인텔® Security Libraries for Data Center(인텔® SecL - DC)

하드웨어 신뢰 루트(Root of trust)를 통한 신뢰할 수 있고 안전하고 통제된 클라우드 구축.

소개

클라우드 컴퓨팅은 고객, 기업 그리고 기타 기관에게 피할 수 없는 트렌드가 되었습니다. 2017년에는 하이브리드 클라우드 채택이 3배 증가했습니다.1 Gartner에 따르면 2020년까지 “클라우드를 사용하지 않는” 정책을 시행하는 기업은 오늘날 “인터넷을 사용하지 않는” 정책만큼 드물게 될 것입니다1. 그러나, 클라우드의 보안 위험은 여전히 광범위한 클라우드 채택을 막는 첫 번째 장애물입니다.

하드웨어 기반 클라우드 보안 솔루션은 소프트웨어에만 의존하는 보안 조치에 비해 더 높은 수준의 보호를 제공합니다. 고객 데이터 보호에 사용할 수 있는 인텔 플랫폼 보안 기술은 다양합니다. 안타깝게도 고객은 솔루션 통합과 배포 도구의 부재로 이러한 기술을 대규모로 채택 및 배포하는 일을 어렵게 여깁니다. 이러한 어려움을 해결하고 고객이 하드웨어에 기반한 인텔 보안 기능을 대규모로 채택 및 배포할 수 있도록 지원하기 위해 인텔 ® Security Libraries for Data Centers(인텔® SecL - DC)가 만들어졌습니다. 인텔® SecL - DC는 통합 라이브러리로 엔드-투-엔드 클라우드 보안 솔루션을 제공하는 소프트웨어 구성 요소로 구성되어 있습니다. 사용자는 유연하게 제공된 라이브러리로 맞춤화된 보안 솔루션을 개발하거나 기존 인프라에서 소프트웨어 구성 요소를 배포할 수 있습니다.

클라우드에서 플랫폼 신뢰 및 경계 형성

인텔® SecL - DC는 클라우드 이용자가 애플리케이션과 워크로드를 클라우드로 옮길 때 직면하는 다음과 같은 근본적인 보안 문제를 해결합니다.

  1. 서버를 신뢰할 수 있는지 어떻게 파악하는가?
  2. 워크로드 배치 위치를 통제할 수 있는가?
  3. 클라우드 서비스 공급업체(CSP)가 첨단 맬웨어 위협을 어떻게 방어하는가?

이러한 근본적인 보안 문제는 인텔® Xeon® 플랫폼에서 제공되는 하드웨어 보안 기능을 활용하여 완화할 수 있습니다. 인텔® SecL - DC는 클라우드 이용자가 애플리케이션을 클라우드에 안전하게 안착하도록 신뢰할 수 있는 솔루션을 구축합니다. 이러한 기본적인 기술을 바탕으로, 인텔® SecL - DC는 클라우드의 애플리케이션과 데이터에 더 높은 수준의 보호를 제공합니다.

하드웨어 기반 신뢰 사슬

하드웨어 보안 기술을 기반으로 구축된 보안 기술은 단순히 소프트웨어에만 의존하는 보안 솔루션에 비해 많은 장점을 가지고 있습니다. 이러한 기술은 더 강력한 보안과 뛰어난 성능을 제공합니다. 예를 들면, 하드웨어 보안 모듈(HSM)은 최고 수준의 키 보호를 제공하기 때문에 암호화 키를 보호하기 위해 널리 사용되어 왔습니다. 하지만 HSM는 매우 비싸고 데이터 센터에 신속하게 통합하기가 어렵습니다. 그러므로, 양측 모두의 장점을 활용하려면 균형 잡힌 솔루션이 필요합니다.

인텔® SecL - DC는 클라우드 서비스 공급업체나 독립 보안 공급업체가 플랫폼 하드웨어 보안 기능을 활용하고 기존 클라우드 인프라를 통합할 수 있도록 사용하기 쉬운 배포 모델 및 사전 검증 보안을 제공하도록 설계되었습니다. 인텔 플랫폼에는 여러 보안 기술이 존재합니다. 인텔® SecL - DC는 이러한 하드웨어 기술에 근거한 라이브러리와 구성 요소를 구축하고 사용자가 이러한 기술을 발견하고 대규모로 손쉽게 배포하도록 해줍니다.

인텔® SecL - DC 아키텍처

인텔® SecL - DC는 손쉬운 통합과 배포를 하나의 목표로 설정한 유연한 아키텍처를 제공합니다. 이 아키텍처에는 두 가지 기본 특징이 있습니다.

1. 소프트웨어 API의 간편성과 핵심 보안 기능을 제공하는 일련의 라이브러리. 이것은 맞춤화된 솔루션을 개발하기 원하는 고객에게 유연성을 제공합니다.

2. 라이브러리를 포함한 REST API를 즉시 사용할 수 있도록 하는 구성 요소 및 서비스 목록.

이러한 구성 요소와 서비스는 인텔 표준 SDL 개발 및 QA 테스트를 거칩니다. 즉, 모든 인텔® SecL - DC 구성 요소와 라이브러리는 사전 검증되고 테스트됩니다. 그러므로, 최종 고객이 OpenStack*과 같은 기존 클라우드 OS와 쉽게 통합할 수 있으며 이로써 솔루션 시장 출시 시간을 단축합니다. 각 라이브러리 및 구성 요소는 표준 API를 구성하며 명확히 정의된 기능과 서비스를 독립적으로 제공합니다. 또한, 사용자는 큰 유연성을 바탕으로 보안 향상을 위해 클라우드 인프라와 통합할 라이브러리, 구성 요소 또는 구성 요소 목록을 선택할 수 있습니다.

솔루션 아키텍처

인텔 ® SecL - DC의 기본 솔루션 아키텍처가 다음 다이어그램에 제시되어 있습니다. 크게 두 가지 구성 요소가 있습니다. 하나는 노드에 배포되는 신뢰 에이전트입니다. 두 번째 구성 요소는 물리/가상 컴퓨터에 배포되거나, 클라우드에 컨테이너로서 배포될 수 있는 검증 서비스입니다. 인텔® SecL - DC 신뢰 에이전트는 Linux 및 Windows를 지원합니다. 검증 서비스는 Linux, Windows 및 VMware ESX* 서버의 노드 검증을 지원합니다. 그러나 ESX 호스트에 배포되는 인텔® SecL - DC 신뢰 에이전트는 없습니다. 구성 요소인 신뢰 에이전트 및 검증 서비스에는 기본적인 기능을 제공하는 여러 라이브러리가 포함되어 있어 독립 보안 공급업체 또는 개발자가 자신의 맞춤화된 솔루션을 위해 선택할 수 있습니다.

인텔® SecL - DC 아키텍처

앞서 언급했듯이 인텔® SecL - DC는 클라우드에서 “신뢰 및 데이터 주권 통제”라는 두 가지 근본적인 보안 과제를 해결합니다. 인텔® SecL - DC는 데이터 센터 또는 클라우드의 호스트가 신뢰할 수 있는지 파악할 수 있습니다. 신뢰는 인텔® 신뢰 실행 기술(인텔® TXT) 및 신뢰 플랫폼 모듈(TPM)을 활용하는 기반 플랫폼 보안 기술을 기초로 하여 하드웨어에서부터 소프트웨어 스택 전체까지 신뢰 및 측정을 구축합니다. 운영 체제(OS) 수준의 호스트에서 실행되는 신뢰 에이전트는 신뢰 측정을 안전하게 수집할 수 있으며 요청을 기반으로 측정 및 검증 서비스에 대한 로그를 포함한 호스트 매니페스트를 보냅니다. 그 다음 호스트 검증 서비스는 호스트 매니페스트를 기존 신뢰 정책(XML 형식의 플레이버로 표현됨)과 비교하여 검증합니다. 호스트 매니페스트가 정의된 플레이버와 일치하는 경우 SAML 보고서와 함께 신뢰할 수 있는 것으로 확인됩니다. 이 보고서는 호스트는 오케스트레이터와 같은 다른 클라우드 관리 소프트웨어에서 이용할 수 있습니다.

인텔® SecL - DC 신뢰 에이전트 및 검증 서비스의 내부 아키텍처가 아래 다이어그램에 제시되어 있습니다(왼쪽: 검증, 오른쪽: 신뢰 에이전트). 각 구성 요소는 통신을 위한 보안 REST API를 제공하는 실행 서비스입니다. 검증 서비스에는 플레이버 라이브러리, 검증 도구 라이브러리, SAM 라이브러리, 호스트 커넥터 라이브러리를 포함하여 여러 라이브러리가 통합되어 있습니다. 신뢰 에이전트는 플랫폼 정보 라이브러리와 Tpm Provider 라이브러리를 통합합니다. 라이브러리 외에도 각 구성 요소는 흐름을 이끄는 다른 통합 코드와 라이브러리 간 인터페이스를 포함합니다. 라이브러리 세부 정보는 아래 섹션에서 논의할 것입니다.

인텔® SecL–DC 구성 요소 및 라이브러리

데이터 센터 또는 클라우드에서 보안 솔루션 채택에 대한 근본적인 장애물은 사용 편의성과 관리 유연성입니다. 많은 보안 솔루션이 보안 이점을 제공하지만 최종 사용자가 이를 배포하는 일은 종종 악몽과도 같습니다. 인텔® SecL - DC의 아키텍처는 관리 유연성을 하나의 목표로 설정하여 설계되었습니다.

첫째, 신뢰 에이전트는 유연하게 배포되어(호스트 OS 프로비저닝된 시간의 일부로 또는 나중에 설치됨) 나중 단계에서 프로비저닝되거나(TPM 프로비저닝 및 증명 서비스 프로비저닝) 배포 및 프로비저닝이 동시에 수행될 수 있습니다.

둘째, 검증 서비스는 호스트 신뢰 정책(화이트리스트) 관리에 더 큰 유연성을 제공합니다. 화이트리스트는 XML 형식으로 표현됩니다(인텔® SecL - DC에서 플레이버라고 지칭함). 신뢰할 수 있는 BIOS 버전과 예측된 측정치는 플레이버로 정의될 수 있으며 신뢰할 수 있는 OS 버전 및 예측된 측정치는 OS 플레이버로서 정의될 수 있습니다. 또는 BIOS 및 OS의 조합을 특정 호스트의 플레이버로 정의할 수 있습니다.

셋째, 호스트(예상되는 BIOS 또는 OS 버전)가 신뢰할 수 있는지 확인하기 위한 매칭 정책도 유연하게 정의할 수 있습니다. 매칭 정책은 플레이버 그룹으로 정의될 수 있으며 각 그룹에는 자체적인 매칭 정책이 있을 수 있습니다. 호스트가 등록되면 그룹 정책을 가진 플레이버 그룹과 연관될 수 있습니다. 예를 들면, 클라우드 관리자가 BIOS가 신뢰할 수 있는지에만 관심을 갖는 경우 매칭될 BIOS 플레이버만 정의하는 플레이버 그룹을 만들 수 있습니다. 또는, 클라우드 관리자가 호스트별 정책을 적용하고자 하는 경우 각 호스트에 대한 플레이버 그룹을 만들고 해당 특정 호스트에 적용할 호스트별 정책을 가질 수 있습니다.

데이터 주권의 경우 인텔® SecL - DC는 신뢰 에이전트 및 검증 서비스를 사용하여 제공된 REST API를 통해 관리되는 호스트로 자산 태그 정보를 프로비저닝하는 작업을 지원합니다. 프로비저닝 후 신뢰 에이전트는 요청 시 검증에 호스트 매니페스트 보고서의 일환으로 자산 태그 정보를 제시할 수 있습니다. 검증 서비스는 호스트의 무결성 및 자산 정보를 증명하고 검증된 정보를 SAML 보고서로 제시할 수 있습니다.

클라우드 오케스트레이터 통합

인텔® SecL - DC는 어려운 클라우드 신뢰 및 데이터 주권 문제를 해결하기 위해 기존 클라우드 인프라에 쉽게 통합할 수 있습니다. 인텔® SecL - DC는 보안 REST API 및 통합을 위한 플러그인을 제공합니다. 다음 다이어그램은 인텔® SecL - DC를 OpenStack*과 통합할 수 있는 방법을 보여줍니다.

그림 3 인텔® SecL - DC 클라우드 통합 아키텍처의 오른쪽 상단에는 하이퍼바이저로서 호스트를 관리하고 워크로드(가상 머신)의 일정을 조정하는 클라우드 오케스트레이터(OpenStack*)가 있습니다. 관계는 주황색 점선으로 표시되어 있습니다. 기존 클라우드 인프라에 유연하고 최소화된 풋프린트를 제공하기 위한 또 다른 구성 요소인 “Intel® SecL - DC 증명 허브”가 도입되었습니다. 이것의 역할은 호스트 SAML 보고서(호스트 신뢰 상태 및 자산 태그 정보 포함)를 가져오고 이러한 정보를 (OpenStack*의 릴리스에 따라) 플레이버 또는 트릿으로서 클라우드 오케스트레이터에 푸시하는 것입니다.

신뢰 상태 및 자산 태그 정보가 클라우드 오케스트레이터에 제공되면 클라우드 스케줄러는 호스트 정보와 VM 실행 정책을 기반으로 워크로드의 일정을 조정할 수 있습니다. 이 정책은 워크로드가 신뢰 호스트에 일정이 배정되어야 할지 여부와 배정되어야 할 위치를 지정할 수 있습니다. 워크로드 정책은 클라우드 관리자가 지정하거나 VM 이미지 메타데이터에 첨부될 수 있습니다. 후자의 경우, 이미지에서 신뢰 및 위치 정책과 함께 실행된 각 VM은 요구 사항을 충족하는 호스트로 예약되어야 합니다.

인텔® SecL - DC 클라우드 통합 아키텍처

라이브러리

다음 표는 인텔® SecL - DC에서 현재 제공하는 라이브러리를 보여줍니다. 라이브러리 범주는 두 가지입니다. 하나는 플랫폼 정보를 수집하고 다른 OS(Linux 및 Windows)에서 TPM 액세스를 지원하기 위해 플랫폼(노드/서버)에 배포되어야 하는 라이브러리입니다. 다른 범주는 신뢰 정책(플레이버)으로 호스트 상태를 정의, 관리 및 검증하도록 돕는 검증 서비스의 라이브러리입니다.

라이브러리

설명

서비스 라이브러리

호스트 커넥터(HCL)

호스트 및 TPM 인용 정보를 검색하기 위해 다양한 유형의 호스트(Linux, Windows, ESX)에 연결됩니다.

플레이버 라이브러리(FVL)

화이트리스트 값과 플레이버 형식(XML)의 호스트 등록을 관리합니다.

검증 도구 라이브러리(VFL)

호스트에서 검색된 호스트 매니페스트와 정의된 플레이버(정책)를 비교하여 호스트가 신뢰할 수 있는지 검증합니다.

프라이버시 CA(PCL)

TPM AIK 인증서, 바인딩 및 서명 인증서용 인증서를 생성하고 관리합니다.

SAML 생성기(SGL)

호스트용 증명 보고서 또는 SAML 형식의 VM 증명 상태를 생성합니다.

 

TDT 서비스

 

플랫폼 라이브러리

PlatformInfo(PIL)

호스트 하드웨어 정보(TXT, TPM 유형 또는 버전 등) 및 OS 정보를 수집합니다.

TpmProvider(TPL)

호스트 증명, TPM 버전(PTT) 리가드 또는 유형 dTPM 및 OS를 지원하기 위해 기본 TPM 기능을 위한 일관된 API를 제공합니다.

TDT 라이브러리  

이 라이브러리는 개발자가 제품이 통합할 수 있는 표준 애플리케이션 프로그래밍 인터페이스(API)를 제공합니다.

인텔® SecL - DC V1의 검증된 사용 사례

인텔® Security Libraries for Data Centers(인텔® SecL - DC)의 초기 릴리스는 플랫폼 무결성 증명, 데이터 주권 및 위협 감지라는 세 가지 통합/검증된 기본 보안 사용 사례를 제공합니다. 향후의 인텔® SecL - DC 릴리스는 인텔 하드웨어에 근거한 새로운 보안 기술을 가능하게 하기 위해 새로운 플랫폼 출시에 맞게 조정될 것입니다. 이제 최초 릴리스에 포함된 이 세 가지 통합 보안 사용 사례를 더 자세히 살펴보겠습니다.

플랫폼 무결성

클라우드의 신뢰성은 클라우드 채택을 위해 필수적인 요소입니다. 인텔® SecL - DC가 지원하는 기본 사용 사례는 사용자 정의 플레이버를 바탕으로 신뢰할 수 있는 서버 목록을 확인하는 것입니다. 이러한 신뢰성 확인은 하드웨어로부터의 측정을 위해 신뢰 루트를 구축하는 인텔 ® TXT에 기반합니다. 인텔® SecL - DC는 위의 아키텍처에서 논의한 대로 신뢰 플레이버 및 서버 증명을 정의하기 위한 유연한 계획을 제공합니다.

데이터 주권

인텔® SecL - DC는 신뢰할 수 있는 자산 태그 프로비저닝 및 데이터 주권 솔루션을 위한 증명을 제공합니다. 각 관리형 호스트는 호스트 정보 및 지리적 위치와 같은 다른 자산 태그 정보를 포함하는 자산 태그 인증서로 프로비저닝됩니다. 자산 태그 인증서는 제공된 REST API를 사용하여 검증 서비스에서 생성할 수 있으며 인증서의 해시는 각 개별 호스트로 프로비저닝되고 TPM (버전 1.2 또는 2.0) NVRAM에 저장됩니다. 호스트가 재부팅될 때 자산 태그 인증서의 해시는 TPM PCR로 확장됩니다. 이 정보는 다른 호스트 매니페스트 세부 정보와 함께 검증을 위해 검증 서비스로 전달됩니다. 검증이 성공하면 상세한 자산 태그 정보가 워크로드 정책에 따라 워크로드 배치를 위해 클라우드 오케스트레이터의 SAML 보고서에 포함됩니다.

인텔® 위험 감지 기술(인텔® TDT)

인텔® 위협 감지 기술(인텔® TDT)은 낮은 수준의 CPU 텔레메트리 데이터를 사용하여 첨단 맬웨어 위협을 조기에 감지합니다. Intel® TDT는 하드웨어 기반 위협 감지 기능을 보안 솔루션에 통합할 수 있도록 독립 보안 공급업체와 고객에게 오픈 소스 API를 제공합니다. 이와 함께 인텔® TDT는 고급 머신 러닝을 기반으로 한 분류 및 모델링 알고리즘을 사용하여 시스템 동작을 학습하고 위협을 프로파일링합니다. 런타임에서 의심스러운 활동이 감지되자마자 보안 애플리케이션은 추가 조사 및 문제 해결을 위한 알림을 생성합니다(그림 3). 또한 TDT API, 원격 측정 프레임워크, ML 파이프라인은 관심 있는 다른 위협들을 해결할 수 있도록 독립 보안 공급업체에게 자체적인 휴리스틱을 구축할 수 있는 기회를 제공합니다.

인텔® TDT 첨단 플랫폼 텔레메트리 소프트웨어 스택

과거의 노력을 발판으로

인텔® SecL - DC 이전에는 오픈 클라우드 무결성 기술(Open CIT)이 인텔® SecL - DC의 기본 기능 중 몇 가지를 지원하는 오픈 소스 프로젝트로 릴리스되었습니다. 그러나 이 기술은 프리미엄 기능으로 릴리스되었습니다. 인텔® SecL - DC는 Open CIT 제작 과정에서 얻은 교훈을 바탕으로 구축되었지만 향상된 내부 아키텍처, 플랫폼 보안 기술과의 향상된 조화, 기능이 더 풍부한 솔루션, 배포 편의성은 물론 완전히 통합되고 검증된 주요 고객 워크로드 사용을 보장합니다.

결론

인텔® 데이터 센터용 보안 라이브러리(Intel® SecL - DC)는 클라우드에서 워크로드를 안전하게 관리하고자 하는 고객의 주요 보안 우려 사항을 해결합니다. 인텔® SecL - DC의 유연한 아키텍처를 통해 독립 보안 공급업체 및 CSP는 최고 수준의 보안을 제공하기 위해 인텔 하드웨어에 기반한 첨단 플랫폼 보안 기술을 쉽게 통합할 수 있습니다. 최초 릴리스는 플랫폼 증명, 데이터 주권 및 인텔 ® 위협 감지 기술(인텔® TDT)이라는 통합된 보안 사용 사례를 포함합니다. 인텔® SecL - DC의 향후 릴리스는 데이터 보호, 메모리 내 보호, 애플리케이션 보호 등을 제공하는 보다 발전된 클라우드 보안 솔루션을 제공할 것입니다. 인텔® SecL - DC는 무료 BSD 라이센스로 공개되었으며 이전 Open CIT가 다져놓은 강력한 공개 커뮤니티를 토대로 계속 발전하고 있습니다. 인텔® Security Libraries for Data Centers(인텔® SecL - DC)는 Open CIT 사용 사례를 통해 다져진 토대를 바탕으로 하지만 인텔 ® 위협 감지 기술(인텔® TDT) 덕분에 첨단 위협 감지 기능이 추가되었습니다.