1.4 Enterprise security 서비스 이용 방법

1.4.1 Server 이용 방법

ㅁ VM 생성

상품 신청이 완료되면 다음과 같은 KT Cloud 서비스 포탈의 클라우드 콘솔 화면을 보실 수 있습니다.



KT Cloud server 메뉴에서 ‘서버 신청’을 이용하여 필요한 VM을 생성합니다.



VM을 생성할 tier를 선택하여 VM을 생성합니다. tier는 계정 전용의 가상 네트워크입니다.

포탈상으로는 기본적으로 두 개의 tier(DMZ, private)를 제공하며, 2개 이상의 tier 생성을 원할 때에는 컨설팅 담당자에게 별도의 요청을 주시기 바랍니다.

DMZ tier의 IP 대역은 172.16.0.0/24, Private tier는 172.16.1.0/24 입니다. 실제 VM에 할당되는 IP 범위는 .6~.180 입니다.

VM을 생성한 후, 서버리스트에서 생성된 VM의 상세 정보를 확인하면, 내부주소 항목에 선택한 tier 대역의 IP가 설정 된 것을 확인 할 수 있습니다.(고정 IP)



ㅁ VM의 외부 DNS 사용을 위한 방화벽 설정

VM을 생성한 후, 외부 DNS를 사용하기 위해서는 방화벽 설정이 필요합니다. 네트워크 메뉴에서 방화벽 정책을 추가할 수 있습니다. 외부 DNS IP는 /etc/resolv.conf 에서 확인 가능합니다.

Source Network에 원하는 tier 네트워크를 선택하고, UDP프로토콜과 Destination Network에는 DNS IP 대역(168.126.63.0/24)을 입력합니다. 해당 방화벽 정책을 추가하면 외부 DNS 사용이 가능해집니다.

ㅁ VM의 인터넷 접속

Enterprise의 VM들은 기본적으로 인바운드, 아웃바운드 트래픽이 차단되어 있습니다. 따라서 같은 tier내에 있는 VM들은 서로 통신할 수는 있지만, 기본적으로 외부와의 연결이 차단되어 인터넷에 접속할 수는 없습니다. 또한 tier간 통신도 차단되어 있습니다.
네트워크 리스트에서 보여지는 SRCNAT type의 IP가 VM에서 인터넷 접근을 위하여 사용되는 source NAT IP인데, 이에 대한 설정 방법은 3.6에서 설명합니다.

ㅁ IP 추가 신청

VM에서 인터넷 접근을 위한 SRCNAT type의 공인 IP외에, 추가적인 공인 IP를 할당 받아 사용할 수 있습니다. 기본적으로 공인 IP는 31개를 제공하며, 기본 SRCNAT용 1개를 제외하고 고객이 추가로 30개를 사용할 수 있습니다.

네트워크 메뉴에서 ‘IP 추가 신청’이라는 빨간 버튼을 클릭하면 뜨는 팝업 창에서 확인을 클릭합니다. 생성된 공인 IP는 목록에서 조회 가능하며, 아직 사용 중이지 않은 상태로 type은 ACCOCIATE 상태 입니다.

 

1.4.2 외부에서 VM 접속 방법

ㅁ 포트포워딩

외부 -> DMZ/Private tier 연결 구성

네트워크 리스트 중에 VM 접속을 위해 사용할 공인 IP를 선택하고 ‘포트포워딩’ 탭을 조회 합니다.

기존 할당 받은 SRCNAT IP 주소를 사용하거나, 또는 IP 추가 신청을 통해 공인 IP를 받을 수 있습니다.

포트포워딩에 사용할 IP를 선택 후에, 포트포워딩 탭에서 외부로부터 접속하려는 서버를 선택하고, 접속 정보를 입력합니다.

[중요] 포트포워딩 추가 시, 해당 포트포워딩에 대한 방화벽 정책이 자동으로 설정되지 않기 때문에(모두 DENY 상태) 3.5 장을 통해 별도의 방화벽 허용(ALLOW) 정책을 추가해야 합니다.

ㅁ 방화벽 정책 설정

방화벽 self 서비스를 사용하시는 경우에는, 포탈 콘솔을 이용하여 고객이 직접 방화벽 정책을 설정할 수 있으며, 바로 적용 된 것을 확인할 수 있습니다. 그러나 보안 매니지드 서비스를 받으시는 경우에는, 보안 매니지드사로 설정을 요청해야 합니다.

포트포워딩 설정 후, 해당 공인 IP의 방화벽 허용 정책을 추가해야 합니다. ‘방화벽’ 탭에서 설정 가능합니다.

Source network를 external로 설정하고, Source IP에는 네트워크 대역을 입력합니다. Source IP를 공란으로 둘 경우 ANY로 입력 됩니다.

Destination Network를 선택합니다. 원하는 프로토콜을 선택하며, 여기에서는 TCP 로 선택하였습니다.

Destination IP 목록에서, 포트포워딩 설정한 IP가 표시되는 것을 확인할 수 있습니다. 해당 포트포워딩 구성을 선택하고 ‘추가하기’를 누릅니다.

포트포워딩 설정에 대한 방화벽 허용 정책이 추가 되어, 외부에서 VM으로의 접근이 가능합니다.

특정 Port를 지정하여 정책 적용 시 Start Port와 End Port는 포트포워딩 된 서버의 Port를 입력하여 주시면 됩니다. 공인 IP의 Port가 아닌 사설 IP의 port를 입력합니다.

ex) start port = 8080, end port = 8082




1.4.3 VM에서 외부 접속 방법

ㅁ 방화벽 정책 설정

생성한 VM 에서 인터넷 접근을 하기 위해서는 방화벽 정책을 허용해 주어야합니다.

DMZ/Private tier → 외부 연결 설정

아래 KT Cloud server의 메뉴 중 네트워크 항목을 조회하면, 특정 IP의 TYPE이 SRCNAT로 설정되어 있는 것을 확인할 수 있습니다.

네트워크 리스트에서 방화벽 탭을 선택합니다.

인터넷 접근을 가능하게 할 tier대역을 선택하고 Destination Network를 external(외부)로 선택하고 ‘추가하기’를 클릭합니다. 해당 방화벽 설정을 통해 해당 tier의 VM은 인터넷에 접근할 수 있습니다.

아래의 예제는 프로토콜-TCP만 허용한 예제이며, 필요에 따라 ICMP, UDP, TCP, ALL 로 지정 가능합니다.




1.4.4 Tier 이용 방법

ㅁ Tier 추가 생성

Tier는 L2 가상 네트워크로 기본으로 제공하는 2개의 Tier 네트워크를 포함하여 총 15개의 Tier를 생성할 수 있습니다.

KT Cloud server – 네트워크의 상위 항목 중 Tier 탭에서 Tier를 관리할 수 있습니다.

Tier 생성을 클릭하면 Tier를 생성하기 위한 팝업창에 이름과 설정할 IP를 입력할 수 있습니다. 확인을 누르면 Tier가 생성됩니다.

ㅁ 서로 다른 Tier 간 통신

DMZ ← → Private tier 연결 설정

tier간의 통신은 간단한 방화벽 정책 설정으로 가능합니다. 아래와 같이 source network와 destination network로 원하는 tier의 네트워크를 선택합니다. 그 밖의 항목은 역시 공란으로 둘 경우 ANY로 입력 됩니다.



ㅁ 방화벽 정책 우선순위 설정

방화벽 정책들의 우선순위를 설정하여 보다 효율적으로 네트워크 자원들을 관리할 수 있습니다.

포탈 콘솔에서 방화벽 탭을 조회하면, 방화벽 정책들을 우선순위 순으로 조회 가능합니다. 방화벽 정책은 기본적으로 DENY로 설정 됩니다.

두 tier내 VM들의 방화벽 정책을 예로 들겠습니다.

아래와 같이 방화벽을 설정하면 DMZ VM  Private VM 방향으로 11~8090 port까지 TCP 통신이 가능합니다.

여기에 700~800 port의 TCP 통신을 Deny 하는 방화벽 정책을 설정하였습니다.

Deny 정책의 우선순위가 가장 낮기 때문에(3번의 allow 정책보다 낮음) 700~800 port의 TCP 통신은 여전히 가능한 상태입니다.

오른쪽 ‘이동’을 클릭하고, 3번의 allow 정책보다 높은 우선순위로 deny 정책을 이동할 수 있습니다.

Deny 정책의 우선순위가 높아져, 이 때에는 설정한 700~800port의 TCP 통신이 차단됩니다.

방화벽 정책을 보다 효율적으로 설정하기 위해서는, 구체적이고 범위가 좁은 rule을 우선순위가 높게 설정하고, 더 넓은 범위의 allow/deny 정책 rule을 우선순위가 낮게 설정하는 것을 권고합니다.

 

1.4.5 로드밸런서 이용 방법

ㅁ Enterprise Security 로드밸런서 서비스 구조

로드밸런서는 트래픽에 대한 분산처리를 합니다. Enterprise Security의 로드밸런서는 일반형과 다른 구조를 가지고 있습니다.

로드밸런서는 서버와 같은 사설 네트워크(L2)에 위치하고, IPS와 NAT/FW내부인 Trust구간에 위치한 보안 강화 구조입니다.

 

ㅁ 서비스 설정

서버 구성 후 로드밸런서 메뉴에서 부하분산을 위한 설정을 할 수 있습니다.

 1) 로드밸런서 신청 (메뉴 : 로드밸런서 - 로드밸런서 리스트)

    로드밸런서 구성에 필요한 IP(신규/기존)/포트, 로드밸런서 타입(프로토콜), 로드밸런서 옵션(메소드), Health Check,
    그리고 적용 서버를 등록할 수 있습니다.

  (상세 설정값 구성은 일반 로드밸런서와 동일하며, '네트워크-Load Balancer 사용자 가이드'에서 확인 하실 수 있습니다)

 

 

2) Static NAT 설정 : 외부 통신이 필요한 경우에만 설정 (메뉴 : ucloudserver - 네트워크)

  로드밸런서 신청 후 VIP(로드밸런서 IP)는 해당 Tier 사설 네트워크에서 정해진 범위에서 할당됩니다. 

  Tier네트워크내에서의 부하분산과 Tier네트워크간 부하분산에서는 Static NAT는 불필요하며(이경우 방화벽 허용 정책은 필요합니다),

  웹서버와 같이 외부에서 접속을 위한 공인 구간 접속을 위해서 Static NAT작업이 필요합니다.

  네트워크 메뉴에서 'IP 추가 신청'을 통해 <ASSOCIATE: IP추가 후 미사용 상태> 상태 인 공인IP만 가능합니다.

 

 

<ASSOCIATE>상태의 공인IP 선택 후 'Action'버튼으로 로드밸런서를 외부 연동이 되도록 설정할 수 있습니다.

 

이후 일반 서버와 같이 방화벽에서 'Static NAT'를 설정한 IP에 대한 허용 정책을 설정하면 서비스를 위한 준비가 완료됩니다.