SecureVM for the Hybrid Cloud

 

Cloud, Security,Hypervisor, Private, Public,Hybrid, Computing, CloudLink, SecureVM, Virtual, Machine    : Today Key

오랜만에 포스팅 해 봅니다.  

오늘은 클라우드 환경에서의 VM에 대한 보안을 위한 SecureVM이라는 솔루션에 대해서 간략하게 소개해보는 포스팅입니다. 

기존의 VM간의 통신 보안을 위한 가상 방화벽과는 조금은 다른 측면에서의 보안 솔루션입니다.

 

---

 

 

CloudLink SecureVM

  ▪ CloudLInk SecureVM은 클라우드 환경에서 VM을 암호화하여 관리할 수 있는 솔루션

  ▪ Multi-tenant 인프라환경에서 VM 암호화를 통한 보안 강화

  ▪ Windows, Linux 지원

  ▪ Private 및 Public Cloud 지원

 

 

 

SecureVM 보안 영역

  ▪ Data 볼륨 암호화

  ▪ Boot 볼륨 암호화

  ▪ VM의 Pre-Boot 인증

 

기존 Native OS 암호화 방식 사용

  ▪ Windows에서는 BitLocker, Linux에서는 eCryptfs 사용

  ▪ 장점

       -  배포가 빠름

       -  Application의 수정이 필요가 없음

       -  데이터 암호화 성능에 대한 오버헤드가 없음

 

※ eCryptfs

       - Linux File system 암호화 기술

       - User Login 시에 복호화 된 데이터로 Mount가 되고, Log-out시에 자동으로 UnMount되면서 데이터는 암호화

       - 정상적인 접근 이외에는 암호화된 데이터에서 복호화 되지 않았기 때문에 데이터를 볼 수 없음.

 

※ BitLocker

       -  Windows 데이터 보호 기술

       -  TPM을 사용한 시스템 무결성 확인

        ▷ TPM 버전 1.2 또는 2.0  / TPM이 BitLocker를 사용하는 데 필요하지는 않지만,

             TPM은 설치된 컴퓨터에서만 추가 보안 기능인 시작 전 시스템 무결성 확인 및 다단계 인증을 제공할 수 있습니다.

            (TPM이 변경되면 운영체제 무결성 검사에 실패)

           * CloudLink Center에 Software TPM 방식

BitLocker 참조 : https://technet.microsoft.com/ko-kr/library/cc732774.aspx

TPM 참조 :  https://technet.microsoft.com/ko-kr/library/hh831507.aspx

 

            

 

 

 

 

 SecureVM 컴포넌트

  1. CloudLInk Center Virtual appliance

        - VM Deploly, Key management,Security policy 정의,  Security monitoring,

  2. SercureVM agent

        - CloudLink Center와 통신하여 Native OS 암호화를 사용하기 위한 Key를 요청하고, 수신.

        - Guest OS Level에서 동작하기 때문에 Cloud Platform에 적함. 이미 다양한 클라우드 플랫폼에서 테스트 완료

 

Key 관리

  ▪ Agent와의 인증을 위한 Key 관리를 Cloudlink Center 자체적으로 하거나 혹은 외부 관리(Windows AD, RSA 등) 가능.

  ▪ Key 관리를 하는 Cloudlink Center나 혹은 외부 관리를 할 경우에 해당 시스템은 Private Cloud에 있는 것이 보안상 유리

 

SecureVM Agent 배포

  ▪ 배포 대상

      1. 신규 생성되는 VM

      2. 현재 운영 중인 VM

 

  ▪ 배포절차

    1. 필요한 Components 설치

     2. 인증서 생성

     3. Pre-Boot 인증 추가

     4. CloudLink Appliance에 등록

     5. Disk 암호화

 

  ▪ 배포 방법

    1. VM 관리자에 의한 Manual한 배포

    2. 자동화 배포

           - Active Directory Group Policy

           - Configuration Management Tools (Chef, Puppet, etc..)

 

SecureVM Boot Process

   1. VM에서 OS가 Load되고, 암호화된 데이터에 접근하기 시작할 때,

          SecureVM이 동작하면서 IP/Cloud platform/무결성 값을 확인하여, Cloudlink Center로 전송하여, 해당 값을 확인 요청.

   2. CloudLink Center에서는 키 값과 VM Identity를 확인

   3. 확인된 사항을 통해 Cloudlink에서는 지정된 정책을 선택한 후에, Agent의 요청을 허가하면서 Decryption key를 전송

   4. 암호화된 VM이 해제되고, 동작하기 시작

   5. Physical Storage의 Data는  암호화 상태

 

 

 

 

 

기타

▪ CloudLink Center를 이중화하여 High Availability 구성 가능

▪ Windows와 Linux에서의 지원되는 보안 범위가 다름. (기존 Native OS 보안 이용 때문)

▪ Boot 과정에 대한 제어 시,  해당 VM의 Hypervisor에서 전원을 On하더라도 Cloudlink Center에서 인가를 해줘야

  정상적으로 해당 VM이 가동 됨.

     - Access-List를 사용하여 사전 인가 List를 정의하여 자동으로 인가되도록 할 수도 있음.

         ▷ 사전 인가 List 항목 : IP , CIDR, IP Range(Start/End)

           ※ CIDR : IP주소/서브넷Bit 형식     ex) 192.168.0.0/24  

 ▪ CloudLink에는 VM 암호화 솔루션인, SecureVM이외에 File 및 Storage 암호화인 SecureFILE, SucureVSA도 있음.