소프트웨어 정의 데이터 센터를 위한Palo Alto Networks의 차세대 보안

팔로알토 네트웍스

이창빈 이사

rlee@paloaltonetworks.com

Session Objectives

가상환경보안에있어서의어려움

팔로알토네트웍스의차세대보안

VMware와팔로알토네트웍스가공동개발한완벽한보안솔루션둘러보기

Agenda

데이터 센터의 진화

진화에 있어서의 보안 Challenge는?

가능한 해결책은?

어떠한 방식으로 해결 가능한가?

Closing

Virtual 데이터센터 아키텍처의 진화

DB WebApp

Traditional 데이터센터 Current 데이터센터

DB WebApp

Future데이터센터

Dynamic, automated, “services-oriented”

Infrastructure

서버가상화 클라우드

소프트웨어 정의 데이터센터는 신속하고, 유연하고, 간편함• 빠른 워크로드 프로비저닝– weeks to hours

• 제한없는 워크로드 분배 및 이동• 성능과 확장성을 제공하는 IaaS(IT as a service)

• 간편한 데이터센터 운영과 경제성

Its about Speed – 소프트웨어 정의 데이터센터 전환

현대의 데이터센터 요구사항

Page 6 | © 2012 Palo Alto Networks. Proprietary and Confidential.

데이터센터 아키텍처는 원하는 워크로드를 어디서든, 어떤 하드웨어위에서든구동가능

위의 사항들이 신속하게, 효과적으로, 쉽게, 그리고 안전하게 처리

Configuration 업무의 자동화

쉬운 통합을 위한 추상화(Abstraction) 및 API 제공

리소스를 전체적으로 관리할 수 있는 광범위한 뷰를 통해 빠른 의사결정 지원

Agenda

데이터 센터의 진화

진화에 있어서의 보안 Challenge는?

가능한 해결책은?

어떠한 방식으로 해결 가능한가?

Closing

일반적인 데이터센터 Physical 방화벽 구축시나리오

일반적으로 L3 모드로게이트웨이에위치

VM간의트래픽을방화벽으로보내보안검증

“VM” 인지하지못함

VLAN 구성이복잡해짐

FW이 Performance bottleneck의주범이됨

수동 Configuration으로인한복잡한보안정책초래

전통적인물리적방화벽은소프트웨어정의데이터센터에제한을가져온다

보안 정책은 가상화를 따라잡기 힘들다?...

수동(manual) 보안정책변경

No VM 컨텍스트

자동화된 워크 플로우와의 연동 안됨

Agenda

데이터 센터의 진화

진화에 있어서의 보안 Challenge는?

가능한 해결책은?

어떠한 방식으로 해결 가능한가?

Closing

애플리케이션도 진화한다…

네트워크보안정책이

방화벽에적용됨

• 모든트래픽감시

• Trust/Un-trust의

경계정의

• 접근허용

레거시방화벽은더이상

해답이될수없다

Threats Come from Surprising Places …

Application Usage and Threat Report – February 2013

“애플리케이션 활용 및 위협 리포트 (팔로알토 네트웍스) – 2013년 2월

애프리케이션 로그 및 위협 로그를수집/분석한 보안 통계 자료

전 세계 3,000개 이상의 회사에서통계분석

95%의 위협/공격 로그가 단지 Top

10개의 애플리케이션에서 생성

10개 중 9개의 애플리케이션이데이터 센터에서 사용되는일반적인 비즈니스 애플리케이션

MS-SQL

MS-RPC

SMB

MS SQL Monitor

MS Office Communicator

SIP

Active Directory

RPC

DNS

광범위한 보안 솔루션에 대한 필요성

VMware NSX 플랫폼

NSX Distributed 방화벽

VM level zoning without VLAN/VXLAN dependencies

접근제어트래픽필터링

하이퍼바이저레벨의분산정책적용

Palo Alto Networks 차세대보안

차세대방화벽

Known/Un-Known 위협에대한보호제공

가시성및안전한애플리케이션활용

사용자, 디바이스및애플리케이션인식가능한

정책

진보된보안위협

변화하는애플리케이션

원격사용자및디바이스증가

최신멀웨어

VM-시리즈 방화벽

VM(가상머신)에 설치되는 팔로알토 네트웍스의방화벽

VM에서 구동되는 완전환 차세대 방화벽 App-ID 애플리케이션 분석 User-ID 사용자 분석 Content-ID 컨텐츠 분석 WildFire APT 공격 탐지

통합 관리서버(파노라마)를 통한 중앙 관리

VMware NSX와 차세대 보안 통합 솔루션

Any Application(without modification)

Virtual Networks

VMware NSX Network Virtualization Platform

Logical L2

Any Network Hardware

Any Cloud Management Platform

LogicalFirewall

LogicalLoad Balancer

Logical L3

LogicalVPN

Any Hypervisor

Palo Alto Networks 차세대 보안

파노라마

Palo Alto Networks VM-Series

Palo Alto Networks PA-5000 Series

컴포넌트:

VMware vCenter 와 vShield Manager

VMware NSX (NSX 매니저와 NSX API 포함– 클라우드 프로비저닝, VMware NSX

방화벽– Native, kernel-based firewall and traffic steering)

Palo Alto Networks Panorama – 보안 프로비저닝 및 오케스트레이션 (including REST

APIs)

Palo Alto Networks VM-Series – 차세대 보안 플랫폼

Agenda

데이터 센터의 진화

진화에 있어서의 보안 Challenge는?

가능한 해결책은?

어떠한 방식으로 해결 가능한가?

Closing

Joint solution 요구사항

1. VM간트래픽에대한진정한차세대보안을제공해야한다

2. VMware orchestration Tool과 완벽히 통합되어구축 및 관리가 용이해야 한다

3. Virtual 환경과보안환경의 dynamic한동기화제공

4. 통합된 Virtual Management와보안 Management 제공

세가지 단계:

1

팔로알토네트웍스차세대방화벽을 NSX 매니저에등록

2NSX 방화벽및팔로알토네트웍스VM-시리즈방화벽을배포

3보안정책설정및운영

모든 솔루션 컴포넌트의 자동화된 배포 기능

VM

VM

VM VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

Cloud Admin

Security Admin

NSX Logical Container 정의 후 정책 적용

VM

VM

VM VM

VMVM

VM

VM

VMVM

VM

VM

VM

VM

VM VM VM

VMVMVMVM

VM VM

VM VM VM

VM

VM

VM

VM

VM

VM

VM VM

VMVM

VM

VM

VMVM

VM

VM

VM

VM

VM VM VM

VMVMVMVM

VM VM

VM VM VM

VM

VM

VM

VM

애플리케이션관리를단순화

VM 컨텍스트를 차세대 방화벽에 적용

VM

VM

VM VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

VM

NSX Manager

NSX Logical ContainerVirtualization 컨텍스트

보안정책및Configuration

솔루션: Transparent Insertion with dynamic context-based security policy & automation

VMware NSX

VM-Series를서비스로등록(Register VM-Series as an

available service)

VM-Series를 NSX의 서비스로 등록

솔루션: Transparent Insertion with dynamic context-based security policy & automation

VMware NSX

VM-Series를모든호스트에자동으로설치

(Automatically deploy VM-Series on all hosts)

방화벽관리서버로부터라이선스와정책내려받음(Check in and receive licenses and policy from Panorama)

VM 배포, 자동 라이선스 발행 및 NGFW로의 정책적용

솔루션: Transparent Insertion with dynamic context-based security policy & automation

VMware NSX

방화벽서비스추가를위한하이퍼바이저정책

(Hypervisor rules for firewall service insertion)

팔로알토 네트웍스 차세대 방화벽으로 보낼트래픽을 선택

Security Admin

솔루션: Transparent Insertion with dynamic context-based security policy & automation

Virtual Infrastructure Admin

VMware NSXVM 배포실시간

컨텍스트를업데이트(Update with real-time

context of VM deployment)

정책에사용할 VM 컨텍스트를방화벽에업데이트(Dynamically update firewalls with VM context for use in policy) VM-Series에보안정책

생성및적용(Create and install security policy on VM-Series)

Context-aware, 애플리케이션 보안 정책 생성

Agenda

데이터 센터의 진화

진화에 있어서의 보안 Challenge는?

가능한 해결책은?

어떠한 방식으로 해결 가능한가?

Closing

소프트웨어 정의 데이터센터를 보호하기 위한 통합보안솔루션

팔로알토네트웍스차세대보안과 VMware NSX의장점:

• 투명한보안집행을통한애플리케이션 Delivery의가속화

• 단순화된비즈니스 Policy를통해운영효율을최적화

• 차세대보안을통해보안및컴플라이언스요구사항을해결

Next-Generation Firewall for MS SharePoint

Best Practice and Methodology

PA-5000 Series in Layer 3 mode (core DC deployment)

VM-Series in Layer 2 mode

Identify SharePoint Components

Palo Alto Networks supports the following:

Sharepoint-base, Sharepoint-admin, Sharepoint-wiki

Sharepoint-calendar, Sharepoint-documents

Sharepoint-blog-posting

Isolate the Components with Security Groups:

Web – Sharepoint Web Servers

Application – Sharepoint Application Servers

Database – MS SQL Servers

Active-Directory – Domain controller

External – Users and administrators

Apply User-Based Policy Controls

Protect SharePoint Environments from Threats

33 | © 2013, Palo Alto Networks. Confidential and Proprietary.

SharePoint Web Servers

Database SQL Servers

SharePoint Application Server

Zone 1 – Front-End

Zone 2 – Mid-tier

Zone 3 – Back-End

Zone 4 – Infrastructure

Directory (AD) Server

Policy Example

Source

35 | © 2013, Palo Alto Networks. Confidential and Proprietary.

Destination

36 | © 2013, Palo Alto Networks. Confidential and Proprietary.

APP-ID Example

37 | © 2013, Palo Alto Networks. Confidential and Proprietary.

Next Steps

Stop by our booth to learn more about Palo Alto Networks NGFWs

Safe enablement of DC traffic based on applications, users, and content

30-60 day evaluation of the VM-Series or PA-5000 Series

Participate in an AVR (Application Visibility Report)

38 | © 2013, Palo Alto Networks. Confidential and Proprietary.

Palo Alto Networks

AVR Offer

• Bring Your Security Admin

• Install Palo Alto Networks Next-

Generation Firewalls in Your Network

• We’ll tell you what applications and

threats we see in your network!