이 문서는 Cross-Cloud Network를 위한 설계 가이드 시리즈의 일부입니다. 이 파트에서는 네트워크 보안 레이어를 살펴봅니다.
이 시리즈는 다음 문서로 구성됩니다.
- 분산형 애플리케이션을 위한 교차 클라우드 네트워크
- 교차 클라우드 네트워크의 분산형 애플리케이션에 대한 네트워크 세분화 및 연결
- 교차 클라우드 네트워크의 분산형 애플리케이션을 위한 서비스 네트워킹
- 교차 클라우드 네트워크의 분산형 애플리케이션을 위한 네트워크 보안(이 문서)
보안 영역
교차 클라우드 네트워크의 보안 레이어를 설계할 때 다음과 같은 보안 영역을 고려해야 합니다.
- 워크로드 보안
- 도메인 경계 보안
워크로드 보안은 가상 프라이빗 클라우드(VPC) 내 그리고 가상 프라이빗 클라우드(VPC) 간 워크로드 통신을 제어합니다. 워크로드 보안은 아키텍처의 워크로드와 가까운 보안 적용 지점을 사용합니다. 가능한 경우 교차 클라우드 네트워크는 Google Cloud의 Cloud Next Generation Firewall을 사용하여 워크로드 보안을 제공합니다.
경계 보안은 모든 네트워크 경계에서 필요합니다. 경계는 일반적으로 다른 조직에서 관리하는 네트워크를 상호 연결하므로 보다 철저한 보안 제어가 필요한 경우가 많습니다. 네트워크에서 다음과 같은 통신이 보호되는지 확인해야 합니다.
- VPC 간 통신
- 하이브리드 연결을 통한 다른 클라우드 제공업체 또는 온프레미스 데이터 센터와의 통신
- 인터넷 통신
Google Cloud 환경 내에서 서드 파티 네트워크 가상 어플라이언스(NVA)를 삽입하는 기능은 하이브리드 연결에서 경계 보안 요구사항을 해결하는 데 매우 중요합니다.
클라우드의 워크로드 보안
Google Cloud에서 방화벽 정책을 사용하여 워크로드를 보호하고 수평으로 확장 가능하며 각 VM 인스턴스에 적용되는 스테이트풀(Stateful) 방화벽 기능을 제공합니다. Google Cloud 방화벽의 분산 특성은 워크로드 성능에 부정적인 영향을 주지 않고 네트워크 마이크로 세분화를 위한 보안 정책을 구현하는 데 도움이 됩니다.
계층식 방화벽 정책을 사용하여 관리 효율성을 향상하고 방화벽 정책에 대한 상태 규정 준수를 적용합니다. 계층식 방화벽 정책을 사용하면 조직 전체에 일관된 방화벽 정책을 만들고 적용할 수 있습니다. 계층식 방화벽 정책을 조직이나 개별 폴더에 할당할 수 있습니다.
또한 계층식 방화벽 정책 규칙은 goto_next
작업을 통해 하위 수준 정책(전역 또는 리전 네트워크 방화벽 정책)에 평가를 위임할 수 있습니다.
하위 수준 규칙은 리소스 계층 구조의 상위 수준 규칙을 재정의할 수 없습니다. 이러한 규칙 구조를 사용하면 조직 전체 관리자가 필수 방화벽 규칙을 한 곳에서 관리할 수 있습니다. 계층식 방화벽 정책의 일반적인 사용 사례로는 조직 또는 다중 프로젝트 배스천 호스트 액세스, 중앙 집중식 프로브 또는 상태 점검 시스템 허용, 조직 또는 프로젝트 그룹에 가상 네트워크 경계 적용 등이 있습니다. 계층식 방화벽 정책을 사용하는 추가 예는 계층식 방화벽 정책 예시를 참조하세요.
전역 및 리전 네트워크 방화벽 정책을 사용하여 네트워크의 모든 리전 (전역) 또는 단일 리전 (리전)에 대해 개별 VPC 네트워크 기준으로 규칙을 정의합니다.
가상 머신(VM) 수준에서 보다 세밀하게 제어하려면 조직 또는 프로젝트 수준에서 Identity and Access Management(IAM) 적용 태그를 사용하는 것이 좋습니다. IAM 제어 태그를 사용하면 호스트 IP 주소가 아닌 워크로드 호스트의 ID를 기반으로 방화벽 규칙을 적용할 수 있으며 VPC 네트워크 피어링 전반에서 작동합니다. 태그를 사용하여 배포된 방화벽 규칙은 네트워크 아키텍처에 관계없이 배포되는 위치마다 워크로드에 자동으로 적용되는 정책 적용 범위로 서브넷 내 마이크로 세분화를 제공할 수 있습니다.
Cloud Next Generation Firewall은 스테이트풀(Stateful) 검사 기능과 태그 지원 외에도 위협 인텔리전스, FQDN, 위치정보 필터링을 지원합니다.
VPC 방화벽 규칙에서 방화벽 정책으로 마이그레이션하는 것이 좋습니다. 마이그레이션을 지원하려면 전역 네트워크 방화벽 정책을 만들고 기존 VPC 방화벽 규칙을 새 정책으로 변환하는 마이그레이션 도구를 사용합니다.
클라우드의 경계 보안
멀티 클라우드 네트워크 환경에서 경계 보안은 일반적으로 각 네트워크에 구현됩니다. 예를 들어 온프레미스 네트워크에는 자체 경계 방화벽 세트가 있지만 각 클라우드 네트워크는 별도의 경계 방화벽을 구현합니다.
교차 클라우드 네트워크는 모든 통신을 위한 허브로 설계되었으므로 경계 보안 제어를 통합 및 중앙화하고 교차 클라우드 네트워크에 단일 경계 방화벽 집합을 배포할 수 있습니다. 교차 클라우드 네트워크는 선택한 기본 제공되는 경계 보안 스택을 제공하기 위해 NVA를 삽입할 수 있는 유연한 옵션을 제공합니다.
다이어그램에 표시된 설계에서 허브 프로젝트의 전송 VPC에 서드 파티 NVA를 배포할 수 있습니다.
NVA는 단일 네트워크 인터페이스(단일 NIC 모드) 또는 여러 VPC(멀티 NIC 모드) 간의 여러 네트워크 인터페이스에 배포될 수 있습니다. 교차 클라우드 네트워크의 경우 이 옵션을 통해 다음을 수행할 수 있기 때문에 NVA에 대해 단일 NIC 배포를 사용하는 것이 좋습니다.
- 정책 기반 경로가 있는 NVA를 삽입합니다.
- 엄격한 토폴로지를 만들지 않습니다.
- 다양한 VPC 간 토폴로지에 배포합니다.
- NVA에 자동 확장을 사용 설정합니다.
- NVA 인터페이스 배포를 변경할 필요 없이 시간이 지남에 따라 여러 VPC로 확장합니다.
설계에 멀티 NIC가 필요한 경우 권장사항은 멀티 NIC NVA 경계 보안에 자세히 설명되어 있습니다.
NVA 배포에 필요한 트래픽 조정을 수행하기 위해 이 가이드에서는 VPC 라우팅 테이블에서 정책 기반 경로와 정적 경로를 선택적으로 적용하는 것이 좋습니다. 정책 기반 경로는 소스 정보와 대상 정보 모두에서 정책 기반 경로가 일치하기 때문에 표준 경로보다 더 유연합니다. 이러한 정책 기반 경로는 클라우드 네트워크 토폴로지의 특정 위치에만 적용됩니다. 이 세분사항을 통해 매우 구체적인 연결 흐름에 대해 매우 구체적인 트래픽 조정 동작을 정의할 수 있습니다.
또한 이러한 설계는 NVA에 필요한 복원력 메커니즘을 지원합니다. NVA는 내부 TCP/UDP 부하 분산기가 앞에 위치하여 NVA 중복성, 탄력적 용량 자동 확장, 흐름 대칭성을 사용 설정하여 스테이트풀(Stateful) 양방향 트래픽 처리를 지원합니다.
단일 NIC NVA 경계 보안
중앙 집중식 서비스를 위한 VPC 간 연결에 설명된 설계에서 전송 VPC는 VPC 네트워크 피어링 및 HA VPN을 사용하여 연결된 스포크 VPC에 대한 허브 역할을 합니다. 또한 전송 VPC를 사용하면 외부 네트워크와 스포크 VPC 간의 연결이 가능합니다.
이 설계에서는 단일 NIC NVA 삽입을 위해 다음 두 패턴을 결합합니다.
- 외부 하이브리드 연결이 있는 VPC 네트워크 피어링 허브에 NVA 삽입
- 외부 하이브리드 연결을 사용하여 HA VPN VPC 허브에서 NVA 삽입
다음 다이어그램은 VPC 네트워크 피어링 및 HA VPN의 허브에 삽입된 NVA를 보여줍니다.
위의 다이어그램은 결합된 패턴을 보여줍니다.
- 하이브리드 또는 멀티 클라우드 연결을 제공하는 Cloud Interconnect VLAN 연결을 호스팅하는 전송 VPC입니다. 이 VPC에는 하이브리드 연결을 모니터링하는 단일 NIC NVA도 포함되어 있습니다.
- VPC 네트워크 피어링을 통해 전송 VPC에 연결된 애플리케이션 VPC입니다.
- HA VPN을 통해 전송 VPC에 연결된 중앙 서비스 VPC입니다.
이 설계에서 HA VPN을 사용하여 연결된 스포크는 전송 VPC를 사용하여 VPC 네트워크 피어링으로 연결된 스포크와 통신합니다. 통신은 패스 스루 부하 분산, 정적 경로, 정책 기반 경로의 다음 조합을 사용하여 서드 파티 NVA 방화벽을 통해 조정됩니다.
- HA VPN 트래픽을 내부 부하 분산기로 보내려면 태그가 지정되지 않은 정책 기반 경로를 전송 VPC에 적용합니다. 이러한 정책 기반 경로에서는 트래픽 대칭성을 제공하는 소스 및 대상 CIDR 범위를 사용합니다.
- 내부 패스 스루 네트워크 부하 분산기로 들어오는 트래픽을 조정하려면 전송 VPC의 Cloud Interconnect 연결에 정책 기반 경로를 적용합니다. 리전별 경로입니다.
- NVA에서 나가는 트래픽이 NVA로 직접 라우팅되지 않도록 모든 NVA 인터페이스를 건너뛰기 정책 기반 경로의 대상으로 만들어 다른 정책 기반 경로를 건너뜁니다. NVA에서 처리된 트래픽은 VPC 라우팅 테이블을 따릅니다.
- 전송 VPC에서 NVA 내부 부하 분산기로 트래픽을 조정하려면 정적 경로를 애플리케이션 VPC에 적용합니다. 네트워크 태그를 사용하여 리전별로 범위를 지정할 수 있습니다.
멀티 NIC NVA 경계 보안
멀티 NIC 모드에서 NVA는 서로 다른 네트워크 인터페이스가 상주하는 여러 VPC 간의 연결을 연결하므로 토폴로지가 더 정적입니다.
방화벽에 인터페이스 기반 영역이 필요한 경우 다음 멀티 NIC 설계를 통해 필요한 외부 연결이 사용 설정됩니다. 이 설계는 외부 네트워크에 서로 다른 방화벽 인터페이스를 할당합니다. 보안 실무자는 외부 네트워크를 신뢰할 수 없는 네트워크라고 부르고, 내부 네트워크를 신뢰할 수 있는 네트워크라고 부릅니다. 멀티 NIC NVA 배포의 경우 이 설계는 신뢰할 수 있는 VPC와 신뢰할 수 없는 VPC를 사용하여 구현됩니다.
내부 통신의 경우 CIDR 기반 영역 모델에 해당하는 단일 NIC 삽입 모델을 사용하여 방화벽을 적용할 수 있습니다.
이 설계에서는 다음을 구성하여 NVA를 삽입합니다.
- HA VPN 트래픽을 내부 부하 분산기로 보내려면 태그가 지정되지 않은 정책 기반 경로를 신뢰할 수 있는 VPC에 적용합니다. 이러한 정책 기반 경로에서는 트래픽 대칭성을 제공하는 소스 및 대상 CIDR 범위를 사용합니다.
- 내부 패스 스루 네트워크 부하 분산기로 들어오는 트래픽을 조정하려면 신뢰할 수 없는 VPC의 Cloud Interconnect 연결에 정책 기반 경로를 적용합니다. 리전별 경로입니다.
- NVA에서 나가는 트래픽이 NVA로 직접 라우팅되지 않도록 모든 NVA 인터페이스를 건너뛰기 정책 기반 경로의 대상으로 만들어 다른 정책 기반 경로를 건너뜁니다. NVA에서 처리된 트래픽은 VPC 라우팅 테이블을 따릅니다.
- 신뢰할 수 있는 VPC에서 NVA 내부 부하 분산기로 트래픽을 조정하려면 정적 경로를 애플리케이션 VPC에 적용합니다. 네트워크 태그를 사용하여 리전별로 범위를 지정할 수 있습니다.
다음 다이어그램은 허브 프로젝트에서 신뢰할 수 없는 VPC 네트워크와 신뢰할 수 있는 VPC 네트워크 사이에 삽입된 멀티 NIC NVA를 보여줍니다.
다음 단계
- 이 설계 가이드에서 사용되는 Google Cloud 제품을 자세히 알아보세요.
- 더 많은 참조 아키텍처, 설계 가이드, 권장사항을 알아보려면 클라우드 아키텍처 센터를 살펴보세요.
기여자
저자:
- 빅터 모레노 | Cloud Networking 제품 관리자
- Ghaleb Al-habian | 네트워크 전문가
- Deepak Michael | 네트워킹 전문 고객 엔지니어
- Osvaldo Costa | 네트워킹 전문 고객 엔지니어
- Jonathan Almaleh | 직원 기술 솔루션 컨설턴트
기타 참여자:
- Zach Seils | 네트워킹 전문가
- Christopher Abraham | 네트워킹 전문가 고객 엔지니어
- Emanuele Mazza | 네트워킹 제품 전문가
- Aurélien Legrand | 전략적 클라우드 엔지니어
- Eric Yu | 네트워킹 전문가 고객 엔지니어
- 저자: 쿠마르 다나고팔 | 크로스 프로덕트 솔루션 개발자
- 마크 슐라겐하우프 | 네트워킹 테크니컬 라이터
- 마르완 알 샤위 | 파트너 고객 엔지니어
- Ammett Williams | 개발자 관계 엔지니어