View
30
Download
0
Category
Preview:
Citation preview
VMware홖경을 지켜라!
: 네트워크, 클라우드 그리고 엔드포인트 VM 보안에
이르기까지….
김 민석 수석 부장(Steve Kim)
Systems Engineer
Agenda
• 팔로알토 네트웍스 소개
• Security Challenge!!
• Virtualized NGFW 소개
• 클라우드 홖경에서의 혁싞적인 가시화된 툴 제공
• Topology
• 엔드포인트 VM 보안 – Traps
• 레퍼런스 사이트
팔로알토 네트웍스 소개
• 5년 연속 매직쿼더런트 리더 • Next Generation FW • WildFire(APT 방어) • 30,000+ 고객 WW • $1B 매출 FY15 • 9000+ 고객 WildFire • 75 of F100, 850 of G2000 • Unit 42
DC & Virtualization Security Platform
NATIVELY INTEGRATED EXTENSIBLE
AUTOMATED
NEXT-GENERATION FIREWALL ADVANCED ENDPOINT PROTECTION
THREAT INTELLIGENCE CLOUD 차세대 클라우드 방화벽
APP-ID, User-ID, Contents-ID
알려진 공격의 차단
알려지지 않은 공격은 Cloud를 통해서 행동기반탐지 및 차단
가상화 및 Mobile 환경
클라우드 기반의 Threat DB
네트워크와 Endpoint에서의 모든 Threat
정보를 DB화
상관관계 분석 및 정규화를 통한 효율적인
제어
클라우드 기반의 실시갂 Threat DB 배포
모든 프로세서와 파일들의 이상징후 판단
단말 기반의 각종 행위를 통제
클라우드와 실시갂 연동
차세대 클라우드 Endpoint 보안
기능 세부기능 Description 라이선스
App-ID Application detection App 데이터 베이스 기본
Custom App 정의 기본
User-ID Active Directory 기본
LDAP 기본
Radius, Kerberos 기본
Captive Portal 기본
Contents-ID(TP) IPS 자체 시그니처 TP (Threat Prevention) 라이선스 하나로 세가지 기능 모두 사용
Anti-Virus 자체 시그니처
Anti-Spyware 자체 시그니처
Contents-ID(URL) URL Filtering 자체 URL DB URL 라이선스 필요 * 단 allow/block 리스트/커스텀 카테고리는 무료
Contents-ID(기타) File Blocking 타일타입 인식 기본
Data Filtering 문자열 인식 기본
APT방어(WildFire) Unknown 위협 차단 Public, Private 구성 WildFire 라이센스 필요
제공 보안 서비스
기능 세부기능 Description 라이선스
Networking DoS Protection, QoS
기본
Policy Based Routing 기본
High Availability(Active / Passive) 기본
VPN Site-To-Site VPN 기본
SSL VPN 기본
Management/ Reporting
다양한 리포팅 기능, 중앙 정책 배포 기본
XML-based REST API 기본
M-100, M-500 중앙관리서버 별도의 하드웨어 어플라이언스
제공 보안 서비스(계속)
Security Challenge!!
물리적 보안 장비로는 더이상 내부
클라우드 자웎의 East-West
트래픽을 정확하게 확인 하거나
통제하기 어려움
또한 네트워크 Configuration의
변화만으로는 보안 정책이 적용된
East-West traffic 처리시
수동적이거나 복잡한 홖경적용만이
가능함
클라우드 자웎에 대한 자동화되고
손쉽게 적용가능한 트래픽 통제
정책 적용이 필요한 실정임
MS-SQL SharePoint Web Front End
MS-SQL SharePoint Web Front End
클라우드 환경을 위한 Security Challenge#1
Static 정책을 통해서는 vMotion과 같은 Dynamic한 작업절차에 대해 최적화 할 수 없음
VMware vCenter or ESXi
Name IP Guest OS Container
web-sjc-01 10.1.1.2 Ubuntu 12.04 Web
sp-sjc-04 10.1.5.4 Win 2008 R2 SharePoint
web-sjc-02 10.1.1.3 Ubuntu 12.04 Web
exch-mia-03 10.4.2.2 Win 2008 R2 Exchange
exch-dfw-03 10.4.2.3 Win 2008 R2 Exchange
sp-mia-07 10.1.5.8 Win 2008 R2 SharePoint
db-mia-01 10.5.1.5 Ubuntu 12.04 MySQL
db-dfw-02 10.5.1.2 Ubuntu 12.04 MySQL
db-mia-05 10.5.1.9 Ubuntu 12.04 MySQL
클라우드 환경을 위한 Security Challenge#2
Virtualized NGFW 소개
Policies
Objects
Interfaces
Application
Security
Application
Network
– VMware ESXi
– VMware NSX
– KVM w/optional OpenStack plugin :
– Citrix SDX
– MS Hyper-V, Cisco ACI
– Amazon Web Services
– MS Azure - VMware vCloud Air
Dynamic Address Groups
Private Cloud 차세대 보안 서비스 적용
Public Cloud 차세대 보안 서비스 적용
PANW Virtualized Firewall 지원 현황
vCloud Air
고도화된 보안 서비스 접목– Palo Alto Networks NGFW
Internet
Security Policy
Security Admin
Traffic Steering
VMware Service Manager in Panorama(PANW)
PANW Service Deployment 정상 체크(VMware)
Dynamic Address Groups in Panorama(PANW)
Policies(PANW)
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
An overview of how the VM-Series integrates with NSX
클라우드 환경에서의
혁신적인 가시화된 툴 제공
Traffic Log
Threat Log
View WF analysis result from PanOS(APT공격 방어)
More in-depth look of sample analysis report
Show malware being blocked by WF content and Antivirus
Go to Monitor > Logs > Threat (You have two types Virus and Wildfire-Virus)
Topology
Security Planning, Visibility and Audit (Across NSX, VM Series and PANW Physical)
PANW Physical
Firewall
통합 구성
통합 구성(NSX Distributed Firewall + PANW Virtualied F/W)
Traffic Steering Considerations
• Inter-tier traffic: Redirect to VM-
Series
• Intra-tier traffic:
NSX DFW
Complementary use of DFW for intra-tier and the VM-Series for inter-tier traffic protection
Traffic Steering Considerations
• Inter-tier traffic: Redirect to VM-
Series
• Intra-tier traffic:
NSX DFW
Complementary use of DFW for intra-tier and the VM-Series for inter-tier traffic protection
Traffic Steering Considerations
VM-Series deployment with NSX
• Linear performance increase with addition of new hosts in the NSX domain !
NSX 6.1 – Traffic Redirection Rule using DFW
Service Composer / Security Policy was traditionally used to configure traffic
redirection rules to VM-Series
Usually need some time to understand the configuration logic
Since NSX 6.1, traffic redirection rules (similar to FW rules model) can be
created using DFW UI
NSX 6.2 – Traffic Redirection: In / Out / InOut
NSX 6.2 allows to specify one additional attribute for traffic redirection:
In, Out, InOut (default)
NSX 6.0 and 6.1 only uses „InOut‟ for all traffic redirection rules – creating
double inspection effect
39
NSX 6.2 – Traffic Redirection: In / Out / InOut
40
DVS
SG-1 SG-2
DVS
SG-1 SG-2
SG1 -> SG2 : redirect to VM-Series [InOut]
SG1 -> SG2 : redirect to VM-Series [Out]
DVS
SG-1 SG-2 SG1 -> SG2 : redirect to VM-Series [In]
엔드포인트 VM 보안 - Traps
Architecture
Traps Architecture Leverages a Scalable Endpoint Security Manager (ESM)
Endpoint Security Manager (ESM)
SIEM /
External Logging
ESM Server(s)
Endpoints Running Traps
Forensic Folder(s)
WildFire
Threat Intelligence
Cloud
@
SMTP Alerting 3-Tier Management Structure
ESM Console
Database
ESM Servers (each supports 10,000 endpoints &
scales horizontally)
On
Premise
Off
Premise
팔로알토 네트웍스 Traps를 홗용한 VDI Endpoint VM보안
(1) Endpoints are provisioned from “golden image” “golden image” that
includes Traps agent
(2) Virtual endpoints
and servers are
protected immediately
upon initialization
Traps Endpoint
Security Manager
(ESM)
(3) Dynamic licensing via ESM servers enables
on-demand VDI deployment
(4) ESM architecture
scales horizontally
to accommodate
operational needs
감사합니다.
Recommended