임관수 부장

SDDC 기술을 적용한 VDI의 새로운 아키텍쳐

Horizon 7으로 데스크톱, 애플리케이션 및 데이터 보호

Just-in-Time

데스크톱

네트워크 보안 애플리케이션

수명주기 관리

프로필 및

스마트 정책

중앙 집중식

제공 및 제어

액세스 및 인증

#ADV1587BU CONFIDENTIAL 2

Horizon 7을 통해 운영 체제와 애플리케이션에 패치 적용

• 마스터 가상 머신에 패치 적용 및 풀 업데이트

• 시스템 관리자가 패치 수준 제어

– 최신 버전의 맬웨어 방지 정의를 포함할 수 있음

– 애플리케이션 업데이트/패치를 포함할 수 있음

• 마지막 정상 상태로 풀을 복원할 수 있음

– 맬웨어 발견 시 문제 해결도 가능

제어 및 일관성 유지

데이터스토어 1

1

마스터 가상 머신

2

복제본 1

1

2

복제본 2

데스크톱

#ADV1587BU CONFIDENTIAL 3

Just-in-Time 데스크톱 인스턴트 클론, 사용자 환경 관리(UEM), App Volumes와 같은 혁신적인 기술을

사용하는 Horizon은 진정한 의미의 '상태 정보를 저장하지 않는' 데스크톱을 직원에게

제공하여 IT가 데스크톱과 애플리케이션 관리를 그 어느 때보다 간소화할 수 있도록

보장합니다.

스토리지 비용을

30% 이상 절감

애플리케이션을

즉시 제공

운영 비용을 50% 이상 절감

#ADV1587BU CONFIDENTIAL 4

App Volumes 관리형 애플리케이션 컨테이너

설정

데이터/파일 애플리케이션

App Volumes 에이전트

기존 Just-in-Time 애플리케이션 모델

운영 체제 운영 체제

AppStack 쓰기 가능 볼륨 AppStack

#ADV1587BU CONFIDENTIAL 5

스마트 정책

개요

• 데스크톱 기능 사용자 지정

• 포함된 기능:

– 클립보드 잘라내기/붙여넣기

– 클라이언트 드라이브 리디렉션

– USB

– 인쇄

– 대역폭 프로필

• 조건부 정책 기준:

– 사용자 ID

– 위치

– 풀 이름

– 기타

이점

• 사용자 ID나 위치에 따라 데스크톱 또는

애플리케이션 보호

• 세션 기간 동안 상태 재평가

• 데스크톱 환경 간소화: 유연한 정책을

기반으로 간편하게 단일 데스크톱 이미지

사용자 지정 가능

#ADV1587BU CONFIDENTIAL 6

TAKE THE EASY PATH WITH SDDC FOR FASTER/SECURE TO VALUE

8 © 2017 VMware Inc. All rights reserved.

SDDC 기술을 적용한 VDI의 새로운 아키텍쳐

인프라 투자 비용절감

손쉬운 확장성 및 성능

손쉬운 관리성

전통적인 VDI 아키텍쳐

Servers

and Blades

External

Storage

Networking

Hardware

SDDC 기술을 적용한 VDI 아키텍쳐

통합관리

가상화 인프라 Compute | Storage | Network

Built on Industry-Standard

Servers and Switches

Virtualization

x86 인프라

Legacy

Storage

vSAN

Storage

Legacy

Storage

vSAN

Storage

vSAN

Storage Legacy

Storage

Horizon과 NSX(네트워크 가상화)

기존 클라이언트 컴퓨팅

• "종방향" 트래픽만 지원

– 네트워킹은 간단하며 종방향만 지원

– "종방향" 위협 패턴

– 간단한 보호 시나리오

– 가장자리에서 DMZ 영역을 통한 보안

• "미사용 데이터"가 주된 우려 사항

– Endpoint 로컬 스토리지에 미션 크리티컬 데이터 저장

– 데스크톱 가상화의 일반적인 동인

• 기업 및 기관의 데스크톱 가상화를 통한 이점:

– 컴퓨팅 및 스토리지 리소스 최적화

– 미사용 데이터 보호(데이터 센터로 이동)

– 종방향 위협에 대한 제어 향상

데이터 센터

#ADV1587BU CONFIDENTIAL 13

데스크톱 및 애플리케이션 가상화의 이점 데스크톱 및 애플리케이션 가상화로 운영 체제, 애플리케이션 및 데이터를 데이터 센터에 배치

가상 데스크톱

기기에 저장된 데이터의

손실(기기 분실, 도난,

손상) 방지

기기에 설치된 주요

애플리케이션에 대한

무단 액세스

지사 인프라 설치 공간

감소(파일/인쇄/e-메일

서버 등)

효율적인 중앙 집중식

백업 지원

취약점에 대한 중앙

집중식 패치 적용

✔

✔

✔

✔

✔

SAP, Oracle Exchange 등

엔터프라이즈 스토리지 다른 사용자

WWW

WWW

#ADV1587BU CONFIDENTIAL 14

데이터 센터의 현재 당면 과제 데이터 센터 내 넓은 공격 면적

데스크톱과 인프라 간 여러 개별 "횡방향" 흐름 사용자 행위

제로데이 공격

손상된

인터넷 웹 사이트

데스크톱 간 해킹

데스크톱 및

서버 간 해킹

횡방향 횡방향

가상 데스크톱 데이터

센터

SAP, Oracle Exchange 등

엔터프라이즈 스토리지 다른

사용자

WWW

#ADV1587BU CONFIDENTIAL 15

VDI Networking

16 16

PERIMETER SECURITY

VDI Networking

17 17

PERIMETER SECURITY

NGFW IPS WAF sFW ENC

VDI 환경 내에서 횡방향 보호 규정 준수 및 리스크 완화에 집중하는 기업 및 기관은

데이터 센터 내 횡방향 흐름을 보호하는 보안 영역을 구현

• 구축하기 어려움

• 많은 물리적 인프라가 필요

• 관리가 복잡함

중앙 집중식

가상 데스크톱

공유 서비스

DMZ

DB 영역 원격

작업자

영역

엔지니어링

영역

개발

영역

재무

영역

기업

영역

PCI 영역

관리 영역

#ADV1587BU CONFIDENTIAL 18

기존 네트워킹 및 보안의 복잡성

공유 서비스 DMZ

DB 영역 원격 작업자 영역

엔지니어링 영역

개발 영역

재무 영역

기업 영역

인터넷 내부 네트워크

PCI 영역

관리 영역

중앙 집중식

가상 데스크톱

#ADV1587BU CONFIDENTIAL 19

네트워크, 스토리지, 서버(Compute)

가상화 계층(Layer)

Hypervisor Hypervisor

vSwitch vSwitch

VDI 인프라를 위한 NSX의 혜택

Hypervisor

vSwitch

In-hypervisor (on-prem)

as a Service (cloud)

Hardware/Cloud independent

네트워크 및 보안 서비스

VDI 인프라를 위한 NSX의 혜택

Switching Routing Firewalling Load balancing

Switching Routing Firewalling Load balancing

Hypervisor

vSwitch

네트워크, 스토리지, 서버(Compute)

가상화 계층(Layer)

“네트워크 플랫폼”

가상 네트워크

VDI 인프라를 위한 NSX의 혜택

Switching Routing Firewalling Load balancing

Switching Routing Firewalling Load balancing

VDI 인프라를 위한 NSX의 혜택 When threats breach the perimeter, it’s hard to stop lateral spread

23

INTERNET

네트워크 경계 (NETWORK PERIMETER)

취약한 시스템이 공격의 1차 목표

공격자는 확보된 거점을 통해

데이터센터내에서 쉽게 확산

공격자는 내부의 중요한

데이터를 수집/유출

MICRO-SEGMENTATION

VDI 인프라를 위한 NSX의 혜택 Enforce security at the most granular level of the data center?

24

모든 VM은 :

개별 보안정책 적용

개별 방화벽 적용 INTERNET

네트워크 경계 (NETWORK PERIMETER)

MICRO-SEGMENTATION

VMware NSX – ID 기반 보안정책

NSX 사용 전

• VLAN의 모든 데스크톱이 자유롭게

통신할 수 있음

•데스크톱 하나가 손상되면 횡방향 이동을

제한할 수 없음

NSX 사용

•마이크로 세분화를 통해 공유 VLAN에서도

데스크톱을 정밀하게 제어 가능

•사용자/그룹 기반 액세스 제어

•필요한 경우 NGFW 리디렉션을 사용하여

VDI의 애플리케이션 액세스 제어

Jennifer (재무)

파일 인사 재무 e-메일 SharePoint

네트워크

Bob (인사)

인사 재무

#ADV1587BU CONFIDENTIAL 25

시스템 관리자

영업

개발자

안전한 Just-in-Time 데스크톱

NSX의

네트워크 정책

영업

개발자

시스템 관리자

영업

개발자

시스템 관리자

App Volumes의

애플리케이션 계층

영업

개발자

시스템 관리자

UEM을 이용한

개인화

역할 기반 데스크톱 생성 및 사용자 지정

영업

데스크톱

시스템

관리자

데스크톱

개발자

데스크톱

단일 풀

상태 정보를

저장하지 않는

데스크톱 영업

개발자

시스템 관리자

#ADV1587BU CONFIDENTIAL 26

NSX 기술협력 파트너

Compute

Infrastructure

Network

Infrastructure

Networking &

Security

Services

Orchestration &

Management

Platforms Operations &

Visibility

vRealize Automation

vCloud Director

vRealize Orchestrator VIO

vSAN Ready Node

VDI 환경에 맞게 성능 최적화 관리

네트워크 사용량

검사 속도

CPU/메모리 사용량

IOPS

스토리지

ESXi

SAN

#ADV1587BU CONFIDENTIAL 28

VDI 환경에 맞게 성능 최적화

ESXi

SAN

검사 캐시

최대 20배 빠른* 전체 검사

최대 5배 빠른 실시간 검사

최대 2배 빠른 VDI 로그인

최대 30% 향상된 가상 머신 밀도

#ADV1587BU CONFIDENTIAL 29

NSX 서비스 컴포저 및 타사 서비스 추가 문제 해결 시까지 취약 시스템 차단 보안 그룹 = 차단

구성원 = {Tag = ‘ANTI_VIRUS.VirusFound’}

보안 그룹 = 표준

정책 정의

표준 정책

바이러스 백신 – 검사

차단된 정책

방화벽 – 보안 툴을 제외하고 모두 차단

바이러스 백신 – 검사 및 문제 해결

#ADV1587BU CONFIDENTIAL 30

감사합니다.