네트워크 가상화 보안현황 및 보안연관성

네트워크가상화보안현황및보안연관성 안종석

(JongSeog Ahn)

목 적 : 네트워크 가상화/SDN환경에서 보안을 강화할 수

있는 방안을 소개하고 향후 관련 시장에서 이슈를

선정할 수 있도록 한다.

교육 주제 : 네트워크 가상화 보안현황 및 보안연관성

(가상 기반의 클라우드 서비스 보안과 SDN)

목적 주제

목차

I. 네트워크 가상화 개요

• 네트워크 가상화• Software Defined Networking(SDN) 개요• Network Functions Virtualization(NFV) 개요

II. 클라우드 서비스와 보안

• 클라우드 서비스• 가상화 환경의 보안 요소

III.소프트웨어 정의 보안

• SDN 기반 보안• Software Defined Security• 공개/상용 기술 소개

SDN

NFV

7


Type 1 Hypervisors

VMware, Xen Project, Hyper-V

Type 2 Hypervisors

KVM, VirtualBoxContainers

LXC


8

9

I. 가상화란: 가상화 개요


10


11

VRF 2 [EIGRP]

VRF 1 [OSPF]10.10.10.0/30 10.10.20.0/30

10.10.20.0/3010.10.20.0/30


12

13

I. 네트워크 가상화 개요: SDN

14


15


16


3TEN8

6WIND

A10 Networks

Active Broadband Networks

ADVA Optical

Alcatel-Lucent/Nuage

Alibaba

Aricent

Arista Networks

Aruba Networks

Atto Research Korea

Auvik Networks

Baidu

Barefoot Networks

Beijing Internet Institute (BII)

Big Switch Networks

BISDN

Blue Ocean Networks

Broadcom

Brocade

BTI Systems

Centec Networks

Ceragon

China Mobile

China Telecom

Ciena

Cisco

Citrix

Colt

Coriant

Corsa Technology

Criterion Networks

Cyan

Dell/Force10

Deutsche Telekom

ECI Telecom

Ericsson

EstiNet Technologies

ETRI

Extreme Networks

F5/LineRate

Facebook

Fiberhome Technologies

FishNet Security

Freescale

Friesty

Fujitsu

Gencore Systems

Gigamon

Glimmerglass

Goldman Sachs

Google

Guardicore

Hitachi

HP

Huawei

IBM

Infinera

Infoblox

Intel

Institute for Information Industry

Intelligent Security Management

Intune Networks

IP Infusion

Itential

ITRI

Ixia

Juniper Networks

KDDI

KEMP Technologies

Konodrac

Korea Telecom

L3 Communication Systems-EastLancopeLevel3 CommunicationsLSI CorporationLuxoft

Marvell

MediaTek

Mellanox

Metaswitch Networks

Microsoft

Midokura

MRV

NAIM Networks

NCL Communication

NEC

Netgear

Netronome

Netscout Systems

NSN

NoviFlow

NTT Communications

Oki Electric Industry Co

Optelian

Oracle

Orange

Overture Networks

PCCW Global

Pertino

Pica8

Plexxi

Procera Networks

Qosmos

Rackspace

Radware

Riverbed Technology

Saisei NetworksSamsungSanctum NetworksSDN Essentials

SDN Solutions

SK Telecom

Spirent

Swisscom

Tail-f Systems

Tallac Networks

Tata Communications

Tekelec

Telecom Italia

Telefónica

Telekom Malaysia

Telesoft Technologies

Tellabs

Tencent

Thales

Tilera

Transmode

TW Telecom

UBIqube

Vello Systems

Verizon

Virtela

Vmware/Nicira

Vodafone

Wipro Limited

Xilinx

Xinguard

Xpliant

Yahoo!

Zhone Technologies

ZTE

Network Device

Software

ASIC

TCAM TCAM TCAM TCAM TCAM

Low-Level ASIC Interface

TCAMTCAM

Configuration

CLI

Services

Security

Virus Protect

Snooping

Access Control

Spanning Tree

Routing ACL QoS

Operating System (OS)

SN

MP

Web


Enabling a shift from

protocols to

applications

콘트롤러 콘트롤러 콘트롤러

네트워크 장비

소프트웨어

네트워크 장비

소프트웨어

네트워크 장비

소프트웨어


Operating System (OS)

•

•

•

•

•

• 제어


Database

Protocol

Program전지(全知) 전능(全能)

• 전지(全知) 하기 위해필요한 것은? SDN

• 전능(全能) 하기 위해필요한 것은? Coding

Legacy

SDN


http://dtucker.co.uk/hack/building-a-router-with-openvswitch.html

VMware NSX (DLR)

Cisco ACI (Distributed D/G)

Nuage (VRS)

OpenStack ‘Juno’ (DVR)

Juniper OpenContrail (vRouter)

Midokura Midonet (Logical L3 Routing)

http://dtucker.co.uk/hack/building-a-router-with-openvswitch.html

IndependentSoftware Vendors

BRAS

Firewall

DPI

CDN

Tester/QoEmonitor

WANAcceleration

MessageRouter

Radio NetworkController

CarrierGrade NAT

Session BorderController

Classical Network Appliance

Approach

PE Router

SGSN/GGSN

Generic High Volume

Ethernet Switches

Generic High Volume Servers

Generic High Volume Storage

Orchestrated,automatic

remote install

Network Functions

Virtualisation Approach

hypervisors

I. 네트워크 가상화 개요: NFV

Working Group

Architecture of the Virtualisation

InfrastructureSteve Wright (AT&T) + Yun Chao Hu (HW)

Managing Editor: Andy Reid (BT)

Working Group

Reliability & Availability

Chair: Naseem Khan (VZ)

Vice Chair: Markus Schoeller (NEC)

Working Group

Management & OrchestrationDiego Lopez (TF) + Raquel Morera (VZ)

Working Group

Software ArchitectureFred Feisullin (Sprint) +

Marie-Paule Odini (HP)

Expert Group

SecurityBob Briscoe (BT)

Expert Group

Performance & PortabilityFrancisco Javier Ramón Salguero (TF)

Technical Steering CommitteeChair: Technical Manager : Don Clarke (BT)

Vice Chair / Assistant Technical Manager : Diego Lopez (TF)

Programme Manager : TBA

NOC Chair (ISG Vice Chair) + WG Chairs + Expert Group Leaders + Others

Additional Expert Groups

can be convened at discretion

of Technical Steering Committee

HW = Huawei

TF = Telefonica

VZ = Verizon


OSS / BSS

EMS 2

VNF 2

EMS 3

VNF 3

EMS 1

VNF 1

Virtualisation Layer

Virtual Storage Virtual NetworkVirtual Compute

StorageHardware

Network Hardware

Computing Hardware

Service, VNF & Infrastructure Description

VNF (Virtualised Network Function)

Hardware Resources

Orchestrator

VNFManagers

VirtualisedInfrastructure

Manager

Network Functions Virtualisation – Update White Paper October 15-17, 2013 at the “SDN and OpenFlow World Congress”, Frankfurt-Germany.

A Virtual Network Function (VNF) utilises these

virtualised resources, and may use various VMs (Virtual

Compute) connected via some Virtual Networks.



Distributed Registry(Strongly

Consistent)Distributed Key-Value Store

DB

Network Graph(Eventually consistent)

--- eMail WWW Phone ---

--- SMTP HTTP RTP ---

TCP UDP ---

IP

이더넷 PPP

--- CSMA async sonet ---

--- copper fiber radio ---






III.소프트웨어 정의 보안


사용자 소유 사업자 소유

Infrastructure as a Service

Platformas a Service

Softwareas a Service

서비스 모델

SaaSIaaS PaaS클라우드 계층 (Cloud Layer)

데이터 (Data)

인터페이스 (APIs, GUIs)

애플리케이션 (application)

솔루션 스택 (Programing languages)

운영체제 (OS: Operating System)

가상 머신 (Virtual Machines)

가상네트워크 인프라

하이퍼바이저 (Hypervisors)

프로세스/메모리

데이터 스토리지 (Data Storage)

네트워크

물리적 환경 제공 / 데이터센터

사용자 소유

사용자 소유

사용자 소유

사업자 소유or 공공

클라우드

사업자 소유or공공

클라우드

사업자 소유or공공

클라우드

가상화


30

Product/Framework

OpenStack CloudStackVMware

vCloud SuiteMicrosoftSCVMM

Licence Apache 2.0 Apache 2.0 Propritary Propritary

Primaryhypervisor

KVM Xen ESXI Hyper-V

Secondaryhypervisors

Xen, Hyper-V, vSphere, LXCKVM, Hyper-V, vSphere, LX

C- -

Primarylanguage

Python Java Mix of Mix of

Primarystorage type

Cluster: CEPH, GlusterFSSAN: iSCSI, NFS

SAN: iSCSI, NFSSAN: iSCSI, NFS, FC, FCoE

Cluster: vSANSAN: iSCSI, FC, FCoE

Cluster: SMB 3.0

Network Virtualization

Open vSwitch, VMware NSX,Arista EOS, Cisco Nexus, Brocade , HP, Mellanox, NEC OpenFlow Plugin,

OpenDaylight

Open vSwitchVMware NSX,

Arista EOS, Cisco Nexus, Brocade , HP

NVGRE virtual switch

Multi-tenant,Self Service Portal

Yes, Horizon Yes YesYes, Self-Service Portal/SCV

MM

Hybrid Cloudsolutions

RackConnect allowsmigrate to RackSpace

Citrix CloudPlatform allows migration between clouds

vCloud ConnectorSCVMM allows migrate to

Azure

Cost of implementation

Free, add consultancy and integration fee

Free, add consultancy and integration fee

31


$3002 분

$10,00010 주

기업용 스토리지

VLAN 네트워크

방화벽, load-balancer

침입탐지, 보안, 모니터링

가용성

현재과거

+일

32


33

https://console.aws.amazon.com/console/home?region=ap-northeast-1


https://console.aws.amazon.com/console/home?region=ap-northeast-1

34


35


36


37


Dynamic Configuration

Detect/Authenticate VLAN /802.1q QoS/Rate Limit/Shape Allow/Deny IPs Allow/Deny protocols

VM

Service Provisioning

38

인증/권한 패브릭 스위치 오버레이 오픈플로우


네트워크 경계에서 위협 및공격만을 차단

정책이 각 네트워크세그먼트나 서버의 중요어플리케이션에 국한

에이전트의 관리기능으로 단일 물리적

서버를 보호

개별 서버 또는 네트워크의중요 취약점을 패치

네트워크 경계뿐만 아니라VM 간의 경계도 위협에서

보호

정책을 포괄적(웹, 데이터, OS영역, DB)으로 적용하며

VMs 과 함께 이동

물리적 서버에 고려하는 것과같이 각각의 VM의 서버에도

필요

패치, 트래킹 그리고 VM들의임의 사용을 통제

Network IPS

Server Protection

System Patching

Security Policies

39


하드웨어

하이퍼바이저

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

Worm 공격

가상 환경 내부에서감염 활동을 수행

VM간 무단 통신

하이퍼바이저 관리자

Rootkit 제어 공격

40


하드웨어

하이퍼바이저

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

하드웨어

하이퍼바이저관리 서버

쉽게 VM을 구축

41


하드웨어

하이퍼바이저

OS

App

OS

App

OS

App

OS

App

OS

App

OS

App

42


infrastructure

network

compute

infrastructure

43


44


45


• Segmentation based on service and security requirements Web services–portals, web-based warehouses

Applications services–ERP

Core service–DNS,DHCP, NTP, FTP, RADIUS

Data base services–MS SQL, Oracle, Sybase

• Benefit from a Service Oriented Architecture (SOA) Zones can be hosted by different managed service pr

oviders.

Borders between application categories, or zones can be easier protected

Distribution of malware or hacker attacks is limited to one zone.

Outages, failures and administration errors are restricted to one zone only.

46


47


목차

1. 네트워크 가상화 개요


2. 클라우드 서비스와 보안


3. 소프트웨어 정의 보안


관리/제어 책임 (예)

SaaSIaaS PaaSPCI DSS 요구사항

데이터에 대한 방화벽 설치/유지 모두 모두 서비스 사업자

벤더 Default Password/보안 설정 변경 모두 모두 서비스 사업자

저장 데이터 차단 모두 모두 서비스 사업자

오픈/공중망 사용시 암호화 전송 사용자 모두 서비스 사업자

안티바이러스 소프트웨어 주기적 업데이트 사용자 모두 서비스 사업자

보안 시스템과 애플리케이션의 개발/유지 모두 모두 모두

데이터 접근 제한 업무 확인 모두 모두 모두

컴퓨터 접근을 위한 개별 ID 할당 모두 모두 모두

데이터의 물리적 접근 제한 서비스 사업자 서비스 사업자 서비스 사업자

네트워크 자원과 데이터 접속 모니터/추적 모두 모두 서비스 사업자

보안 시스템과 프로세스의 주기적 테스트 모두 모두 서비스 사업자

모든 개인을 위한 정보보안 정책 유지 모두 모두 모두

III. 소프트웨어 정의 보안

49

사용자가 시스템 적용전에 점검을 도움

클라우드 마이그레이션운영 전략을 점검

보안 제어를 점검

• Basic Operations Checklist

• Enterprise Operations Checklist

• Auditing Security Checklist

50


51


ChecklistChecklist

ChecklistChecklist

ChecklistChecklist

ChecklistChecklist

Checklist

Checklist

52


Version 1.0

Released: January 6, 2014

53


54

Version 1.0

Released: January 6, 2014


55

III. 가상 네트워크 설계: 보안 대책

• 가상화 : 리눅스나 하드웨어 어플라이언스에 탑재한 방화벽 가상화

• SDN 콘트롤러 호환성: 하이퍼바이저 vs 오케스트레이터

• 프로토콜 버전: Southbound (OpenFlow vs Netconf or Something)

• 콘트롤러 내의 App 호환: 콘트롤러에 공존하는 다른 App 들의 완성도

• 목표 시장을 위한 로드맵: 1) 성능의 개선, 2) 프로토콜, 3) SDN 콘트롤러 연동, 4) 아키텍처, CMP 지원 (자동 확장, VPN, 등등) 추가 고려

가상화 서버

하이퍼바이저

vSwitch

리눅스

웹서버

vNIC

리눅스

앱서버

vNIC

리눅스

DB서버

vNIC

리눅스

방화벽

vNIC vNIC

vSwitch

NIC

공개 SDN Controller

Orch

estra

tion

방화벽(Controller)

vSwitch(방화벽 에이전트)

56


vSwitch(방화벽 에이전트)vSwitch

(방화벽 에이전트)vSwitch(방화벽 에이전트)vSwitch

(방화벽 에이전트)

OpenFlow Area

Drop Actions

vSwitch/pSwitch

Data Center

3. Drop or QoS Action

2. Security Event

1. IDS/IPS 또는 Snort 나 Suricata

OpenFlow/SDN Controller

고려사항

OpenFlow 연동 IDS 센서 :차단/제어 위치는 OpenFlow vSwitch/pSwitch

확장성: 복수의 SDN 콘트롤러 연결을 고려

중앙관리

가상화

복수 Tenant 감지 (IDSaaS)

CMP(OpenStack) 고려

Embedded SDN 환경 고려

OpenFlow based vSwitch

MAC Srce.

MAC Dest.

Srce.IP

Dest. IP

SourceTCP Port

Dest. TCP Port

Action

* * 192.168.10.20 * * * Drop

57


고려사항

DDoS 공격 차단 TMS (Treat Management System)

분산 DDoS 탐지 센서들을 관리하는 게이트웨이또는 외부 서비스 시스템을 SDN 콘트롤러와 연동

중앙관리

SDN 콘트롤러 (감지한Target IP 주소 트래픽TMS 우회 명령 Flow) 가상화

복수 Tenant 감지

CMP 고려

MAC Srce.

MAC Dest.

Srce.IP

Dest. IP

SourceTCP Port

Dest. TCP Port

Action

* * * 192.168.10.20 80 * Port 3

pSwitch/vSwitch pSwitch/vSwitch

OpenFlow/SDN Controller

TMS

3. DDoS 공격 Target Host IP 주소 트래픽을 TMS로 플로우 변경

Target Host

1. DDoS 센서 또는 게이트웨이에서공격 감지시 Target Host IP주소를 SDN 콘트롤러로 전달

2. DDoS 공격 필터링 한 정상 트래픽을 전송

58


• 공개 SDN 콘트롤러 내장 보안장비 (레가시 환경에서 TMS, IPS 등인라인 모드 설치가 필요한 기기)

• 오픈 가상스위치(Open vSwitch) 내장의 NIC or 스위치 사용

• OpenFlow 프로토콜 사용

• 위협 플로우 Redirect 하여 TMS로 전송

서버

NICOpen vSwitch

VM 1IP 주소 1

vNIC

VM 2IP주소 2

vNIC

VM 3IP 주소 3

vNIC

SDN/OpenFlow Controller

보안 기능 Application

4) 위

협플

로우

3) Flow 카운터기반의 위협 분석

인라인 설치 TMS 장비

IP주소 2 VM 공격

Open pSwitch

59


60


61

vArmour• 2011년 2명의보안솔루션전문가가 $8M(약 80억원)을투자받아창업

• 솔루션개발진행중(스텔스모드)

특징• 보안가시성 : 애플리케이션, 자산, 패킷, 접속별가시성확보

• 위협탐지 : 실시간탐지및가시성을통해복합위협분석탐지

• 공격치료 : 비지니스프로세스기반의치료정책

• 정책관리및수행 : 애플리케이션, 워크그룹, 테넌트간통신에대한제어

기술개요①악성코드감염가상머신감지

②SDN 컨트롤러보고

③포워딩플레인변경

④감염된서버격리

⑤감염된서버치료

⑥감염된서버복구


62

Catbird Networks• 보안가상화전문회사(2,000년에설립)

• 투자금 : $1억2천만(약 1조 2천억)

• 주요제품 : 실시간가상머신모니터링

이동, 생성, 소멸, 메타데이타등

하이퍼바이저별에이전트가상머신설치하여전체하이퍼바이저모니터링

Cisco ACI, VMware NSX, OpenStack등과연동

Virtual Switch

Firewall

VM1

VM2

VM3

Hypervisor

Vulnerability Scanner

IDS

Firewall Updated Rules Audited

Monitor New VM Traffic Audit

Alerts/Workflows

Scan New VM Audit Results/Workflows

New VM Added Interfaces Audited

SDSAPIs

SDS Manager

VMs Fully Visible

API Integration

Automated Control

Configuration

Workflow Audit

Real-Time Compliance

환율. 1$ = 1,012.20원(2014년 7월 7일매매기준율)


• ‘heleous’ 제품 군으로 가상화 환경에서 Site-to-Site VPN 기능을 가진 방화벽, 로드밸런서 그리고 이들을 관리하는 SDN 콘트롤러 기능제공 ‘ESM’(Elastic Services Manager)를 제공하며, 운영 중에도 중단없이 처리능력을 향상하거나 네트워크 삽입을 할 수 있다. API를 사용하여 프로그램이 가능하며 이중화 기능을 제공 한다.

63


보안 제어 모델

애플리케이션바이너리분석, 트랜잭션 보안, 웹 방화벽, SDLC

정보DLP, 암호화, 데이터베이스 모니터, CMF

관리IAM, 패치관리, 구성 관리, 모니터링, VA/VM, GRC

네트워크NIDS/NIPS, 방화벽, DPI, DDoS 차단, QoS,

DNSSEC, OAuth

Trusted Computing하드웨어 소프트웨어 API’s & RoT

Compute&Storage호스트 방화벽, HIDS/HIPS,

물리적CCTV, Guards

준수 모델

PCI

□ 방화벽□ 코드 리뷰□ WAF□ 암호화□ 사용자 고유 ID□ 안티바이러스□ 모니터링/IDS/IPS□ 패치/취약성 관리□ 물리접속제어□ Two Factor Authentication

HIPAA

GLBA

SOX

클라우드 모델

압축

하드웨어

Facility

통합 / 미들웨어

APIs

접속 / 전달

애플리케이션

데이터 / 메타데이터 / 컨텐츠

프레젠테이션

APIs

서비스 사업자 / 벤더 / 준수의 차이(RFP/Contract/인증)Virtualization Security is NOT Cloud Security!

PaaS

SaaS

IaaS

Consulting

64
