Continual Active Learning for Efficient Adaptation of Machine LearningModels ...
6th SDN Interest Group Seminar - Session2 (131210)
1. 소프트웨어 정의 데이터 센터를 위한
Palo Alto Networks의 차세대 보안
팔로알토 네트웍스
이창빈 이사
rlee@paloaltonetworks.com
2. Session Objectives
가상 환경 보안에 있어서의 어려움
팔로알토 네트웍스의 차세대 보안
VMware와 팔로알토 네트웍스가 공동 개발한
완벽한 보안 솔루션 둘러보기
3. Agenda
데이터 센터의 진화
진화에 있어서의 보안 Challenge는?
가능한 해결책은?
어떠한 방식으로 해결 가능한가?
Closing
4. Virtual 데이터센터 아키텍처의 진화
DB WebApp
Traditional 데이터센터 Current 데이터센터
DB WebApp
Future 데이터센터
Dynamic, automated, “services-oriented”
5. Infrastructure
서버 가상화 클라우드
소프트웨어 정의 데이터센터는 신속하고, 유연하고, 간편함
• 빠른 워크로드 프로비저닝– weeks to hours
• 제한없는 워크로드 분배 및 이동
• 성능과 확장성을 제공하는 IaaS(IT as a service)
• 간편한 데이터센터 운영과 경제성
Its about Speed – 소프트웨어 정의 데이터센터 전환
7. Agenda
데이터 센터의 진화
진화에 있어서의 보안 Challenge는?
가능한 해결책은?
어떠한 방식으로 해결 가능한가?
Closing
8. 일반적인 데이터센터 Physical 방화벽 구축
시나리오
일반적으로 L3 모드로 게이트웨이에 위치
VM간의 트래픽을 방화벽으로 보내 보안 검증
“VM” 인지 하지 못함
VLAN 구성이 복잡해 짐
FW이 Performance bottleneck의 주범이 됨
수동 Configuration으로 인한 복잡한 보안 정책 초래
전통적인 물리적 방화벽은 소프트웨어 정의 데이터센터에 제한을 가져온다
9. 보안 정책은 가상화를 따라잡기 힘들다?...
수동(manual) 보안 정책 변경
No VM 컨텍스트
자동화된 워크 플로우와의 연동 안됨
10. Agenda
데이터 센터의 진화
진화에 있어서의 보안 Challenge는?
가능한 해결책은?
어떠한 방식으로 해결 가능한가?
Closing
11. 애플리케이션도 진화한다…
네트워크 보안 정책이
방화벽에 적용됨
• 모든 트래픽 감시
• Trust/Un-trust의
경계 정의
• 접근 허용
레거시 방화벽은 더 이상
해답이 될 수 없다
12. Threats Come from Surprising Places …
Application Usage and Threat Report – February 2013
“애플리케이션 활용 및 위협 리포트 (팔로알토 네트웍스) – 2013년 2월
애프리케이션 로그 및 위협 로그를
수집/분석한 보안 통계 자료
전 세계 3,000개 이상의 회사에서
통계분석
95%의 위협/공격 로그가 단지 Top
10개의 애플리케이션에서 생성
10개 중 9개의 애플리케이션이
데이터 센터에서 사용되는
일반적인 비즈니스 애플리케이션
MS-SQL
MS-RPC
SMB
MS SQL Monitor
MS Office Communicator
SIP
Active Directory
RPC
DNS
13. 광범위한 보안 솔루션에 대한 필요성
VMware NSX 플랫폼
NSX Distributed 방화벽
VM level zoning without
VLAN/VXLAN dependencies
접근제어 트래픽 필터링
하이퍼 바이저 레벨의
분산 정책 적용
Palo Alto Networks
차세대 보안
차세대 방화벽
Known/Un-Known 위협에
대한 보호 제공
가시성 및 안전한
애플리케이션 활용
사용자, 디바이스 및
애플리케이션 인식 가능한
정책
진보된 보안 위협
변화하는 애플리케이션
원격 사용자 및 디바이스 증가
최신 멀웨어
14. VM-시리즈 방화벽
VM(가상머신)에 설치되는 팔로알토 네트웍스의
방화벽
VM에서 구동되는 완전환 차세대 방화벽
App-ID 애플리케이션 분석
User-ID 사용자 분석
Content-ID 컨텐츠 분석
WildFire APT 공격 탐지
통합 관리서버(파노라마)를 통한 중앙 관리
15. VMware NSX와 차세대 보안 통합 솔루션
Any Application
(without modification)
Virtual Networks
VMware NSX Network Virtualization Platform
Logical L2
Any Network Hardware
Any Cloud Management Platform
Logical
Firewall
Logical
Load Balancer
Logical L3
Logical
VPN
Any Hypervisor
Palo Alto Networks 차세대 보안
파노라마
Palo Alto Networks VM-Series
Palo Alto Networks PA-5000 Series
컴포넌트:
VMware vCenter 와 vShield Manager
VMware NSX (NSX 매니저와 NSX API 포함– 클라우드 프로비저닝, VMware NSX
방화벽– Native, kernel-based firewall and traffic steering)
Palo Alto Networks Panorama – 보안 프로비저닝 및 오케스트레이션 (including REST
APIs)
Palo Alto Networks VM-Series – 차세대 보안 플랫폼
16. Agenda
데이터 센터의 진화
진화에 있어서의 보안 Challenge는?
가능한 해결책은?
어떠한 방식으로 해결 가능한가?
Closing
17. Joint solution 요구사항
1. VM간 트래픽에 대한 진정한 차세대 보안을 제공해야 한다
2. VMware orchestration Tool과 완벽히 통합되어
구축 및 관리가 용이해야 한다
3. Virtual 환경과 보안 환경의 dynamic한 동기화 제공
4. 통합된 Virtual Management와 보안 Management 제공
18. 세가지 단계:
1
팔로알토 네트웍스 차세대
방화벽을 NSX 매니저에 등록
2
NSX 방화벽 및 팔로알토 네트웍스
VM-시리즈 방화벽을 배포
3
보안 정책 설정 및 운영
19. 모든 솔루션 컴포넌트의 자동화된 배포 기능
VM
VM
VM VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
Cloud Admin
Security Admin
20. NSX Logical Container 정의 후 정책 적용
VM
VM
VM VM
VMVM
VM
VM
VMVM
VM
VM
VM
VM
VM VM VM
VMVMVMVM
VM VM
VM VM VM
VM
VM
VM
VM
VM
VM
VM VM
VMVM
VM
VM
VMVM
VM
VM
VM
VM
VM VM VM
VMVMVMVM
VM VM
VM VM VM
VM
VM
VM
VM
애플리케이션 관리를 단순화
21. VM 컨텍스트를 차세대 방화벽에 적용
VM
VM
VM VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
VM
NSX Manager
NSX Logical Container
Virtualization 컨텍스트
보안 정책 및
Configuration
22. 솔루션: Transparent Insertion with dynamic context-based security policy & automation
VMware NSX
VM-Series를 서비스로 등록
(Register VM-Series as an
available service)
24. 솔루션: Transparent Insertion with dynamic context-based security policy & automation
VMware NSX
VM-Series를 모든
호스트에 자동으로 설치
(Automatically deploy VM-
Series on all hosts)
방화벽 관리 서버로부터
라이선스와 정책 내려 받음
(Check in and receive licenses
and policy from Panorama)
26. 솔루션: Transparent Insertion with dynamic context-based security policy & automation
VMware NSX
방화벽 서비스 추가를
위한 하이퍼바이저 정책
(Hypervisor rules for
firewall service insertion)
28. Security Admin
솔루션: Transparent Insertion with dynamic context-based security policy & automation
Virtual Infrastructure Admin
VMware NSX
VM 배포 실시간
컨텍스트를 업데이트
(Update with real-time
context of VM deployment)
정책에 사용할 VM 컨텍스트를
방화벽에 업데이트
(Dynamically update firewalls with VM
context for use in policy) VM-Series에 보안 정책
생성 및 적용
(Create and install security
policy on VM-Series)
30. Agenda
데이터 센터의 진화
진화에 있어서의 보안 Challenge는?
가능한 해결책은?
어떠한 방식으로 해결 가능한가?
Closing
31. 소프트웨어 정의 데이터센터를 보호하기 위한 통합
보안솔루션
팔로알토 네트웍스 차세대 보안과 VMware NSX의
장점:
• 투명한 보안 집행을 통한 애플리케이션 Delivery의 가속화
• 단순화된 비즈니스 Policy를 통해 운영 효율을 최적화
• 차세대 보안을 통해 보안 및 컴플라이언스 요구사항을 해결