- 인쇄
- PDF
HTTPS 트래픽 보안 솔루션 연동 예제
- 인쇄
- PDF
VPC 환경에서 이용 가능합니다.
인입된 HTTPS 트래픽을 Service Function Chain을 통해 Transit VPC 내 구성되어 있는 보안 솔루션(IPS)을 거쳐 목적지인 Service VPC로 흘러 보내는 예제를 소개합니다. 이 예제에서는 인입된 HTTPS 트래픽을 복호화하여 해당 트래픽의 악성 여부를 판단하여 침입을 방지하기 위해 IPS와 IPS 이중화 구성을 위한 Inline Load Balancer를 추가 구성합니다.
예제를 통해 최종적으로 완성할 보안 솔루션 연동 구성도는 다음과 같습니다.
전체 구성 순서와 각 순서별 방법은 다음과 같습니다.
1. Security VPC 구성
Security VPC(security-vpc)에 대한 구성을 진행합니다. HTTPS 요청에 대해 복호화된 트래픽으로 보안 관제를 하기 위해 IPS 및 Inline LB를 추가 구성합니다. 예제에서는 다음과 같이 입력했습니다.
- Subnet
- IPS용 SFC Subnet(ips-subnet)을 생성합니다.
- IPS용 SFC: ips-subnet
- VM
- IPS용(2ea): ips-001, ips-002
- Inline Load balancer Target Group
- IPS 이중화용 Inline LB를 위한 Target Group을 생성합니다.
- VPC to IPS향: vpc-to-ips
- Inline Load balancer
- IPS 이중화용 Inline LB를 생성합니다.
- VPC to IPS향: vpc-ips-lb
- Service Function Chain
- 복호화된 트래픽을 보안 관제하기 위해 생성합니다. Service VPC 내부의 LB ↔ Target Server 간 통신이므로 목적지 Subnet은 Service VPC의 CIDR(10.0.0.0/16)로 설정하고 Chain은 기 생성된 Inline LB(vpc-ips-lb) → Transit VPC Connect(vpc001-securityvpc-tvc)순으로 설정합니다.
- VPC to IPS향: vpc001-ips-sfc
- Route Table
- Service VPC에서 발생된 복호화 트래픽이 SFC(vpc001-ips-sfc)를 통해 처리될 수 있도록 설정합니다. Service VPC 내 LB는 vpc001-pub- lb-subnet, vpc001-prvt-vm-subnet을 이용해서 구성되므로 LB → Target Server(요청) / Target Server → LB(응답) 트래픽이 모두 IPS를 거칠 수 있도록 설정을 진행합니다.
복호화 트래픽을 IPS로 전달하는 것이 목적이라 LB 공인 IP는 Transit VPC로 우회하지 않도록 구성합니다. Transit VPC를 우회하는 구성은 앞에서 공유된 내용을 참고하여 진행해 주십시오.
2. Service VPC 구성
Service VPC(service-vpc001)에 추가적인 구성을 진행합니다. HTTPS 서비스 구성을 위한 Subnet 및 Route Table을 생성하고 Target VM들을 생성하고 웹 서비스가 가능하도록 구성합니다. Service VPC(service-vpc001)에 대한 상세 구성을 진행합니다. 예제에서는 다음과 같이 입력했습니다.
- Subnet
- vpc001-pub-lb-subnet-2: 10.102.0/24
- vpc001-prvt-vm-subnet-2: 10.0.11.0/24
- Route Table
- LB Subnet용: vpc001-pub-lb-2-route
- Target VM Subnet용: vpc001-prvt-vm-2-route
- VM
- https 테스트용(2ea): target-003, target-004
Subnet, Route Table, Target VM을 생성한 후 HTTPS가 지원되는 Application Load Balancer를 생성합니다. 이를 위해 네이버 클라우드 플랫폼의 Certificate Manager에 인증서를 등록합니다. 보유하고 있는 인증서를 등록하거나 테스트용 인증서를 생성해서 등록합니다. 예제에서는 다음과 같이 입력했습니다.
인증서 등록 완료 후 HTTPS가 지원되는 Application Load Balancer 생성을 진행합니다. 예제에서는 다음과 같이 입력했습니다.
- Application Load Balancer Target Group
- vpc001-pub-lb-target2
- Application Load Balancer
- https 테스트용: https-alb
- Route Table
- vpc001-pub-lb-2-route
- vpc001-prvt-vm-2-route
- LB ↔ Target Server 간 복호화 트래픽을 IPS로 전달하기 위해서 Route Table(vpc001-pub-lb-2-route, vpc001-prvt-vm-2-route)의 Route 설정을 진행하게 되면 HTTPS 트래픽이 LB에서 복호화 되고 복호화된 트래픽이 IPS로 정상적으로 전달되게 됩니다.
- vpc001-pub-lb-2-route
복호화 트래픽을 IPS로 전달하는 것이 목적이라 LB 공인 IP는 Transit VPC로 우회하지 않도록 구성합니다. Transit VPC를 우회하는 구성은 앞에서 공유된 내용을 참고하여 진행해 주십시오.