웨비나속 Q&A
최근 웨비나 진행 중 발생한 질문과 답변을 조회할 수 있습니다
아직 답변이 없습니다
[질문] NSX의 경우 각 개별 VM 호스트별로 접근통제 정책을 적용해야 하는 것으로 알고 있고 이 부분이 정책 적용하기에 굉장히 번거로운 것으로 알고 있습니다. 혹시 VM 호스트별 개별 설정이 아닌 통합적으로 정책을 적용할 수 있는방법이 있는지? 해당 방법은 기본적으로 제공되는 기능인지? 추가로 솔루션이 도입되어야 하는 기능인지? 궁금합니다.
vm별로 정책 적용을 하지 않으며, 정책 기반으로 적용합니다. 정책은 VM name, ip set, mac address, guest OS 종류, security tag 등을 통한 그룹 정책을 주실 수 있습니다. 매우 쉽고 신속하게 적용됩니다.
VMware 코리아
2022-10-06 13:17
[질문]nsx-v가 VMware vSphere 환경을 위한, nsx-t 는 vSphere외에도 KVM, Docker, Kubernetes 등 멀티 플랫폼을 지원하는지 궁금합니다.
NSX-T 단일 제품으로 통일되었으며, vsphere, kvm, openshift, vmware Tanzu kubernetes grid를 지원하며, 별도 Antrea 프로젝트로 kubernetes 내 네트워킹을 지원합니다.
VMware 코리아
2022-10-06 13:16
현재 국내 약 100여개 가까운 기업이 이용중입니다. 서버 가상화 환경 뿐 아니라, Horizon VDI에 적용하여, AD ID 기반의 통제 또한 지원합니다.
VMware 코리아
2022-10-06 13:14
[질문]차세대 방화벽에서 4~7계층 및 프로그램, 암호화 데이터까지 검토 및 이상 행위 탐지 관련하여 가시성을 누락 없이 확보하기 위한 방안은 어떻게 되는지요? 분석 및 탐지 관련하여 네트워크 지연 등 어떻게 지원되는지요?
차세대 방화벽과 기능이 유사하나 차세대 방화벽과 다릅니다. 트래픽을 검사,탐지하는 부분은 IDS/IPS 기능에서 제공되며, 분산 방화벽/경계 방화벽은 운영자가 정의한 정책이 VM이 생성되고 운영될 시 해당 호스트에 정책이 적용되어 IO chain을 통제하는 것입니다. 요구하는 기준에 따라 다르겠으나, 엔터프라이즈 워크로드를 처리하는데 지연 문제는 발생하지 않습니다.
VMware 코리아
2022-10-06 13:13
[질문] 분산 방화벽을 이용하여 네트워크 세그멘테이션을 최적으로 하는 과정에서 중요하게 고려하고 유의해야 할 상황들에 대해서 문의드립니다
분산 방화벽을 통해서 보안 정책을 Black list를 사용할지, Whitelist를 사용할지에 대한 것과 보안 그룹핑을 어떻게 할 것인지에 대한 기준에 대한 정의가 중요해 보이며, 실제 트래픽 량에 따라 호스트의 물리 NIC 종류가 달라질 수 있습니다.
VMware 코리아
2022-10-06 13:09
[질문] 이번에 네트웍 장애가 발생해서 원인을 north-south 트레픽만 점검했는데 나중에 원인을 찾아보니 east-west 트레픽에 원인이 있어 east-west 트레픽의 중요성을 잘 알았는데 nsx 솔루션이 있었으면 바로 잡았을 것 같다는 생각이 되는데 혹시 nsx를 vm형태로 올려서 sddn 구성이 가능한지요?
NSX는 vsphere 하이퍼바이저 환경에 구성되거나, KVM 하이퍼바이저를 지원하고 있습니다. 하이퍼바이저 커널에서 VM이 생성되는 트래픽을 제어하는 것이 요점입니다. 일반적인 하드웨어 장치는 스위치 레벨로 트래픽이 올라와야 이러한 정책이 적용됩니다.
VMware 코리아
2022-10-06 13:07
[질문] 효과적인 Zero Trust를 위해서 공격 표면을 최소화할 수 있는 방법과 프로세스에 대해서 질문드립니다
NSX 영역에서는 마이크로세그멘테이션(분산 방화벽)으로 VM의 가장 빠른 근접단에서 보안 정책을 주실 수 있습니다.
VMware 코리아
2022-10-06 13:05
[질문] 하이퍼바이져 기반이라면 VM이 아닌 서버나 스텐드 얼론 베어메탈의 경우에도 무조건 하이퍼바이저의 설치가 필요한 건가요?
베어메탈 호스트인 Windows, Linux OS에 대해서는 Agent를 지원하며, 해당 OS내 Open vSwitch를 구성하여 overlay 통신을 하게 됩니다. 혹은 기존 VLAN 방식 그대로 NSX 구성 오버레이 네트워크와 통신을 하도록 구성할 수 있습니다.
VMware 코리아
2022-10-06 13:04
아 그렇군요...그럼 vmware에서 암호화된 트레픽을 열어보는 기능은 어떤 것이 담당하나요?
아직 답변이 없습니다
[질문] NSX-T 의 마이크로 세그멘테이션의 경우 네트웍이 클래스중 어느단에서 작동하는 것인가요?
네트워크 클래스는 원하는 형태로 만드실 수 있습니다. overlay 구성으로 기존 네트워크 스위치에서 vlan 1개만 이용하면 됩니다. vlan 1개 위에 overlay network로 구성된 network segment(IP 대역)를 만들게 되며, North-South 통신은 라우팅 처리 되며, East-West 트래픽은 하이퍼바이저 커널에서 라우팅 처리됩니다.
VMware 코리아
2022-10-06 13:03
오 그렇군요...아주 유용할 것 것같고 딱 필요한 솔루션같네요..답변 감사합니다.
윤성원
2022-10-06 13:05
[질문] 통신암호화가 아닌 트레픽 자체가 암호화된 컨텐츠일 경우 사실상 이의 체크는 어렵지 않나요?
질문이 모호합니다. NSX는 vmware 가상화 환경 혹은 NSX-T plugin이 설치된 하이퍼바이저에서 운영되는 VM에서 생산되는 트래픽 간 통신을 제어하기 위한 보안 정책을 제공하는 것입니다. 암호화가 주제가 아닙니다. 암호화는 암호화를 위한 키 트러스트 도구를 필요로 하며, vsphere에서는 저장되는 가상 머신 자체에 대한 암호화 저장과 vmotion등에 따른 VM이 이동하는 것에 대한 암호화를 제공합니다.
VMware 코리아
2022-10-06 13:01
L4-7이란 말씀을 하셔서 드린 질문입니다. L7 application layere에서 컨텍스트를 해석할 수 없는 통신의 경우(압축일수도 있고, 암호화된 컨텐츠일 수도 있겠죠)에는 이에 대한 대응이 불가하지 않으가하는 궁금함이 생겨서요.
이형준
2022-10-06 13:05
[질문] nsx 방화벽이 암호화된 트레픽도 열어서 복호화하고 기능이 탐재되어 있나요?
NSX는 VM 트래픽간 통신(East-West)는 overlay 통신으로 패킷이 캡슐화 되어 통신이 되어, 레거시 네트워크의 모니터링 도구로 패킷 열람이 불가능합니다. 이미 다른 곳에서 암호화된 트래픽을 열어서 보는 영역은 아닙니다.
VMware 코리아
2022-10-06 12:58
아 그렇군요...그럼 vmware에서 암호화된 트레픽을 열어보는 기능은 어떤 것이 담당하나요?
윤성원
2022-10-06 13:00
NSX 방화벽이 국내 공공기관 도입 사례가 있는지요? 보안적합성 검증 대상인지 궁금합니다.
국내 공공 기관 도입 사용중입니다. 레퍼런스는 vmware로 별도 문의 부탁 드립니다.
VMware 코리아
2022-10-06 12:59
추후 별도로 추첨 되신 분들에게 개별 연락을 드립니다.
VMware 코리아
2022-10-06 12:44
[질문] 수고하십니다. 혹시 아래에서 틀린 부분 있나요? ■ NSX (보안) * 영역: 하이퍼바이저 VM 간 통신 * West-east lateral API 및 트래픽 제어 1. firewall Scale-in, Scale-out 2. ALB Auto Scale-in, Scale-out 3. 세그멘테이션 세분화하여 침해탐지 가능(호스트 간/VM 간/컨테이너 간/워크로드) 4. IPS/Firewall 정책을 워크로드와 함께 이동가능 5. Data - Control 분리를 통해 통합관리 가능 6. 모니터링 (자체 기능 vs vRealize Network Insight) ■ Carbon black EDR * 영역: 가상서버 커널, UserSpace * 클라우드 기반 서비스 가능 * 프로세스 이상징후 탐지(Power Shell) * 시각화 (Carbon Black Live Response Function) * 정상적 비정상적 비지니스 로직 탐지가능 ■ WorkSpace ONE * 디바이스 정책 기반 관리
NSX-T: hypervisor 커널에서 VM의 IO를 통제하며, East-west 및 north-south 트래픽을 분산 방화벽과 경계 방화벽으로 통제하며, 분산 IDS/IPS 기능을 마찬가지로 하이퍼바이저 레벨에서 제공하여, 트래픽 hair-pinning을 방지 하며, 가장 빠른 트래픽의 입출력 지점에서 정해진 보안 정책을 정의할 수 있습니다. NSX ALB: 가상 어플리언스 혹은 베어메탈 호스트에 로드밸런서를 제공하며, 특정 영역이 아닌 모든 온프레미스 및 퍼블릭 클라우드 어느 곳에서든 배포 및 관리가 가능합니다. 오토스케일링과 종단간 세션 분석 능력이 강점이며, 하나의 라이센스 에디션으로 WAF까지 제공하며, 쿠버네티스 L4-L7 인그레스 영역까지 지원을 합니다. 모니터링: 자체 모니터링 제공하나, NSX-T의 경우 네트워크팀에 요구되는 패킷 샘플링 수집을 통한 연결에 대한 분석 및 모니터링 등을 제공합니다. 카본블랙: EDR, AV등의 기능을 제공하며, 엔드포인트 장치(OS 영역) 및 컨테이너 보안, 가상화 서버 워크로드 영역등을 지원합니다. Workspace ONE: 윈도우즈, 맥, 모바일 장치, 러기지 장치등 모든 영역에 일관된 조직의 보안 정책을 내려주고, 디바이스 및 애플리케이션을 배포, 관리, 사용자를 위한 보안 앱, 사용 분석등을 제공합니다.
VMware 코리아
2022-10-06 12:53
[질문]오탐 발생 시, Client 측면에서 유연하게 예외 처리가 가능합니까? 예를 들어 자체 개발 프로그램에 대해서 오탐을 해서 격리 되거나, 삭제 되었을 경우 입니다.
아직 답변이 없습니다
머신러닝으로 학습한 인공지능 보안이 인간에 의해 수행된 것보다 2~3배 이상의 보안 효과를 보여주는 것은 확실하겠지만, 잘못 사용되면 오히려 부작용이 나타날 수 있다고 보여집니다. 대표적인 예로, 성향적(Variance) 오류와 오버피팅(Overfitting) 오류를 들 수 있는데, 이런 오류를 줄일 수 있는 방안이 있는지요?
아직 답변이 없습니다
[질문] 암호화된 감염파일을 원클릭으로 자동복구 가능한지, 악성행위 시각화 및 상세 내용 분석이 가능한지 궁금합니다.
카본블랙을 통해서 파일을 격리, 치료, 감염 경로에 대한 분석 및 시각화등을 지원하고 있습니다.
VMware 코리아
2022-10-06 11:40
[질문] hmg daas 에 적용된 fido 기술은 fido 2.0을 지원하는지 궁금하고 fido 기술을 핸드폰을 이용해서 사용도 가능한지 궁금합니다.
고객 사례의 경우 "발표자에게 문의하기"로 질의 부탁 드립니다.
VMware 코리아
2022-10-06 11:42