체크포인트 CloudGuard 네트워크 보안으로 클라우드 워크로드 보호
체크포인트 CGNS(CloudGuard Network Security) 를 사용하여 클라우드의 Oracle E-Business Suite 또는 PeopleSoft에서 애플리케이션 워크로드를 이동하거나 확장하여 상당한 구성, 통합 또는 비즈니스 프로세스 변경 없이 네이티브 보안 옵션을 강화합니다.
클라우드의 보안은 공유 책임 모델을 기반으로 합니다. Oracle는 데이터 센터 설비, 클라우드 운영 및 서비스 관리를 위한 하드웨어 및 소프트웨어와 같은 기본 기반 구조의 보안을 담당합니다. 고객은 자신의 워크로드를 보호하고 규정 준수 의무를 충족하도록 서비스 및 애플리케이션을 안전하게 구성할 책임이 있습니다.
Oracle Cloud Infrastructure는 동급 최강의 보안 기술과 운영 프로세스를 제공하여 엔터프라이즈 클라우드 서비스를 보호합니다. Check Point CloudGuard Network Security for Oracle Cloud Infrastructure는 엔터프라이즈 및 하이브리드 클라우드 네트워크에서 보안 연결을 사용으로 설정하면서 공격으로부터 애플리케이션을 보호하는 고급 다층 보안을 제공합니다.
함께, 온프레미스 데이터 센터 및 클라우드 환경 전반에서 애플리케이션을 보호하여 확장 가능한 성능을 제공하고 고급 보안 통합관리 및 통합된 위협 보호 기능을 제공합니다.
보안 제어에는 다음이 포함됩니다:
- 액세스 제어(방화벽)
- 로깅
- 애플리케이션 제어
- IPS(침입 방지)
- 고급 위협 방지(바이러스 방지/안티봇/SandBlast 제로 데이 보호)
- 온프레미스 네트워크와의 통신을 위한 사이트 간 VPN(가상 사설망)
- 로밍 사용자와의 통신을 위한 원격 액세스 VPN
- 인터넷 바운드 트래픽에 대한 네트워크 주소 변환
구조
이 참조 아키텍처는 조직에서 CGNS(Check Point CloudGuard Network Security) 게이트웨이를 사용하여 Oracle Cloud Infrastructure에 배포된 Oracle E-Business Suite 및 PeopleSoft와 같은 Oracle 애플리케이션을 보호할 수 있는 방법을 보여 줍니다.
이러한 트래픽 흐름을 보호하기 위해 체크포인트는 트래픽이 중앙 허브를 통해 경로 지정되고 여러 개별 네트워크(스포크) 에 연결되는 허브 및 스포크 토폴로지를 사용하여 네트워크를 세분화할 것을 권장합니다. 인터넷에서 온프레미스로 또는 온프레미스에서 Oracle Services Network로의 스포크 간 모든 트래픽은 허브를 통해 경로 지정되고 체크포인트 CloudGuard Network Security의 다중 계층 위협 방지 기술로 검사됩니다.
스포크 역할을 하는 고유한 VCN(가상 클라우드 네트워크) 에 응용 프로그램의 각 계층을 배치합니다. 허브 VCN 에는 체크포인트 CGNS 고가용성 클러스터, Oracle 인터넷 게이트웨이, DRG(동적 경로 지정 게이트웨이), Oracle Service 게이트웨이 및 LPG(로컬 피어링 게이트웨이) 가 포함되어 있습니다.
허브 VCN는 LPG를 통해 스포크 VCN에 접속하거나 보조 VNIC(가상 네트워크 인터페이스 카드) 를 CGNS 게이트웨이에 연결하여 연결합니다. 모든 스포크 트래픽은 경로 지정 테이블 규칙을 사용하여 체크포인트 CGNS 고가용성 클러스터에 의한 검사를 위해 LPG를 통해 허브로 트래픽 경로를 지정합니다.
다음 방법 중 하나로 환경을 관리합니다:
- 허브 VCN의 고유 서브넷 또는 허브에 액세스할 수 있는 기존 고객 서버로 배포된 체크포인트 보안 관리 서버 또는 다중 도메인 관리 서버를 사용하여 환경을 중앙에서 관리합니다.
- 체크포인트의 Smart-1 Cloud Management-as-a-Service에서 환경을 중앙에서 관리합니다.
다음 다이어그램은 이 참조 구조를 보여줍니다.
북부 인바운드 교통
다음 다이어그램은 북부 소스 인바운드 트래픽이 인터넷 및 원격 데이터 센터에서 웹 애플리케이션 계층에 액세스하는 방법을 보여 줍니다.
북부 아웃바운드 트래픽
다음 다이어그램은 웹 애플리케이션 및 데이터베이스 계층에서 인터넷으로의 송신 접속이 소프트웨어 업데이트를 제공하고 외부 웹 서비스에 액세스하는 방법을 보여줍니다. 관련 네트워크에 대한 체크포인트 보안 정책에서 NAT 숨기기가 구성되었는지 확인합니다.
동-서 트래픽(웹-데이터베이스)
다음 다이어그램은 트래픽이 웹 애플리케이션에서 데이터베이스 계층으로 이동하는 방법을 보여줍니다.
동-서 트래픽(데이터베이스에서 웹으로)
다음 다이어그램은 데이터베이스 계층에서 웹 애플리케이션으로 트래픽을 이동하는 방법을 보여줍니다.
동-서 트래픽(웹 애플리케이션에서 Oracle Services Network로)
다음 다이어그램은 트래픽이 웹 애플리케이션에서 Oracle Services Network로 이동하는 방법을 보여줍니다.
동-서 트래픽(Oracle Services Network to Web 애플리케이션)
다음 다이어그램은 Oracle Services Network에서 웹 애플리케이션으로 트래픽을 이동하는 방법을 보여줍니다.
아키텍처의 구성 요소는 다음과 같습니다:
- 체크포인트 CloudGuard 네트워크 보안 게이트웨이
하이브리드 클라우드에 대한 고급 위협 방지 및 클라우드 네트워크 보안을 제공합니다.
- 체크포인트 보안 관리
- 보안 관리 서버
- 다중 도메인 관리
- Smart-1 Cloud Management-as-a-Service
- Oracle E-Business Suite 또는 PeopleSoft 애플리케이션 계층
Oracle E-Business Suite 또는 PeopleSoft 애플리케이션 서버와 파일 시스템으로 구성됩니다.
- Oracle E-Business Suite 또는 PeopleSoft 데이터베이스 계층
Oracle Database로 구성되지만 Oracle Exadata Database Cloud 서비스 또는 Oracle Database 서비스로 제한되지 않습니다.
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지역입니다. 지역은 다른 지역과 독립적이며 방대한 거리는 국가 또는 대륙 간에 구분할 수 있습니다.
- 가용성 도메인
가용성 도메인은 한 지역 내의 독립된 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 결함 허용 범위를 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 기반구조를 공유하지 않습니다. 따라서 한 가용성 도메인에서 오류가 발생하더라도 해당 지역의 다른 가용성 도메인에 영향을 주지 않습니다.
- 결함 도메인
결함 도메인은 가용성 도메인 내의 하드웨어 및 기반구조 그룹입니다. 각 가용성 도메인에는 독립적인 전원 및 하드웨어가 있는 결함 도메인이 세 개 있습니다. 여러 결함 도메인에 리소스를 배포할 경우 응용 프로그램은 결함 도메인 내에서 물리적 서버 오류, 시스템 유지 관리 및 전원 오류를 허용할 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN는 Oracle Cloud Infrastructure 영역에서 설정한 사용자 정의 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN도 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN 에는 VCN를 생성한 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN를 서브넷으로 세그먼트화하여 영역 또는 가용성 도메인으로 범위를 지정할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속된 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 허브 VCN
허브 VCN는 체크포인트 CloudGuard NSG가 배포되는 중앙 네트워크입니다. 모든 스포크 VCN, Oracle Cloud Infrastructure 서비스, 공용 끝점 및 클라이언트, 온프레미스 데이터 센터 네트워크에 대한 보안 연결을 제공합니다.
- 애플리케이션 계층 스포크 VCN
응용 프로그램 계층 스포크 VCN 에는 Oracle E-Business Suite 또는 PeopleSoft 구성 요소를 호스트하는 전용 서브넷이 포함되어 있습니다.
- 데이터베이스 계층 스포크 VCN
데이터베이스 계층 스포크 VCN 에는 Oracle 데이터베이스를 호스팅하기 위한 전용 서브넷이 포함되어 있습니다.
- 로드 밸런서
Oracle Cloud Infrastructure Load Balancing 서비스는 단일 시작점에서 백엔드의 여러 서버로 자동화된 트래픽 분배를 제공합니다.
- 보안 목록
각 서브넷에 대해 서브넷 내부 및 외부에서 허용해야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- 경로 지정 테이블
가상 경로 테이블에는 일반적으로 게이트웨이를 통해 서브넷의 트래픽을 VCN 외부의 대상으로 경로 지정하는 규칙이 포함됩니다.
허브 VCN 에는 다음과 같은 경로 테이블이 있습니다:
- 프론트엔드 서브넷에 연결된 프론트엔드 경로 테이블 또는 허브 VCN에서 인터넷 또는 온-프레미스 대상으로 트래픽을 경로 지정하기 위한 기본 VCN 입니다.
- 백엔드 서브넷에 연결된 백엔드 경로 지정 테이블은 연관된 LPG를 통해 스포크 VCN의 CIDR 블록을 가리킵니다.
- 허브에 연결된 각 스포크에 대해 고유한 경로 테이블이 정의되고 연관된 LPG에 첨부됩니다. 해당 경로 테이블은 체크포인트 CGNS 백엔드 유동 IP를 통해 연관된 스포크 LPG에서 모든 트래픽(0.0.0.0/0) 을 전달합니다.
- Oracle 서비스 네트워크 통신을 위해 Oracle 서비스 게이트웨이에 연결된 Oracle 서비스 게이트웨이 경로 테이블입니다. 이 경로는 모든 트래픽(0.0.0.0/0) 을 체크포인트 CGNS 백엔드 유동 IP로 전달합니다.
- 트래픽 대칭을 유지하기 위해 각 체크포인트 CGNS 클러스터 멤버(Gaia OS) 에도 경로가 추가되어 스포크 트래픽의 CIDR 블록이 백엔드(내부) 서브넷의 기본 게이트웨이 IP(허브 VCN의 백엔드 서브넷에서 첫번째 IP 사용 가능) 를 가리킵니다.
- 인터넷 게이트웨이
인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용합니다.
- NAT 게이트웨이
NAT 게이트웨이를 사용하면 들어오는 인터넷 연결에 리소스를 노출하지 않고도 VCN의 개인 리소스가 인터넷의 호스트에 액세스할 수 있습니다.
- LPG(Local peering Gateway)
LPG를 사용하면 한 VCN을 동일한 영역의 다른 VCN와 피어링할 수 있습니다. 피어링은 VCN이 온프레미스 네트워크를 통해 인터넷 또는 라우팅을 순회하지 않고 전용 IP 주소를 사용하여 통신함을 의미합니다.
- 동적 경로 지정 게이트웨이(DRG)
DRG는 VCN와 지역 외부 네트워크 간의 개인 네트워크 트래픽 경로(예: 다른 Oracle Cloud Infrastructure 지역의 VCN, 온프레미스 네트워크 또는 다른 클라우드 제공자의 네트워크) 를 제공하는 가상 라우터입니다.
- 서비스 게이트웨이
서비스 게이트웨이는 VCN에서 다른 서비스(예: Oracle Cloud Infrastructure Object Storage) 로의 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.
- FastConnect
Oracle Cloud Infrastructure FastConnect를 사용하면 데이터 센터와 Oracle Cloud Infrastructure 간에 전용 개인 연결을 쉽게 생성할 수 있습니다. FastConnect는 인터넷 기반 연결에 비해 고대역폭 옵션과 더욱 안정적인 네트워킹 환경을 제공합니다.
- VNIC(가상 네트워크 인터페이스 카드)
Oracle Cloud Infrastructure 데이터 센터의 서비스에는 물리적 NIC(네트워크 인터페이스 카드) 가 있습니다. 가상 시스템 인스턴스는 물리적 NIC와 연관된 VNIC(가상 NIC) 를 사용하여 통신합니다. 각 인스턴스에는 실행 중 자동으로 생성되고 연결되며 인스턴스 수명 동안 사용할 수 있는 기본 VNIC가 있습니다. DHCP는 기본 VNIC에만 제공됩니다. 인스턴스가 실행된 후 보조 VNIC를 추가할 수 있습니다. 각 인터페이스에 대해 정적 IP를 설정해야 합니다.
- 전용 IP
인스턴스 주소 지정을 위한 전용 IPv4 주소 및 관련 정보입니다. 각 VNIC에는 기본 전용 IP가 있으며 보조 전용 IP를 추가 및 제거할 수 있습니다. 인스턴스의 기본 전용 IP 주소는 인스턴스 실행 중 연결되며 인스턴스 실행 중 변경되지 않습니다. 보조 IP도 VNIC 서브넷의 동일한 CIDR에 속해야 합니다. 보조 IP는 동일한 서브넷 내의 서로 다른 인스턴스에 있는 서로 다른 VNIC 간에 이동할 수 있으므로 유동 IP로 사용됩니다. 다른 서비스를 호스팅하는 다른 끝점으로 사용할 수도 있습니다.
- 공용 IP
네트워킹 서비스는 전용 IP에 매핑되는 Oracle에서 선택한 공용 IPv4 주소를 정의합니다.
- 임시: 이 주소는 임시이며 인스턴스 수명 동안 존재합니다.
- 예약됨: 이 주소는 인스턴스의 수명을 넘어 지속됩니다. 지정을 취소하고 다른 인스턴스에 재지정할 수 있습니다.
- 소스 및 대상 검사
모든 VNIC는 네트워크 트래픽에 대해 소스 및 대상 검사를 수행합니다. 이 플래그를 사용 안함으로 설정하면 CGNS가 방화벽을 대상으로 하지 않는 네트워크 트래픽을 처리할 수 있습니다.
- 컴퓨트 구성
컴퓨트 인스턴스의 구성은 인스턴스에 할당된 CPU 수와 메모리 양을 지정합니다. 컴퓨트 구성은 컴퓨트 인스턴스에 사용 가능한 VNIC 수 및 최대 대역폭도 결정합니다.
권장 사항
다음 권장 사항을 시작점으로 사용하여 체크포인트 CloudGuard 네트워크 보안을 통해 Oracle Cloud Infrastructure에서 Oracle E-Business Suite 또는 PeopleSoft 작업 로드를 보안할 수 있습니다.
- VCN
VCN를 생성할 때 필요한 CIDR 블록 수와 VCN의 서브넷에 연결할 리소스 수에 따라 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
개인 연결을 설정할 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자) 와 겹치지 않는 CIDR 블록을 선택합니다.
VCN를 생성한 후 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때는 트래픽 흐름 및 보안 요구 사항을 고려하십시오. 특정 계층 또는 롤 내의 모든 리소스를 보안 경계 역할을 할 수 있는 동일한 서브넷에 연결합니다.
지역별 서브넷을 사용합니다.
다중 환경 및 애플리케이션에 대해 이 구조를 확장하려는 경우 서비스 제한에서 VCN 당 최대 LPG 수를 확인하십시오.
- 체크포인트 CloudGuard 네트워크 보안
- 고가용성 클러스터를 배치합니다.
- 가능한 경우 최소 또는 다른 가용성 도메인에서 고유한 결함 도메인에 배치합니다.
- 모든 VNIC에서 MTU가 9000으로 설정되었는지 확인합니다.
- SRIOV 및 VFIO 인터페이스를 사용합니다.
- 재해 복구 또는 지리적 중복성을 위해 별도의 영역에 두 번째 허브-부울 토폴로지를 만듭니다.
- 모든 트래픽은 보안 게이트웨이로 보안되므로 보안 목록 또는 NSG를 통해 트래픽을 제한하지 마십시오.
- 기본적으로 게이트웨이에서 포트 443및 22가 열려 있으며 보안 정책에 따라 더 많은 포트가 열려 있습니다.
- 체크포인트 보안 관리
- Oracle Cloud Infrastructure에서 호스트되는 새 배치를 생성하는 경우 관리를 위한 전용 서브넷을 생성합니다.
- 다른 가용성 도메인 또는 영역에 보조 Management Server(관리 고가용성) 를 배치합니다.
- 보안 정책 관리를 위해 인터넷에서 가져온 포트 443, 22및 19009에 대한 인바운드 액세스를 제한하고 로그 및 이벤트를 보려면 보안 목록 또는 NSG를 사용합니다.
- 보안 관리 서버에서 보안 게이트웨이로 수신 및 송신 트래픽을 허용하는 보안 목록 또는 NSG를 생성합니다.
- 체크포인트 보안 정책
필요한 포트 및 프로토콜에 대한 최신 정보는 [자세히 탐색] 섹션에서 애플리케이션 설명서를 참조하십시오.
고려 사항
체크포인트 CloudGuard 네트워크 보안을 사용하여 Oracle Cloud Infrastructure에서 Oracle E-Business Suite 또는 PeopleSoft 작업 로드에 보안을 설정하는 경우 다음을 고려하십시오:
- 성능
- 컴퓨트 구성으로 결정되는 적절한 인스턴스 크기를 선택하면 사용 가능한 최대 처리량, CPU, RAM 및 인터페이스 수가 결정됩니다.
- 조직은 환경을 통과하는 트래픽 유형을 파악하고 적절한 위험 레벨을 결정하며 필요에 따라 적절한 보안 제어를 적용해야 합니다. 사용으로 설정된 보안 제어의 여러 조합이 성능에 영향을 줍니다.
- FastConnect 또는 VPN 서비스에 대한 전용 인터페이스를 추가하는 것이 좋습니다.
- 처리량이 높고 더 많은 네트워크 인터페이스에 액세스하려면 큰 컴퓨트 구성을 사용하는 것이 좋습니다.
- 성능 테스트를 실행하여 설계가 필요한 성능과 처리량을 유지할 수 있는지 확인합니다.
- 보안
- Oracle Cloud Infrastructure에서 체크포인트 보안 관리를 배치하면 중앙 집중식 보안 정책 구성과 모든 물리적 및 가상 체크포인트 보안 게이트웨이 인스턴스의 모니터링을 수행할 수 있습니다.
- 기존 체크포인트 고객의 경우 Security Management를 Oracle Cloud Infrastructure로 이전할 수도 있습니다.
- 클러스터 배치당 고유한 IAM(Identity and Access Management) 동적 그룹 또는 정책을 정의합니다.
- 가용성
- 가장 높은 중복성을 위해 고유한 지역에 아키텍처를 배포합니다.
- 온프레미스 네트워크와의 중복 연결을 위해 사이트 간 VPN을 관련 조직 네트워크로 구성합니다.
- 비용
- Check Point CloudGuard는 Oracle Cloud Marketplace의 보안 관리 및 보안 게이트웨이 모두에 대해 BYOL(Bring -your-own-license) 및 사용량 기준 지불 라이센스 모델에서 사용할 수 있습니다.
- 체크포인트 CloudGuard Network Security Gateway 라이센스는 vCPUs 수를 기반으로 합니다(OCPU 하나는 vCPUs 두 개와 동일함).
- 체크포인트 BYOL 라이센스는 인스턴스 간에 이식할 수 있습니다. 예를 들어, BYOL 라이센스도 사용하는 다른 공용 클라우드에서 작업 부하를 마이그레이션하는 경우 체크포인트에서 새 라이센스를 구입할 필요가 없습니다. 질문이 있거나 라이센스 상태 확인이 필요한 경우 체크포인트 담당자에게 문의하십시오.
- 체크포인트 보안 관리는 관리 보안 게이트웨이별로 사용이 허가됩니다. 예를 들어, 두 클러스터는 보안 관리 라이센스에 대해 4개로 계산됩니다.
배치
체크포인트 CloudGuard 네트워크 보안을 사용하여 Oracle Cloud Infrastructure에서 Oracle E-Business Suite 또는 PeopleSoft 작업 로드를 보안하려면 다음 단계를 수행합니다: