Clouding Computing virtualization security

Slides:



Advertisements
Similar presentations
ScanMail for Lotus Notes ( 주 ) 한국트렌드마이크로. RUNNING HEADER, 14 PT., ALL CAPS, Line Spacing=1 line ScanMail Notes 의 주요 기능 Domino 환경의 Antivirus, Content Filter.
Advertisements

클라우드 컴퓨팅 이은미 장다솜. 목차 Ⅰ. 서론Ⅱ. 클라우드 컴퓨팅이란Ⅲ. 클라우드 컴퓨팅 보안 실생활에 사용되고 있는 클라우드.
1 커리어넷 시스템 구성 - 장비도입 전후 비교 구분 제조 사 기종 사양 OS 용도 도입 시기 CPUMEMHDD 서버 SUN SUN FIRE V880 Ultra SPARC III 1.2GHz * 4 8G73G*6 SOLARI S 9 웹 서버 1.
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
1 08 시스템 구성도 고려사항 * 웹 서버 클러스터 구성  클러스터 구축은 ㈜ 클루닉스의 Encluster 로 구축 (KT 인증,IT 인증 획득, 실제 클러스터 구축 사이트 200 여곳 )  웹 서버 클러스터는 Dynamic, Static, Image.
Korea Virtual Payment 모바일 안전결제 (ISP) 서비스 모델 - iPhone 한국버추얼페이먼트㈜ 기술연구소
한국클라우드서비스협회 ▶ 제키톡 서비스 - 제키톡 서비스 ∙ 안드로이드 기반의 모바일 무료 메시지, 무전기, 채팅 어플리케이션으로 국내뿐만 아니라 전세계 대상으로 서비스 제공 중 ∙ 현재 안드로이드폰을 대상으로 서비스 중이며, 아이폰을.
Microsoft ANSWER 이명희 이경서 김나은 김정현 서리다 유시은 이재현 심광철.
공공기관을 위한 PC 관리 솔루션 솔루션 개요 주요 기능 구축사례 경쟁제품 비교 구축 예시 제품 정보 및 문의.
불특정 공격에 무너진 H 사 업무 시스템 서서히 저하 내부에서 원인 불명으로 네트워크의 속도가 서서히 저하 되는 현상이 발생 공격의 발생 핵심 장 비 서비스가 되다 되지 않는 현상이 심해지고 결국 핵심 장 비는 장애가 발생하게 됨 장비 장애 발생 핵심 장비 장애 전체.
Proprietary ETRI OOO 연구소 ( 단, 본부 ) 명 1 CDN 을 위한 캐시 시험 모듈 소프트웨어연구부문 빅데이터 SW 플랫폼연구부 분석소프트웨어연구실 ETRI Technology Marketing Strategy ETRI Technology Marketing.
한국예탁결제원 모바일 서비스 안내. 1. KSD 모바일 서비스 구축 배경 스마트폰 보급 및 이용확대 모바일 환경으로 서비스 환경 변화 고객 니즈 수용 및 서비스 향상.
LOGO 순천향대학교 정보보호연구실 이선호 가상화 기술.
앱인벤터 기초과정 (1차시) ㈜헬로앱스 강사: 김영준 목원대학교 겸임교수.
인사. 저희 조가 클라우드 기업 사례로 LG CNS를 조사한 이유는 LG CNS가 LG 회사에 적용한 인프라 클라우드 컴퓨팅을 상품화하여 서비스 사례를 만들어냈기 때문입니다. 7주차 과제 S2 사랑조.
Project Profile – 홍길동(2 page)
클라우드 컴퓨팅 컴퓨터 공학과 이교희 이 문서는 나눔글꼴로 작성되었습니다. 설치하기.
난이도 : 초급 제1장 앱 인벤터 소개 및 준비.
컴퓨터와 인터넷.
컴퓨터 운영체제의 역사 손용범.
목차 Contents 무선인터넷용 비밀번호 설정방법 Windows 7 Windows 8 Windows XP MAC OS.
- 세부 1 - 이종 클라우드 플랫폼 데이터 관리 브로커 연구 및 개발
네트워크 기술을 통한 현재와 미래 소개.
뇌를 자극하는 Windows Server 2012 R2
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
1. Windows Server 2003의 역사 개인용 Windows의 발전 과정
할 수 있다! 네트워크 구축 + 활용 네트워크 구성도.
뇌를 자극하는 Windows Server 2012 R2
뇌를 자극하는 Windows Server 2012 R2
20장. Hyper-V 설치와 운영(64bit 전용)
운영체제 박상민.
무선인터넷 보안기술 컴퓨터공학부 조한별.
양천구청 웹서비스 안정화 제안 LB 솔루션 작성일 : 2010/01/13 담당 : 신 상 윤 TEL :
11 장 LAN 기본 개념과 Ethernet LAN
강 명 수 LINUX 설치 강 명 수
Chapter 7. RAS(전화접속,VPN) & IAS
8장. 원격지 시스템 관리하기.
Capstone-Design : IoTeam Introduction Abstract
                              데이터베이스 프로그래밍 (소프트웨어 개발 트랙)                               퍼스널 오라클 9i 인스톨.
20장. Hyper-V 설치와 운영(64bit 전용)
개인 개발자(업체)의 신뢰 실행 환경 기술 활용을 위한 프라이빗존 (privateZone)
뇌를 자극하는 Windows Server 장. 장애 조치 클러스터.
Wireless Java Programming
Android studio로 Application 만들기.
P2P시스템에 대해서 (peer to peer)
(개정판) 뇌를 자극하는 Red Hat Fedora 리눅스 서버 & 네트워크
Cloud Computing 9 조 비즈니스IT 윤동섭 이승엽 심영준.
정보화 사회의 실생활 사례 컴퓨터개론 과제 모바일 인터넷과 차성오.
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
OS 역사 손병규.
16 장 네트워크 보안 : 방화벽과 VPN 16.1 개요 16.2 기밀성 16.3 전자 서명 16.4 인터넷 보안
인터넷 은행의 역할 現 핀테크포럼 의장 페이게이트 대표 박소영.
SSL, Secure Socket Layer
Self Introduction Template PowerPoint
네트워크 환경 구축과 이미지 전송 호스트/타겟 통신 직렬 통신을 이용한 이미지 전송 수퍼 데몬 BOOTP 환경 구축
13차시_스마트 애플리케이션 기획 스마트 미디어의 사용환경과 사용자의 특성.
클러스터 시스템에서 효과적인 미디어 트랜스코딩 부하분산 정책
암호학 응용 Applied cryptography
가상화 소개자료 02학번 이동신.
모바일(폰)메일 서비스 정흠수 최동훈.
멀티미디어시스템 제 5 장. 멀티미디어 데이터베이스 개념 IT응용시스템공학과 김 형 진 교수.
소리가 작으면 이어폰 사용 권장!.
학부 컴퓨터공학부 교육과정 (학부) 2학년 4학년 3학년 1학년 1학기 2학기 IPP 자격과정 전공트랙
WISE OLAP.
CHAP 15. 데이터 스토리지.
K PaaS-TA 앱 운영.
ARP.
소리가 작으면 이어폰 사용 권장!.
리더 코딩 스토리 디자인 박찬준 이근영 박동현 박나영
LEON3 DBT 엔진을 이용한 ERC32 기반의 하이퍼바이저 프로토 타입 개발
Presentation transcript:

Clouding Computing virtualization security 정보보안학과 32기 류덕규 2013.11.27

Contents 1. 가상화 개념 설명 2. 가상화의 구조적 보안 취약점 3. 방어포인트 Page 2

1.1 클라우드 컴퓨팅이란? 모든 소프트웨어 및 데이터는 클라우드(IDC 등 대형컴퓨터의 연합체)에 저장되고 네트워크 접속이 가능한 PC나 휴대폰, PDA 등의 다양한 단말기를 통해 장소에 구애 받지 않고 원하는 작업을 수행할 수 있는 컴퓨팅 기술 사용자는 서버, 디스크, 소프트웨어 등을 임대해서 사용하고 사용한 만큼의 요금을 서비스 회사에 지불하는 컴퓨팅 사용방식 클라우드(Cloud)라는 명칭은 IT 아키텍처 다이어그램에서 인터넷을 구름으로 표현하던 것에서 유래 개인컴퓨터가 아닌 인터넷과 연결된 메인컴퓨터에 저장해 놓고 인터넷만 접속해 있으면 어떤 단말기로도 원하는 문서작업이 가능한 환경 - 빌게이츠 - Page 3

1.2 클라우드 서비스 분류 소유방식에 따라 퍼블릭, 프라이빗, 하이브리드 등으로 구분되며, 제공되는 IT자원의 성격에 따라 IaaS, PaaS, SaaS 등으로 분류 서비스 유형 서비스 모델 퍼블릭 클라우드 SaaS (Software As A Sevice) - 인터넷 상으로 여러 사용자들에 의해 공유되는 IT 환경 - 서비스 제공자가 서비스 제공 및 관리 - 기업 또는 일반 소비자가 다양한 어플리 케이션 을 인터넷 및 웹브라우저를 통해 서비스로 제공 프라이빗 클라우드 PaaS (Platform As A Service) - 한 기업이나 기관에 의해 인트라넷 상에서 베타적으로 사용되는 IT 환경 - 기업 및 기관에 의해 통제 및 관리 - 기업이 웹 어플리케이션 등의 어플리케이션 을 개발하고 실행하기 위한 환경을 서비스 형태로 제공 하이브리드클라우드 IaaS (Infrastructure As A Service) - 한 기업이나 기관이 Private Cloud 구축 후 Public Cloud 병행사용 - 물리적 서버(CPU, Memory, O/S),스토리지 네트워크를 가상화하여 유연하게 제공하는 인프라 서비스 Page 4

1.3 Virtual 종류 Server virtual 서버,Storage ,네트워크 의 단일 플렛폼을 논리적으로 분할하여 자원을 효율적으로 사용하는 기술 Desktop virtual 개인 대스크탑 환경을 가상화 하여 용도 에 맞게 원하는 가상의 데스크탑 을 사용하는 기술 Application virtual 프로그램을 서버에 설치하고 데이터 구동을 서버자원으로 구동하여 결과 연산하여 사용자에게 결과 값만 전달하는 기술 Network virtual Storage virtual Mobile virtual Page 5

1.4 전통적 컴퓨팅과 가상화 컴퓨팅 비교 전통적 컴퓨팅 가상화 컴퓨팅 Page 6

1.5 Hypervisor Type Hypervisor Hypervisor OS Hardware Hardware hosted bare-metal Redhat CentOS Redhat CentOS Hypervisor Hypervisor OS Hardware Hardware 종 류 - VMware Workstation, VMware Fusion, - 마이크로소프트의 Virtual PC, Virtual 서버 - Oracle(SUN)의 Virtual BOX, 종 류 - Citrix의 XenServer, - Vmware의 ESX Server - Redhat 의 RHEV(KVM) - Microsoft hyper-V, Page 7

1.6 Hypervisor Network 구조 Hypervisor Server Eth0 Eth1 Virtual Switch VLAN1 / VLAN2 VLAN3 \ VLAN4 Hypervisor Server Eth0 Eth1 VLAN1 VLAN3 VLAN2 VLAN4 Virtual Switch Veth0 Veth1 Veth2 Veth3 Veth0.0 Veth0.1 Veth0.2 Veth1.0 Veth1.1 Veth1.2 Veth2.0 Veth3.0 eth0 eth1 eth0 eth0 eth0 eth0 eth0 eth0 VM1 VM2 VM3 VM4 VM5 VM6 VM8 Page 8

2.1 클라우드 컴퓨팅의 보안 취약성 및 위협 데이터 유출 위협 클라우드 컴퓨팅의 보안 취약성 및 위협 인증 및 권한 위협 시스템 및 네트워크 위협 시스템 악용 위협 가상머신 보안위협 가용성 및 호환성에 대한 위협 서비스 장애위협 통합 정책관리 위협 Page 9

2.2 Cloud Computing 사고사례 Page 10 [한국인터넷진흥원 자료] 일시 장애 원인 유형 회사 주요 내용 2006 하드웨어 / 시스템오류 서비스 장애 아마존 인증요청의 쇄도로 인한 인증 서버 다운 관리 부주의 데이터 손실 미디어 맥스 폐업으로 인한 2만명의 데이터 손실 2009 하드웨어 / 시스템 오류 세일즈포스 네트워크 장비외 메모리 배치 에러로 1시간 서비스 중단 이베이 페이팔 지불결제 시스템 에러로 서비스 2시간 중단 구글 Gmail 2시간 서비스 장애 반복 발생 MS 스마트폰 서비스 사이드킥 서비스 중단 구글 앱스 관리상 오류로 24시간 중단 2010 데이터 유출 BPOS 서비스 환결성정 오류로 인해 기업정보가 유출 2011 50만명 이용자외 메일내용 및 주소록이 삭제 아마존 EC2 백업 오류로 190여개 서비스 11시간 마비 애플 모바일미 마이그레이션에 따른 서버 과부하로 인한 아이클라우드 접속 불가 천재지변 일본 대지진의 영향으로 해저케이블 손상 서비스 장애 (Gmail, 안드로이드 마켓 등 서버 접속 지연) 벼락으로 인한 정전사고로 아마존 EC2 장애 해킹 후지쯔 후지쯔 클라우드 서비스 DoS 공격받아 장애 발생 2012 KT uCloud 서버 스위치 오작동, 스토리지 오작동으로 인한 서비스 장애 스토리지 저장 실패로 인한 NA2 서비스 중단 First Server 시스템 업그레이드 중 오류 발생하여 5천 698개 회사의 데이터 손실 천재 지변 폭풍우로 인한 정전사로고 아마존 EC2 장애 (인스타 그램, 넷플릭스, 핀터레스트, 헤로쿠 등외 서비스가 중단 해커(취약점 : 나의 맥북 찾기)에 의한 개인 정보의 삭제 [한국인터넷진흥원 자료] Page 10

2.3 가상화 환경에서의 기존 방화벽, IPS/IDS 한계점 가상컴퓨팅 환경 IPS / IDS Security Blind Zone Page 11

2.4 가상화 환경 보안 취약점 1/2 하드웨어 가상 네트워크를 통한 패킷 스니핑 가상컴퓨팅 환경 하이퍼바이저 가상스위치 공격자 A기업 B유저 C정부 2. 공격자VM에서 ARP 캐시포이즈닝 1. 공격 용 VM접속(임대또는 해킹) 하이퍼바이저 가상스위치 3. 가상스위치에 연결된 VM의 송/수신패킷 스니핑 하드웨어 물리NIC Page 12

2.5 가상화 환경 보안 취약점 2/2 하드웨어 가상 머신,하이퍼바이저 해킹 및 악성코드감염 가상컴퓨팅 환경 하이퍼바이저 1) Guest OS 악성감염 2) Guest OS -> Guest OS 감염 3) Guest OS -> 하이퍼바이저 감염 4) Hypervisor -> 풀 맴버 Hypervisor 감염 하이퍼바이저 하드웨어 Page 13

2.6 가상화 VM 환경에서의 보안 한계점 하드웨어 Security Blind Zone 가상화 환경 하이퍼바이저 패치 적용시 까지 수 일 또는 몇 달 수요 (빠른 업데이트로 인한 가상화 환경의 오작동 발생) 서비스 만료된 OS/App 의 보안 취약점 (업데이트 서비스 이용불가) 가상화 환경에서의 백신 및 특정 보안프로그램으로 인한 성능 저하 및 시스템 오작동 AV Storm / Inter-VM Attack 하이퍼 바이저 루트킷 등과 같은 하이퍼바이저에 대한 공격 에 대한 탐지 불가 악성코드로인한 시스템 환경값에 대한 위변조 감지 어려움 하이퍼바이저 하드웨어 Security Blind Zone Page 14

(CPU, Memory, Nic, Disk, 기타) 3.1 기존 가상화 환경의 제한적인 방어 포인트 가상화 환경 - 백신 - OS보안패치 - APP업데이트 - LDAP 서비스로 인한 접근제어 보안 - OS모니터링 솔루션 윈도우 리눅스 MAC 기타 Hypervisor 가상스위치 Hypervisor 에 대한 보안 솔루션, 없음 Hardware (CPU, Memory, Nic, Disk, 기타) Hardware 에 대한 통합 중앙제어 솔루션 없음 <통합 모니터링 솔루션만 존재> Page 15

3.2 Vmware ESX 의 VShield 솔루션 가상화 환경 백신, 가상NIC방화벽, 가상시스템간 트래픽 방화벽 등 vSphere 와 연동되는 API 제품 - vShield Zones - VShield Edge - vShield App - vShield Endpoint Vmware ESX Hypervisor 가상스위치 Hardware (CPU, Memory, Nic, Disk, 기타) Page 16

(CPU, Memory, Nic, Disk, 기타) 3.2 미래의 가상화 보안환경 및 관리 예상 가상화 환경 리눅스 MAC 윈도우 H/W 통합 관리 어플리케이션보호(보안 Update) 운영체제 보호(백신, OS Update, LDAP 권한부여) Hypervisor 감독관(kernel 적제) 1) : Hypervisor 감시 2) : Vswitch or 가상네트워크 패킷 모니터링 3) : VM 네트워크 패킷 모니터링 Hypervisor 가상스위치 Hardware (CPU, Memory, Nic, Disk, 기타) Hardware 통합 제어 관리툴 제공 <H/W 벤더 제공> Page 17

Q&A Page 18

참조 자료 http://Kiss.co.kr http://ants.mju.ac.kr/2012Fall/cloud2 [논문] 민영기,고갑승 클라우드 컴퓨팅 환경에서의 가상머신 보안 취약점 탐지도구 설계 [논문]클라우드 서비스 가상화 내부 환경을 위한 BareMetal Hypervisor 기반 보안 구조 설계 Page 19

건국 정보통신 대학원 31기 류덕규 2013. 11. 27 dangun100@naver.com Page 20