핫 트렌드, 멀티-클라우드 서비스 도입 시,

보안 구축 방안과 사례

포티넷코리아 / 김기덕차장

2

I. 클라우드 환경의 변화

II.멀티 클라우드 보안 이슈와 전략

III.레퍼런스 보안 아키텍처 및 사례

IV.클라우드 인프라 변화에 대한 방화벽

자동화 기능 데모

Contents

© Copyright Fortinet Inc. All rights reserved.

클라우드환경의변화

4

클라우드 사용 기업의 멀티 클라우드 확대 계획멀티 클라우드 전략 기업

클라우드 서비스 도입증가» 시스템 가용성

» 비즈니스 민첩성

단일 클라우드 환경

멀티 클라우드로 확대

81%의 기업이 멀티클라우드 확장 전략 수립

5

멀티 클라우드 – 클라우드의 새로운 기준클라우드 패러다임의 변화

방화벽

ADC

웹 방화벽

DATA CENTER

Servers

VPC1 VPC2

Public Cloud Based Infrastructure A

Agent

VM VM

Internet

IPSec / SSL VPN

VPC1 VPC2

Public Cloud Based Infrastructure B

Agent

VM VM VM

VM

Private Cloud Based

Infrastructure

SaaS

© Copyright Fortinet Inc. All rights reserved.

멀티클라우드보안이슈와전략

7

클라우드환경의주요전망인프라관리

출처 : IDC FutureScape: World Wide Cloud2018 Predictions

멀티클라우드사용량증가

» 기업의 90%(By 2020년)

멀티클라우드매니지먼트» 멀티클라우드플랫폼간의리소스관리

새로운환경에적절한보안규범을수립계획» 멀티클라우드컴플라이언스

» 어플리케이션/서비스사이의커뮤니케이션커뮤니케이션제어

8

Private Cloud Based

Infrastructure

멀티 클라우드 서비스 증가접근 제어 – 커뮤니케이션 증가

방화벽

ADC

웹 방화벽

DATA CENTER

Servers

Internet

IPSec / SSL VPN

VPC1 VPC2

Public Cloud Based Infrastructure A

Agent

VM VM VM

VPC1 VPC2

Public Cloud Based Infrastructure B

Agent

VM VM VM

?

?

?

? ?

?

? ?

SaaS

9

클라우드사업자에서제공하는 보안기능인스턴스보안

서브넷, 인스턴스단위제어

Stateful 방화벽

VPC당갯수제한.

허용정책기반동작

네트워크 ACL

Top Down 방식

양방향정책필요

허용/차단기반동작

로그및정책관리의어려움

분산된관리패널

<클라우드사업자제공방화벽기능>

<클라우드사업자제공 ACL 기능>

10

클라우드사업자와기업간의 책임공유모델인스턴스보안

퍼블릭 클라우드인프라 책임 영역

클라우드 사업자가 인프라보호

Storage Network Compute

기업이 클라우드 내에서구동되는 어플리케이션을

구축

암호화 & 네트워크 트래픽 보호

어플리케이션, 플랫폼, 사용자 관리 영역

OS, 방화벽 & 네트워크 구성 & 컨피그레이션

데이터 & 컨텐츠

기업의

책임 보안 영역

11

사용자증가 실시간인프라증가 실시간정책변경

증가하는리소스대상, IP, 서비스예측불가

클라우드 인프라의 지속적인 변경가용성, 민첩성 보안 위협의 증가

VPC1 VPC2

Public Cloud Based Infrastructure A

Agent

VM VM VM

12

보호 영역의 확대보안 위협의 다양한 유입 경로, 고도화된 공격 방식

캠퍼스 네트워크

지사 사무소

리테일 영업점포

프라이빗 클라우드

퍼블릭 클라우드 서비스

SaaS 클라우드 어플리케이션

통신사 클라우드 서비스

원격 재택근무지

데이터 센터 (기업 보유)

관리 콘솔

Network

13

클라우드커뮤니케이션증가

연동되는엔드포인트간의복잡성

증가

멀티클라우드보안이슈

Auto Scale등의빈번한인프라변화수동제어의한계발생

일관된보안정책수립의어려움

급격한인프라환경변화

증가한인프라에대한가시성확보의어려움

정보교류및확대된 Attack Surface보호

Shadow IT환경제어

확대된보안대상영역클라우드간통신의증가

VPC1VPC2

Cloud

VMVM VM

Cloud

VPC1

Cloud

VM

VM

VM

VM

VM

VM

VM

AutoScale

프라이빗클라우드

퍼블릭클라우드서비스

SaaS클라우드애플리케이션

통신사클라우드서비스

데이터센터 (기업보유)

14

연동경로에서커뮤니케이션제어

기업의데이터영역,컨텐츠영역보안

멀티클라우드보안전략

Auto Scale등의빈번한인프라변화자동제어

일관된보안정책제공 모든클라우드환경에서일관된아키텍처제공

자동화및통합관리

기업데이터,가변적인프라에대한가시성확보

SaaS Cloud 직접제어(CASB)

가시성및자산접근제어인프라경계제어

VPC1VPC2

Cloud

VMVM VM

Cloud

VPC1

Cloud

VM

VM

VM

VM

VM

VM

VM

AutoScale

© Copyright Fortinet Inc. All rights reserved.

레퍼런스보안아키텍처및사례

16

Use Case#1: 대외 서비스 인프라 보안 아키텍처

역 할

어플리케이션간 커뮤니케이션 제어 및레이어 보안 기능 제공

인스턴스 변화 시, 오브젝트 자동 업데이트 VPC / vNET 네트워크 방화벽호스트 보호/정보(보안, 트래픽, 연동 정보제공

데이터 무결성 강화, 컴플라이언스 준수사례 : e 커머스

적용 솔루션

포티넷 클라우드 방화벽(차세대 방화벽)포티 클라이언트포티CASB

목 적

기본 보안 기능 극복, 기업의 데이터 보호외부 리소스(클라우드)와 연동 제어

Internet

VPC1 VPC2

Public Cloud Based Infrastructure

Public Cloud Management API

클라우드 보안 엑세스 브로커

포티클라이언트

클라우드 방화벽

VM VM VM

17

Use Case#2: 클라우드 보안 서비스 허브

장 점

인프라의 탄력성, 가용성, 확장성을 보장보안 서비스 공유 및 집중모든 사이트, 클라우드, 서비스, 네트워크등을 보안 서비스 허브를 통해 연결

필요에 따른 보안 서비스 확장물리적인 지역에 상관 없이 확장

적용 솔루션

포티넷 클라우드 방화벽(NGFW, VPN)웹 방화벽, 이메일 방화벽, 샌드박스

목 적

분산된 서비스 환경을 위한 중앙 집중형보안 인프라 구성

Internet

Cloud Services Hub

Transit VPC

Public Cloud Based

Infrastructure

VPC1

VM

VPC2

VM VM

18

Use Case#3: 하이브리드 클라우드

Public Cloud Based

Infrastructure

Private Data Center Infrastructure

장 점

퍼블릭 클라우드를 추가 인프라로 활용

기업의 데이터 센터와 함께 비즈니스에 IT

솔루션 개발 및 제공

데이터 센터 및 클라우드에서의 IPSec

터널 운용

인프라 전반에서 일관된 보안 정책

사례 : 항공사

적용 솔루션

포티넷 방화벽(IPSEC VPN)

목 적

점진적/선택적으로 클라우드 마이그레이션과정에서 필요

고객의 주요 정보가 데이터 센터 내 위치

Cloud

Network 2

Cloud

Network 1

VM VM VM

19

Use Case#4: SaaS 어플리케이션 보안

장 점

악성 코드 유포 또는 잠재적 인 데이터누출 등 SaaS 어플리케이션 데이터에 대한가시성/컴플라이언스를 확보

쉐도우 IT 환경 제어로그인,로그아웃,데이터 보안 이벤트 관련로그 발생

맬웨어 전파로부터 보호하기 위해 포티넷클라우드 샌드박스에서 파일을 검사

적용 솔루션

포티CASB포티클라우드 샌드박스(Optional)

목 적

SaaS 어플리케이션 데이터 제어

SaaS Management API

CASB

© Copyright Fortinet Inc. All rights reserved.

클라우드인프라변화에대한방화벽자동화기능데모

21

클라우드 인프라 증가에 대한 방화벽 대응 데모 영상

Public Cloud Based Infrastructure

VM

DataCenter

VM---

접근 허용 서비스 서버

VM VM VM

Subnet

---

VM VM

클라우드 인스턴스 증가 시자동 접근 제어

클라우드 인스턴스 속성별자동 접근 제어

클라우드 환경으로인프라 가시성 확장

인스턴스 구동 현황및 통계

접근 제어 서비스 서버

Update Objects

SDN Connector

22

Fabric ConnectorSDN Connector

23

24

I. 클라우드 인프라간의 커뮤니케이션 증가

II.인프라 경계, 낮은 가시성, 다이나믹한

인프라 변화에 대처 필요

III.자동화, 통합 관리, 가시성 제공 방안

필요

Summary

THANK YOU

26

AUTOMATED

FORTINETSECURITYFABRIC 2018

BROAD

INTEGRATED

클라우드가상머신보안

파트너, 오케스트레이터연동용 API