabric Connector와 AWS Lambda
 AWS의 CloudWatch를 활용한 Security Hub내 솔루션
상태 모니터링
 NGFW에서 발생한 수백개의 보안이벤트로그 기반
Lambda 운영자동화 (라우팅변경, 정책설정 등)
Sandboxing Container
Security
Mail
Security
VPC
NGFW WAF
Fabric Connector
AWS Security Hub
Lambda
Function
CloudWatch
Event Trigger
API
Gateway
AWS Lambda연동 Automation
Fabric Connector
Fabric Connector와
Lambda 연동

15. 15
VPC
VPC-A
VPC
VPC-A
VPC
VPC-A
Internet
Amazon
Inspector
Amazon
Macie flow logs
0
2
4
6
8
10
구축 전 Server VPC 구축 보안솔루션 구축 통합보안 허브로 변경 AWS Security Feed AWS Lambda
Automation
보안성 도입비용 운영비용
Enterprise Data Center /
Branch Office
Transit GW
On premise Datacenter연동을 통한 Hybrid 운영
 On-premise 와 전용선 및 암호화채널을 통한 연동으로
유연한 서비스 제공.
Sandboxing Container
Security
Mail
Security
VPC
NGFW WAF
Fabric Connector
AWS Security Hub
Lambda
Function
CloudWatch
Event Trigger
API
Gateway
AWS Lambda연동 Automation
Fabric Connector
Hybrid Cloud
DX/ IPSec

16. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

17. 17
클라우드 시큐리티 통합/자동화 시나리오
Dynamic Policy Cloud IaaS Visibility
Automation Action Threat Feeds

18. 18
Fortinet Security Fabric, Public Cloud 연게
NETWORK
MULTI-
CLOUD
OPEN
ECOSYSTEM
EMAIL
UNIFIED
ACCESS
ENDPOINT
WEB
APPS
ADVANCED THREAT
PROTECTION
MANAGEMENT-
ANALYTICS
IaaS 가시성 : 클라우드 – 온프레미스 환경간의 트래픽 가시성 확장, 통합 운용
환경 제공

19. 19
1 - EC2 is infected and generates malicious Traffic2 – FortiGate sends traffic logs to FortiAnalyzer3 – FortiAnalyzer detects host compromission based on IoC4 – FortiGate Automation Engine calls AWS Lambda to add tag5 – FortiGate uses AWS Fabric Connector to update quarantined host list6 – EC2 Instance is quarantined and FortiGate stops all traffic
Demonstration : AWS Security Automation
tag.quarantine=
Automation
Engine
Lambda
Function
IoC Database
Yes
AWS Fabric
Connector
No
CnC Server

20. 20
FortiGate의 Automation운영 : Demonstration

21. © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.

22. 22
Security Hub 구축 레퍼런스
고객사 요구사항 AWS 솔루션 Fortinet 솔루션
이중화 NLB, ALB
Fail-Over NLB, ALB
SSL Offload ALB
GW 방화벽 FortiGate
Web APP 보호 FortiWeb
보안솔루션 도입 비용절감 및
운영의 일원화
• Secure Hub VPC
• VPC Peering
• VPC Transit
FortiGate, FortiWeb

23. 23
Security Hub 구축 레퍼런스
VPC
Subnet
Availability zone
Subnet
Subnet
Availability zone
Subnet
VPC
Subnet
Availability zone
Subnet
Availability zone
Peering / Transit
NGFW
NGFW
WAF WAF
Instances Instances
Network LoadBalancer
• 이중화 / 부하분산
FortiGate (NGFW)
• 중앙정책 관리
• 가시성 높은 로그뷰
Application LoadBalancer
• SSL Offload
• 이중화 / 부하분산
FortiWeb(WAF)
• 웹어플리케이션 보호
VPC Peering / Transit
• VPC간 통신
• Secure VPC Hub 통신
• 특정 통신회선 Down시 자동 Failover
Application Server
• VPC간 통신
• Secure VPC Hub 통신

24. Thank you!
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
안경진 부장(SE), Fortinet.
brendanan@fortinet.com