Oracle Cloud Infrastructure Network Firewall Service를 사용하여 워크로드 보호
OCI(Oracle Cloud Infrastructure)는 엔터프라이즈 클라우드 서비스를 보호하기 위해 업계 최고의 보안 기술 및 운영 프로세스를 제공합니다. 그러나 클라우드의 보안은 책임 공유 모델을 기반으로 합니다. Oracle은 클라우드 운영 및 서비스를 관리하기 위한 데이터 센터 시설, 하드웨어 및 소프트웨어와 같은 기본 인프라의 보안을 담당합니다. 고객은 규제준수 의무를 충족하기 위해 업무를 보호하고 서비스 및 애플리케이션을 안전하게 구성할 책임이 있습니다.
OCI 네트워킹 서비스는 고객이 워크로드를 보호하는 데 사용할 수 있는 VCN(가상 클라우드 네트워크용 보안 목록 및 네트워크 보안 그룹)을 제공합니다. 많은 고객들은 침입 방지 시스템, 침입 감지, SSL 검사, URL 필터링, 트래픽 검사 등에 대한 요구 사항도 가지고 있습니다.
- 상태기반 네트워크 필터링: 소스 IP(IPv4 및 IPv6), 대상 IP(IPv4 및 IPv6), 포트 및 프로토콜을 기반으로 네트워크 트래픽을 허용하거나 거부하는 Stateful 네트워크 필터링 규칙을 만듭니다.
- 사용자 정의 URL 및 FQDN 필터링: 와일드카드 및 사용자 정의 URL을 포함하여 수신 및 송신 트래픽을 지정된 FQDN(정규화된 도메인 이름) 목록으로 제한합니다.
- IDPS(Intrusion Detection and Prevention): 네트워크에서 악의적인 작업을 모니터합니다. 작업을 기록, 보고 또는 차단합니다.
- SSL 검사: 보안 취약성에 대한 암호화 서버 이름 표시(ESNI) 지원을 사용하여 TLS 암호화 트래픽을 해독하고 검사합니다. ESNI는 TLS 핸드셰이크에서 SNI(Server Name Indicator)를 암호화하는 TLSv1.3 확장입니다.
- 로깅: 네트워크 방화벽은 Oracle Cloud Infrastructure Logging과 통합됩니다. 방화벽의 정책 규칙에 따라 로그를 사용으로 설정합니다.
- 측정지표: 네트워크 방화벽은 Oracle Cloud Infrastructure Monitoring과 통합됩니다. 모니터링 서비스 기능을 사용하여 차단된 요청 수와 같은 측정항목을 기반으로 경보를 사용으로 설정합니다.
- VCN 내 서브넷 트래픽 검사: 네트워크 방화벽을 통해 두 VCN 서브넷 간에 트래픽을 라우팅합니다.
- VCN 간 트래픽 검사: 네트워크 방화벽을 통해 두 VCN 간에 트래픽을 라우팅합니다.
구조
이 참조 아키텍처는 조직이 네트워크 방화벽을 사용하여 OCI에 배포된 워크로드를 보호하고 VCN(가상 클라우드 네트워크) 라우팅 기능을 사용하여 설계를 간소화하는 방법을 보여줍니다. Oracle은 이러한 작업 로드를 보호하기 위해 트래픽 경로가 네트워크 방화벽을 통해 지정되고 VCN의 여러 서브넷에 연결되는 분산 배치를 사용하여 네트워크를 분할할 것을 권장합니다.
방화벽 정책을 정의해야 OCI 네트워크 방화벽을 배치할 수 있습니다. OCI 네트워크 방화벽은 VCN의 지정된 전용 방화벽 서브넷에 있는 가용성 도메인 내에서 가용성이 높은 고유의 서비스입니다. 배포 후에는 방화벽 IP 주소를 사용해 VCN 라우팅 테이블을 사용하여 트래픽을 라우팅할 수 있습니다. OCI 네트워크 방화벽 IP 주소로 대칭 경로를 지정하고 필요한 방화벽 정책을 적용하여 사용 사례를 지원해야 합니다.
인터넷에서 온프레미스로, 또는 Oracle Services Network로, 라우팅하고 네트워크 방화벽을 통해 모든 규모의 조직에 차세대 방화벽 기능을 제공하는 VCN 간 모든 트래픽을 검사할 수 있습니다. Network Firewall 및 기타 OCI 보안 서비스와 함께 고급 기능을 사용하여 계층형 네트워크 보안 솔루션을 생성합니다. 네트워크 방화벽은 선택한 서브넷에 생성한 후 확장 가능한 서비스입니다. 방화벽은 연결된 방화벽 정책에 지정된 트래픽에 업무 논리를 적용합니다. VCN의 라우팅은 네트워크 트래픽을 방화벽으로 또는 방화벽으로 전달하는 데 사용됩니다.
네트워크 방화벽은 다음과 같이 배치할 수 있습니다.
- 분산 네트워크 방화벽 모델: OCI 네트워크 방화벽은 권장되는 전용 VCN에 배치됩니다.
- 전송 네트워크 방화벽 모델: OCI 네트워크 방화벽은 허브 VCN에 배포되고 동적 라우팅 게이트웨이를 통해 스포크 VCN에 연결됩니다.
이 아키텍처에서는 다양한 모델, 다양한 트래픽 플로우 및 연관된 구성 요소에 네트워크 방화벽을 배치하는 방법을 간략히 설명합니다.
다음 다이어그램은 이 참조 구조를 보여 줍니다.
oci-network-firewall-arch-oracle.zip
주:
각 트래픽 플로우는 필요한 네트워크 방화벽 정책을 네트워크 방화벽으로 푸시하고 경로 대칭을 사용하여 네트워크 방화벽으로 트래픽을 주고 받습니다.안전한 VCN의 OCI 네트워크 방화벽을 통해 인터넷 게이트웨이를 통한 남북 인바운드 인터넷 트래픽 흐름
그림 oci-network-firewall-inbound.png에 대한 설명
oci-network-firewall-inbound-oracle.zip
안전한 VCN의 OCI 네트워크 방화벽을 통해 인터넷 게이트웨이를 통한 남북 아웃바운드 인터넷 트래픽 흐름
그림 oci-network-firewall-outbound.png에 대한 설명
oci-network-firewall-outbound-oracle.zip
NAT 게이트웨이를 통한 노스 사우스 아웃바운드 인터넷 트래픽 흐름 및 안전한 VCN의 OCI 네트워크 방화벽을 통한 트래픽 흐름
그림 oci-network-firewall-outbound-nat.png에 대한 설명
oci-network-firewall-outbound-nat-oracle.zip
안전한 VCN의 OCI 네트워크 방화벽을 통해 노스 사우스 인바운드 온프레미스 트래픽 흐름
그림 oci-network-firewall-inbound-prem.png에 대한 설명
oci-network-firewall-inbound-prem-oracle.zip
안전한 VCN의 OCI 네트워크 방화벽을 통해 노스-사우스 아웃바운드 온-프레미스 트래픽 흐름
그림 oci-network-firewall-outbound-prem.png에 대한 설명
oci-network-firewall-outbound-prem-oracle.zip
East-west Subnet-A to Subnet-B 트래픽은 보안 VCN의 OCI 네트워크 방화벽을 통해 흐릅니다.
그림 oci-network-firewall-subnet1.png에 대한 설명
oci-network-firewall-subnet-oracle1.zip
East-west Subnet-B to Subnet-보안 VCN의 OCI 네트워크 방화벽을 통과하는 트래픽 흐름
그림 oci-network-firewall-subnet-b.png에 대한 설명
oci-network-firewall-subnet-b-oracle.zip
East-west Subnet-A to OCI Services 트래픽은 보안 VCN의 OCI 네트워크 방화벽을 통해 흐릅니다.
그림 oci-network-firewall-subnet.png에 대한 설명
oci-network-firewall-subnet-oracle.zip
OCI 네트워크 방화벽 배치 구조 전송
그림 oci-network-firewall-transit-arch.png에 대한 설명
oci-network-firewall-transit-arch-oracle.zip
East-west Spoke Secured-B VCN - Hub Secured VCN-A의 OCI 네트워크 방화벽을 통해 Spoke Secured-C VCN 트래픽 흐름
그림 oci-network-firewall-spoke.png에 대한 설명
oci-network-firewall-spoke-oracle.zip
구조에는 다음과 같은 구성 요소가 있습니다.
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 방대한 거리로 이들을 분리할 수 있습니다(국가 또는 대륙 간).
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용 할당량을 설정합니다. 제공된 구획의 리소스에 대한 액세스를 제어하려면 리소스에 액세스할 수 있는 사용자 및 수행할 수 있는 작업을 지정하는 정책을 정의합니다.
- 가용성 도메인
가용성 도메인은 한 지역 내의 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 분리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 하나의 가용성 도메인에서 장애가 발생하면 해당 영역의 다른 가용성 도메인에 영향을 주지 않습니다.
- 결함 도메인
장애 도메인은 한 가용성 도메인 내 하드웨어 및 인프라의 그룹입니다. 각 가용성 도메인에는 독립된 전원 및 하드웨어로 3개의 장애 도메인이 있습니다. 여러 장애 도메인에 리소스를 분산하면 애플리케이션은 장애 도메인 내에서 물리적 서버 장애, 시스템 유지보수 및 전원 장애를 허용할 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 영역에서 설정하는 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN도 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN을 생성한 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가야 하는 트래픽의 소스, 대상, 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- 네트워크 방화벽
선택한 서브넷에 있는 보안 리소스로, 보안 규칙 세트를 기반으로 수신 및 송신 네트워크 트래픽을 제어합니다. 각 방화벽은 정책과 연관됩니다. 트래픽은 인터넷 게이트웨이, NAT 게이트웨이, 서비스 게이트웨이 및 DRG(동적 라우팅 게이트웨이)와 같은 리소스에서 방화벽으로 또는 반대 방향으로 라우팅됩니다.
- 네트워크 방화벽 정책
방화벽 정책에는 방화벽이 네트워크 트래픽을 검사, 허용 또는 거부하는 방법을 제어하는 모든 구성 규칙이 포함됩니다. 각 방화벽은 단일 정책과 연관되지만 정책을 여러 방화벽에 연관시킬 수 있습니다. 정책 내에서 목록 및 맵은 명확하고 간결한 방식으로 규칙을 표현하는 데 사용되는 객체입니다.
- 경로 테이블가상 라우트 테이블에는 일반적으로 게이트웨이를 통해 서브넷에서 VCN 외부의 대상으로 트래픽을 라우팅하는 규칙이 포함됩니다. 보안 VCN에는 다음 라우팅 테이블이 있을 수 있습니다.
- 보안 VCN의 방화벽 서브넷 라우팅 테이블은 인터넷, 온프레미스, 서브넷 또는 VCN이 대상에 도달하는 트래픽을 보장합니다. 이 라우팅 테이블은 네트워크 방화벽 서브넷에 연결됩니다.
- 인터넷 게이트웨이 라우트 테이블은 인터넷의 모든 인바운드 트래픽이 네트워크 방화벽을 통과하도록 보장합니다. 이 라우팅 테이블은 인터넷 게이트웨이와 연결됩니다.
- NAT 게이트웨이 라우트 테이블은 인터넷이 네트워크 방화벽을 통과하는 모든 반환 응답을 보장합니다. 이 라우팅 테이블은 NAT 게이트웨이와 연결됩니다.
- 서비스 게이트웨이 라우트 테이블은 Oracle Services Network 통신의 모든 반환 응답이 네트워크 방화벽을 통과하도록 보장합니다. 이 라우팅 테이블은 서비스 게이트웨이에 연결됩니다.
- 각 라우팅 테이블을 통해 VCN 내에서 통신할 수 있습니다. 그러나 VCN의 서브넷 내에서 네트워크 방화벽을 사용하려면 올바른 라우트가 네트워크 방화벽 IP 주소를 가리키고 있는지 확인합니다.
- DRG 방화벽 VCN 수신 라우팅 테이블은 동적 라우팅 게이트웨이를 통해 Spoke VCN/온프레미스에서 네트워크 방화벽 전용 IP 주소로 수신 트래픽을 전송하는 보안 VCN 연결에 연결됩니다.
-
동적 라우팅 게이트웨이를 통해 방화벽 VCN에 연결된 각 스포크에 대해 고유한 라우팅 테이블이 정의되어 연결된 서브넷에 연결됩니다. 이 경로 테이블은 네트워크 방화벽 전용 IP 주소를 통해 연관된 Spoke VCN에서 동적 경로 지정 게이트웨이로 모든 트래픽(0.0.0.0/0)을 전달합니다.
- 전용 IP
인스턴스 주소 지정을 위한 전용 IPv4 주소 및 관련 정보입니다. 각 VNIC에는 기본 전용 IP가 있으며 보조 전용 IP를 추가 및 제거할 수 있습니다. 인스턴스의 기본 전용 IP 주소는 인스턴스 시작 중에 연결되며 인스턴스 수명 중에는 변경되지 않습니다. 보조 IP는 또한 VNIC 서브넷의 동일한 CIDR에 속해야 합니다. 보조 IP는 같은 서브넷 내의 서로 다른 인스턴스에 있는 서로 다른 VNIC 간에 이동할 수 있으므로 부동 IP로 사용됩니다. 또한 다른 끝점으로 사용하여 다른 서비스를 호스트할 수도 있습니다.
OCI 네트워크 방화벽은 보조 IP를 지원하지 않으며 필요합니다. 기본 방화벽 IP 주소를 사용하여 트래픽 검사를 위해 트래픽을 방화벽으로 경로 지정합니다.
- 공용 IP네트워킹 서비스는 Oracle에서 선택한 전용 IP에 매핑되는 공용 IPv4 주소를 정의합니다.
- 임시: 이 주소는 임시 주소이며 인스턴스 수명 동안 존재합니다.
- 예약됨: 이 주소는 인스턴스의 수명을 초과하여 유지됩니다. 할당을 해제하고 다른 인스턴스에 할당할 수 있습니다.
- 컴퓨트 구성
컴퓨트 인스턴스의 구성은 인스턴스에 할당되는 CPU 수 및 메모리 크기를 지정합니다. 또한 컴퓨트 구성에 따라 컴퓨트 인스턴스에 사용할 수 있는 VNIC 수와 최대 대역폭이 결정됩니다.
- VNIC(Virtual Network Interface Card)
Oracle Cloud Infrastructure 데이터 센터의 서비스에는 NIC(물리적 네트워크 인터페이스 카드)가 사용됩니다. 가상 시스템 인스턴스는 물리적 NIC와 연결된 VNIC(가상 NIC)를 사용하여 통신합니다. 각 인스턴스에는 실행 중 자동으로 생성 및 연결되며 인스턴스 수명 중 사용할 수 있는 기본 VNIC가 있습니다. DHCP는 기본 VNIC에만 제공됩니다. 인스턴스 시작 후 보조 VNIC를 추가할 수 있습니다. 각 인터페이스에 대해 정적 IP를 설정해야 합니다.
- 인터넷 게이트웨이
인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 사이의 트래픽을 허용합니다.
- NAT 게이트웨이
NAT 게이트웨이를 사용하면 VCN의 전용 리소스가 수신 인터넷 연결에 리소스를 노출하지 않고도 인터넷의 호스트에 접근할 수 있습니다.
- 서비스 게이트웨이
서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스로의 접근을 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 경유하지 않습니다.
- FastConnect
Oracle Cloud Infrastructure FastConnect는 데이터 센터 및 Oracle Cloud Infrastructure 간 전용 개인 연결을 생성할 수 있는 쉬운 방법을 제공합니다. FastConnect는 인터넷 기반 연결에 비해 더 높은 대역폭 옵션과 더 신뢰할 수 있는 네트워킹 환경을 제공합니다.
권장 사항
- VCN
VCN을 생성할 때 VCN의 서브넷에 연결할 리소스의 수에 따라 필요한 CIDR 블록 수 및 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
전용 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.
VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때는 트래픽 플로우와 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 보안 경계로 사용할 수 있는 동일한 서브넷에 연결합니다.
- 네트워크 방화벽 정책
필요한 보안 정책, 포트 및 프로토콜에 대한 최신 정보는 더 알아보기 섹션에서 네트워크 방화벽 정책 설명서를 참조하십시오. 필요한 정책을 네트워크 방화벽에 푸시했는지 확인합니다.
- 네트워크 방화벽최신 정보에 대한 자세한 내용은 더 알아보기 섹션의 네트워크 방화벽 설명서를 참조하십시오. 아래와 같은 권장 사항은 거의 없습니다.
- 네트워크 방화벽이 방화벽 서브넷 내의 소스 또는 대상에서 트래픽을 검사할 수 없으므로 OCI 네트워크 방화벽 서브넷을 사용하여 다른 리소스를 배치하는 것이 좋습니다.
- 분산 배치 구조를 배치하고 지역 방화벽 서브넷을 사용합니다.
- 로깅을 활용하여 보안을 개선하고 트래픽 플로우를 확인합니다.
- 측정지표, 경보 및 통지를 사용하여 네트워크 방화벽의 상태, 용량 및 성능을 모니터링할 수 있습니다.
- 방화벽 사용률을 높여 모든 트래픽을 보호하려면 방화벽 서브넷에 연결된 보안 목록에 Stateful 규칙을 추가하거나 상태기반 규칙을 포함하는 NSG(네트워크 보안 그룹)에 방화벽을 포함하지 않아야 합니다.
- 방화벽 서브넷 및 VNIC와 연관된 NSG(보안 목록 또는 네트워크 보안 그룹) 규칙은 방화벽 전에 평가됩니다. 보안 목록 또는 NSG 규칙을 통해 트래픽이 방화벽에 들어가도록 허용하여 적절히 평가할 수 있어야 합니다.
고려 사항
네트워크 방화벽을 사용하여 OCI에서 워크로드를 보호할 때는 다음 사항을 고려하십시오.
- 성능
- 적절한 인스턴스 크기(컴퓨트 구성에 따라 결정됨)를 선택하면 사용 가능한 최대 처리량, CPU, RAM 및 인터페이스 수가 결정됩니다.
- 조직은 환경을 순회하는 트래픽 유형을 파악하고, 적절한 위험 수준을 결정하고, 필요에 따라 적절한 보안 제어를 적용해야 합니다. 사용으로 설정된 보안 제어의 서로 다른 조합은 성능에 영향을 줍니다.
- FastConnect 또는 VPN 서비스에 전용 인터페이스를 추가하는 것을 고려하십시오. 더 높은 처리량과 더 많은 네트워크 인터페이스에 접근하려면 대형 컴퓨트 구성을 사용하는 것이 좋습니다.
- 설계를 검증하기 위해 성능 테스트를 실행하면 필요한 성능과 처리량을 유지할 수 있습니다.
- 보안
- 네트워크 방화벽을 통해 트래픽이 소스에서 대상으로 도달할 수 있도록 하려면 비대칭적으로 OCI 네트워크 방화벽으로 라우팅해야 합니다.
- 방화벽 서브넷 및 VNIC와 연관된 NSG(보안 목록 또는 네트워크 보안 그룹) 규칙은 방화벽 전에 평가됩니다. 보안 목록 또는 NSG 규칙을 통해 트래픽이 방화벽에 들어가도록 허용하여 적절히 평가할 수 있어야 합니다.
- 로깅
연관된 정책의 규칙에서 지원하는 방화벽과 Oracle Cloud Infrastructure Logging을 구독하는 경우 방화벽에 대한 로깅을 사용으로 설정할 수 있습니다. 로그에는 로그 작업 및 지정된 시간 프레임 내에 기록된 각 이벤트의 세부정보가 표시됩니다. 로그에는 트래픽이 규칙을 트리거하고 보안을 향상시키는 데 도움이 되는 시기가 표시됩니다.
- 가용성
- 리던던시를 위해 각 지역의 지리적 위치에 아키텍처를 배포할 수 있습니다.
- 온프레미스 네트워크와의 중복 연결을 위해 관련 조직 네트워크로 사이트 간 VPN을 구성합니다.
- 비용
OCI 네트워크 방화벽당 비용이 있습니다. 많은 수의 OCI VCN이 있는 경우 분산 및 전송 방화벽 모델을 조합하여 사용해 보십시오. 필요한 경우에만 네트워크 방화벽을 배치합니다.
배치
콘솔을 사용하여 OCI에 네트워크 방화벽을 배치할 수 있습니다. 또한 GitHub에서 코드를 다운로드하고 이 구조를 배치하기 위한 특정 업무 요구 사항에 맞게 커스터마이즈할 수 있습니다.
- GitHub로 이동하십시오.
- 저장소를 로컬 컴퓨터에 복제하거나 다운로드합니다.
README문서의 지침을 따릅니다.