Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
네이버 클라우드 플랫폼 주요 업데이트
보안 on VPC
네이버 비즈니스 플랫폼 솔루션 아키텍트 윤진규
2020.10.29
N A V E R C L O U D P L A T F O R M
콘솔
- vpc / classic
보안
- 네트워크 보안
- 암호화
- 접근통제
- 감사
N A V E R C L O U D P L A T F O RM
Contents
02
N A V E R C L O U D P L A T F O RM
콘솔
VPC (Virtual Private Cloud)
Ncloud
KR 리전
KR-1
2.0
(Classic)
2.0
(Classic)
VPCVPC
Multi
zone
1. on-demand configurable pool...
VPC 콘솔구성 (Dashboard)
VPC - 콘솔 구성 (Products & Services)
02
N A V E R C L O U D P L A T F O RM
네트워크
VPC 기본 제어기능
VM VM
NIC NIC
SUBNET
(10.0.0.0/24)
ACG ACG
VM VM
NIC NIC
SUBNET
(10.0.1.0/24)
ACG ACG
Router
NetworkACL Networ...
VPC – 네트워크 구성요소
구성 요소 아이콘 세부 설명
VPC
VPC는 퍼블릭 클라우드 상에 논리적으로 완전하게 분리된 고객 전용 네트워크를 제공하는 서비스.
최대 /16 의 IP 네트워크 공간을 제공. (IP 대역 ...
3가지 타입 Load Balancer
VPC
Application
Load Balancer
Network Load
Balancer
Network Proxy
Load Balancer
• HTTP / HTTPS 웹서비스
(...
02
N A V E R C L O U D P L A T F O RM
보안
네트워크 보안
VPC• VPC
VPC를 사용하여 격리된 사설 네트워크 구성
▪ 논리적으로 분리된 가상 사설망 제공
▪ VPC 상에서 사설 IP대역 을 선택
▪ 서비스별 서브넷팅 후 VM배치
InternetNaver Cl...
네트워크 보안
• ACG (Access Control Group)
VM 단위 Stateful 방화벽
인바운드/아웃바운드 트래픽 , IP/Port 에 대한 허용/차단
• NACL (Network ACL)
서브넷 단위 St...
스토리지 암호화
• 오브젝트 스토리지
SSE-C ( Server-Side Encryption with Customer-Provided Keys) 방식의
암호화 기능을 제공
API를 이용하여 업로드
+
User key
A...
권한관리
• 리소스에 대한 Sub Account 권한관리
커스텀 정책 생성을 통해 리소스 별로 접근 제어
- Object Storage Bucket 별 권한 관리
- VM / VPC / K8S Server
VPC • 관...
감사
• Cloud Activity Tracer
네이버클라우드 사용자의 모든 활동 로그를 관리
CLI, API, Console Action
Create / Update 작업 ( Read 작업은 제외 )
VPCClassi...
감사
• Cloud Advisor
사용자의 리소스가 Best Practice 상태와 비교하여 얼마나 잘 구성되어 있는지
Overview 및 권장 조치 안내
- Main / Sub Account 액세스 키 관리
- Mai...
The End of Document
Thank You
Nächste SlideShare
Wird geladen in …5
×

[온라인교육시리즈] 네이버클라우드플랫폼 주요 업데이트 - 윤진규 클라우드 솔루션 아키텍트

클라우드 상에서 논리적으로 격리된 고객 전용 네트워크를 제공하는 VPC에 대해 살펴보고 스토리지 암호화, 감사 등 보안을 위한 다양한 기능들을 소개해드립니다 | Explore VPC providing a logically siloed customer-only network on the cloud and introduce a range of security features including storage encryption and auditing.

  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

[온라인교육시리즈] 네이버클라우드플랫폼 주요 업데이트 - 윤진규 클라우드 솔루션 아키텍트

  1. 1. 네이버 클라우드 플랫폼 주요 업데이트 보안 on VPC 네이버 비즈니스 플랫폼 솔루션 아키텍트 윤진규 2020.10.29 N A V E R C L O U D P L A T F O R M
  2. 2. 콘솔 - vpc / classic 보안 - 네트워크 보안 - 암호화 - 접근통제 - 감사 N A V E R C L O U D P L A T F O RM Contents
  3. 3. 02 N A V E R C L O U D P L A T F O RM 콘솔
  4. 4. VPC (Virtual Private Cloud) Ncloud KR 리전 KR-1 2.0 (Classic) 2.0 (Classic) VPCVPC Multi zone 1. on-demand configurable pool of shared computing resources 논리적으로 완벽하게 격리된 네트워크를 사용자가 직접 설계하여 구성할 수 있도록 제공 2. Ncloud 2.0은 Classic과 VPC가 공존 KR 리전에 KR-1 , KR-2 멀티존(Multi-AZ) 출시 3. Classic과 VPC는 다른 플랫폼입니다. 그러므로 상품간 연동이 되지 않을 수 있습니다. 기본적으로 네트워크가 분리되어 있기 때문에 IP 기반의 상품은 상호간 통신 불가하며, 이에 따른 개별 상품의 버전이 상이 KR-2
  5. 5. VPC 콘솔구성 (Dashboard)
  6. 6. VPC - 콘솔 구성 (Products & Services)
  7. 7. 02 N A V E R C L O U D P L A T F O RM 네트워크
  8. 8. VPC 기본 제어기능 VM VM NIC NIC SUBNET (10.0.0.0/24) ACG ACG VM VM NIC NIC SUBNET (10.0.1.0/24) ACG ACG Router NetworkACL NetworkACL VPC (10.0.0.0/16) NAT Gateway Internet Gateway IPSEC VPN Load Balancer VPC Peering 구분 내용 VPC 제어 VPC 생성/삭제는 사용자 독립적인 N/W 생성/삭제를 의미 Subnet 제어 VPC 내에서 사용할 Subnet 지정 가능 Routing 제어 라우팅 설정 기능 제공 N/W ACL 제어 Stateless 형태의 트래픽 제어 ACG 제어 Stateful 형태의 트래픽 제어 Endpoint Internet G/W (공인IP), NAT G/W (SNAT), IPSEC VPN, Loadbalancer, VPC Peering 등 VPC는 클라우드 상에 논리적으로 분리된 고객별 전용 네트워크를 제공 네트워크 접근 제어를 거친 후 서버 접근 제어로 진행되어 보안이 강화됨 다른 사용자와 간섭 발생 영역이 줄어 높은 안정성과 보안성을 제공
  9. 9. VPC – 네트워크 구성요소 구성 요소 아이콘 세부 설명 VPC VPC는 퍼블릭 클라우드 상에 논리적으로 완전하게 분리된 고객 전용 네트워크를 제공하는 서비스. 최대 /16 의 IP 네트워크 공간을 제공. (IP 대역 : RFC 1918) Subnet (Internet GW) 할당된 VPC를 용도에 맞게 네트워크 공간을 세분화하여 사용. /16 ~ /28 의 네트워크 주소 할당이 가능. Public Subnet 생성 시, Internet Gateway가 연결됨 NAT GW 폐쇄된 네트워크에서 외부와의 인터넷 통신 시 사용하는 게이트웨이. Route Table 네트워크 경로를 설정할 수 있는 기능을 제공. VPC 내부 통신을 위한 Local은 기본적으로 설정. ACG 서버에서 인바운드/아웃바운드의 네트워크 접근 제어를 지원하며 Stateful 기반으로 동작 NACL Subnet에서 인바운드/아웃바운드의 네트워크 접근 제어를 지원하며 Stateless 기반으로 동작 Virtual Private Gateway Cloud Connect와 IPsec VPN에 연결되는 네이버 클라우드 플랫폼의 VPC 측 연결 접점으로서 Cloud Connect과 IPsec VPN 연결을 지원 VPC Peering VPC 간 사설 연결을 보장하는 기능. 단방향 통신 제공으로 양방향 통신을 원하면 뒤바뀐 두개 정책 필요 CIDR Subnet Name- Zone CIDR VPC Name
  10. 10. 3가지 타입 Load Balancer VPC Application Load Balancer Network Load Balancer Network Proxy Load Balancer • HTTP / HTTPS 웹서비스 (초당 9,000 연결) • SSL 인증 및 암호화 설정 • 다양한 부하 분산 방식 • URL Path 기반 부하분산 (출시예정) • 헬스체크용 ACG는 LB서 브넷 전체를 등록 • 고성능 TCP 부하분산 처리 (초당 400,000 연결) • DSR(direct Server Return) • 동일한 서버의 동일 포트로 포 트 등록 불가 • 세션 유지가 필요한 TCP 통신 • SSL 인증 및 암호화 설정 • 다양한 부하 분산 방식 * 로드밸런서 전용 서브넷을 생성하여 LB에 할당해야 함
  11. 11. 02 N A V E R C L O U D P L A T F O RM 보안
  12. 12. 네트워크 보안 VPC• VPC VPC를 사용하여 격리된 사설 네트워크 구성 ▪ 논리적으로 분리된 가상 사설망 제공 ▪ VPC 상에서 사설 IP대역 을 선택 ▪ 서비스별 서브넷팅 후 VM배치 InternetNaver Cloud 10.0.0.0/16 VPC ServerNIC: 10.0.0.10 NIC: 10.1.0.10 10.1.0.0/24 Back-end Subnet 10.0.0.0/24 Front-end Subnet ▪ 외부로 부터 트래픽과 라우팅 통제 ▪ 소유하지 않은 VM에 대한 스니핑 불가 ▪ IP Spooping 과 같은 Layer 2 공격차단
  13. 13. 네트워크 보안 • ACG (Access Control Group) VM 단위 Stateful 방화벽 인바운드/아웃바운드 트래픽 , IP/Port 에 대한 허용/차단 • NACL (Network ACL) 서브넷 단위 Stateless 적용 DENY 규칙 적용 가능 구분 ACG NACL 적용 대상 서버의 접근 제어 Subnet의 접근 제어 지원 규칙 허용 (Allow) 허용 및 거부 (Allow/Deny) 상태 저장 여부 상태 저장 ( 규칙에 관계없이 반환 트래 픽이 자동으로 허용됨) 상태 비저장 (반환 트래픽이 규칙에 의해 명 시적으로 허용되어야 함) 적용 방법 서버의 NIC에 ACG 정책 적용 Subnet 단위로 적용 (Subnet 별 1개만 허용) [ACG / NACL 비교]
  14. 14. 스토리지 암호화 • 오브젝트 스토리지 SSE-C ( Server-Side Encryption with Customer-Provided Keys) 방식의 암호화 기능을 제공 API를 이용하여 업로드 + User key AES-256 Encryption • 블록 스토리지 서버(VM) 기본 스토리지 및 추가 스토리지 암호화 OS(CentOS 7.8) 제공하는 암호화 API를 사용하여 부팅영역 제외한 전체 디스크 암호화 (리눅스의 dm-crypt +LUKS, 윈도우의 BitLocker) 현재 해당 상품 : Server , CloudDB * KMS 연동은 추후 제공 SSL Classic VPC VPC 기본스토리지 추가 스토리지 • NAS 스토리지 NAS 볼륨기준 암호화 제공 Classic VPC Master (write) Slave (read) Cloud DB Load Balancer VM
  15. 15. 권한관리 • 리소스에 대한 Sub Account 권한관리 커스텀 정책 생성을 통해 리소스 별로 접근 제어 - Object Storage Bucket 별 권한 관리 - VM / VPC / K8S Server VPC • 관리 콘솔 접근제어 Sub Account 계정에 대해 웹 콘솔에 인가된 단말의 IP만 접근 가능하도록 설정하 여 보안 강화 VPC Object Storage VPC Server Kubernetes Server DB 운영자 Server 관리자 Application 개발자 DSub Accounts Resources Main / Sub Account 계정에 대해 2Factor 인증 적용
  16. 16. 감사 • Cloud Activity Tracer 네이버클라우드 사용자의 모든 활동 로그를 관리 CLI, API, Console Action Create / Update 작업 ( Read 작업은 제외 ) VPCClassic • Resource Manager Observer 네이버클라우드 에서 이용중인 다양한 서비스 내 수많은 리소스들의 상태를 감 시하고 리소스의 상세 인벤토리 기준 정보를 규칙으로 정의함으로써 정의한 규칙에 어긋나는 리소스의 상태 및 인벤토리에 대한 Alerting 제공 Console API , CLI Gamepot VPC VM Cloud Activity Tracer 리소스 작업 조회 • VPC Flow Log Network Interface(ACG)에서 전송되고 수신되는 IP트래픽에 대한 정보를 수집 보안그룹 규칙을 확인하여 접근 통제 이슈(보안규칙)를 해결하고자 함 Allow / Deny / All 항목 제공 Object Storage 에 저장 <Time> <Account ID> <Interface-ID> <VPC-ID> <Subnet-ID> <Srcaddr> <Dstaddr> <Srcport> <Dstport> <Protocol> <Action> <Log-status> ▪ NAS : 암호화 적용 여부 ▪ ACG : Any open 여부 ▪ Server : Stop 상태의 유휴 리소스 존재 유무 ▪ VPC flowlog : 활성화 여부 ▪ Load Balancer : LB 리스너 설정에 https 적용 여부 VPC
  17. 17. 감사 • Cloud Advisor 사용자의 리소스가 Best Practice 상태와 비교하여 얼마나 잘 구성되어 있는지 Overview 및 권장 조치 안내 - Main / Sub Account 액세스 키 관리 - Main / Sub Account 비밀번호 관리 - Main / Sub Account 2차 인증 설정여부 - Load Balancer 리스너 보안 관리 - Object Storage 버킷 권한 관리 VPCClassic • 형태 : 사용자 정의 규칙 • 점검 대상 : 리소스 • 점검 주기 : 리소스 상태 변경 시 점검 (또는 주기적) • Action : SMS/Email 통보, 알림 리소스 상태 점검 및 실시간 통보 Resouce Manager “Observer” • 형태 : 관리형 규칙 • 점검 대상 : 리소스 (+계약, 비용, …) • 점검 주기 : Weekly 점검 • (또는 사용자 요청 시) • Action : 주기적 Mail 리포트 제공 전반적인 사용 형태 점검 및 권고 리포트 Cloud Advisor
  18. 18. The End of Document Thank You

×