Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
임관수 부장
SDDC 기술을 적용한 VDI의 새로운 아키텍쳐
Horizon 7으로 데스크톱, 애플리케이션 및 데이터 보호
Just-in-Time
데스크톱
네트워크 보안 애플리케이션
수명주기 관리
프로필 및
스마트 정책
중앙 집중식
제공 및 제어
액세스 및 인증
#ADV1587BU CONFIDENTIAL 2
Horizon 7을 통해 운영 체제와 애플리케이션에 패치 적용
• 마스터 가상 머신에 패치 적용 및 풀 업데이트
• 시스템 관리자가 패치 수준 제어
– 최신 버전의 맬웨어 방지 정의를 포함할 수 있음
– 애플리케이션 업데이트/패치를 포함할 수 있음
• 마지막 정상 상태로 풀을 복원할 수 있음
– 맬웨어 발견 시 문제 해결도 가능
제어 및 일관성 유지
데이터스토어 1
1
마스터 가상 머신
2
복제본 1
1
2
복제본 2
데스크톱
#ADV1587BU CONFIDENTIAL 3
Just-in-Time 데스크톱 인스턴트 클론, 사용자 환경 관리(UEM), App Volumes와 같은 혁신적인 기술을
사용하는 Horizon은 진정한 의미의 '상태 정보를 저장하지 않는' 데스크톱을 직원에게
제공하여 IT가 데스크톱과 애플리케이션 관리를 그 어느 때보다 간소화할 수 있도록
보장합니다.
스토리지 비용을
30% 이상 절감
애플리케이션을
즉시 제공
운영 비용을 50% 이상 절감
#ADV1587BU CONFIDENTIAL 4
App Volumes 관리형 애플리케이션 컨테이너
설정
데이터/파일 애플리케이션
App Volumes 에이전트
기존 Just-in-Time 애플리케이션 모델
운영 체제 운영 체제
AppStack 쓰기 가능 볼륨 AppStack
#ADV1587BU CONFIDENTIAL 5
스마트 정책
개요
• 데스크톱 기능 사용자 지정
• 포함된 기능:
– 클립보드 잘라내기/붙여넣기
– 클라이언트 드라이브 리디렉션
– USB
– 인쇄
– 대역폭 프로필
• 조건부 정책 기준:
– 사용자 ID
– 위치
– 풀 이름
– 기타
이점
• 사용자 ID나 위치에 따라 데스크톱 또는
애플리케이션 보호
• 세션 기간 동안 상태 재평가
• 데스크톱 환경 간소화: 유연한 정책을
기반으로 간편하게 단일 데스크톱 이미지
사용자 지정 가능
#ADV1587BU CONFIDENTIAL 6
TAKE THE EASY PATH WITH SDDC FOR FASTER/SECURE TO VALUE
8 © 2017 VMware Inc. All rights reserved.
SDDC 기술을 적용한 VDI의 새로운 아키텍쳐
인프라 투자 비용절감
손쉬운 확장성 및 성능
손쉬운 관리성
전통적인 VDI 아키텍쳐
Servers
and Blades
External
Storage
Networking
Hardware
SDDC 기술을 적용한 VDI 아키텍쳐
통합관리
가상화 인프라 Compute | Storage | Network
Built on Industry-Standard
Servers and Switches
Virtualization
x86 인프라
Legacy
Storage
vSAN
Storage
Legacy
Storage
vSAN
Storage
vSAN
Storage Legacy
Storage
Horizon과 NSX(네트워크 가상화)
기존 클라이언트 컴퓨팅
• "종방향" 트래픽만 지원
– 네트워킹은 간단하며 종방향만 지원
– "종방향" 위협 패턴
– 간단한 보호 시나리오
– 가장자리에서 DMZ 영역을 통한 보안
• "미사용 데이터"가 주된 우려 사항
– Endpoint 로컬 스토리지에 미션 크리티컬 데이터 저장
– 데스크톱 가상화의 일반적인 동인
• 기업 및 기관의 데스크톱 가상화를 통한 이점:
– 컴퓨팅 및 스토리지 리소스 최적화
– 미사용 데이터 보호(데이터 센터로 이동)
– 종방향 위협에 대한 제어 향상
데이터 센터
#ADV1587BU CONFIDENTIAL 13
데스크톱 및 애플리케이션 가상화의 이점 데스크톱 및 애플리케이션 가상화로 운영 체제, 애플리케이션 및 데이터를 데이터 센터에 배치
가상 데스크톱
기기에 저장된 데이터의
손실(기기 분실, 도난,
손상) 방지
기기에 설치된 주요
애플리케이션에 대한
무단 액세스
지사 인프라 설치 공간
감소(파일/인쇄/e-메일
서버 등)
효율적인 중앙 집중식
백업 지원
취약점에 대한 중앙
집중식 패치 적용
✔
✔
✔
✔
✔
SAP, Oracle Exchange 등
엔터프라이즈 스토리지 다른 사용자
WWW
WWW
#ADV1587BU CONFIDENTIAL 14
데이터 센터의 현재 당면 과제 데이터 센터 내 넓은 공격 면적
데스크톱과 인프라 간 여러 개별 "횡방향" 흐름 사용자 행위
제로데이 공격
손상된
인터넷 웹 사이트
데스크톱 간 해킹
데스크톱 및
서버 간 해킹
횡방향 횡방향
가상 데스크톱 데이터
센터
SAP, Oracle Exchange 등
엔터프라이즈 스토리지 다른
사용자
WWW
#ADV1587BU CONFIDENTIAL 15
VDI Networking
16 16
PERIMETER SECURITY
VDI Networking
17 17
PERIMETER SECURITY
NGFW IPS WAF sFW ENC
VDI 환경 내에서 횡방향 보호 규정 준수 및 리스크 완화에 집중하는 기업 및 기관은
데이터 센터 내 횡방향 흐름을 보호하는 보안 영역을 구현
• 구축하기 어려움
• 많은 물리적 인프라가 필요
• 관리가 복잡함
중앙 집중식
가상 데스크톱
공유 서비스
DMZ
DB 영역 원격
작업자
영역
엔지니어링
영역
개발
영역
재무
영역
기업
영역
PCI 영역
관리 영역
#ADV1587BU CONFIDENTIAL 18
기존 네트워킹 및 보안의 복잡성
공유 서비스 DMZ
DB 영역 원격 작업자 영역
엔지니어링 영역
개발 영역
재무 영역
기업 영역
인터넷 내부 네트워크
PCI 영역
관리 영역
중앙 집중식
가상 데스크톱
#ADV1587BU CONFIDENTIAL 19
네트워크, 스토리지, 서버(Compute)
가상화 계층(Layer)
Hypervisor Hypervisor
vSwitch vSwitch
VDI 인프라를 위한 NSX의 혜택
Hypervisor
vSwitch
In-hypervisor (on-prem)
as a Service (cloud)
Hardware/Cloud independent
네트워크 및 보안 서비스
VDI 인프라를 위한 NSX의 혜택
Switching Routing Firewalling Load balancing
Switching Routing Firewalling Load balancing
Hypervisor
vSwitch
네트워크, 스토리지, 서버(Compute)
가상화 계층(Layer)
“네트워크 플랫폼”
가상 네트워크
VDI 인프라를 위한 NSX의 혜택
Switching Routing Firewalling Load balancing
Switching Routing Firewalling Load balancing
VDI 인프라를 위한 NSX의 혜택 When threats breach the perimeter, it’s hard to stop lateral spread
23
INTERNET
네트워크 경계 (NETWORK PERIMETER)
취약한 시스템이 공격의 1차 목표
공격자는 확보된 거점을 통해
데이터센터내에서 쉽게 확산
공격자는 내부의 중요한
데이터를 수집/유출
MICRO-SEGMENTATION
VDI 인프라를 위한 NSX의 혜택 Enforce security at the most granular level of the data center?
24
모든 VM은 :
개별 보안정책 적용
개별 방화벽 적용 INTERNET
네트워크 경계 (NETWORK PERIMETER)
MICRO-SEGMENTATION
VMware NSX – ID 기반 보안정책
NSX 사용 전
• VLAN의 모든 데스크톱이 자유롭게
통신할 수 있음
•데스크톱 하나가 손상되면 횡방향 이동을
제한할 수 없음
NSX 사용
•마이크로 세분화를 통해 공유 VLAN에서도
데스크톱을 정밀하게 제어 가능
•사용자/그룹 기반 액세스 제어
•필요한 경우 NGFW 리디렉션을 사용하여
VDI의 애플리케이션 액세스 제어
Jennifer (재무)
파일 인사 재무 e-메일 SharePoint
네트워크
Bob (인사)
인사 재무
#ADV1587BU CONFIDENTIAL 25
시스템 관리자
영업
개발자
안전한 Just-in-Time 데스크톱
NSX의
네트워크 정책
영업
개발자
시스템 관리자
영업
개발자
시스템 관리자
App Volumes의
애플리케이션 계층
영업
개발자
시스템 관리자
UEM을 이용한
개인화
역할 기반 데스크톱 생성 및 사용자 지정
영업
데스크톱
시스템
관리자
데스크톱
개발자
데스크톱
단일 풀
상태 정보를
저장하지 않는
데스크톱 영업
개발자
시스템 관리자
#ADV1587BU CONFIDENTIAL 26
NSX 기술협력 파트너
Compute
Infrastructure
Network
Infrastructure
Networking &
Security
Services
Orchestration &
Management
Platforms Operations &
Visibility
vRealize Automation
vCloud Director
vRealize Orchestrator VIO
vSAN Ready Node
VDI 환경에 맞게 성능 최적화 관리
네트워크 사용량
검사 속도
CPU/메모리 사용량
IOPS
스토리지
ESXi
SAN
#ADV1587BU CONFIDENTIAL 28
VDI 환경에 맞게 성능 최적화
ESXi
SAN
검사 캐시
최대 20배 빠른* 전체 검사
최대 5배 빠른 실시간 검사
최대 2배 빠른 VDI 로그인
최대 30% 향상된 가상 머신 밀도
#ADV1587BU CONFIDENTIAL 29
NSX 서비스 컴포저 및 타사 서비스 추가 문제 해결 시까지 취약 시스템 차단 보안 그룹 = 차단
구성원 = {Tag = ‘ANTI_VIRUS.VirusFound’}
보안 그룹 = 표준
정책 정의
표준 정책
바이러스 백신 – 검사
차단된 정책
방화벽 – 보안 툴을 제외하고 모두 차단
바이러스 백신 – 검사 및 문제 해결
#ADV1587BU CONFIDENTIAL 30
감사합니다.