HTTPS 트래픽 보안 솔루션 연동 예제
    • PDF

    HTTPS 트래픽 보안 솔루션 연동 예제

    • PDF

    기사 요약

    VPC 환경에서 이용 가능합니다.

    인입된 HTTPS 트래픽을 Service Function Chain을 통해 Transit VPC 내 구성되어 있는 보안 솔루션(IPS)을 거쳐 목적지인 Service VPC로 흘러 보내는 예제를 소개합니다. 이 예제에서는 인입된 HTTPS 트래픽을 복호화하여 해당 트래픽의 악성 여부를 판단하여 침입을 방지하기 위해 IPS와 IPS 이중화 구성을 위한 Inline Load Balancer를 추가 구성합니다.
    예제를 통해 최종적으로 완성할 보안 솔루션 연동 구성도는 다음과 같습니다.

    vpc-example-sfc03_01_ko

    전체 구성 순서와 각 순서별 방법은 다음과 같습니다.

    1. Security VPC 구성

    Security VPC(security-vpc)에 대한 구성을 진행합니다. HTTPS 요청에 대해 복호화된 트래픽으로 보안 관제를 하기 위해 IPS 및 Inline LB를 추가 구성합니다. 예제에서는 다음과 같이 입력했습니다.

    • Subnet
      vpc-example-sfc03_06_ko
      • IPS용 SFC Subnet(ips-subnet)을 생성합니다.
      • IPS용 SFC: ips-subnet
    • VM
      • IPS용(2ea): ips-001, ips-002
    • Inline Load balancer Target Group
      vpc-example-sfc03_05_ko
      • IPS 이중화용 Inline LB를 위한 Target Group을 생성합니다.
      • VPC to IPS향: vpc-to-ips
    • Inline Load balancer
      vpc-example-sfc03_04_ko
      • IPS 이중화용 Inline LB를 생성합니다.
      • VPC to IPS향: vpc-ips-lb
    • Service Function Chain
      vpc-example-sfc03_03_ko
      • 복호화된 트래픽을 보안 관제하기 위해 생성합니다. Service VPC 내부의 LB ↔ Target Server 간 통신이므로 목적지 Subnet은 Service VPC의 CIDR(10.0.0.0/16)로 설정하고 Chain은 기 생성된 Inline LB(vpc-ips-lb) → Transit VPC Connect(vpc001-securityvpc-tvc)순으로 설정합니다.
      • VPC to IPS향: vpc001-ips-sfc
    • Route Table
      vpc-example-sfc03_02_ko
      • Service VPC에서 발생된 복호화 트래픽이 SFC(vpc001-ips-sfc)를 통해 처리될 수 있도록 설정합니다. Service VPC 내 LB는 vpc001-pub- lb-subnet, vpc001-prvt-vm-subnet을 이용해서 구성되므로 LB → Target Server(요청) / Target Server → LB(응답) 트래픽이 모두 IPS를 거칠 수 있도록 설정을 진행합니다.
    참고

    복호화 트래픽을 IPS로 전달하는 것이 목적이라 LB 공인 IP는 Transit VPC로 우회하지 않도록 구성합니다. Transit VPC를 우회하는 구성은 앞에서 공유된 내용을 참고하여 진행해 주십시오.

    2. Service VPC 구성

    Service VPC(service-vpc001)에 추가적인 구성을 진행합니다. HTTPS 서비스 구성을 위한 Subnet 및 Route Table을 생성하고 Target VM들을 생성하고 웹 서비스가 가능하도록 구성합니다. Service VPC(service-vpc001)에 대한 상세 구성을 진행합니다. 예제에서는 다음과 같이 입력했습니다.

    • Subnet
      vpc-example-sfc03_07_ko
      • vpc001-pub-lb-subnet-2: 10.102.0/24
      • vpc001-prvt-vm-subnet-2: 10.0.11.0/24
    • Route Table
      vpc-example-sfc03_08_ko
      • LB Subnet용: vpc001-pub-lb-2-route
      • Target VM Subnet용: vpc001-prvt-vm-2-route
    • VM
      vpc-example-sfc03_09_ko
      • https 테스트용(2ea): target-003, target-004

    Subnet, Route Table, Target VM을 생성한 후 HTTPS가 지원되는 Application Load Balancer를 생성합니다. 이를 위해 네이버 클라우드 플랫폼의 Certificate Manager에 인증서를 등록합니다. 보유하고 있는 인증서를 등록하거나 테스트용 인증서를 생성해서 등록합니다. 예제에서는 다음과 같이 입력했습니다.
    vpc-example-sfc03_10_ko

    인증서 등록 완료 후 HTTPS가 지원되는 Application Load Balancer 생성을 진행합니다. 예제에서는 다음과 같이 입력했습니다.

    • Application Load Balancer Target Group
      vpc-example-sfc03_11_ko
      • vpc001-pub-lb-target2
    • Application Load Balancer
      vpc-example-sfc03_12_ko
      • https 테스트용: https-alb
    • Route Table
      • vpc001-pub-lb-2-route
        vpc-example-sfc03_13_ko
      • vpc001-prvt-vm-2-route
        vpc-example-sfc03_14_ko
      • LB ↔ Target Server 간 복호화 트래픽을 IPS로 전달하기 위해서 Route Table(vpc001-pub-lb-2-route, vpc001-prvt-vm-2-route)의 Route 설정을 진행하게 되면 HTTPS 트래픽이 LB에서 복호화 되고 복호화된 트래픽이 IPS로 정상적으로 전달되게 됩니다.
    참고

    복호화 트래픽을 IPS로 전달하는 것이 목적이라 LB 공인 IP는 Transit VPC로 우회하지 않도록 구성합니다. Transit VPC를 우회하는 구성은 앞에서 공유된 내용을 참고하여 진행해 주십시오.


    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.