BLOG
본 글의 원문은 AWS의 Principal 솔루션 아키텍트인 Aarthi Raju와 VMware의 총 책임 시스템 엔지니어인 Nicolas Vibert에 의해 작성되었습니다.
하이브리드 네트워크 아키텍처를 구축하기 시작하는 고객사들로부터 방화벽, AWS 환경, on-premises에서 수행하는 것과 유사한 방식으로 차세대 방화벽을 활용하여 VMware Cloud on AWS의 데이터를 보호하는 방법에 대해 종종 문의를 받습니다.
이러한 고객들 중 일부는 Checkpoint, Palo Alto Network와 같은 방화벽 벤더사의 AWS Partner Network(APN) 솔루션을 사용하고 있고, VMware Cloud on AWS 환경에서도 동일한 파트너 솔루션을 활용하고자 합니다.
오늘 블로그 글로는 VMware Cloud on AWS와 함께 차세대 방화벽을 활용하는데 필요한 디자인에 대하여 설명해 드릴 예정입니다. 차세대 방화벽은 포트/프로토콜 검사 및 차단을 넘어 애플리케이션 수준의 검사를 추가하여 심도 있는 패킷 검사를 제공합니다.
VMware Cloud on AWS용 네트워크 아키텍처
AWS와 VMware가 공동으로 개발한 하이브리드 클라우드 솔루션인 VMware Cloud on AWS 에는 이미 두 가지의 edge방화벽이 포함되어 있습니다. (관리 게이트웨이, 컴퓨팅 게이트웨이)
관리 도메인은 Software-Defined Data Center(SDDC)에서 실행되는 vCenter Server 및 NSX 매니저에 대한 north-south 네트워크 연결을 제공하는 NSX Edge 보안 게이트웨이인 관리 게이트웨이(MGW)에 보호됩니다.
고객이 생성한 컴퓨팅 워크로드를 포함한 도메인은 컴퓨팅 게이트웨이 (CGW)에 의해 보호됩니다. 이는 SDDC에서 실행되는 가상 머신 (VM)에 대한 north-south 네트워크 연결을 제공합니다.
North-south란 인터넷을 통하여 AWS SDDC의 VMware Cloud로 들어오는 트래픽을 의미합니다. 이번 게시글 에서는 SDDC 내의 트래픽을 나타내는 east-west 방화벽은 다루지 않습니다.
그림 1 – 관리 및 컴퓨팅 게이트웨이
MGW와 CGW 모두 방화벽 기능을 제공합니다. 오늘은 Layer 4(L4) 방화벽에 대해서만 설명해 드리겠습니다. OSI model의 Layer 4까지만 트래픽을 검사합니다. IP주소(소스 및 대상) 및 TCP/UDP 포트만 검사하고 필터링할 수 있습니다.
AWS Security Groups 은 L4 가상 방화벽과 동일한 방식으로 작동합니다.
인터넷 연결 애플리케이션 또는 인터넷 바운드 트래픽의 경우, L7 방화벽을 활용할 수 있습니다. 방화벽은 패킷 페이로드와 URL을 검사하고 만약 URL 대상이 회사 보안 정책에 맞지 않는 경우 트래픽을 삭제 할 수 있습니다.
그림 2 – L4와 L7방화벽의 차이
차세대 방화벽과 VMware Cloud on AWS의 통합
차세대 방화벽과 VMware Cloud on AWS 통합하는 몇가지 방법을 살펴보겠습니다.
옵션 1: on-premises 차세대 방화벽을 통하여 VMware Cloud on AWS 트래픽 검사
VMware Cloud on AWS를 사용한다면 데이터 센터의 확장과 on-premises 존재를 유지하는 경우 on-premises 웹 프록시 및 인터넷 L7 방화벽으로 트래픽을 검사할 수 있습니다.
이런 경우 굉장히 간단합니다. Virtual private network(VPN) 또는 AWS Direct Connect를 통한 기본 경로를 advertise하고 VMware Cloud on AWS VM의 모든 인터넷 바운드 트래픽이 온프레미스 L7 어플리케이션을 통해 전달 됩니다.
그림 3 – on-premises L7 방화벽을 사용한 아웃바운드 인터넷 트래픽 검사
VMware Cloud on AWS에서 웹 연결 애플리케이션을 공개하려는 경우 인터넷 연결 라우터에서 VM의 퍼블릭 IP를 알리고 이러한NAT와 퍼블릭 IP를 통해 VMware VM on VMware VMC-VM의 프라이빗한 IP로 공개할 수 있습니다.
외부 사용자로부터의 인바운드 트래픽은 on-premises 인터넷 방화벽을 통과할 수 있습니다. 이때 대상 IP는 VMC-VM의 개인 IP로 NAT 되고 DX / VPN을 통해 VMC-VM으로 전송됩니다.
그림 4 – on-premises L7방화벽을 사용한 인바운드 인터넷 트래픽 검사
옵션 2: native AWS transit VPC내 차세대 방화벽 배포
다른 방법으로 글로벌 네트워크 transit 센터를 생성하기 위해 지리적으로 분산된 VPC와 원격 네트워크를 연결하는 일반적인 전략인 transit VPC 개념을 활용할 수 있습니다.
Transit VPC는 네트워크 관리를 단순화하고 여러 VPC들과 원격 네트워크를 연결하는데 필요한 연결 수를 최소화 합니다.
그림 5 – Transit VPC on AWS
Transit VPC는 VPC를 통해 “Spoke VPC”에 연결되는 “VPC허브”입니다. 차세대 방화벽이 transit VPC 내에 Amazon Elastic Compute Cloud(Amazon EC2)인스턴스로 구축되어 배포됩니다. Spoke VPC를 떠나는 모든 트래픽은 허브/transit VPC로 이동하여 차세대 병화벽을 통하여 검사합니다.
그렇다면 VMware Cloud on AWS와 어떻게 작동할까요? 해당 VMware Cloud on AWS SDDC는 또 다른 하나의 “Spoke VPC”입니다.
“ENI-Connected VPC”는 SDDC를 배포할 때 Elastic Network Interface(ENI)를 통해 연결한 것입니다. 일반적으로 Active Directory, Amazon FSx, 또는 Amazon S3를 사용한 백업 서비스에 사용됩니다. ENI-Connected VPC는 transit VPC에 연결되지 않습니다. 하지만 ENI를 통해 VMware Cloud on AWS SDDC에 연결할 수 있습니다.
그림 6 – Transit VPC 와 VMware Cloud on AWS
테스트 목적으로 transit VPC에서 Palo Alto 네트워크 appliance를 사용했습니다. VMware Cloud on AWS는 다른 기술이므로 transit VPC를 이미 사용중인 고객들에게 이상적인 옵션입니다.
AWS의 VMware Cloud에서 spoke VPC 또는 인터넷상의 모든 트래픽은 보안 transit VPC를 통해 전송됩니다.
그림 7 – Transit VPC, 차세대 방화벽, 그리고 VMware Cloud on AWS 아키텍처
옵션 3: Leverage NSX 서비스를 사용한 차세대 방화벽 삽입
세 번째 옵션은 아직 가능하지는 않습니다. 하지만 현재 저희의 로드맵 안에 있으며 자세한 내용은 다음 링크에서 확인할 수 있습니다. 하지만 NSX-T 파트너 서비스 삽입 플랫폼을 통해 가상의 차세대 FW를 삽입하는 기능에 적극적으로 노력하고 있습니다. NSX를 사용하고 있었다면 새로운 것이 아닐 것입니다. NSX-V에서 몇 년 동안 사용할 수 있었고 NSX-T에서 여러 개월 동안 사용할 수 있었습니다.
완료 후에는 다음과 같은 이점을 누릴 수 있습니다.
- L7사용하여 인바운드, 아웃바운드 트래픽을 모두 검사합니다.
- 트래픽을 검사하여 VM 및 관리 VM 계산합니다.
- 더 빠른 성능과 대기시간 최소화
글을 마치며…
VMware Cloud on AWS 내에서 APN 파트너 솔루션을 활용하는 고객은 위에서 언급한 옵션 중 하나를 사용하여 아키텍처를 달성할 수 있습니다.
이를 통해 VMware Cloud on AWS와 기본 AWS 서비스 모두에서 실행되는 애플리케이션에 대한 심층 있는 패킷 검사를 수행 할 수 있습니다.
추가 정보
______________________________________________
VMware – APN Partner Spotlight
VMware는 APN Advanced Technology 파트너입니다. 이 소프트웨어는 컴퓨팅, 클라우드, 네트워크, 보안, 디지털 작업공간 그리고 streamlines에 걸쳐 있으며 조직 구성을 디지털화 하는데 도움이 됩니다.
Contact VMware | Solution Overview
*VMware를 이미 사용하고 계신가요? Rate this Partner
*APN 파트너를 검토하려면 APN파트어와 직접 협력 한 AWS 고객이어야 합니다.
원문 URL: https://aws.amazon.com/ko/blogs/apn/integrating-next-gen-firewalls-with-vmware-cloud-on-aws/
** 메가존 클라우드 TechBlog는 AWS BLOG 영문 게재 글 중에서 한국 사용자들에게 유용한 정보 및 콘텐츠를 우선적으로 번역하여 내부 엔지니어 검수를 받아서, 정기적으로 개제하고 있습니다. 추가로 번역 및 게재를 희망하는 글에 대해서 관리자에게 메일 또는 SNS 페이지에 댓글을 남겨주시면, 우선적으로 번역해서 전달 드리도록 하겠습니다.