네트워크 보안 통합 인밴드 통합을 사용하면 검사를 위해 방화벽이나 침입 감지 시스템과 같은 자체 네트워크 보안 어플라이언스를 네트워크 트래픽 경로에 직접 삽입할 수 있습니다. 이러한 네트워크 어플라이언스를 사용하여 트래픽이 목적지에 도달하기 전에 식별된 위협이 있는지 트래픽을 검사할 수 있습니다.
네트워크 보안 통합은 Cloud Next Generation Firewall 및 패킷 가로채기 기술을 사용하여 인밴드 통합을 제공하여 패킷 처리 파이프라인에 서비스 중심 접근 방식을 제공합니다. 패킷 가로채기는 기존 라우팅 정책을 수정하지 않고 네트워크 트래픽 경로에 네트워크 어플라이언스를 삽입할 수 있는 Google Cloud 기능입니다.
패킷 처리는 아웃바운드 패킷이 라우팅되기 전과 인바운드 라우팅 패킷이 수신된 후에 발생합니다. 인밴드 통합은 일반 네트워크 가상화 캡슐화 (GENEVE) 캡슐화를 사용하여 송신 또는 수신 가상 머신 (VM)과 패킷 처리 VM (네트워크 어플라이언스) 간에 패킷을 안전하게 전송합니다.
대역 내 통합의 이점
인밴드 통합은 다음과 같은 이점을 제공합니다.
- 확장성: VM 기반 방화벽, 침입 감지 시스템 또는 네트워크 어플라이언스로 작동하는 패킷 처리 VM을 배포합니다. 필요에 따라 패킷 처리 VM을 확장할 수 있습니다.
- Geneve 캡슐화: 전송 또는 수신 VM과 검사를 위한 패킷 처리 VM 간에 패킷이 전송될 때 소스 및 대상 IP 주소를 비롯한 원래 패킷을 보존합니다. GENEVE에 대한 자세한 내용은 GENEVE RFC를 참고하세요.
- Cloud NGFW 기술:
apply_security_profile_group작업이 있는 계층식 방화벽 정책 또는 전역 네트워크 방화벽 정책의 인그레스 또는 이그레스 규칙을 사용하여 패킷 검사를 구성합니다. 이렇게 하면 VPC 네트워크의 경로에 대한 종속성이 삭제됩니다. 자세한 내용은 대역 내 통합 작동 방식을 참고하세요.
생산자 및 소비자 모델
인밴드 통합은 다음과 같이 설정된 생산자-소비자 모델을 사용합니다.
- 서비스 프로듀서는 확장 가능한 패킷 검사 VM 세트를 제공합니다.
- 서비스 소비자는 계층적 방화벽 정책 또는 전역 네트워크 방화벽 정책의 방화벽 규칙을 사용하여 검사할 트래픽을 지정합니다.
서비스 프로듀서
서비스 프로듀서는 VM을 통해 패킷 검사 서비스를 제공합니다. VM은 네트워크 어플라이언스이거나 맞춤 소프트웨어 솔루션을 실행하는 인스턴스일 수 있습니다. 생산자는 VM을 구성하고 확장하고 유지관리할 책임이 있습니다.
서비스 생산자는 패킷 검사 서비스에 백엔드 VM을 사용하는 내부 패스 스루 네트워크 부하 분산기를 배포하고 관리합니다. 프로듀서는 전역 인터셉트 배포 그룹으로 그룹화된 영역 인터셉트 배포를 통해 패킷 검사 서비스를 소비자에게 제공합니다. 자세한 내용은 생산자 서비스 설정을 참고하세요.
서비스 생산자는 다음 주요 구성요소를 사용하여 패킷 검사 서비스를 제공합니다.
VM 인스턴스: 네트워크 어플라이언스 또는 맞춤 소프트웨어 솔루션을 호스팅합니다. 생산자는 VM을 구성하고 확장하고 유지관리할 책임이 있습니다. 생산자는 영역 비관리형 또는 영역 관리형 인스턴스 그룹을 사용하여 패킷 검사 VM을 호스팅할 수 있습니다.
내부 패스 스루 네트워크 부하 분산기: 백엔드 패킷 검사 VM에 트래픽을 분산합니다. 부하 분산기의 전달 규칙은 검사가 필요한 트래픽의 진입점 역할을 합니다.
배포 차단: 내부 패스 스루 네트워크 부하 분산기의 전달 규칙을 참조하는 영역 리소스입니다. 가로채기 배포는 영역에 대한 프로듀서의 검사 서비스를 나타냅니다.
배포 그룹 차단: 여러 영역별 차단 배포를 포함하는 전역 리소스입니다.
서비스 소비자
서비스 소비자는 서비스 생산자가 제공하는 패킷 검사 서비스를 사용합니다.
VPC 네트워크의 각 영역에서 서비스 소비자는 생산자가 제공하는 패킷 검사 서비스를 선택하거나 Cloud Next Generation Firewall Enterprise와 함께 사용할 방화벽 엔드포인트를 구성할 수 있습니다. 인밴드 통합을 사용하는 방화벽 엔드포인트와 패킷 검사 서비스는 상호 배타적입니다. 자세한 내용은 소비자 서비스 설정을 참고하세요.
서비스 소비자는 다음 주요 구성요소를 사용하여 트래픽을 생산자의 패킷 검사 서비스로 전송합니다.
가로채기 엔드포인트 그룹: 서비스 프로듀서의 가로채기 배포 그룹을 참조하는 프로젝트별 전역 리소스입니다.
인터셉트 엔드포인트 그룹은 소비자 VPC 네트워크의 하나 이상의 영역에서 서비스 제작자의 인터셉트 배포 그룹이 제공하는 패킷 검사 서비스를 사용하려는 소비자의 의도를 나타냅니다.
인터셉트 엔드포인트 그룹 연결: 인터셉트 엔드포인트 그룹을 하나 이상의 소비자 VPC 네트워크에 논리적으로 연결하는 프로젝트별 전역 리소스입니다.
방화벽 규칙: 트래픽을 패킷 검사 VM으로 안내하는 계층식 방화벽 정책 또는 전역 네트워크 방화벽 정책 규칙입니다.
보안 프로필: 인터셉트 엔드포인트 그룹을 참조하는 조직별 전역 리소스입니다.
보안 프로필 그룹: 보안 프로필을 참조하는 조직별 전역 리소스입니다. 방화벽 정책의 규칙은 보안 프로필 그룹을 참조하고
apply_security_profile_group작업을 사용하여 프로듀서의 패킷 검사 서비스로 패킷을 전송합니다.
인터셉트 방화벽 규칙은 스테이트풀(Stateful)입니다. 새 세션이 규칙과 일치하면 해당 세션과 연결된 모든 후속 수신 및 송신 패킷이 가로채지고 GENEVE 헤더의 적절한 보안 프로필 그룹으로 캡슐화됩니다.
대역 내 통합 배포 모델
인밴드 통합은 생산자-소비자 모델을 기반으로 합니다.
그림 1은 인밴드 통합 서비스의 대략적인 배포 아키텍처를 보여줍니다.
다이어그램은 다음과 같은 생산자-소비자 설정을 보여줍니다.
producer-project1는 VPC 네트워크producer-vpc이 포함된 서비스 프로듀서 프로젝트입니다. 네트워크는 다음과 같이 설정됩니다.- 서비스 프로듀서는
us-west1-a및us-west1-b영역에서 패킷 검사 서비스를 제공합니다. - 각 영역에는 패킷 검사 VM, 내부 패스 스루 네트워크 부하 분산기, 인터셉트 배포가 있습니다.
- 서비스 생산자의 패킷 검사 서비스는 단일 인터셉트 배포 그룹으로 그룹화됩니다.
- 서비스 프로듀서는
consumer-project1는 두 개의 VPC 네트워크consumer-vpc1및consumer-vpc2가 포함된 서비스 소비자 프로젝트입니다. 두 네트워크 모두 다음과 같이 설정된 프로듀서의 패킷 가로채기 서비스를 사용하도록 구성됩니다.각 네트워크의 방화벽 정책 및 규칙 평가 순서가
BEFORE_CLASSIC_FIREWALL로 설정됩니다.각 네트워크에는 공통 인터셉트 엔드포인트 그룹을 참조하는 자체 인터셉트 엔드포인트 그룹 연결이 있습니다. 다이어그램에서 공통 인터셉트 엔드포인트 그룹은
consumer-project2소비자 프로젝트에 있습니다. 인터셉트 엔드포인트 그룹은 프로듀서의 인터셉트 배포 그룹을 사용하려는 소비자의 의도를 나타냅니다.소비자의 조직에서 고객이 보안 프로필이 포함된 보안 프로필 그룹을 만들었습니다. 보안 프로필은
consumer-vpc1및consumer-vpc2VPC 네트워크와 연결된 동일한 인터셉트 엔드포인트 그룹을 참조합니다.패킷을 생산자의 패킷 검사 서비스로 전달하기 위해 소비자는 방화벽 정책에서 인그레스 또는 이그레스 규칙을 사용합니다.
대역 내 통합 작동 방식
인밴드 통합에서 소비자의 트래픽에 있는 패킷이 apply_security_profile_group 작업을 사용하는 방화벽 규칙과 일치하면 가로채집니다.
방화벽 규칙과 일치하는 패킷은 서비스 프로듀서의 VPC 네트워크에 있는 내부 패스 스루 네트워크 부하 분산기로 전송됩니다.
패킷 검사 요구사항
방화벽 규칙이 소비자 트래픽을 성공적으로 차단하려면 다음 조건을 충족해야 합니다.
apply_security_profile_group작업을 사용하는 방화벽 규칙은 소비자 VPC 네트워크와 연결된 계층식 방화벽 정책 또는 전역 네트워크 방화벽 정책에 속해야 합니다.- 소비자의 차단 엔드포인트 그룹 연결은 소비자의 VPC 네트워크를 올바른 차단 엔드포인트 그룹과 연결해야 합니다.
방화벽 규칙의 보안 프로필 그룹에는 올바른 인터셉트 엔드포인트 그룹을 참조하는 보안 프로필이 포함되어야 합니다.
방화벽 규칙의 보안 프로필에서 참조하는 가로채기 엔드포인트 그룹이 VPC 네트워크와 연결된 가로채기 엔드포인트 그룹과 일치하지 않으면 패킷이 가로채지 않습니다.
패킷 흐름
패킷이 패킷 검사 요구사항을 충족하는 방화벽 규칙과 일치하면 Google Cloud다음과 같이 패킷을 처리합니다.
소비자 VPC 네트워크의 영역에서 패킷을 가로챕니다.
Google Cloud 는 트래픽 방향에 따라 패킷을 가로챕니다.
이그레스 트래픽 (VM에서 전송된 패킷): 패킷 검사를 위한 이그레스 방화벽 규칙과 일치하는 패킷은 패킷이 라우팅되기 전에 가로채집니다.
VM의 NIC에 외부 IPv4 주소가 할당되어 있거나 VM NIC가 Cloud NAT 게이트웨이를 사용하는 경우 Google Cloud 이그레스 방화벽 규칙 및 패킷 검사를 처리한 후 아웃바운드 패킷을 라우팅하기 전에 패킷의 소스 IPv4 주소를 변경합니다.
인그레스 트래픽 (VM에서 수신한 패킷): 패킷 검사를 위한 인그레스 방화벽 규칙과 일치하는 패킷은 패킷이 라우팅된 후에 가로채집니다.
VM에 NIC에 할당된 외부 IPv4 주소가 있거나 VM NIC가 Cloud NAT 게이트웨이를 사용하는 경우Google Cloud 는 라우팅된 인바운드 패킷을 수신한 후, 하지만 인그레스 방화벽 규칙 및 패킷 검사를 처리하기 전에 패킷의 대상 IPv4 주소를 변경합니다.
패킷을 캡슐화합니다.
방화벽 처리 단계에서 원래 이그레스 또는 인그레스 패킷은 GENEVE 프로토콜을 사용하여 캡슐화됩니다. 이 캡슐화는 GENEVE 패킷의 페이로드 내에서 원래 패킷의 소스 및 대상 IP 주소를 보존합니다.
캡슐화된 패킷을 서비스 프로듀서에게 전송합니다.
캡슐화된 패킷은 서비스 프로듀서의 VPC 네트워크에 있는 내부 패스 스루 네트워크 부하 분산기의 백엔드 VM으로 전송됩니다. 특정 부하 분산기는 트래픽이 차단된 VM의 영역과 차단 엔드포인트 그룹에서 참조한 차단 배포 그룹의 구성을 기반으로 선택됩니다.
패킷을 처리합니다.
프로듀서의 백엔드 VM은
UDP포트6081에서 GENEVE 캡슐화된 패킷을 수신합니다. 각 패킷 처리 VM에는 GENEVE 패킷에서 원래 패킷을 추출하는 방법을 이해하는 소프트웨어가 있습니다.VM의 검사 소프트웨어는 원래 패킷을 추출하여 검사하고 트래픽이 허용되는 경우 원래 패킷의 IP 주소, 프로토콜, 포트를 변경하지 않고 GENEVE를 사용하여 다시 캡슐화합니다.
패킷을 반환합니다.
패킷 처리 VM은 직접 서버 반환 (DSR)을 사용하여 다시 캡슐화된 패킷을 소비자 네트워크로 다시 전송합니다. 이 프로세스에서 응답 트래픽은 네트워크 어플라이언스에서 클라이언트로 직접 이동하여 부하 분산기를 우회하여 효율성을 개선합니다. 자세한 내용은 내부 패스 스루 네트워크 부하 분산기의 작동 방식을 참고하세요.
제한사항
- 네트워크 패킷이 차단 규칙과 일치하면 Compute Engine에서 패킷을 더 느린 속도로 처리합니다. 패킷 처리 속도는 머신 유형, 패킷 크기, CPU 사용률에 따라 달라지며 VPC 네트워크 외부 대상의 이그레스 속도와 비슷합니다.
- 리전 네트워크 방화벽 정책은 패킷 인터셉트를 지원하지 않습니다.
- 프로듀서 인터셉트 배포는 Dynamic NIC가 백엔드인 인스턴스를 지원하지 않습니다.
가로채진 TCP 세션은 SYN 패킷으로 시작해야 하므로 가로채는 어플라이언스가 전체 세션을 관찰할 수 있습니다. 알 수 없는 연결의 경우 어플라이언스는 차단 전에 SYN이 아닌 패킷을 삭제합니다.
SYN 패킷은 새 TCP 연결을 시작하는 첫 번째 패킷입니다. SYN이 아닌 패킷은 해당 연결 내의 다른 패킷입니다. 트래픽 패턴에 SYN 이외의 이니시에이터 또는 분할 라우팅이 포함된 경우 Cloud 지원팀에 문의하여 조언을 받으세요.