1. OCI에서 Cisco ASAv를 사용하여 확장 가능한 원격 액세스 VPN 아키텍처 배포
  2. Oracle Cloud Infrastructure에서 Cisco ASAv를 사용하여 확장 가능한 원격 접근 VPN 아키텍처 배포

Oracle Cloud Infrastructure에서 Cisco ASAv를 사용하여 확장 가능한 원격 접근 VPN 아키텍처 배포

Virtual firewalls seamlessly extend Cisco's industry-leading on-premise security to the cloud. Ideal for remote workers and multi-tenant environments. Cisco ASAv provides Oracle Cloud Infrastructure (OCI) a scalable VPN solution with multiple feature options, such as remote-access, site-to-site, client less, and more.

구조

이 참조 아키텍처는 확장 가능한 원격 액세스 VPN 아키텍처를 배포하여 Oracle E-Business Suite 및 PeopleSoft와 같은 Oracle 애플리케이션 또는 유연한 네트워크 로드 밸런서와 함께 Cisco ASA Virtual Firewall을 사용하여 OCI에 배포된 애플리케이션에 접근하는 방법을 보여줍니다.

이러한 애플리케이션에 접근하기 위해 Cisco는 트래픽이 전송 허브(Outside/Inside VCN)를 통해 라우팅되고 여러 개별 네트워크(스포크)에 연결된 허브 및 스포크 토폴로지를 사용하여 네트워크를 분할할 것을 권장합니다. 유연한 네트워크 로드 밸런서 사이에 여러 ASA Virtual Firewall을 배치했는지 확인하십시오. 스포크 간의 모든 트래픽은 Cisco ASA Virtual Firewall을 사용하여 외부/내부 VCN을 통해 라우팅됩니다.

스포크 역할을 하는 자체 VCN(가상 클라우드 네트워크)에 애플리케이션의 각 계층을 배치합니다. 허브 VCN/Mgmt VCN에는 네트워크 로드 밸런서 뒤의 2개의 Cisco ASAv 방화벽이 포함되어 있습니다.

내부 VCN은 LPG/DRG를 통해 Spoke VCN에 연결됩니다. 모든 스포크 트래픽은 라우팅 테이블 규칙을 사용하여 LPG/DRG를 통해 트래픽을 내부 VCN으로 라우팅하여 트래픽이 VPN 일반 사용자에게 반환되도록 합니다.

ASDM 또는 CLI를 사용하여 ASAv를 관리 및 모니터할 수 있습니다. CDO(Cisco Defense Orchestrator)와 같은 기타 관리 옵션을 사용할 수 있습니다. 다음 다이어그램은 이 참조 아키텍처를 보여줍니다.

다음은 ravpn_arch_cisco_asa_vfirewall.png에 대한 설명입니다.
ravpn_arch_cisco_asa_vfirewall.png에 대한 설명

ravpn_arch_cisco_asa_vfirewall-oracle.zip

구조에는 다음과 같은 구성 요소가 있습니다.
  • Cisco ASA Virtual Firewall

    Cisco Adaptive Security Virtual Appliance(ASAv)는 가상화 환경에 완벽한 방화벽 기능을 제공하여 데이터센터 트래픽과 멀티 테넌트 환경을 보호합니다. 퍼블릭 및 프라이빗 클라우드를 일관되게 보호합니다.

  • 영역

    Oracle Cloud Infrastructure 지역은 가용성 도메인이라는 하나 이상의 데이터 센터를 포함하는 현지화된 지리적 영역입니다. 지역은 다른 지역에 독립적이며, 거리가 먼 나라 전체나 대륙을 구분할 수 있습니다.

  • 가용성 도메인

    가용성 도메인은 한 지역 내의 독립형 독립적인 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 한 가용성 도메인에서 장애가 발생해도 해당 지역의 다른 가용성 도메인에 영향을 주지 않습니다.

  • 결함 도메인

    장애 도메인은 한 가용성 도메인 내 하드웨어와 인프라의 그룹입니다. 각 가용성 도메인에는 독립적인 전원 및 하드웨어의 3개의 장애 도메인이 있습니다. 여러 장애 도메인에 걸쳐 리소스를 분배할 경우 응용 프로그램은 결함 도메인 내에서 물리적 서버 오류, 시스템 유지 관리 및 전원 오류를 허용할 수 있습니다.

  • VCN(가상 클라우드 네트워크) 및 서브넷

    VCN은 OCI 지역에서 설정할 수 있는 사용자 정의 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN은 네트워크 환경에 대한 완벽한 제어를 제공합니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 영역 또는 가용성 도메인으로 범위가 지정될 수 있는 서브넷으로 분할할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속 주소 범위로 구성됩니다. 서브넷 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.

  • 관리 VCN

    관리 VCN은 Cisco ASA Virtual Firewall이 배포되는 중앙 집중식 네트워크입니다. 내부 VCN/모든 스포크 VCN, OCI 서비스, 공용 엔드포인트 및 클라이언트, 온프레미스 데이터 센터 네트워크에 대한 보안 연결을 제공합니다.

  • 외부 VCN

    외부 VCN에는 일반 사용자가 VPN 헤드엔드로 연결하는 데 사용하는 유연한 네트워크 로드 밸런서를 호스팅하는 공용 서브넷이 포함되어 있습니다. 각 Cisco ASA 가상 방화벽에는 이 VCN 서브넷 내의 인터페이스도 있습니다.

  • VCN 내부

    VCN 내부의 전용 서브넷은 일반 사용자가 이 VCN 내에서 실행 중인 애플리케이션에 연결할 수 있도록 보장하거나 이 VCN을 통해 Spoke VCN에 대한 경로를 포함할 수 있도록 합니다. 각 Cisco ASA 가상 방화벽에는 이 VCN 서브넷 내의 인터페이스도 있습니다.

  • Spoke VCNs

    애플리케이션/데이터베이스 계층 Spoke VCN에는 Oracle 데이터베이스/애플리케이션을 호스팅하기 위한 전용 서브넷이 포함되어 있습니다.

  • 가변 네트워크 로드 밸런서

    OCI 유연한 네트워크 로드 밸런서는 가상 클라우드 네트워크의 단일 시작점에서 여러 백엔드 서버로의 자동 트래픽 분산을 제공합니다. 연결 레벨에서 작동하며 로드 밸런서는 Layer3/Layer4(IP 프로토콜) 데이터를 기반으로 정상적인 백엔드 서버로 들어오는 클라이언트 연결을 로드합니다.

  • 보안 목록

    각 서브넷에 대해 서브넷 내부/외부에서 허용해야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.

  • 경로 테이블

    가상 경로 테이블에는 서브넷에서 일반적으로 게이트웨이를 통해 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다.

    • 관리 VCN에는 인터넷 게이트웨이에 연결된 기본 경로가 있는 관리 서브넷에 연결된 관리 경로 테이블이 있습니다.
    • 외부 VCN에는 외부 서브넷에 연결된 외부 경로 테이블 또는 외부 VCN에서 인터넷 또는 온프레미스 대상으로 트래픽을 라우팅하기 위한 기본 VCN이 있습니다.
    • 내부 VCN에는 다음 경로 테이블이 있습니다. 방화벽과 연관된 각 VPN 풀 CIDR은 이 경로 테이블을 통해 내부 인터페이스로 이동합니다.

    참고:

    또한 단일 VCN의 일부로 관리/내부/외부 서브넷을 배포하고 그에 따라 트래픽을 라우팅할 수 있습니다.
  • 인터넷 게이트웨이

    인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 사이의 트래픽을 허용합니다.

  • NAT 게이트웨이

    NAT 게이트웨이를 사용하면 VCN의 전용 리소스가 수신 인터넷 연결에 해당 리소스를 노출시키지 않고도 인터넷의 호스트에 액세스할 수 있습니다.

  • DRG(Dynamic Routing Gateway)

    DRG는 VCN과 지역 외부의 네트워크(예: 다른 OCI 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크) 간 전용 네트워크 트래픽 경로를 제공하는 가상 라우터입니다.

  • 서비스 게이트웨이

    서비스 게이트웨이는 VCN에서 OCI 오브젝트 스토리지와 같은 다른 서비스에 대한 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.

  • VNIC(가상 네트워크 인터페이스 카드)

    OCI 데이터 센터의 서비스에는 물리적 NIC(네트워크 인터페이스 카드)가 있습니다. VM 인스턴스는 물리적 NIC와 연관된 VNIC(가상 NIC)를 사용하여 통신합니다. 각 인스턴스에는 실행 중 자동으로 생성 및 연결되는 기본 VNIC가 있으며 인스턴스 수명 동안 사용할 수 있습니다. DHCP는 기본 VNIC에만 제공됩니다. 인스턴스 실행 후 보조 VNIC를 추가할 수 있습니다. 각 인터페이스에 대해 정적 IP를 설정합니다.

  • 전용 IP

    인스턴스 주소 지정을 위한 전용 IPv4 주소 및 관련 정보입니다. 각 VNIC에는 기본 전용 IP가 있으며, 보조 전용 IP를 추가 및 제거할 수 있습니다. 인스턴스의 기본 전용 IP 주소는 인스턴스 시작 중에 연결되며 인스턴스 수명 중에는 변경되지 않습니다.

  • 공용 IP

    네트워킹 서비스는 전용 IP에 매핑된 Oracle에서 선택한 공용 IPv4 주소를 정의합니다. 공용 IP에는 임시 유형이 있습니다. 이 주소는 임시 주소이며 인스턴스 수명 동안 존재합니다. 예약됨: 이 주소는 인스턴스의 수명을 초과하여 유지됩니다. 할당 해제하고 다른 인스턴스에 다시 할당할 수 있습니다.

  • 소스 및 대상 확인

    모든 VNIC는 해당 네트워크 트래픽에 대해 소스 및 대상 검사를 수행합니다. 이 플래그를 사용 안함으로 설정하면 Cisco ASA Virtual Firewall이 방화벽 대상이 아닌 네트워크 트래픽을 처리할 수 있습니다.

  • 컴퓨트 구성

    컴퓨트 인스턴스의 구성은 인스턴스에 할당되는 CPU 수 및 메모리 양을 지정합니다. 컴퓨트 구성은 컴퓨트 인스턴스에 사용할 수 있는 VNIC 수와 최대 대역폭도 결정합니다.

권장 사항

다음 권장 사항을 시작점으로 사용하여 Cisco ASA 가상 방화벽을 사용하여 원격 액세스 VPN 아키텍처를 배포합니다. 요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다.
  • VCN
    • VCN을 생성할 때 VCN의 서브넷에 연결하려는 리소스 수를 기반으로 필요한 CIDR 블록 수 및 각 블록의 크기를 확인하십시오. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
    • 전용 접속을 설정할 다른 네트워크(OCI, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택하십시오.
    • VCN을 생성한 후에는 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
    • 서브넷을 설계할 때는 트래픽 플로우와 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결하여 보안 경계 역할을 할 수 있습니다.
    • 지역별 서브넷 사용.
  • Cisco ASA Virtual Firewall
    • 이 아키텍처에는 독립형 방화벽 인스턴스가 있습니다. 방화벽 오류 발생 시 일반 사용자는 재인증해야 합니다.
    • 가능하면 최소 또는 다른 가용성 도메인에서 고유한 결함 도메인에 배포합니다.
  • Cisco ASA Virtual Firewall Management
    • Oracle Cloud Infrastructure에서 호스트된 배치를 생성하는 경우 관리 전용 서브넷을 생성합니다.
    • 보안 목록 또는 NSG를 사용하여 보안 정책 관리 및 로그 및 이벤트를 보기 위해 인터넷에서 가져온 포트 443 및 22에 대한 인바운드 액세스를 제한합니다.

고려 사항

Cisco ASA Virtual Firewall을 사용하여 Oracle E-Business Suite 또는 OCI의 PeopleSoft 워크로드에 액세스하기 위한 원격 액세스 VPN 아키텍처를 배포하는 경우 다음 요인을 고려하십시오.

  • Performace
    • 컴퓨트 구성에 따라 결정되는 적절한 인스턴스 크기를 선택하면 사용 가능한 최대 처리량, CPU, RAM 및 인터페이스 수가 결정됩니다.
    • 조직에서는 어떤 유형의 트래픽이 환경을 통과하는지 파악하고 적절한 위험 수준을 결정하며, 필요에 따라 적절한 보안 제어를 적용해야 합니다. 사용으로 설정된 보안 제어의 다양한 조합은 성능에 영향을 줍니다.
    • FastConnect 또는 VPN 서비스에 전용 인터페이스를 추가하는 것을 고려합니다.
    • 더 높은 처리량과 더 많은 네트워크 인터페이스에 대한 액세스를 위해 대형 컴퓨트 구성을 사용하는 것이 좋습니다.
    • 성능 테스트를 실행하여 설계를 검증하면 필요한 성능과 처리량을 유지할 수 있습니다.
    • 다음 척도를 지침으로 사용하십시오.

      9.16 이상에서 OCI 성능 사양

  • 보안

    OCI에서 Cisco ASA Virtual Firewall을 구축하면 전체 방화벽 서비스가 데이터 센터 트래픽 및 원격 작업자를 보호할 수 있습니다.

  • 가용성
    • 최고의 리던던시를 위해 별도의 지역에 아키텍처를 배포합니다.
    • 온프레미스 네트워크와의 이중 연결을 위해 관련 조직 네트워크로 사이트 간 VPN을 구성합니다.
  • 비용
    • Cisco ASA Virtual Firewall을 통해 자체 라이센스 적용(BYOL) 가능
    • 라이센스 관리 방법에 대한 자세한 내용은 아래의 자세히 살펴보기 항목에서 참조하는 Cisco Adaptive Security Virtual Appliance(ASAv) Data Sheet and Smart Licensing for ASAv을 참조하십시오.

배치

Cisco ASA Virtual Firewall을 사용하여 Oracle Cloud Infrastructure에 원격 접근 VPN 아키텍처를 배포하려면 다음 단계를 수행하십시오.

Oracle은 Oracle Cloud Marketplace에서 아키텍처를 배포할 것을 권장합니다.

  • Oracle Cloud Marketplace에서 스택을 사용하여 배포:
    1. Oracle Cloud Marketplace의 스택을 사용하여 배치: 구조 다이어그램에 표시된 대로 필요한 네트워킹 기반 구조를 설정합니다. 다음 예를 참조하십시오. 허브 앤드 스포크 네트워크 토폴로지를 설정합니다.
    2. 귀사 환경에 애플리케이션(Oracle E-Business Suite, PeopleSoft 또는 Intended Applications)을 배포합니다.
    3. Oracle Cloud Marketplace에는 다양한 구성 및 라이선스 요구사항을 지원하는 여러 개의 목록이 있습니다. 예를 들어, 다음 목록 기능은 자체 라이선스 적용(BYOL)을 제공합니다. 선택한 각 목록에 대해 [앱 가져오기]를 누르고 화면 프롬프트를 따릅니다.
  • GitHub에서 Terraform 코드를 사용하여 배포합니다.
    1. GitHub로 이동합니다.
    2. 저장소를 로컬 컴퓨터에 복제하거나 다운로드합니다.
    3. README 문서의 지침을 따릅니다.

추가 탐색

이 구조의 기능 및 관련 리소스에 대해 자세히 알아봅니다.

Oracle Cloud Infrastructure에 대한 자세한 내용은 다음 추가 리소스를 참조하십시오.
Cisco에 대한 자세한 내용은 다음 추가 리소스를 참조하십시오.

감사의 글

  • 작성자: Arun Poonia