개요
멀티 클라우드 방어 게이트웨이은(는) 멀티 클라우드 방어 게이트웨이 인스턴스의 클러스터가 있는 네트워크 로드 밸런서로 구성된 네트워크 기반 보안 플랫폼입니다. 이 클러스터는 트래픽 로드에 따라 확장 및 축소되는 자동 확장 및 자가 복구 클러스터입니다. 멀티 클라우드 방어 컨트롤러 및 게이트웨이 인스턴스는 상태 및 텔레메트리에 관한 일정하고 지속적인 정보를 교환합니다. 멀티 클라우드 방어 컨트롤러은(는) 게이트웨이 인스턴스에서 수신된 텔레메트리 데이터를 측정하여 확장/축소 결정을 내립니다. 고 가용성의 탄력적 아키텍처를 위해 여러 가용성 영역에서 게이트웨이를 실행하도록 구성할 수 있습니다. 이렇게 하면 클라우드 서비스 공급자의 단일 가용성 영역 장애가 발생해도 실행 중인 애플리케이션의 보안 상태가 손상되지 않습니다.
게이트웨이 및 해당 VPC 또는 VNet을 구성한 후에는 멀티 클라우드 방어 컨트롤러의 Gateway Details(게이트웨이 세부 정보) 페이지를 사용하여 해당 상태를 보고 관리할 수 있습니다.
멀티 클라우드 방어 게이트웨이는 두 가지 방법으로 구축할 수 있습니다. 허브 모드와 엣지 모드입니다.
게이트웨이 재시도
멀티 클라우드 방어 게이트웨이는 자가 복구 구성 요소 멀티 클라우드 방어입니다. 어느 시점에서든 게이트웨이 구축이 실패하거나 문제가 발생하면, 멀티 클라우드 방어는 자동으로 게이트웨이 재시도를 포함한 게이트웨이 재구축을 시도합니다. 이 작업은 컨트롤러에서 게이트웨이를 수동으로 비활성화하거나 삭제할 때까지 무제한으로 수행됩니다.
Terraform에서 두 가지 측면의 재시도 작업을 설정할 수 있습니다. 첫 번째, 게이트웨이 구축을 위해 멀티 클라우드 방어가 재시도하는 횟수를 구성할 수 있습니다. 최대 재구축 시도 횟수가 완료되면 멀티 클라우드 방어은 재시도를 중지합니다. 둘째, 재시도 사이의 시간을 구성할 수 있습니다. 예를 들어, 게이트웨이 재시도를 한 시간에 3회 구성할 수 있습니다. 즉, 1시간마다 멀티 클라우드 방어가 게이트웨이 구축을 3회 재시도한 다음 중지됩니다. 이 작업은 게이트웨이 문제가 해결되거나 컨트롤러에서 게이트웨이를 삭제하는 경우까지 반복됩니다.
지원되는 게이트웨이 활용 사례
이그레스
퍼블릭 클라우드 네트워크에서 나가는 트래픽을 보호하기 위해 이그레스/이스트-웨스트 게이트웨이 구축. 이그레스 게이트웨이는 투명 전달 프록시로 작동하여 전체 암호 해독을 수행하고 침입 방지, 악성코드 차단, 데이터 손실 방지, 전체 경로 URL 필터링과 같은 고급 보안 기능을 내장합니다. 선택적으로, 전달 모드에서 작동할 수도 있습니다. 이 모드에서는 트래픽을 프록시하거나 암호 해독하지 않지만 악의적인 IP 차단 및 FQDN 필터링과 같은 보안 기능이 계속 적용됩니다.
다음 다이어그램은 중앙 집중식 모드의 이그레스 게이트웨이가 있는 AWS 계정의 예입니다.
인그레스
인그레스 게이트웨이를 구축하면 공용으로 연결되는 애플리케이션이 보호됩니다. 인그레스 게이트웨이는 전체 암호 해독을 수행하고 침입 방지, 악성코드 차단, WAF(Web Application Firewall), 전체 경로 URL 필터링과 같은 고급 보안 기능을 적용하는 역방향 프록시 역할을 합니다.
다음 다이어그램은 중앙 집중식 모드의 인그레스 게이트웨이가 있는 AWS 계정의 예입니다.
East-West
이그레스/이스트-웨스트 게이트웨이 구축은 퍼블릭 클라우드 환경 내에서 서브넷 또는 VPC/Vnet 간에 이스트-웨스트 L4 세분화를 구현합니다. 게이트웨이는 L4 방화벽 규칙을 통해 전달 모드로 작동하여 선택적 로깅이 활성화된 상태에서 설정된 매개변수를 기반으로 트래픽을 허용하거나 거부합니다.
다음 다이어그램은 중앙 집중식 모드의 이스트-웨스트 게이트웨이가 있는 AWS 계정의 예입니다.
분산화
여러 VPC/VNet에서 애플리케이션을 실행 중입니다. 각 VPC/VNet에 멀티 클라우드 방어 게이트웨이을(를) 구축합니다.
중앙 집중식/허브
여러 VPC/VNet에서 애플리케이션을 실행 중입니다. 중앙 집중식 보안 서비스 VPC/VNet을 통해 모든 애플리케이션을 보호하려고 합니다. 이 모델은 서비스 VPC에 멀티 클라우드 방어 게이트웨이를 구축합니다. 모든 애플리케이션 VPC(스포크 VPC)와 서비스 VPC를 Azure 및 GCP의 AWS Transit Gateway 또는 VNet/VPC 피어링에 연결합니다. 멀티 클라우드 방어는 AWS Transit Gateway, 서비스 VPC 및 스포크 VPC 첨부 파일을 오케스트레이션하는 옵션을 제공합니다. 이 솔루션은 여러 경로 테이블 및 Transit Gateway 첨부 파일의 복잡성을 제거하여 손쉽게 구축할 수 있는 권장 솔루션입니다.
고급 활용 사례
일부 게이트웨이의 경우 추가 사전 요건 또는 사후 절차 단계가 있을 수 있습니다. 다음 환경을 고려하십시오.
AWS: 인그레스 게이트웨이에 대한 가속기
멀티 클라우드 방어는 멀티 클라우드 방어 게이트웨이 인스턴스 전체에서 트래픽을 로드 밸런싱하는 하나 이상의 AWS 글로벌 액셀러레이터 세트와 통합하여 인그레스 포인트로 사용할 수 있습니다. 이는 인그레스 게이트웨이가 구축될 때 멀티 클라우드 방어에서 생성 및 관리하는 AWS 네트워크 로드 밸런서와 유사하지만, 애플리케이션 및 워크로드를 보호하기 위해 인그레스 게이트웨이에 대체 인그레스 포인트를 제공합니다.
가속기를 사용하는 경우, 전역 가속기의 리스너 엔드포인트 그룹을 관리하여 엔드포인트 그룹에 활성 게이트웨이 인스턴스 집합이 있는지 확인합니다. 클라이언트 IP 주소는 멀티 클라우드 방어 인그레스 게이트웨이로 전역 가속기를 통과할 때 유지됩니다.
멀티 클라우드 방어를 전역 가속기와 통합하려면 사용자는 먼저 AWS 내에 전역 가속기를 생성하고, 원하는 리스너를 정의한 다음 빈 엔드포인트 그룹(또는 기존 멀티 클라우드 방어 인그레스 게이트웨이 인스턴스를 포함하는 엔드포인트 그룹)을 생성해야 합니다. AWS 리소스가 있으면 글로벌 가속기와 통합하도록 멀티 클라우드 방어 인그레스 게이트웨이를 구성할 수 있습니다.
게이트웨이 세부 정보
이미 설정된 게이트웨이에 대한 Gateway Details(게이트웨이 세부 정보) 페이지를 보는 방법은
에서 이미 설정한 게이트웨이를 사용할 수 있습니다. 이 페이지에서 모든 게이트웨이를 추가하고 관리할 수 있습니다. 게이트웨이를 관리하면 인스턴스를 편집, 업그레이드, 활성화, 비활성화, 내보내기 또는 삭제할 수 있습니다. 변경하기 전에 수정할 게이트웨이의 확인란을 클릭해야 합니다.참고 |
이러한 작업을 수행하려면 관리자 또는 슈퍼 관리자여야 합니다. 다음 기준을 사용하여 게이트웨이 목록을 필터링하고 검색하려면 다음 항목 중 하나를 사용할 수 있습니다.
|
Switch to Advanced Search(고급 검색으로 전환)를 클릭하여 검색을 직접 구성합니다. 필요한 경우 검색 창의 드롭다운 옵션을 사용하여 자동 생성된 검색 기준을 활용합니다. 를 반복해야 하는 검색의 경우 나중에 사용할 수 있도록 검색을 복사하거나 저장할 수 있습니다.