Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
© 2009 IBM Corporation
현재와 미래의 클라우드 컴퓨팅과정보보안
2009. 11. 17
© 2009 IBM Corporation
위기 속의 지구(SOURCE: NASA)
© 2009 IBM Corporation
위기 속의 지구
(SOURCE: Ndaily)
© 2009 IBM Corporation
위기를 타개하기 위한 비즈니스 요구
High-Efficiency
Mobility
Globalization
Open Standard
Communication
Federation
Cost Reduction
Collaboration
Synergy
Convergence
© 2009 IBM Corporation
비즈니스 요구에 대한 IT의 답변
CloudComputing
© 2009 IBM Corporation
클라우드 컴퓨팅이란?새로운 사용 방식이자 비즈니스 모델
클라우드 컴퓨팅은 하드웨어, 소프트웨어, 데이터 등의 IT자원이 웹을 통해 표준화된 ‘서비스’ 의 형태로 제공되는 모델입니다.
클라우드로 제공되는 서비스에 대해 사용자는 언제, (IP지원이 되는) 어떤 장비를 통해서든,원하는 만큼의 서비스를골라서 사용 할 수 있으며, 사용량에 기반하여 비용을 지불 하는 비즈니스 모델입니다.
고도의 인프라 관리 표준 요구
클라우드 인프라는기존 인프라의 통합과 고도의 가상화 를 통하여 사용률의 극대화를 지향 합니다. 따라서 인프라의
단순화(Simplification)를 실현하며, 궁극적으로비용 절감에 기여 하게 됩니다.
클라우드 서비스 및 자원을관리하고 모니터
클라우드서비스관리자
데이터센터자원들
서비스카탈로그,
컴포넌트 라이브러리
서비스사용자
컴포넌트 업체/
소프트웨어공급자
서비스에 접근Cloud
© 2009 IBM Corporation
클라우드 컴퓨팅의 속성
특징 사용자 이익
유연한 가격 체계
사용한 만큼 과금하는 형태이기 때문에 지불의 형태가다양하고 자유로워 기존과는 달리 IT서비스를 유연한가격체계로 이용되게 함
사용한 만큼 비용을 지불하는 Cloud computing의 모델은 고객이 TCO 절감을 할 수 있도록 해주며, 운영 효율성과 생산성을 향상시켜 줌
탄력적인 자원 할당
요구 변화에 신속히 대처할 수 있는 가변적 용량 분배기능을 갖추고 있음. 24시간 가용성이 확보되어 있으며, 자원 분배/회수가 자동화 되어 있음
기존 자원의 utilization의 향상 및 최적화 할 수 있음
신속한 자원 배포
(자원 배포와 회수의 자동화)
IT와 네트워크 용량 할당이 거의 자동적으로 이루어지기 때문에 신속한 자원 배포가 이루어지고, 리소스의ownership 변경 없이 인터넷 표준을 통해 사용할 수있음
기존에 자원 할당을 위한 시간을 줄일수 있어 신속한 서비스 수행이 가능, Time to market 역량 향상으로 비즈니스 창출에 기여
진보된 가상화
분산되어 있는 서버, 스토리지, 네트워크 등 IT자원을물리적으로 가상화하여 독립적이고 효율적인 인프라 사용이 가능토록 함
효율적인 인프라 사용 가능
표준화된 서비스 제공
사용할 수 있는 서비스를 미리 정의하고 카탈로그 형태로 제공함. 별도의 customization이 없음.
Customization을 위한 시간 및 비용절감 효과를 볼 수 있음
© 2009 IBM Corporation
클라우드 컴퓨팅의 분류
Infrastructure as a service (IaaS)(가상화된 서버, 스토리지, 네트워크)
Software as a service (SaaS)(서비스로써의 어플리케이션, 프로세스, 정보)
Platform as a service (PaaS)(최적화된 미들웨어, 개발 환경, 포탈 서버 등)
Public Clouds(서비스 Provider - 인터넷) Private Clouds
(데이터센터 - 인트라넷)Hybrid Clouds(Public and Private)
서비스
클라우드제공 형태
클라우드서비스모델
© 2009 IBM Corporation
클라우드 컴퓨팅의 환경
(SOURCE: Wikipedia)
Thin Client
SAML
© 2009 IBM Corporation
기업 내 클라우드 컴퓨팅 사례 – IBM RC2전세계 IBM 연구소에서 연구에 필요한 컴퓨팅 리소스를 셀프서비스 온디맨드 형태로 제공하는 클라우드 환경을 구축
1
연구에 필요한 리소스 요청 – 요청에 대한 승인 – Email 알림 – 자원할당 – 자원 모니터링의 전 과정이 자동화됨
2
기대효과(TAP기준)3
$3.4M Annual Expense
Liberated
funding for
transformation
investment or
direct saving
Depreciation
(and Amortization)
New Development
Depreciation
( - 91.6 percent)
Labor Cost
( - 80.7 percent)
Deployment (1-time)
New
Development
(for Business
Enabling
Capabilities)
Software and other costs
Without cloud With cloud$1.03M Annual Expense
Software and Other Costs
Labor Costs (Operations
and Maintenance)
IndiaZurich
Research Compute
Cloud (RC2)
Watson
© 2009 IBM Corporation
기업 내 클라우드 컴퓨팅 사례 – IBM RC2
© 2009 IBM Corporation
Next! 클라우드 컴퓨팅 서비스 간 연합
•CeBIT 2009 - New Cloud Technology: Real-Time Application Mobility
© 2009 IBM Corporation
Next! 모바일 클라우드 컴퓨팅
항상 연결되어 있다!!!
Phone ≠ PhonePhone = Thin Client
무한한 가능성
Self-Revolution
CloudComputing
© 2009 IBM Corporation
클라우드 보안?
?
통제할 수 있다.
자산들은 특정 위치에 있고.
서버의 수량과 종류를 알고 있다.
주기적인 백업과 관리자에 의해접근 통제를 수행한다.
가동 시간은 충분하며,
보안팀을 운영하고,
정해진 기간에 감사를 받는다.
누가 통제하는가?
우리의 정보가 어디에 있고?
어디에 저장되며?
누가 백업하고?
누가 접근하며?
어떻게 서비스 지속성을확복하고?
어떻게 감사하며?
어떻게 우리 보안팀이관여할 것인가?
?
?
?
??
오늘날 전산 센터 미래의 클라우드 컴퓨팅 환경
© 2009 IBM Corporation
클라우드 컴퓨팅 하에서의 보안 이슈
© 2009 IBM Corporation
가상 환경에서의 보안 위협
매력적인 정보 저장소로써의 동기 부여!!
Hardware
Hypervisor/VMM
Ma
na
ge
me
nt
Hardware Virtualization
Service
Partition
(Dom0, Svc Console)A
pp
lica
tio
n/S
erv
ice
Ap
plic
atio
n/S
erv
ice
Operating
System
Ap
plic
atio
n/S
erv
ice
Ap
plic
atio
n/S
erv
ice
Operating
System
Ap
plic
atio
n/S
erv
ice
Ap
plic
atio
n/S
erv
ice
Hyper-jacking과 VM 도난
기존 보안 위협과
동일
잠재적인
관리 취약성 노출
가상화 지원 하드웨어를목표로 하는 악성코드
© 2009 IBM Corporation
새로운 보안 환경과 과제
Server sprawl on steroids
Enterprise management options are not where they
need to be
Compliance and Patching
New layers to patch -virtualization software and
management stack
Maintaining security posture of VMs in a
dynamic environment
Mobility
Are VMs moving to less secure machines, networks,
datacenters, etc?
Static security policies no longer apply
Virtual Disk Protection
Entire servers are now files
Virtual Network
Software implementations of switches, adapters,
connections
Hardware
Hypervisor/VMM
Ma
na
ge
me
nt
Hardware Virtualization
Service
Partition
(Dom0, Svc Console)A
pp
lica
tio
n/S
erv
ice
Ap
plic
atio
n/S
erv
ice
Operating
System
Ap
plic
atio
n/S
erv
ice
Ap
plic
atio
n/S
erv
ice
Operating
System
Ap
plic
atio
n/S
erv
ice
Ap
plic
atio
n/S
erv
ice
© 2009 IBM Corporation
전형적인 클라우드 서비스 구성
System ResourcesNetwork, Server, Storage
Physical System and Environment
Virtualized Resources Virtual Network, Server, Storage
Operational Support ServicesInfrastructure Provisioning
Instance, Image, Resource / Asset Mgmt
Business Support ServicesOffering Mgmt, Customer Mgmt, Ordering
Mgmt, Billing
Infrastructure as a serviceVirtualized servers, storage,
networking
Platform as a serviceOptimized middleware – application servers,
database servers, portal servers
Application as a serviceApplication software licensed for use as a service provided to customers on demand
Clo
ud
Pla
tfo
rmC
lou
d D
eli
ve
red
S
erv
ice
s IAA
S
SA
AS
PA
AS
© 2009 IBM Corporation
클라우드 컴퓨팅을 위한 IBM 아키텍처 모델
Service Request & Operations Service Provider Service Creation
Service
Definition
Tools
Service
Publishing
Tools
Service
Reporting &
Analytics
Service
Planning
Role-based
Access
Service Delivery Platform “Operational Support Systems (OSS)”
Business Support Systems (BSS)
Infrastructure as a Service
Platform as a Service
Application/Software as a Service
End Users,
Operators
Service
Catalog
Operational
Console
Sta
nd
ard
s B
ase
d In
terf
aces
Cloud Services
Cloud Management Platform
© 2009 IBM Corporation
클라우드 보안 = 기존 보안 + Security as a Service
20 9/15/2009
Service Request & Operations Service Provider Service Creation
Service
Definition
Tools
Service
Publishing
Tools
Service
Reporting &
Analytics
Service
Planning
Role-based
Access
Service Delivery Platform “Operational Support Systems (OSS)”
Business Support Systems (BSS)
Infrastructure as a Service
Platform as a Service
Application/Software as a Service
End Users,
Operators
Service
Catalog
Operational
Console
Sta
nd
ard
s B
ase
d In
terf
aces
Cloud Services
Cloud Management Platform
Identity & Security as a Service
기존 보안 체계와 통합 Federated identity / identity as a service를
통해 개인정보 및 법적 문제 해결 로그 관리 및 감사, 컴프라이언스 관리 침입 탐지, Anti-Virus, Web-Filtering
Application / Software as a Service
Platform as a Service
Infrastructure as a Service
Identity & Security as a Service
Secure Runtime for Virtual Infrastructure
Business Support Services
Operational Support Services
Virtualized Resources
System Resources
Physical System / Environment
Process isolation, data segregation
Control of privileged user access
Provisioning w/ security and location constraints
Image provenance, image & VM integrity
Multi-tenant security services (identity, compliance reporting, etc.)
Multi-tenant intrusion prevention
Consistency top-to-bottom
© 2009 IBM Corporation
Identity and Security as a Service
FederatedCloud
WS-SecuritySAML
XACML
IBM RationalAppScan OnDemand
IBM Tivoli FederatedIdentity Manager
IBM TivoliSecurity Policy
Manager
© 2009 IBM Corporation
Security as a Service
Security as a Service 특성
• 새로운 위협에 따라 지속적이고 실시간 업데이트가 필요한 분야: Anti-Virus, Anti-
Spyware
• 원격에서 지원 가능하지만, 높은 수준의 경험이 필요한 분야: Scanning, Patch
Management, Security Maintenance
• 아웃소싱하는 경우, 더 비용이 젃감되는 분야: 로그 관리, 인증 관리
Email, Instant Messaging,Web Security (Symantec 인수)
Secure Web gateway(Barracuda 인수)
Web Filtering & Security(CISCO 인수)
Web Filtering & Security
Web Filtering & Security
로그 및 인증 관리, 취약점 관리Maintenance
© 2009 IBM Corporation
Secure Runtime for Virtual Infrastructure
* 기존 보안 인프라 응용
© 2009 IBM Corporation
Secure Runtime for Virtual Infrastructure
IBM ISS Proventia Virtualized Network Security Platform
네트워크 분할 기반의 물리 & 가상 네트워크 보호
가상 패치
Contents 기반 필터링과 웹 방화벽
IBM Tivoli Security Policy Manager for Infrastructure
보다 안젂한 하이퍼바이저와 가상 머신
IBM Tivoli Key Lifecycle Manager
보다 향상된 데이터 암호화와 데이터 암호화 키 관리
© 2009 IBM Corporation
Secure Runtime for Virtual Infrastructure
Security Virtual Machine
VM 네트워크 내 프로토콜 분석 모듈 기반 IPS
방화벽과 VNAC (침해 VM은 격리 및 대응을 위한 제한적 접근)
Anti-Virus, Anti-Rootkit
Virtual Infrastructure audit reporting
보안성이 보장된 이동성 확보
© 2009 IBM Corporation
Thank you!