분류없음2018.05.17 00:14

 

 

HOL(Head Of Line) Blocking

  - 스위치 패브릭에서 입력포트에서 패킷이 출력 포트로 전달되지 못하고 대기 상태에 있는 현상

  - 이상의 입력포트에서 동일 포트로 전송시도 경우에는 경합이 발생하여, 1 포트는 잠시 대기해야 .

  - 입력 포트에서 출력포트로 패킷을 전달할 , FIFO 방식으로 하게 되는 만약 해당 Queue 앞선 패킷이 다른 포트와의 경합으로

    인해서 Queue 뒤쪽의 목적지 포트가 통신이 가능한 상태임에도 불구하고 정상적으로 전송되지 않는 .

  - 만약 2 포트인 경우, 각각 1번과 2번이 1번으로 확률이 0.5 * 0.5 = 0.25 이며, 경우에 75% 최대 대역폭이며,

    스위치의 포트가 증가함에 따라서, 58.6% 수준으로 수렴됨.

  - 이러한 현상을 극복하기 위해서 사용하는 것이 VOQ .

 

 

 

 

 

VOQ(Virtual Output Queues)

  - 스위치의 입력포트의 Buffer에서 출력포트의 상태와 상관없이 일관되게 FIFO 처리하게 경우에 HOL 발생

  - 스위치가 출력포트별로 가상의 Queue 유지해서, congestion 발생으로 인해 전체가 영향을 받지 않도록 예방(HOL Blocking  방지)

  - 성능적인 측면에서 VOQ 사용하는 것이 이상적이지만, 포트 수가 많을수록 필요한 VOQ수가 많아져야 하기 때문에

    실제 포트별로 VOQ 구현되지 않은 경우가 많음.

 

 

 

 

Posted by 네떡지기
분류없음2015.10.02 17:52

 

Cloud, Security,Hypervisor, Private, Public,Hybrid, Computing, CloudLink, SecureVM, Virtual, Machine    : Today Key

오랜만에 포스팅 해 봅니다.  

오늘은 클라우드 환경에서의 VM에 대한 보안을 위한 SecureVM이라는 솔루션에 대해서 간략하게 소개해보는 포스팅입니다. 

기존의 VM간의 통신 보안을 위한 가상 방화벽과는 조금은 다른 측면에서의 보안 솔루션입니다.

 


 

 

CloudLink SecureVM

  CloudLInk SecureVM 클라우드 환경에서 VM 암호화하여 관리할 있는 솔루션

  Multi-tenant 인프라환경에서 VM 암호화를 통한 보안 강화

  Windows, Linux 지원

  Private Public Cloud 지원

 

 

 

SecureVM 보안 영역

  Data 볼륨 암호화

  Boot 볼륨 암호화

  VM Pre-Boot 인증

 

기존 Native OS 암호화 방식 사용

  Windows에서는 BitLocker, Linux에서는 eCryptfs 사용

  장점

       -  배포가 빠름

       -  Application 수정이 필요가 없음

       -  데이터 암호화 성능에 대한 오버헤드가 없음

 

eCryptfs

       - Linux File system 암호화 기술

       - User Login 시에 복호화 데이터로 Mount 되고, Log-out시에 자동으로 UnMount되면서 데이터는 암호화

       - 정상적인 접근 이외에는 암호화된 데이터에서 복호화 되지 않았기 때문에 데이터를 없음.

 

BitLocker

       -  Windows 데이터 보호 기술

       -  TPM 사용한 시스템 무결성 확인

        TPM 버전 1.2 또는 2.0  / TPM이 BitLocker를 사용하는 데 필요하지는 않지만,

             TPM은 설치된 컴퓨터에서만 추가 보안 기능인 시작 전 시스템 무결성 확인 및 다단계 인증을 제공할 수 있습니다.

            (TPM 변경되면 운영체제 무결성 검사에 실패)

           * CloudLink Center Software TPM 방식

BitLocker 참조 : https://technet.microsoft.com/ko-kr/library/cc732774.aspx

TPM 참조 :  https://technet.microsoft.com/ko-kr/library/hh831507.aspx

 

            

 

 

 

 

 SecureVM 컴포넌트

  1. CloudLInk Center Virtual appliance

        - VM Deploly, Key management,Security policy 정의,  Security monitoring,

  2. SercureVM agent

        - CloudLink Center 통신하여 Native OS 암호화를 사용하기 위한 Key 요청하고, 수신.

        - Guest OS Level에서 동작하기 때문에 Cloud Platform 적함. 이미 다양한 클라우드 플랫폼에서 테스트 완료

 

Key 관리

  Agent와의 인증을 위한 Key 관리를 Cloudlink Center 자체적으로 하거나 혹은 외부 관리(Windows AD, RSA ) 가능.

  Key 관리를 하는 Cloudlink Center 혹은 외부 관리를 경우에 해당 시스템은 Private Cloud 있는 것이 보안상 유리

 

SecureVM Agent 배포

  배포 대상

      1. 신규 생성되는 VM

      2. 현재 운영 중인 VM

 

  배포절차

    1. 필요한 Components 설치

     2. 인증서 생성

     3. Pre-Boot 인증 추가

     4. CloudLink Appliance 등록

     5. Disk 암호화

 

  배포 방법

    1. VM 관리자에 의한 Manual 배포

    2. 자동화 배포

           - Active Directory Group Policy

           - Configuration Management Tools (Chef, Puppet, etc..)

 

SecureVM Boot Process

   1. VM에서 OS Load되고, 암호화된 데이터에 접근하기 시작할 ,

          SecureVM 동작하면서 IP/Cloud platform/무결성 값을 확인하여, Cloudlink Center 전송하여, 해당 값을 확인 요청.

   2. CloudLink Center에서는 값과 VM Identity 확인

   3. 확인된 사항을 통해 Cloudlink에서는 지정된 정책을 선택한 후에, Agent 요청을 허가하면서 Decryption key 전송

   4. 암호화된 VM 해제되고, 동작하기 시작

   5. Physical Storage Data  암호화 상태

 

 

 

 

 

기타

CloudLink Center 이중화하여 High Availability 구성 가능

Windows Linux에서의 지원되는 보안 범위가 다름. (기존 Native OS 보안 이용 때문)

Boot 과정에 대한 제어 ,  해당 VM Hypervisor에서 전원을 On하더라도 Cloudlink Center에서 인가를 해줘야

  정상적으로 해당 VM 가동 .

     - Access-List 사용하여 사전 인가 List 정의하여 자동으로 인가되도록 수도 있음.

         사전 인가 List 항목 : IP , CIDR, IP Range(Start/End)

           CIDR : IP주소/서브넷Bit 형식     ex) 192.168.0.0/24  

  CloudLink에는 VM 암호화 솔루션인, SecureVM이외에 File Storage 암호화인 SecureFILE, SucureVSA 있음.

 

Posted by 네떡지기

NFV에 대해서 간략하게나마 정리를 시작합니다.

잘못된 부분이나, 추가/보완할 내용이 있으시면 덧글 부탁드리겠습니다.

추가/보완되는 내용이 있으면 업데이트 하도록 하겠습니다.

 

 - 초기작성 : 2013. 09.21

 - Last Update : 2013. 09.21

 


 

NFV (Network Function Virtualization)

   - 기존 Hardware Appliances들로 구현된 Route, NAT, Firewall, IDS, IPS, DNS, Caching등의 다양한 기능을 Software 형태의

     Virtual Applicances로 구현하여 운용하는 가상화 기술.

   - 2012년 10월 독일 SDN & OpenFlow World Congress 에서 BT와 도이치텔레콤이 NFV 단체 설립 발표.

   - ETSI(European Telecommunications Standards Institue)의 ISG(Industry Specification Group)에서 NFV 표준화 시작

   - 서비스 사업자 주도로 NFV 표준화 진행 중.

 

 

NFV의 목적

   - 표준 IT 가상화 기술을 활용하여 기존의 단일 Appliance로 동작하던 장비들을 Software형식으로 Virtual Appliance로 구현.

   - Virtual Appliance로 구현된 S/W는 표준 대용량 서버/스위치/스토리지를 활용하여 하나의 서비스 자원으로 운용 

   - 기능적인 구현을 Virtual Appliance에서 구현함으로써, 표준화된 대용량 장비 개발 장려.

   - 서비스 기능 구현을 위해 보다 민첩한 소프트웨어 기반 프레임워크를 사용하여 서비스 유연성을 향상.

 

 

NFV 특징

   - 기존의 고정된 인프라와 모바일 인프라 모두에서 어떠한 Data Plane 처리 / Control Plane 기능 적용 가능.

   - 기존의 독립된 Hardware Applicane의 경우에 단독형 장비이므로 물리적인 확장만 가능하지만,

      Virtual Appliance로 구현된 경우, CPU/Memory와 같은 추가적인 자원 할당만으로 유연한 확장이 가능하다.

      [On-Demand 시에 Scale-Out을 쉽게 할 수 있음]

   - 필요에 따라, 새로운 장비에 별도의 설치가 필요없이 기존의 Virtual Appliance의 이동 및 인스턴스화가 가능하다.

 

 

NFV vs SDN

   - NFV은 SDN과의 보완을 통해서 상호 이익을 가져갈 수 있지만, 서로의 종속되어 구현되지는 않을 것이다.

   - SDN는 네트워크를 보다 쉽게 설정/관리할 수 있게 해주며,
     NFV 네트워크를 보다 쉽게 Deploy하고, 확장할 수 있게 해준다.

     SDN과 NFV에서 이를 가능하게 해주는 주요 Key테마는 바로 "Software"이다.

 

 

 

  

SDN

NFV

탄 생 배 경

 • Control Plane과 Data Plane을 분리
 • 중앙 집중식 제어와 Network의 프로그램화

 • 네트워크 기능 이동(독립 Appliance → 일반 서버

적 용 위 치 

 • Campus / Datacenter / Cloud  • Service Provider Network

적 용 장 비

 • 범용 서버와 스위치  • 범용 서버와 스위치

초기

어플리케이션

 • Cloud orchestration and networking

 • Routers, firewalls, gateways, CDN,

   WAN accelerators, SLA assurance

프로토콜

 • OpenFlow  • 현재 없음

표준화 기구

 • Open Networking Forum (ONF)

 • ETSI NFV Working

 

NFV 구현 시

  - CAPEX(설비투자비) / OPEX(운용비) / 상면 / 에너지 소비량 의 절감 효과

  - 네트워크 사업자의 성숙주기 감소


CloudNFV 

  - 다수의 벤더로 구성된 NFV에 대한 Prototype을 만드는 컨소시엄 단체

  - OpenDaylight과 같은 OpenSource Protect는 아니며, 각 벤더들은 자신들의 지적 재산권을 유지하여 생산한다.

    하지만, 서로 다른 NFV Components간의 Open Interface를 통해서 Multi 벤더 NFV를 구성할 수 있다.

 

   • Dell : NFV 기능이 있는 데이터센터 인프라

   • 6WIND :  Cloud 환경에서의 성능 가속화 기능

   • EnterpriseWeb : 가상 네트워크 기능을 구성하는 리소스들을 통합하고 최적화를 위한 데이터모델에 대한 소프트웨어

   • Overture Network : Orchestration 소프트웨어 / SDN 컨트롤러

                              클라우드에 배포된 가상 네트워크와 연결되는 Metro Edge Switch

   • Qosmos : 네트워크 모니터링 소프트웨어 (NFV가 어떻게 네트워크를 운영을 하는지에 대한 모니터링)

 

 

 

Posted by 네떡지기

티스토리 툴바