네트워크 보안
Oracle Cloud Infrastructure Networking 서비스는 vcn(가상 클라우드 네트워크) 및 서브넷 프로비전을 지원하므로 네트워크 레벨에서 클라우드의 리소스를 분리하는 데 사용할 수 있습니다.
Oracle Cloud Infrastructure FastConnect 회로나 IPSec VPN 연결을 사용하여 vcn을 인터넷 연결에 대해 구성하거나 온프레미스 데이터 센터에 연결할 수 있습니다. 양방향 Stateful 및 Stateless 방화벽 규칙, 통신 게이트웨이 및 경로 지정 테이블을 사용하여 생성한 네트워크와 트래픽 흐름을 제어할 수 있습니다. VCN에 대해 지정된 방화벽 및 액세스 제어 목록(acl) 은 네트워크 토폴로지 및 컨트롤 플레인 전반에 전파되므로 다중 번호 지정 및 방어 구현을 보장합니다. Oracle Cloud Infrastructure의 네트워킹에 대한 자세한 내용은 Overview of Networking를 참조하십시오.
다음 아키텍처는 서브넷, 라우팅 테이블 및 보안 목록을 사용하여 네트워크 경계를 보호하는 방법을 보여줍니다.
이 구조는 보안 목록을 사용하는 가상 방화벽 구현을 보여줍니다. 보안 목록에서 지정하는 규칙은 보안 목록을 연결하는 서브넷의 모든 Vnic에 적용됩니다. 보다 세분화된 레벨에서 방화벽이 필요한 경우 Ngs(네트워크 보안 그룹) 를 사용합니다. Ng의 규칙은 지정한 vnic에만 적용됩니다. Oracle은 nsg를 사용하여 작업 부하의 보안 요구 사항과 서브넷 구조를 분리할 것을 권장합니다.
다음 예에서는 보안 목록과 Ng를 비교합니다.
네트워크 경계를 보호하려면 다음 점검 목록을 사용합니다.
| 완료? | 보안 제어 및 권장 사항 |
|---|---|
 |
VCN를 전용 및 공용 서브넷으로 분할합니다. |
|
인스턴스에 대한 액세스를 제어하기 위한 방화벽 규칙을 정의합니다. |
|
네트워크 연결에 대한 가상 라우터를 만들고 구성합니다. |
|
IAM 정책을 사용하여 네트워크 리소스 관리가 허용되는 그룹으로만 네트워크 리소스에 대한 액세스를 제한합니다. |
|
네트워크 액세스를 제어하려면 VCN에 계층화된 서브넷 전략을 사용하십시오. 로드 밸런서에는 DMZ(완충 영역) 서브넷을, 웹 서버와 같은 외부에서 액세스할 수 있는 호스트의 공용 서브넷, 데이터베이스와 같은 내부 호스트의 전용 서브넷을 사용합니다. |
|
전용 컴퓨트 인스턴스에서 인터넷에 접속하려면 NAT 게이트웨이를 사용하십시오. |
|
서비스 게이트웨이를 사용하여 Oracle 서비스 네트워크에 연결합니다. |
|
VCN 내에서 접근하고, 인터넷과 통신하고, 피어링 게이트웨이를 통해 다른 vcn과 접근하며, IPSec VPN 및 FastConnect를 통해 온프레미스 네트워크에 접근할 수 있는 세분화된 보안 규칙을 사용합니다. |
|
침입 감지 및 보호 시스템(IDS/IPS) 을 설정합니다. |
|
고가용성 및 전송 계층 보안(TLS) 을 위해 로드 밸런서를 생성하고 구성합니다. |
|
웹 애플리케이션 방화벽(WAF) 을 사용합니다. |
|
DNS 영역 및 매핑을 만듭니다. 로드 밸런서의 중요한 보안 고려 사항은 고객 TLS 인증서를 사용하여 고객의 VCN에 대한 TLS 연결을 구성하는 것입니다. |
|
외부 클라우드 연결에 대한 보안 모범 사례를 따릅니다. |
다음 그림은 Oracle Cloud Infrastructure 와의 네트워크 연결 옵션을 보여줍니다.
