'Security'에 해당되는 글 1건

  1. 2015.10.02 SecureVM for the Hybrid Cloud
분류없음2015.10.02 17:52

 

Cloud, Security,Hypervisor, Private, Public,Hybrid, Computing, CloudLink, SecureVM, Virtual, Machine    : Today Key

오랜만에 포스팅 해 봅니다.  

오늘은 클라우드 환경에서의 VM에 대한 보안을 위한 SecureVM이라는 솔루션에 대해서 간략하게 소개해보는 포스팅입니다. 

기존의 VM간의 통신 보안을 위한 가상 방화벽과는 조금은 다른 측면에서의 보안 솔루션입니다.

 


 

 

CloudLink SecureVM

  CloudLInk SecureVM 클라우드 환경에서 VM 암호화하여 관리할 있는 솔루션

  Multi-tenant 인프라환경에서 VM 암호화를 통한 보안 강화

  Windows, Linux 지원

  Private Public Cloud 지원

 

 

 

SecureVM 보안 영역

  Data 볼륨 암호화

  Boot 볼륨 암호화

  VM Pre-Boot 인증

 

기존 Native OS 암호화 방식 사용

  Windows에서는 BitLocker, Linux에서는 eCryptfs 사용

  장점

       -  배포가 빠름

       -  Application 수정이 필요가 없음

       -  데이터 암호화 성능에 대한 오버헤드가 없음

 

eCryptfs

       - Linux File system 암호화 기술

       - User Login 시에 복호화 데이터로 Mount 되고, Log-out시에 자동으로 UnMount되면서 데이터는 암호화

       - 정상적인 접근 이외에는 암호화된 데이터에서 복호화 되지 않았기 때문에 데이터를 없음.

 

BitLocker

       -  Windows 데이터 보호 기술

       -  TPM 사용한 시스템 무결성 확인

        TPM 버전 1.2 또는 2.0  / TPM이 BitLocker를 사용하는 데 필요하지는 않지만,

             TPM은 설치된 컴퓨터에서만 추가 보안 기능인 시작 전 시스템 무결성 확인 및 다단계 인증을 제공할 수 있습니다.

            (TPM 변경되면 운영체제 무결성 검사에 실패)

           * CloudLink Center Software TPM 방식

BitLocker 참조 : https://technet.microsoft.com/ko-kr/library/cc732774.aspx

TPM 참조 :  https://technet.microsoft.com/ko-kr/library/hh831507.aspx

 

            

 

 

 

 

 SecureVM 컴포넌트

  1. CloudLInk Center Virtual appliance

        - VM Deploly, Key management,Security policy 정의,  Security monitoring,

  2. SercureVM agent

        - CloudLink Center 통신하여 Native OS 암호화를 사용하기 위한 Key 요청하고, 수신.

        - Guest OS Level에서 동작하기 때문에 Cloud Platform 적함. 이미 다양한 클라우드 플랫폼에서 테스트 완료

 

Key 관리

  Agent와의 인증을 위한 Key 관리를 Cloudlink Center 자체적으로 하거나 혹은 외부 관리(Windows AD, RSA ) 가능.

  Key 관리를 하는 Cloudlink Center 혹은 외부 관리를 경우에 해당 시스템은 Private Cloud 있는 것이 보안상 유리

 

SecureVM Agent 배포

  배포 대상

      1. 신규 생성되는 VM

      2. 현재 운영 중인 VM

 

  배포절차

    1. 필요한 Components 설치

     2. 인증서 생성

     3. Pre-Boot 인증 추가

     4. CloudLink Appliance 등록

     5. Disk 암호화

 

  배포 방법

    1. VM 관리자에 의한 Manual 배포

    2. 자동화 배포

           - Active Directory Group Policy

           - Configuration Management Tools (Chef, Puppet, etc..)

 

SecureVM Boot Process

   1. VM에서 OS Load되고, 암호화된 데이터에 접근하기 시작할 ,

          SecureVM 동작하면서 IP/Cloud platform/무결성 값을 확인하여, Cloudlink Center 전송하여, 해당 값을 확인 요청.

   2. CloudLink Center에서는 값과 VM Identity 확인

   3. 확인된 사항을 통해 Cloudlink에서는 지정된 정책을 선택한 후에, Agent 요청을 허가하면서 Decryption key 전송

   4. 암호화된 VM 해제되고, 동작하기 시작

   5. Physical Storage Data  암호화 상태

 

 

 

 

 

기타

CloudLink Center 이중화하여 High Availability 구성 가능

Windows Linux에서의 지원되는 보안 범위가 다름. (기존 Native OS 보안 이용 때문)

Boot 과정에 대한 제어 ,  해당 VM Hypervisor에서 전원을 On하더라도 Cloudlink Center에서 인가를 해줘야

  정상적으로 해당 VM 가동 .

     - Access-List 사용하여 사전 인가 List 정의하여 자동으로 인가되도록 수도 있음.

         사전 인가 List 항목 : IP , CIDR, IP Range(Start/End)

           CIDR : IP주소/서브넷Bit 형식     ex) 192.168.0.0/24  

  CloudLink에는 VM 암호화 솔루션인, SecureVM이외에 File Storage 암호화인 SecureFILE, SucureVSA 있음.

 

Posted by 네떡지기

티스토리 툴바