네트워크에서 침입 방지 서비스를 사용 설정하려면 Cloud Next Generation Firewall 구성요소를 여러 개 설정해야 합니다. 이 문서에서는 이러한 구성요소를 구성하고 위협 감지와 방지를 사용 설정하는 방법을 설명하는 워크플로를 간략하게 설명합니다.
TLS 검사 없이 침입 방지 서비스 구성
네트워크에 침입 방지 서비스를 구성하려면 다음 태스크를 수행합니다.
Threat prevention
유형의 보안 프로필을 만듭니다. 네트워크에서 필요한 대로 위협 또는 심각도 재정의를 설정합니다. 프로필을 하나 이상 만들 수 있습니다. 보안 프로필을 만드는 방법은 보안 프로필 만들기를 참조하세요.이전 단계에서 만든 보안 프로필을 사용하여 보안 프로필 그룹을 만듭니다. 보안 프로필 그룹을 만드는 방법은 보안 프로필 그룹 만들기를 참조하세요.
위협 방지를 사용 설정하려는 워크로드와 동일한 영역에 방화벽 엔드포인트를 만듭니다. 방화벽 엔드포인트를 만드는 방법은 방화벽 엔드포인트 만들기를 참조하세요.
위협 감지와 방지를 사용 설정하려는 VPC 네트워크 하나 이상과 방화벽 엔드포인트를 연결합니다. 방화벽 엔드포인트와 동일한 영역에서 워크로드를 실행 중인지 확인합니다. 방화벽 엔드포인트를 VPC 네트워크와 연결하는 방법은 방화벽 엔드포인트 연결 만들기를 참조하세요.
전역 네트워크 방화벽 정책 또는 계층적 방화벽 정책을 사용하여 침입 방지 서비스를 구성할 수 있습니다.
새 전역 방화벽 정책이나 기존 전역 방화벽 정책에서 레이어 7 검사가 사용 설정된 방화벽 정책 규칙(
apply_security_profile_group
작업)을 추가하고 이전 단계에서 만든 보안 프로필 그룹의 이름을 지정합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다. 위협 방지가 사용 설정된 방화벽 정책 규칙을 만드는 데 필요한 매개변수에 대한 자세한 내용은 전역 네트워크 방화벽 정책 규칙 만들기를 참조하세요.계층식 방화벽 정책을 사용하여 보안 프로필 그룹이 구성된 방화벽 정책 규칙을 추가할 수도 있습니다. 위협 방지가 사용 설정된 계층식 방화벽 정책 규칙을 만드는 데 필요한 매개변수에 대한 자세한 내용은 방화벽 규칙 만들기를 참조하세요.
TLS 검사로 침입 방지 서비스 구성
네트워크에서 전송 계층 보안(TLS) 검사를 사용하여 침입 방지 서비스를 구성하려면 다음 태스크를 수행합니다.
Threat prevention
유형의 보안 프로필을 만듭니다. 네트워크에서 필요한 대로 위협 또는 심각도 재정의를 설정합니다. 프로필을 하나 이상 만들 수 있습니다. 보안 프로필을 만드는 방법은 보안 프로필 만들기를 참조하세요.이전 단계에서 만든 보안 프로필을 사용하여 보안 프로필 그룹을 만듭니다. 보안 프로필 그룹을 만드는 방법은 보안 프로필 그룹 만들기를 참조하세요.
CA 풀과 트러스트 구성을 만들고 TLS 검사 정책에 추가합니다. Cloud NGFW에서 TLS 검사를 사용 설정하는 방법은 TLS 검사 설정을 참조하세요.
위협 방지를 사용 설정하려는 워크로드와 동일한 영역에 방화벽 엔드포인트를 만듭니다. 방화벽 엔드포인트를 만드는 방법은 방화벽 엔드포인트 만들기를 참조하세요.
위협 감지와 방지를 사용 설정하려는 VPC 네트워크 하나 이상과 방화벽 엔드포인트를 연결합니다. 이전 단계에서 만든 TLS 검사 정책을 방화벽 엔드포인트 연결에 추가합니다. 방화벽 엔드포인트와 동일한 영역에서 워크로드를 실행 중인지 확인합니다.
방화벽 엔드포인트를 VPC 네트워크와 연결하고 TLS 검사를 사용 설정하는 방법은 방화벽 엔드포인트 연결 만들기를 참조하세요.
전역 네트워크 방화벽 정책 또는 계층적 방화벽 정책을 사용하여 침입 방지 서비스를 구성할 수 있습니다.
새 전역 방화벽 정책이나 기존 전역 방화벽 정책에서 레이어 7 검사가 사용 설정된 방화벽 정책 규칙(
apply_security_profile_group
작업)을 추가하고 이전 단계에서 만든 보안 프로필 그룹의 이름을 지정합니다. TLS 검사를 사용 설정하려면--tls-inspect
플래그를 지정합니다. 방화벽 정책이 검사가 필요한 워크로드와 동일한 VPC 네트워크와 연결되어 있는지 확인합니다. 위협 방지가 사용 설정된 방화벽 정책 규칙을 만드는 데 필요한 매개변수에 대한 자세한 내용은 전역 네트워크 방화벽 정책 규칙 만들기를 참조하세요.계층식 방화벽 정책을 사용하여 보안 프로필 그룹이 구성된 방화벽 정책 규칙을 추가할 수도 있습니다. 위협 방지가 사용 설정된 계층식 방화벽 정책 규칙을 만드는 데 필요한 매개변수에 대한 자세한 내용은 방화벽 규칙 만들기를 참조하세요.
배포 모델 예시
그림 1에서는 같은 리전이지만 서로 다른 영역 두 개의 VPC 네트워크 두 개에 구성된 침입 방지 서비스를 사용한 배포 예시를 보여줍니다.
배포 예시에서의 위협 방지 구성은 다음과 같습니다.
보안 프로필 그룹 두 개:
Security profile group 1
(보안 프로필Security profile 1
포함)Security profile group 2
(보안 프로필Security profile 2
포함)
고객 VPC 1(
VPC 1
)에는 보안 프로필 그룹이Security profile group 1
로 설정된 방화벽 정책이 있습니다.고객 VPC 2(
VPC 2
)에는 보안 프로필 그룹이Security profile group 2
로 설정된 방화벽 정책이 있습니다.방화벽 엔드포인트
Firewall endpoint 1
은us-west1-a
영역의VPC 1
및VPC 2
에서 실행되는 워크로드에 대해 위협 감지와 방지를 수행합니다.방화벽 엔드포인트
Firewall endpoint 2
는us-west1-b
영역의VPC 1
및VPC 2
에서 실행되는 워크로드에 사용 설정된 TLS 검사를 사용하여 위협 감지와 방지를 수행합니다.