네트워크 보안 통합을 사용하면 VPC 네트워크의 경로를 변경하지 않고 패킷 검사 및 방화벽 소프트웨어를 실행하는 VM을 비롯한 네트워크 보안 어플라이언스 VM을 VPC 네트워크에 통합할 수 있습니다.
네트워크 보안 통합은 일반 네트워크 가상화 캡슐화(GENEVE) 프로토콜을 사용합니다. GENEVE는 사용자가 만든 방화벽 규칙에 따라 하나 이상의 VPC 네트워크에서 네트워크 보안 어플라이언스 VM으로 원본 패킷과 메타데이터를 전송합니다. 자세한 내용은 GENEVE 형식 이해를 참고하세요.
통합 유형
네트워크 보안 통합은 네트워크 보안 어플라이언스 VM을 통합하는 두 가지 방법을 제공합니다.
인밴드: 이 옵션은 검사를 위해 패킷을 네트워크 어플라이언스 VM으로 라우팅합니다. 네트워크 어플라이언스 VM은 패킷을 허용할지 차단할지 결정합니다. 인밴드를 사용하면 네트워크 어플라이언스가 트래픽이 목적지에 도달하기 전에 식별된 위협을 차단할 수 있습니다. 자세한 내용은 대역 내 통합 개요를 참고하세요.
대역 외: 이 옵션은 원래 트래픽 흐름에 영향을 주지 않고 분석을 위해 패킷 사본을 네트워크 어플라이언스 VM으로 라우팅합니다. 자세한 내용은 대역 외 통합 개요를 참고하세요.
서비스 생산자 및 소비자
개략적으로 네트워크 보안 통합은 데이터 검사 및 트래픽 데이터 모니터링에 생산자-소비자 모델을 사용합니다. 이 모델에서:
- 생산자에는 트래픽 검사 및 모니터링을 제공하는 네트워크 어플라이언스 VM이 있습니다.
- 소비자는 프로듀서의 서비스를 사용하여 자체 서비스의 네트워크 트래픽을 보호하거나 모니터링합니다.
예를 들어 네트워크 보안 회사의 어플라이언스가 Google Cloud에서 실행되는 애플리케이션을 위해 금융 서비스 조직에 맞춤 네트워크 분석을 제공하는 시나리오를 생각해 보세요. 이 시나리오에서 네트워크 보안 회사는 생성자이고 금융 서비스 조직은 소비자입니다.
그림 1은 소비자와 생산자가 모두 동일한 조직에 있는 네트워크 보안 통합 서비스의 개략적인 배포 아키텍처를 보여줍니다.
이전 다이어그램에서 생산자-소비자 모델은 네트워크를 서비스 생산자 네트워크와 서비스 소비자 네트워크의 두 가지로 나눕니다.
- 서비스 프로듀서 네트워크에는 트래픽을 검사하는 확장 가능한 네트워크 어플라이언스 집합이 포함되어 있습니다.
- 서비스 소비자 네트워크에는 Google Cloud VM이 포함됩니다. 소비자 네트워크는 인밴드 통합을 위해 전역 네트워크 방화벽 정책 또는 계층적 방화벽 정책의 규칙을 사용하여 프로듀서 네트워크로 트래픽을 전송합니다.
구성된 내용에 따라 네트워크 보안 통합은 하나 이상의 소비자 네트워크에서 트래픽을 가로채거나 미러링합니다. 그런 다음 GENEVE로 트래픽을 캡슐화하고 검사를 위해 생산자의 네트워크 어플라이언스로 전송합니다.
서비스 프로듀서 네트워크
프로듀서 VPC 네트워크에는 소비자 네트워크 트래픽을 검사하거나 미러링하는 네트워크 어플라이언스의 하나 이상의 영역 배포가 포함됩니다. 각 영역 배포는 백엔드 VM이 사용자가 관리하는 네트워크 어플라이언스인 내부 패스 스루 네트워크 부하 분산기로 구성됩니다.
영역 배포는 각 소비자 VPC 네트워크의 엔드포인트 그룹에서 참조하는 단일 배포 그룹으로 그룹화됩니다.
서비스 소비자 네트워크
소비자 VPC 네트워크에는 가상 머신 (VM) 인스턴스에서 실행되는 Google Cloud 워크로드 가 포함되어 있습니다. 각 소비자 VPC 네트워크는 엔드포인트 그룹을 사용하여 프로듀서의 패킷 검사 또는 분석 서비스를 참조합니다.
각 소비자 VPC 네트워크는 인밴드 통합을 위해 전역 네트워크 방화벽 정책 또는 계층식 방화벽 정책의 규칙을 사용하여 프로듀서 어플라이언스에서 검사하거나 미러링하는 트래픽을 제어합니다. 이러한 방화벽 규칙은
apply_security_profile_group작업을 사용합니다. IP 주소 또는 IP 범위, 보안 태그와 같은 여러 속성을 사용하여 트래픽을 일치시켜 보안 목표를 달성하는 데 필요한 만큼 규칙을 구체적으로 만들 수 있습니다.