Clouding Computing virtualization security 정보보안학과 32기 류덕규 2013.11.27
Contents 1. 가상화 개념 설명 2. 가상화의 구조적 보안 취약점 3. 방어포인트 Page 2
1.1 클라우드 컴퓨팅이란? 모든 소프트웨어 및 데이터는 클라우드(IDC 등 대형컴퓨터의 연합체)에 저장되고 네트워크 접속이 가능한 PC나 휴대폰, PDA 등의 다양한 단말기를 통해 장소에 구애 받지 않고 원하는 작업을 수행할 수 있는 컴퓨팅 기술 사용자는 서버, 디스크, 소프트웨어 등을 임대해서 사용하고 사용한 만큼의 요금을 서비스 회사에 지불하는 컴퓨팅 사용방식 클라우드(Cloud)라는 명칭은 IT 아키텍처 다이어그램에서 인터넷을 구름으로 표현하던 것에서 유래 개인컴퓨터가 아닌 인터넷과 연결된 메인컴퓨터에 저장해 놓고 인터넷만 접속해 있으면 어떤 단말기로도 원하는 문서작업이 가능한 환경 - 빌게이츠 - Page 3
1.2 클라우드 서비스 분류 소유방식에 따라 퍼블릭, 프라이빗, 하이브리드 등으로 구분되며, 제공되는 IT자원의 성격에 따라 IaaS, PaaS, SaaS 등으로 분류 서비스 유형 서비스 모델 퍼블릭 클라우드 SaaS (Software As A Sevice) - 인터넷 상으로 여러 사용자들에 의해 공유되는 IT 환경 - 서비스 제공자가 서비스 제공 및 관리 - 기업 또는 일반 소비자가 다양한 어플리 케이션 을 인터넷 및 웹브라우저를 통해 서비스로 제공 프라이빗 클라우드 PaaS (Platform As A Service) - 한 기업이나 기관에 의해 인트라넷 상에서 베타적으로 사용되는 IT 환경 - 기업 및 기관에 의해 통제 및 관리 - 기업이 웹 어플리케이션 등의 어플리케이션 을 개발하고 실행하기 위한 환경을 서비스 형태로 제공 하이브리드클라우드 IaaS (Infrastructure As A Service) - 한 기업이나 기관이 Private Cloud 구축 후 Public Cloud 병행사용 - 물리적 서버(CPU, Memory, O/S),스토리지 네트워크를 가상화하여 유연하게 제공하는 인프라 서비스 Page 4
1.3 Virtual 종류 Server virtual 서버,Storage ,네트워크 의 단일 플렛폼을 논리적으로 분할하여 자원을 효율적으로 사용하는 기술 Desktop virtual 개인 대스크탑 환경을 가상화 하여 용도 에 맞게 원하는 가상의 데스크탑 을 사용하는 기술 Application virtual 프로그램을 서버에 설치하고 데이터 구동을 서버자원으로 구동하여 결과 연산하여 사용자에게 결과 값만 전달하는 기술 Network virtual Storage virtual Mobile virtual Page 5
1.4 전통적 컴퓨팅과 가상화 컴퓨팅 비교 전통적 컴퓨팅 가상화 컴퓨팅 Page 6
1.5 Hypervisor Type Hypervisor Hypervisor OS Hardware Hardware hosted bare-metal Redhat CentOS Redhat CentOS Hypervisor Hypervisor OS Hardware Hardware 종 류 - VMware Workstation, VMware Fusion, - 마이크로소프트의 Virtual PC, Virtual 서버 - Oracle(SUN)의 Virtual BOX, 종 류 - Citrix의 XenServer, - Vmware의 ESX Server - Redhat 의 RHEV(KVM) - Microsoft hyper-V, Page 7
1.6 Hypervisor Network 구조 Hypervisor Server Eth0 Eth1 Virtual Switch VLAN1 / VLAN2 VLAN3 \ VLAN4 Hypervisor Server Eth0 Eth1 VLAN1 VLAN3 VLAN2 VLAN4 Virtual Switch Veth0 Veth1 Veth2 Veth3 Veth0.0 Veth0.1 Veth0.2 Veth1.0 Veth1.1 Veth1.2 Veth2.0 Veth3.0 eth0 eth1 eth0 eth0 eth0 eth0 eth0 eth0 VM1 VM2 VM3 VM4 VM5 VM6 VM8 Page 8
2.1 클라우드 컴퓨팅의 보안 취약성 및 위협 데이터 유출 위협 클라우드 컴퓨팅의 보안 취약성 및 위협 인증 및 권한 위협 시스템 및 네트워크 위협 시스템 악용 위협 가상머신 보안위협 가용성 및 호환성에 대한 위협 서비스 장애위협 통합 정책관리 위협 Page 9
2.2 Cloud Computing 사고사례 Page 10 [한국인터넷진흥원 자료] 일시 장애 원인 유형 회사 주요 내용 2006 하드웨어 / 시스템오류 서비스 장애 아마존 인증요청의 쇄도로 인한 인증 서버 다운 관리 부주의 데이터 손실 미디어 맥스 폐업으로 인한 2만명의 데이터 손실 2009 하드웨어 / 시스템 오류 세일즈포스 네트워크 장비외 메모리 배치 에러로 1시간 서비스 중단 이베이 페이팔 지불결제 시스템 에러로 서비스 2시간 중단 구글 Gmail 2시간 서비스 장애 반복 발생 MS 스마트폰 서비스 사이드킥 서비스 중단 구글 앱스 관리상 오류로 24시간 중단 2010 데이터 유출 BPOS 서비스 환결성정 오류로 인해 기업정보가 유출 2011 50만명 이용자외 메일내용 및 주소록이 삭제 아마존 EC2 백업 오류로 190여개 서비스 11시간 마비 애플 모바일미 마이그레이션에 따른 서버 과부하로 인한 아이클라우드 접속 불가 천재지변 일본 대지진의 영향으로 해저케이블 손상 서비스 장애 (Gmail, 안드로이드 마켓 등 서버 접속 지연) 벼락으로 인한 정전사고로 아마존 EC2 장애 해킹 후지쯔 후지쯔 클라우드 서비스 DoS 공격받아 장애 발생 2012 KT uCloud 서버 스위치 오작동, 스토리지 오작동으로 인한 서비스 장애 스토리지 저장 실패로 인한 NA2 서비스 중단 First Server 시스템 업그레이드 중 오류 발생하여 5천 698개 회사의 데이터 손실 천재 지변 폭풍우로 인한 정전사로고 아마존 EC2 장애 (인스타 그램, 넷플릭스, 핀터레스트, 헤로쿠 등외 서비스가 중단 해커(취약점 : 나의 맥북 찾기)에 의한 개인 정보의 삭제 [한국인터넷진흥원 자료] Page 10
2.3 가상화 환경에서의 기존 방화벽, IPS/IDS 한계점 가상컴퓨팅 환경 IPS / IDS Security Blind Zone Page 11
2.4 가상화 환경 보안 취약점 1/2 하드웨어 가상 네트워크를 통한 패킷 스니핑 가상컴퓨팅 환경 하이퍼바이저 가상스위치 공격자 A기업 B유저 C정부 2. 공격자VM에서 ARP 캐시포이즈닝 1. 공격 용 VM접속(임대또는 해킹) 하이퍼바이저 가상스위치 3. 가상스위치에 연결된 VM의 송/수신패킷 스니핑 하드웨어 물리NIC Page 12
2.5 가상화 환경 보안 취약점 2/2 하드웨어 가상 머신,하이퍼바이저 해킹 및 악성코드감염 가상컴퓨팅 환경 하이퍼바이저 1) Guest OS 악성감염 2) Guest OS -> Guest OS 감염 3) Guest OS -> 하이퍼바이저 감염 4) Hypervisor -> 풀 맴버 Hypervisor 감염 하이퍼바이저 하드웨어 Page 13
2.6 가상화 VM 환경에서의 보안 한계점 하드웨어 Security Blind Zone 가상화 환경 하이퍼바이저 패치 적용시 까지 수 일 또는 몇 달 수요 (빠른 업데이트로 인한 가상화 환경의 오작동 발생) 서비스 만료된 OS/App 의 보안 취약점 (업데이트 서비스 이용불가) 가상화 환경에서의 백신 및 특정 보안프로그램으로 인한 성능 저하 및 시스템 오작동 AV Storm / Inter-VM Attack 하이퍼 바이저 루트킷 등과 같은 하이퍼바이저에 대한 공격 에 대한 탐지 불가 악성코드로인한 시스템 환경값에 대한 위변조 감지 어려움 하이퍼바이저 하드웨어 Security Blind Zone Page 14
(CPU, Memory, Nic, Disk, 기타) 3.1 기존 가상화 환경의 제한적인 방어 포인트 가상화 환경 - 백신 - OS보안패치 - APP업데이트 - LDAP 서비스로 인한 접근제어 보안 - OS모니터링 솔루션 윈도우 리눅스 MAC 기타 Hypervisor 가상스위치 Hypervisor 에 대한 보안 솔루션, 없음 Hardware (CPU, Memory, Nic, Disk, 기타) Hardware 에 대한 통합 중앙제어 솔루션 없음 <통합 모니터링 솔루션만 존재> Page 15
3.2 Vmware ESX 의 VShield 솔루션 가상화 환경 백신, 가상NIC방화벽, 가상시스템간 트래픽 방화벽 등 vSphere 와 연동되는 API 제품 - vShield Zones - VShield Edge - vShield App - vShield Endpoint Vmware ESX Hypervisor 가상스위치 Hardware (CPU, Memory, Nic, Disk, 기타) Page 16
(CPU, Memory, Nic, Disk, 기타) 3.2 미래의 가상화 보안환경 및 관리 예상 가상화 환경 리눅스 MAC 윈도우 H/W 통합 관리 어플리케이션보호(보안 Update) 운영체제 보호(백신, OS Update, LDAP 권한부여) Hypervisor 감독관(kernel 적제) 1) : Hypervisor 감시 2) : Vswitch or 가상네트워크 패킷 모니터링 3) : VM 네트워크 패킷 모니터링 Hypervisor 가상스위치 Hardware (CPU, Memory, Nic, Disk, 기타) Hardware 통합 제어 관리툴 제공 <H/W 벤더 제공> Page 17
Q&A Page 18
참조 자료 http://Kiss.co.kr http://ants.mju.ac.kr/2012Fall/cloud2 [논문] 민영기,고갑승 클라우드 컴퓨팅 환경에서의 가상머신 보안 취약점 탐지도구 설계 [논문]클라우드 서비스 가상화 내부 환경을 위한 BareMetal Hypervisor 기반 보안 구조 설계 Page 19
건국 정보통신 대학원 31기 류덕규 2013. 11. 27 dangun100@naver.com Page 20