참고:

• 이 자습서에서는 Oracle Cloud에 액세스해야 합니다. 무료 계정에 등록하려면 Oracle Cloud Infrastructure Free Tier 시작하기를 참조하십시오.
• Oracle Cloud Infrastructure 인증서, 테넌시 및 구획에 대한 예제 값을 사용합니다. 실습을 완료하려면 이 값을 클라우드 환경에 해당하는 값으로 대체하십시오.

Oracle Cloud Infrastructure Network Firewall으로 Oracle Cloud VMware Solution 워크로드 보호

소개

이 문서에서는 OCI(Oracle Cloud Infrastructure) Network Firewall을 사용하여 Oracle Cloud VMware Solution에서 실행되는 워크로드를 보호하는 방법에 대해 설명합니다. Oracle Cloud VMware Solution을 사용하면 OCI에서 VMware SDDC(소프트웨어 정의 데이터 센터)를 생성하고 관리할 수 있습니다.

OCI 네트워크 방화벽은 분산 모델 또는 전송 모델로 배치할 수 있습니다. 이 사용지침서에서는 네트워크 방화벽이 스포크 VCN의 허브 VCN, Oracle Cloud VMware Solution SDDC에 있는 Transit 모델을 배포합니다. OCI 네트워킹의 VCN 내 및 수신 라우팅 기능을 사용하여 허브 VCN에서 실행되는 네트워크 방화벽을 통해 트래픽을 검사할 수 있습니다.

참고: 이 자습서에서는 OCI Network Firewall을 소개하지만, 대부분의 개념은 Fortinet, Palo Alto Networks, Cisco, Check Point 등과 같은 다른 타사 어플라이언스에 적용되어야 합니다. 고객은 공급업체가 지원하는지 확인하기 위해 특정 공급업체/파트너와 협력해야 합니다.

사용 사례

OCI Intra VCN 라우팅 기능은 VCN 내에서 OCI 워크로드 트래픽을 지원하도록 라우팅을 구성하는 단순성을 제공하며, 방화벽을 사용하여 트래픽을 검사/보안할 수도 있습니다. 다음과 같은 VCN 내 및 수신 라우팅 기능을 사용합니다.

• Intra-VCN 경로 지정 - 정의된 경로로 VCN 내 트래픽에 대한 직접 경로 지정을 변경할 수 있습니다. 서브넷 레벨 경로를 정의할 수 있습니다.

• 인터넷 게이트웨이/네트워크 주소 변환 게이트웨이 수신 경로 지정 - 사용자가 선택한 다음 홉을 향한 VCN에 대한 인바운드 공용 트래픽의 경로를 정의할 수 있습니다.

• 소프트웨어 게이트웨이 수신 경로 지정의 향상된 기능 - 이를 통해 소프트웨어 게이트웨이가 OCI 서비스에서 VCN 내의 대상으로 트래픽을 라우팅할 경로를 정의할 수 있습니다.

이 사용지침서에서는 다양한 트래픽 시나리오와 OCI 네트워크 방화벽이 지원하는 주요 기능을 검증합니다.

• OCI와 NSX 오버레이 간의 남북 트래픽 검사: OCI 네이티브 컴퓨트 VM에서 Oracle Cloud VMware Solution NSX 워크로드 VM으로 트래픽을 보호합니다.

• NSX 오버레이와 공용 인터넷 간 남북 트래픽 검사: Oracle Cloud VMware Solution NSX 워크로드에서 인터넷 연결 트래픽까지 트래픽을 보호합니다.

• OCI 서브넷 및 VLAN 내 동서 트래픽 검사: OCI Native Comute VM에서 OCI VLAN에 호스팅되는 Oracle Cloud VMware Solution vSphere로의 트래픽을 보호합니다.

• OCI 서브넷 내의 동서 트래픽 검사: OCI DB VM에서 OCI 서브넷에 호스팅되는 Oracle Cloud VMware Solution SDDC ESXi 호스트로의 트래픽을 보호합니다.

• 침입 방지, 침입 감지, URL 필터링 및 SSL 인바운드 검사를 포함한 네트워크 방화벽 보안 기능을 검증합니다.

참고: 전송 모델을 사용하여 NSX 워크로드 VM 내의 동서 트래픽을 검사할 수 없습니다. 해당 트래픽을 검사하려면 이 자습서에서 다루지 않는 Oracle Cloud VMware Solution 환경 내에 타사 파트너 솔루션을 배포하는 것이 좋습니다.

목표

이 사용지침서에서는 Oracle Cloud VMware 솔루션 환경에서 OCI 네트워크 방화벽 솔루션을 사용하는 OCI 내부 VCN 라우팅 기능에 대해 설명합니다. OCI에서의 방화벽 배포를 간소화하는 가상 클라우드 네트워킹 라우팅 사용 사례를 살펴보았습니다.

필요 조건

• 작동하는 Intra-VCN 네트워크 토폴로지는 토폴로지 다이어그램에 따라 설정할 수 있습니다.
• 허브 VCN에서 작동하는 OCI 네트워크 방화벽:
  • 이 워크샵에 따라 OCI 네트워크 방화벽 솔루션을 익힐 수 있습니다.
• 전용 VCN에 배포된 작동 중인 Oracle Cloud VMware Solution SDDC 환경은 Oracle Cloud VMware Solution 설명서를 따라갈 수 있습니다. 이 자습서에서는 단일 호스트 SDDC를 배치했습니다.
• 이 사용지침서에서는 OCI 고유 워크로드를 설명하기 위해 Linux Bastion VM 및 Windows Jump Host VM을 각 서브넷에 배포했습니다. 애플리케이션 또는 데이터베이스를 호스트할 수 있는 다른 VM으로 교체할 수 있습니다.

주: 운용 환경에서는 고가용성으로 방화벽을 배치해야 합니다.

구조

다음 토폴로지를 참조하여 이 사용 사례를 지원할 수 있습니다.

작업 1: OCI 네트워크 방화벽 구성

다음 섹션에서는 OCI 네트워크 방화벽의 최소 필요 구성을 보여줍니다. 고급 구성은 공식 문서를 참조하십시오.

1. VCN 서브넷 및 VLAN: 첫번째 단계는 사용 사례 토폴로지를 지원하기 위해 Prerequisites 섹션에 설명된 대로 필요한 VCN 및 서브넷을 생성했는지 확인하는 것입니다.

   • OCI 콘솔에서 가상 클라우드 네트워크, 가상 클라우드 네트워크 세부정보, 리소스로 이동하여 확인할 수 있습니다.

     • 허브-VCN의 네트워크 방화벽을 지원하는 방화벽-서브넷-IAD 서브넷
     • Public-Bastion-Subnet-IAD, JumpHost-허브-VCN의 서브넷-IAD 서브넷으로 트래픽 검증을 위한 VM 지원
     • DB 워크로드 지원을 위한 DB-Spoke-VCN-IAD VCN의 DB-Subnet-IAD 서브넷
     • Oracle Cloud VMware Solution SDDC를 배치하는 동안 적절한 서브넷 및 VLAN을 생성해야 합니다.

   • 다음 이미지는 Hub-VCN(방화벽-VCN-IAD) 및 연관된 서브넷을 보여줍니다.

     

   • 다음으로 방화벽 서브넷에 배포된 OCI 네트워크 방화벽을 배포해야 합니다. 자세한 내용은 공식 문서를 참조하십시오.

2. OCI 네트워크 방화벽 정책 규칙: 사용 사례 트래픽을 지원하기 위해 필요한 방화벽 보안 규칙이 추가되었는지 확인합니다. 규칙 구성 방법에 대한 자세한 내용은 공식 문서를 참조하십시오.

   

3. OCI 네트워크 방화벽: 허브-VCN에서 필요 조건에 따라 네트워크 방화벽을 배치합니다. 방화벽 VM이 활성화되면 이를 사용하여 트래픽을 보호합니다.

   

4. VCN, 서브넷, VLAN 및 DRG 연결에 대한 경로 테이블: 사용 사례 토폴로지에 대한 올바른 경로 규칙을 반영하도록 경로 테이블을 구성해야 합니다. 상위 레벨에서 다음과 같이 VCN의 경로 테이블을 수정해야 합니다.

   • 방화벽-VCN

     • 방화벽 서브넷 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 인터넷 게이트웨이, NAT 게이트웨이, 서비스 게이트웨이 또는 DRG로 사용하여 항목을 생성합니다.
     • 공용 배스천 서브넷 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 네트워크 방화벽 IP 주소로 항목을 생성합니다.
     • 전용 JumpHost 서브넷 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 네트워크 방화벽 IP 주소로 항목을 만듭니다.
     • VCN 수신 경로 테이블: Spoke VCN의 트래픽을 검사하려면 각 대상 CIDR 및 대상을 방화벽 IP 주소로 항목을 만듭니다.

   • Oracle Cloud VMware Solution VCN

     • 서브넷 SDDC 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 DRG로 사용하여 항목을 생성합니다.
     • vSphere VLAN 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 DRG로 사용하여 항목을 만듭니다.
     • NSX Edge 업링크 1 VLAN 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 DRG로 사용하여 항목을 생성합니다.
     • VCN 수신 경로 테이블: 각 대상으로 항목을 생성합니다. CIDR 및 대상을 NSX-EDGE-UPLINK IP 주소로 오버레이하여 트래픽이 오버레이 호스트로 돌아가도록 합니다.

   • DB VCN

     • DB 서브넷 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 DRG로 사용하여 OCI 네트워크 방화벽을 통해 트래픽을 검사하는 항목을 생성합니다.

   • DRG VCN 연결

     • 방화벽-VCN 연결 경로 테이블: 각 NSX 작업 로드 CIDR을 대상으로, 다음 홉을 Oracle Cloud VMware Solution VCN 연결로 사용하여 항목을 생성합니다. Oracle Cloud VMware Solution 및 DB VCN과 일치하는 조건을 사용하여 경로 분포를 임포트합니다.
     • Oracle Cloud VMware Solution-VCN 연결 경로 테이블: 각 서브넷 CIDR을 대상으로, 대상을 방화벽-VCN 연결로 사용하여 OCI 네트워크 방화벽을 통해 트래픽을 검사하는 항목을 생성합니다.
     • DB 연결 경로 테이블: 각 서브넷 CIDR을 대상으로, 다음 홉을 방화벽-VCN 연결로 사용하여 OCI 네트워크 방화벽을 통해 트래픽을 검사하는 항목을 생성합니다.

주: 양방향에서 트래픽이 제대로 검사되도록 경로 대칭이 사용되는지 확인하십시오.

작업 2: OCI 네트워크 방화벽의 트래픽 검증 및 검사

이 시점에서는 JumpHost Windows VM, Bastion VM, Oracle Cloud VMware Solution SDDC 환경, NSX 오버레이 VM 및 DB Spoke VM의 트래픽을 검증하고 OCI 네트워크 방화벽의 트래픽을 검사할 수 있습니다. 다음 이미지는 사용 사례 토폴로지에 따라 실행되는 필수 VM을 보여줍니다.

JumpBox Windows VM에서 VCN 내 라우팅(IVR)을 통한 NSX 오버레이 VM으로의 남북 트래픽 검사

• IVR 라우팅 기능을 사용하면 VCN 내에서 트래픽을 라우팅하고 사용자가 정의한 라우트를 방화벽 전용 IP로 라우팅할 수 있습니다. 다음 이미지는 논리적 트래픽 플로우 및 JumpHost Windows VM이 Oracle Cloud VMware Solution NSX 작업 로드 VM과 통신할 수 있도록 연관된 여러 경로 지정 테이블을 보여줍니다.

  

• 아래와 같이 필요한 보안 규칙을 이미 푸시하여 방화벽을 통해 트래픽이 검사되도록 합니다.

  

• JumpHost Windows VM(10.40.1.160)에서 Oracle Cloud VMware Solution Workload VM(172.16.X.X)에 액세스할 수 있습니다.

  

  

• 다음 이미지는 적용된 보안 규칙을 기반으로 OCI 네트워크 방화벽의 트래픽 로그를 보여줍니다.

  

  

네트워크 게이트웨이 수신 라우팅을 통해 NSX 오버레이 VM에서 인터넷으로의 남북 트래픽 검사

• IVR 라우팅 및 네트워크 게이트웨이 수신 라우팅 기능을 사용하면 VCN 내에서 트래픽을 라우팅하고 네트워크 주소 번역 게이트웨이에 대한 사용자 정의 경로를 사용할 수 있습니다. 다음 이미지는 논리적 트래픽 플로우와 OCI 네트워크 방화벽을 통해 Oracle Cloud VMware Solution Workload VM에서 인터넷으로 IVR 및 네트워크 게이트웨이 수신 경로 지정을 사용으로 설정하는 데 사용되는 여러 경로 지정 테이블을 보여줍니다.

  

• 아래와 같이 필요한 보안 규칙을 이미 푸시하여 방화벽을 통해 트래픽이 검사되도록 합니다.

  

• Oracle Cloud VMware Solution NSX 워크로드 VM(172.16.1.5)에서 인터넷(info.cern.ch)으로 연결을 설정할 수 있습니다.

  

• 다음 이미지는 적용된 보안 규칙을 기반으로 OCI 네트워크 방화벽의 트래픽 로그를 보여줍니다.

  

VCN 내 라우팅(IVR)을 통해 JumpBox Windows VM에서 vCenter로의 동서 트래픽 검사

• IVR 라우팅 기능을 사용하면 VCN 내에서 트래픽을 라우팅하고 사용자가 정의한 라우트를 방화벽 전용 IP로 라우팅할 수 있습니다. 다음 이미지는 논리적 트래픽 플로우와 JumpHost Windows VM이 Oracle Cloud VMware Solution vCenter Server에 도달할 수 있도록 연관된 여러 경로 지정 테이블을 보여줍니다.

  

• 아래와 같이 필요한 보안 규칙을 이미 푸시하여 방화벽을 통해 트래픽이 검사되도록 합니다.

  

• JumpHost Windows VM(10.40.1.160)에서 Oracle Cloud VMware Solution vCenter Server(10.0.4.2)에 액세스할 수 있습니다.

  

• 다음 이미지는 적용된 보안 규칙을 기반으로 OCI 네트워크 방화벽의 트래픽 로그를 보여줍니다.

  

DB Spoke VM 및 ESXi Host의 동서 트래픽 검사 및 그 반대로

• IVR 경로 지정 기능을 사용하면 VCN 내에서 트래픽 경로를 지정하고 방화벽 전용 IP로 사용자 정의 경로를 지정할 수 있습니다. 다음 이미지는 보안 목적으로 Spoke VM 트래픽이 Oracle Cloud VMware Solution SDDC ESXi 호스트에 대해 삭제되도록 연관된 논리적 트래픽 플로우 및 여러 경로 지정 테이블을 보여줍니다.

  

• 아래와 같이 필요한 보안 규칙을 이미 푸시하여 방화벽을 통해 트래픽이 검사되도록 합니다.

  

• Oracle Cloud VMware Solution ESXi Host(10.0.0.110)는 DB VM(10.50.0.118)에서 액세스할 수 있으며 적용된 보안 규칙에 따라 트래픽을 거부해야 합니다.

  

• 다음 이미지는 적용된 보안 규칙을 기반으로 OCI 네트워크 방화벽의 트래픽 로그를 보여줍니다.

  

IPS/IDS, URL 필터링, SSL 전달 프록시 및 SSL 인바운드 검사 트래픽(VCN 간 라우팅을 통해 NSX 오버레이 VM에서 인터넷으로 전송)

• 네트워크 방화벽 주요 기능은 침입 방지, 침입 감지, URL 필터링, SSL 인바운드 검사 등과 같은 차세대 방화벽 기능을 제공하며 Oracle Cloud VMware Solution SDDC 환경과 함께 사용할 수 있습니다.

• 다음 이미지는 논리적 트래픽 플로우 및 NGFW 기능을 사용할 수 있도록 연관된 여러 경로 지정 테이블을 보여줍니다.

  

• 이러한 기능에 대한 자세한 내용은 OCI 네트워크 방화벽의 공식 설명서를 참조하십시오.

IP/ID

• 다음 이미지는 방화벽과 연관된 IPS/IDS 보안 규칙을 보여줍니다. 우리의 경우 Jumpbox VM HTTPS를 통해 EICAR 악성 코드를 다운로드합니다.

  

• Jumpbox VM에서 네트워크 게이트웨이 수신 경로 지정을 통해 인터넷 연결 맬웨어에 액세스할 수 있습니다. 트래픽은 방화벽을 통과합니다.

  

• 다음 이미지는 OCI 네트워크 방화벽의 트래픽 로그를 보여주고 IDS 작업에 따라 경보를 생성해야 합니다.

  

URL 필터링

• 다음 이미지는 네트워크 방화벽에서 보안 규칙을 필터링하는 URL을 보여줍니다. Oracle Cloud VMware Solution NSX 워크로드 VM이 특정 공용 URL에 액세스하는 경우 거부해야 합니다.

  

• 다음 이미지는 OCI 네트워크 방화벽의 트래픽 로그를 보여주며 올바른 보안 규칙을 따라야 합니다.

  

SSL Forward Proxy & SSL Inbound Inspection

• Jumpbox VM에서 인터넷으로의 HTTPS 트래픽이 SSL Forward 프록시 프로파일을 사용하는지 확인하는 SSL/TLS 트래픽을 지원하는 해독 규칙을 만들었습니다.

  

  

• Jumpbox VM에서 NGW를 통해 SSL/HTTPS를 통해 인터넷 연결 URL에 액세스할 수 있습니다. 트래픽은 방화벽을 통과합니다.

  

관련 링크

• Oracle Cloud Infrastructure
• Oracle Cloud VMware Solution 개요
• Oracle Cloud 가상 클라우드 네트워크 라우팅
• Oracle Cloud Infrastructure 허브 및 스포크 아키텍처
• DRG를 사용한 Oracle Cloud Infrastructure 전송 허브 방화벽
• Oracle Dynamic Routing Gateway 설명서
• OCI 네트워크 방화벽
• OCI 네트워크 방화벽 개요
• OCI 네트워크 방화벽 워크샵
• OCI 네트워크 방화벽을 사용한 심층 방어, 계층화

감사의 글

권한:

• Arun Poonia(Principal Solutions Architect)
• Praveen Kumar Pedda Vakkalam(Principal Solutions Architect)

추가 학습 자원

docs.oracle.com/learn에서 다른 실습을 탐색하거나 Oracle Learning YouTube 채널에서 더 많은 무료 학습 콘텐츠에 액세스할 수 있습니다. 또한 education.oracle.com/learning-explorer을 방문하여 Oracle Learning Explorer가 됩니다.

제품 설명서는 Oracle Help Center를 참조하십시오.

---

제목 및 저작권 정보

Secure your Oracle Cloud VMware Solution workloads with Oracle Cloud Infrastructure Network Firewall

F80966-01

April 2023

Copyright © 2023, Oracle and/or its affiliates.