sdn and security
TRANSCRIPT
안종석
I. 보안트렌드와 SDN
II. 보안관련제조사
III. 보안대책
I. 보안트렌드와 SDN
http://www.networkworld.com/article/3068662/networks-need-automation-just-ask-the-us-military.html
네트워크 자동화 필요 (Networks need automation -- just ask the U.S. military)
SDN은 자동화 첫단계 (SDN is a first step toward that automation)
DISA (Defense Information Systems Agency)
450만 사용자 11개 코어 데이터센터 (4.5 million users and 11 core data centers)
하루 8000억 보안 이벤트 (its infrastructure generates about 10 million alarms per day)
하루 2000개 트러블티켓 (Approximately 2,000 of those become trouble tickets)
연결이 끊어지면 드론의 미션이나 복귀가 중단 되거나, 전투 중 상부 명령이 단절될 수 있음 (A lost circuit could cause a battlefield surveillance drone to abort its mission and return to base, or could cut off commanders in the field from their superiors.)
DISA logs 800 billion security events per day. Though many are innocuous, the Defense Department detects about 14 phishing attacks per day and rejects 85 percent of incoming email, Zabelsaid. Everyone from teen-age hackers to nation-states is targeting the network.
Between countermeasures, configuration fixes, and the rest, DISA makes about 22,000 changes to its infrastructure every day.
We need a little less human interaction…. SDN is a first step toward that automation.
I. 보안트렌드와 SDN 1) DISA (예)
2) SDN 보안과응용I. 보안트렌드와 SDN
3) 텔레콤서비스인프라보안I. 보안트렌드와 SDN
인텔의 (예): Cloud Integrity Technology (CIT), Quick-Assist, DPDK
4) 넷플릭스 (예)I. 보안트렌드와 SDN
워크로드 프로비져닝 단위 보안 정책 프로비져닝과 연결 정책 적용을 지속적으로 감시
Protected
5) 차세대보안아키텍처I. 보안트렌드와 SDN
Protected
플로우분석
6) 가상환경의가시화
관리자 화면
물리기반 Underlay SDN
가상기반 Overlay SDN
I. 보안트렌드와 SDN
7) 클라우드보안의다른점I. 보안트렌드와 SDN
8) 공격의트렌드I. 보안트렌드와 SDN
Internet
공격자는 R + V
혼합응답을받음
Response
Invisible
클로닝 네트워크Hypervisor
SDN
스위치
SDN Controller
RealServer
Web Server
VirtualMachine
Web Server
RealServer
StreamingServer
VirtualMachine
StreamingServer
Host Emulator manager
VM manager
Traffic controller
Southbound API
Host Emulator
Host Emulator
Host Emulator
Host Emulator
Host Emulator
Host Emulator
Host Emulator
9) SecureWallI. 보안트렌드와 SDN
물리 SDN 망
가상망 1 가상망 2
I. 보안트렌드와 SDN 10) 인공지능의가능성
II. 보안관련제조사
1987-2009 2009-2014 2014 onward 2015 onward
Signatures Sandboxes Anomaly Detection Zero-Trust
APT (Advanced Persistent Threat)공격의 복잡도 증가
Hammertoss, Black Energy, etc
Endpoint
Content
Network
II. 보안관련제조사 1) 신기술기반스타트업
내부 공격 탐지 (Insider Threat Detection)
머신러닝 공격 탐지 차단 (Machine Learning to Spot Attacks)
산업용 기기 보안 (Industrial & Connected Device Security)
II. 보안관련제조사 2) 솔루션제공기업
클라우드 보안 이슈 지원 벤더
Challenge: Corporate services are migrating to the cloud
Secure Application Access
Privileged Access
Management
Multi-Factor
Authentication Firewalls
Network Access
ControlSSO
Challenge: Dynamic workloads due to multi-tiered apps & virtualization, containers, micro-services, etc.
Protect Server to Server Interactions
Cloud Workload ManagementMachine Firewalls
II. 보안관련제조사 3) 클라우드보안지원벤더
가상 L4-L7 서비스
Big Chain 스위치
지사 C지사 B지사 A
지사별서비스체인
지사별 가상 L4-L7 서비스 제어
NFV 매니저 메인데이터센터
Big Chain 콘트롤러
BIG CHAIN : Big Switch의 Big Chain 컨트롤러사용 SFC
레거시 보안 장비 응용 기반의 NFV 수용
SDN 기반 보안 강화: 콘트롤 플레인과 연결되어 정책을 토폴로지 경로로 변환
II. 보안관련제조사 4) Big Switch 예
GUI 기반 간단한조작으로 직관적 관리
본사 네트워크
• 트러블슈팅
• 미터링
• 보안
• 성능감시
탭 및 집약 필터 및 복제 패킷 가공
ToolFarm
BIG MONITORING FABRIC
레거시 보안 기술 투자 보호
SDN 기반의 보안 강화 (가상 네트워크의 가시화 관리)
SPAN
또는
탭포트
II. 보안관련제조사 4) Big Switch 예
III. 보안대책
퍼블릭 클라우드를 사용하는 엔터프라이즈 보안 관리 : PCI예 -Compliance as a Service (CaaS)
III. 보안대책 1) CaaS
III. 보안대책 2) 추상화
SDN 컨트롤러 + SDN스위치 + Docker@Bare-metal + IP 대장 데이터센터 보안/관리 강화
‘Cherry’ 예
III. 보안대책 3) 자동화
결론
추상화
자동화
SDN은 자동화 첫단계
가상 환경의 종단간 논리적 연결 분석 필요
차세대 보안 아키텍처