5월 17일 서울COEX에서 열린 AWS Summit Seoul 2016에서 PaloAlto 김민석님이 발표하신 "VPC를 위한 Hybrid 클라우드 보안" 발표자료입니다.

1. © 2016, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
김 민석 수석 부장, 팔로알토 네트웍스
2016.5.17
VPC를 위한 Hybrid 클라우드 보안

2. 클라우드 환경의 보안

3. § 물리적 보안 장비로는 더이상 내부
클라우드 자원의 East-West 트래픽
을 정확하게 확인 하거나 통제하기
어려움
§ 또한 네트워크 Configuration의 변화
만으로는 보안 정책이 적용된 East-
West traffic 처리시 수동적이거나 복
잡한 환경적용만이 가능함
§ 클라우드 자원에 대한 자동화되고
손쉽게 적용가능한 트래픽 통제 정
책 적용이 필요한 실정임
MS-SQL SharePoint Web Front End
MS-SQL SharePoint Web Front End
클라우드 환경을 위한 보안 필요조건

4. AWS security는 기본적으로 Security Groups과 Web Application Firewall을 포함
Security Groups 과 ACLs
• 포트 베이스 필터링까지 지원
• 애플리케이션 레벨까지의 트래픽 가시성이 제한됨
• Threat에 대한 차단을 지원하지 못함
• 파일 이동에 대한 통제가 불가능
Web Application 방화벽
• 고객사에서 사용중인 환경(앱 및 서비스)에 대해 개별적으로 Customize 필요
• 단순 HTTP/HTTPs에 대해 일부 보안 서비스 접목 가능
• 가시성 및 여러 종류의 애플리케이션 통제 및 보호에 제한적임
AWS 환경에 대한 차세대 보안 서비스 접목 필요!!!
현재 지원되는 AWS 보안 구성

5. 차세대 보안 서비스 접목

6. § 네트워크와 Endpoint에서의 모든 Threat
정보를 DB화
§ 상관관계 분석 및 정규화를 통한 효율적인
제어
§ 클라우드 기반의 실시간 Threat DB 배포
클라우드 기반의 Threat Intelligence DB
§ VPC내 모든 트래픽에 대한 확인 및
Identify and Inspect all traffic
§ 알려진 위협 및 공격에 대한 차단
§ 알려지자 않은 공격에 대한 Cloud를 통한
행동기반 탐지 및 차단
§ Mobile 및 virtual network 환경으로 확장
차세대 방화벽
§ 모든 프로세서와 파일들의 이상징후 판단
§ 알려진 또는 알려지지 않은 Exploit을 차단
§ 알려진 또는 알려지지 않은 Malware 차단
Advanced Endpoint Protection
AWS를 위한 차세대 보안 플랫폼 서비스

7. 제공되는 마켓플레이스내 상품 모델

8. 지원되는 EC2 Instance types(11 types)
• m3.xlarge, m3.2xlarge
• m4.xlarge, m4.2xlarge, m4.2xlarge
• c3.xlarge, c3.2xlarge, c3.4xlarge
• c4.xlarge, c4.2xlarge or c4.4xlarge
• Same vCPU (2, 4, 8), Memory (4 or 5 GB), storage (40GB)
• 세부 정보 확인 : https://aws.amazon.com/ec2/instance-types/
Storage를 위한 EBS-optimized volume을 사용
AWS내 지원 가능한 구성 모드 : Layer 3 모드만 지원
AWS 마켓플레이스를 통한 BYOL 또는 Bundle1, 2 구매 가능
가상 방화벽 설치 조건

9. 기능 세부기능 Description 라이선스
App-ID Application detection App 데이터 베이스 기본
Custom App 정의 기본
User-ID Active Directory 기본
LDAP 기본
Radius, Kerberos 기본
Captive Portal 기본
Contents-ID(TP) IPS 자체 시그니처 TP (Threat Prevention)
라이선스 하나로 세가지
기능 모두 사용
Anti-Virus 자체 시그니처
Anti-Spyware 자체 시그니처
Contents-ID(URL) URL Filtering 자체 URL DB URL 라이선스 필요
* 단 allow/block 리스트/커스텀
카테고리는 무료
Contents-ID(기타) File Blocking 타일타입 인식 기본
Data Filtering 문자열 인식 기본
APT방어(WildFire) Unknown 위협 차단 Public, Private 구성 WildFire 라이센스 필요
제공 서비스

10. 기능 세부기능 Description 라이선스
Networking DoS Protection, QoS 기본
Policy Based Routing 기본
High Availability(Active / Passive) 기본
VPN
(GlobalProtect)
Site-To-Site VPN 기본
SSL VPN 기본
Management/
Reporting
다양한 리포팅 기능, 중앙 정책 배포 기본
XML-based REST API 기본
M-100, M-500 중앙관리서버 별도의 하드웨어
어플라이언스
제공 서비스(계속)

11. Vendor
PaloAlto
Networks
미러 방식
에이전트 방식
구축 방식
AWS 환경내 마켓플레이스를 통해
구매 가능
(Bundle
1,
2,
BYOL모델)
ATA
Gateway
+
ATA
Center
PC
에이전트 방식
지원 가능한 보안 서비스
차세대 방화벽(Applica@on
통제),
IPS,
An@-­‐Virus,
An@-­‐Spyware,
URL
Filtering,
APT
Port
Mirroring
및 Window
Event
로그를 통한 분석 및 일부 차단
An@-­‐Virus,
An@-­‐Spyware
Unknown
위협에 대한
분석 및 차단
O
(예시 :
60여가지 파일 타입을 구분하고
업로드/다운로드
허용 및 차단 정책 지원 및
멀웨어 분석/차단)
X
(메일 및 Office
트래픽에 대한
일부 차단 기능이 지원되나
세밀한 분석에 의한 제어
정책 구현 불가)
X
샌드박스분석 방식
O
X
별도의 장비를 구매해야 연동 가능
USER-­‐ID
연동
AD,
LDAP,
Radius,
Kerberos,
Cap@ve
Portal
및 API
연동을 통한
사내 그룹웨어 연동 가능
AD
X
통합 비교
Public
Cloud환경에 논리적 Gateway
방식의 차세대 보안 서비스 접목가능
(Dynamic
Address
Group을 통해
유연한 정책 적용 가능
- Auto
Scaling서비스 지원)
ATA
Gateway의 Port Mirroring 및
Windows Event Data를
ATA
Center로 Forwarding하여
위협 분석
에이전트 방식을 통한
Virus
DB
다운로드 및 매칭된 위협 차단
(Exploit
kit에 의한 공격 방어에 취
약하며 알려지지 않은 위협에 대한
APT공격 방어에 취약함)
보안 서비스 방식별 비교

12. Hybrid Cloud Security

13. Policies
Objects
Interfaces
Application
Security
Application
Network
– Amazon Web Services
– MS Azure
– VMware ESXi
– VMware NSX, vCloud Air
– KVM w/optional OpenStack plugin
– Citrix SDX
– Cisco ACI, MS Hyper-V
Dynamic Address Groups
Public Cloud 차세대 보안 서비스 적용
Private Cloud 차세대 보안 서비스 적용
가상 방화벽 지원 현황

14. App A
Virtualized Compute, Network & Storage
VM VM VM
App B
IPSec VPN
IPSec VPN
IPSec
VPN
• VPC Gateway : VPC In-out 트래픽에 대한 완벽한 차세대 방화벽 기능 적용
• 가시성, 애플리케이션 통제 및 사용자별 알려진 위협 및 알려지지 않은 위협에
대한 차단 및 통제 가능
• Hybrid cloud (IPSec VPN)
• 물리적 DC, Private Cloud와 AWS로 확장 서비스 접목
• IPSec VPN + NGFW 보안 서비스
• VPC-to-VPC protection
• VPC내에 운영중인 EC2 인스턴스간의 보호
• VPC간의 트래픽에 대해 Gateway 또는 Hybrid 보안 서비스 접목
제안 가능한 시나리오

15. Internet
VPC-1
TRUST-2
E1/3 – 10.0.3.10/24
Server -1
10.0.1.200/24
Server -2
10.0.3.200/24
TRUST-1
E1/1 – 10.0.1.10/24
UN-TRUST
E1/2
10.0.2.10/24
&
10.0.2.11/24
E0 – MGT Interface
10.0.0.10/24
52.9.55.0
Mgt – 10.0.0.10 >>>> 52.9.55.0
Server 1 – 10.0.2.10 >>>> 52.8.51.249 (10.0.1.200)
Server 2 – 10.0.2.11 >>>> 52.8.160.185 (10.0.3.200)
Server 3 – 10.0.2.12 >>>> 52.9.17.16 (10.0.1.210)
Server -3
10.0.1.210/24
SG-Trust-2
SG-Trust-2
SG-Trust-1
SG-Trust-11
SG-Trust-1
&
SG-Trust-11
제안 가능한 시나리오

16. USE CASE-1 : 구성 연동 화면

17. Internet
Mgt Console
VPC-1 VPC-2
10.0.0.0/16 192.168.0.0/16
E0 / MGT
10.0.0.10/24
E1/1
10.0.1.10/24
E1/2
10.0.2.10/24
(52.8.51.249)
Server
10.0.1.200/24 Server
192.168.1.200/24
E0 / MGT
192.168.0.10/24
E1/2
192.168.2.10/24
(52.8.203.197)
E1/1
192.168.1.10/24
Tunnel Interface .2
2.2.2.1
Tunnel Interface .2
2.2.2.2
USE CASE-2 : VPC Peering / Securing VPC to VPC

18. Internet
Mgt Console
VPC-2
Server
10.129.40.156/24
10.129.40.32/24
Public Interface
111.223.77.220/27
E1/2
192.168.2.10/24
(52.8.203.197)
E0 / MGT
192.168.0.10/24
E1/1
192.168.1.10/24
Server
192.168.1.200/24
Tunnel Interface .1
1.1.1.2
Tunnel Interface .1
1.1.1.1
Data Center
USE CASE-3 : Hybrid Cloud

19. Internet
Server -1 (1A)
10.0.2.113
Server -2 (1C)
10.0.12.113
Route53 DNS
http://
loadbalancetest.aws.com
Subnet 10.0.2.0/24
Subnet 10.0.12.0/24
US-West-1A
US-West-1C
Trust
E1/2 – 10.0.2.10
Trust
E1/2 – 10.0.12.10Un-Trust
E1/1 - 10.0.10.10
Un-Trust
E1/1 - 10.0.0.10
Mgt
10.0.10.11
Mgt
10.0.0.11
VPC-3
USE CASE-4 : 멀티 AZ간 Load Balancing

20. Internet
Mgt Security
Group
(10.0.0.0/24)
Public
Security
Group
(10.0.0.0/24)
Private Security Group
(10.0.01.0/24)
Users
Mgt Console
MGT- E0 : 10.0.0.101/24
(EIP: 54.149.190.4)
E1/2 (1) : 10.0.0.10
E1/2 (2) : 10.0.0.130
EIP-1 : 54.68.12.139
EIP-2 : 54.187.52.149
E1/1 – 10.0.1.10/24
Amazon Linux
Apache Web
Server
RedHat Apache
Web Server
E0 –
10.0.1.62/24
E0 :10.0.0.113/24
Amazon Linux
Apache Web
Server
E0 – 10.0.1.63/24
E1: 10.0.1.113/24
Elastic
Load
Balancing
or
3rd Party
LB
NAT – 54.68.12.139 & 54.187.52.149
To (10.0.0.10)
ELB VIP – 10.0.1.X/24
USE CASE-4 : ELB(Elastic Load Balancer)

21. Region 1
Web farm
Web farm
Internal
ELB
AZ1 AZ2
External ELB
AWS 환경의 샌드위치 구성
• 보안 및 서비스존에 대한 Scale Out
지원
• Multi-AZ에 대한 지리적 가용성 지원
• Route53 DNS를 사용한 Cross
regions
내부 서비스 자원에 대힌 Internal ELB 사용을
통한 Scale Out
USE CASE-5 : 샌드위치 ELB 구성

22. Internet
App
DB
Main RouterIGW
E1/2: External
E1/4E1/3
MGT: HA1
ACTIVE PASSIVE
ACTIVE
PASSIVE
E1/1: HA2
AWS 환경에 대한 차세대 방화벽 HA 구성
• 내부 장애 상황 발생시 이중화 구성에 따른 Active, Passive 구조 변경
• Data Plane Interface에 대한 AWS Infra환경 자동 적용(API call처리)
USE CASE-6 : 차세대 방화벽 이중화 구성(HA)

23. USE CASE-6 : HA 연동 화면(계속)

24. Active Console Passive Console
USE CASE-6 : HA 연동 화면(계속)

25. Instances
AWS Auto Scaling Group
(ASG)
AWS CloudWatch
monitoring alarm
ASG
Scaling policy
Bootstrap
Source Alarm Metrics How its used
AWS CPU %, Network,
Disk, Instance health
Metrics of apps or
VM-Series to scale
Condition Action
CPU > 60% for 10
minutes
Start 2 VM-
Series instances
Min Size: 2
Max Size: 10
New instance launched
Security Controller
aka Worker Node
PAN-
OS
Active Sessions, GP
tunnels, DP CPU%..
Security Controller
sends via API
GP tunnels < 50%
for 30 minutes
Terminate 1 GP
Gateway
USE CASE-7 : 모니터링 및 AutoScaling 활용 방안

26. AWS 환경에서의 유용한 기능

27. 다양한 모니터링 서비스 제공 및 로깅 제공

28. • 정책 업데이트 자동화를 AWS Tag 정보를 사용하여 연동 가능
비지니스 확장시 보안 정책 자동화

29. • 정책 업데이트 자동화를 AWS Tag 정보를 사용하여 연동 가능
보안 정책 자동화 및 다이나믹 어드레스 그룹 적용

30. 애플리케이션 사용 및 보안 취약점 분석 제공

31. 애플리케이션 사용 및 보안 취약점 분석 제공(계속)

32. AZ1b
Web1
DB1
Subnet1
Subnet2
Exploit 실행 단계
Next-Generation
Firewall
Threat Prevention
(Block Known Threats)
Malware 실행 단계
WildFire
(Block Unknown Threats)
Threat Prevention
(Anti-Malware)
Threat Prevention
(Prevent C&C)
채널 형성 단계
Threat Prevention
(Block Lateral Movement)
Threat Prevention
(Prevent C&C)
Data 탈취 단계
File Blocking & Data Filtering
침해 공격 라이프 사이클의 모든 단계에서 차단 가능

33. VPC환경에서의 IPS공격 방어 시연

34. 참고 소개 동영상(Joint Webinar)
팔로알토 네트웍스 & AWS
https://www.youtube.com/watch?v=fHu1Tyh3P9g