3. 네이버 클라우드 보안 모범 사례- 인프라 보호
<1> 클라우드 인프라 보호의 이해
<2> 네이버 클라우드 플랫폼의 VPC
<3> Security Monitoring
<4> 인프라 보안 아키텍처
<5> 네이버 클라우드 플랫폼의 VPC - 실습
<1> 클라우드 인프라 보호의 이해
인프라 보호를 돕기위해 VPC(Virtual Private Cloud)와 Security Monitoring 서비스를 제공한다.
<2> 네이버 클라우드 플랫폼의 VPC
1
VPC의 이해 및 구성요소
계정마다 최대 3개의 VPC를 생성
VPC는 최대 /16 IP 네트워크 공간을 제공한다.
RFC 1918에서 /8 까지 제공하나 네이버는 /16으로 나눠 제공한다.
VPC Peering을 이용하면 서로 다른 VPC간 내부 네트워크 통신이 가능하다.
Subnet
용도에 맞게 네트워크 공간을 세분화 한다.
/16 ~ /28 의 네트워크 주소 할당이 가능하다.
NAT Gateway
인터넷 접속이 제한된 사설 IP가 외부 통신을 위해 사용하는 게이트웨이입니다.
IP 노출을 최소화 하는 효과를 얻을 수 있습니다.
Route Table
네트워크 경로를 설정하는 기능이다.
VPC 내부 통신을 위한 Local은 기본적으로 설정되어 있다.
공인 Route Table생성시 인터넷 통신을위한 규칙이 자동 추가된다.
Network ACL
Subnet 에서 Inbound/Outbound 의 네트워크 접근을 제어하는 기능을 제공한다.
Stateless 기반으로 동작한다.
상태를 저장하지 않는것이다.
유입이 있으면 유출도 허용해줘야 한다.
우선 순위 번호를 넣어 관리한다.
ACG
서버에서 Inbound/Outbound 에 대해 허용하는 것이다.
AWS 보안그룹(Security Group)과 동일하다.
StateFull 기반이다. 상태를 저장한다. Inbound 또는 Outbound 하나만 허용하면 된다.
우선 순위 없다.
서버의 NIC에 적용이 된다.
중지 없이 실시간 적용이 가능하다.
Virtual Private Gateway (VGW)
VPC와 외부 연결 네트워크 장치간 연결 접점의 역할을 수행한다.
외부 연결을 위해 반드시 생성해야 한다.
VPC Peering
VPC간 사설 연결을 보장하는 기능을 제공한다.
단방향 통신을 제공하므로 양방향 통신시 2개의 VPC Peering 을 생성해야 한다.
2
Subnet
VPC가 구성되면, 용도 및 서비스 목적에 따라 서브넷을 생성한다.
네트워크를 분리 구성한다.
서브넷은 Public Subnet과 Private Subnet 두가지 형태로 제공된다.
서버는 기본적으로 내부 통신만 지원하는 Private Subnet 에 배치하여 사용합니다.
WEB,WAS,DB 서브넷을 구분한다.
의도하지 않은 네트워크 접급을 허용할 수 있는 단일 꼐정 구성의 위험도를 낮출 수 있습니다.
3
Network ACL 과 ACG (Access Control Group)
네트워크에 대한 접근 통제를 적용 하는것이다.
ACG
서버 레벨이서 지원 , 서버의 NIC에 적용 된다.
허용 규칙만 지원한다. 차단하는것을 적용하는건 없다.
Stateful 방식이다. 규칙에 관계 없이 반환 트래픽은 자동 허용 된다.
서버 생성시 보안그룹을 지정하거나 생성후 보안그룹을 지정한다.
Network ACL
서브넷 레벨로 적용한다.
허용 또는 거부 설정을 한다.
Stateless ( 규칙에 의해 반환 되는 트래픽 허용 설정을 해야 한다)
설정은 우선 순위가 있다.
연결된 서브넷 안에 있는 모든 서버에 적용된다.
애플리케이션 서버와 데이터 베이스 서버가 서브넷을 통해 분리된 경우
데이터 베이스 서브넷 내 DB서버들은 NACL과 ACG를 이용하여 애플리케이션 서비스내 WAS서버에서 전송하는 트래픽만 허용하도록 설정하자.
4
Flow Log
네트워크 트래픽 모니터링이다.
ACG, NACL에서 허용 및 차단 로그를 확인할수 있다.
Flow Log를 사용하기 위해서는 인터페이스에서 Flow Log를 활성화 한다음 미리 생성해 놓은 Object Storage에 저장해야 합니다.
5
네트워크 보안 모범 사례 및 지침.
서버간 네트워크 접근제어 및 관리를 할수 있는 ACG사용한다.
NACL 사용한다. 서브넷간 네트워크 접근 제어를 한다.
외부에 있는 다른 네트워크와 연결이 필요한 경우는 IPSec VPN이나 Cloud Connect를 사용한다.
전송중인 데이터 보호를 위해 데이터 기밀성과 무결성을 확보한다.
네트워크 보안을 계층적으로 설계 한다. 단일 네트워크 계층을 만들지 말고 외부, DMZ , 내부 계층에 네트워크 보안을 적용한다.
Flow Log를 사용하여 ACG, NACL에서 전송되고 수신되는 IP 트래픽에 대해 정보를 확인한다.
<3> Security Monitoring
1
Security Monitoring서비스 특징
One-stop 서비스 - 사용 신청만으로 전문 보안 조직 인력이 지원한다.
고도화된 보안 정책 - 최신 공격 기법에 대해 모니터링 제공
보안 위협에 대한 가시성 제공 - 대시보드 제공
보안 전문가(네이버 CERT) - 고객에 보안관제팀을 구성하지 않더라도 네이버 보안관제 서비스 제공.
DDOS, WAF, IDS, IPS < anti-Virus 솔루션 제공
2
대응 프로세스
ESM(Enterprise Security Management) 사용
보안 시스템 이벤트를 ESM에 전송
관제요원 모니터링
탐지된 이벤트 분석 - 정탐 or 오탐으로 구분
정탐 이벤트에 대해 세부 분석.
분석된 이벤트는 상세 분석 내용과 취약점 조치 권고가 담긴 보고서를 고객에게 제공.
고객의 추가 확인
실제 침해도 판단되는 이벤트에 대해서는 공격자 IP 차단
후속 조치
<4> 인프라 보안 아키텍처
1
온프레미스와 네이버 클라우드는 전용선 또는 IPSec VPN을 통해 연결.
VPC 안에 Security 서브넷을 분리 , 마켓 플레이스에서 제공하는 DB접근제어, 서버 접근제어 사용.
Public, Private , DB Subnet을 구성한다.
NACL과 ACG로 서버간 접근 통제를 한다.
Security monitoring에서 DDOS,WAF,IPS, IDS , Anti-Virus로 서비스를 보호한다.
<5> 네이버 클라우드 플랫폼의 VPC - 실습
1
다음
https://brunch.co.kr/@topasvga/5133
+
전체 보기
https://brunch.co.kr/@topasvga/5136
