VPN 을 구성하면서 VPN gateway 에 접속을 위한 대역을 설정하고, 암호화 방식을 일치화 하는 부분만큼 중요한 부분이 Packet 통신이 되도록 정책을 정의하는 방화벽 입니다. AWS 등과 다르게 scp에서는 상품을 구성하면 모든 패킷을 막고 시작합니다.(대부분의 타 Public cloud 사업자는 오픈정책이 기본으로 되어 있습니다.)
Samsung Cloud Platform 에서는 방화벽의 패킷통과 정책을 기본적으로 stateful 방식으로 설정합니다. 방화벽 설정을 하다보면 불필요하게 양방향으로 정책을 오픈하는 경우가 종종있습니다. 이는 request 를 요청하는 장비와 packet을 받는 장비에 대한 역할 정의 부분에서 혼동하여 발생하기 때문입니다. 아래와 같이 ful 과 less 에대한 개념이해를 통하여 혼돈을 최소화 할 수 있을꺼 같습니다.
개념이해
' ful 은 가득차다 , less 는 없다 ' 로 먼저 이해를 하면 좋을꺼 같습니다. 이해한 내용을 적용해보면, request 를 받은 서버가 요청 정보를 가지고 있으면 ful 의 형태로 작동하고, 서버가 요청 정보를 가지고 있을 필요가 없으면 less 형태로 작동합니다.
방화벽은 일반적으로 IP 주소와 Port 번호를 기반으로 트래픽을 제어합니다. Stateful Firewall은 트래픽의 허용 여부를 패킷의 상태와 맥락에 따라 판단하고 Stateless Firewall은 오로지 사용자가 사전에 정의한 정책에 의해서만 판단합니다.
예를 들어, Stateful Firewall은 80번 포트에 대한 요청(Request)이 허용된 경우, 해당 요청과 관련된 응답 (Response)은 사용자가 명시적으로 설정하지 않아도 허용합니다.
반면, Stateless 방화벽은 80번 포트에 대한 요청과 응답을 모두 허용해야만 80번 포트를 통한 통신을 원활히 수행할 수 있습니다.
SCP 네트워크 트래픽 관리 상품
SCP 에는 SCP 담당자가 보안관제 모니터링하는 Secured Firewall 과 scp 상품 구성시 기본적으로 네트워크 트래픽을 관리하는 논리적인 Firewall로 구분해 제공하고 있습니다. 추가로, 각 VM(BM)서버는 접속을 통제하는 Security Group를 통해 트래픽을 관리합니다.
Secured Firewall은 Samsung Cloud Platform에서 제공하는 클라우드 네트워크 보안을 위한 차세대 방화벽 서비스입니다. IP 주소/포트 기반 정책으로 서버로의 네트워크 접근을 관리하며, 침해사고 발생 시 정밀한 분석을 지원합니다.
Firewall은 Internet Gateway, VPC Peering, Transit Gateway, Direct Connect, Load Balancer에서 발생하는 트래픽에 대해 논리적 방화벽을 제공하는 서비스입니다. VPC와 인터넷, VPC와 고객 네트워크, VPC 간 통신, Load Balancer와 서버간 통신에 대해 인바운드/아웃바운드 규칙을 설정하여 안전한 네트워크 사용이 가능합니다. 또한 방화벽 마이그레이션시 방화벽 규칙 일괄 적용이 가능하여 작업시간 단축 및 규칙 누락 위험을 줄일 수 있습니다.
Security Group은 클라우드 상의 가상 서버에서 발생하는 인바운드/아웃바운드 트래픽을 제어하는 가상의 논리적 방화벽입니다. VM 및 Database, Kubernetes Engine에서 발생하는 트랙픽에 허용 규칙을 설정하여 허가 받지 않은 트래픽을 필터링함으로써 가상의 네트워크 환경을 안전하게 보호할 수 있습니다
'Network-Security' 카테고리의 다른 글
Windows에서 네트워크 통신 확인 (tcping, ping, tracert) (0) | 2024.01.13 |
---|---|
VPN 연동위한 서버 routing 설정 방법 (1) | 2024.01.07 |
OpenVPN 활용한 SSL VPN 설치 (1) | 2024.01.01 |
Cloud LAN-Data Center (0) | 2023.12.24 |
Networking Service (0) | 2023.12.24 |