Network) 네트워크 인프라 구성 (On-premise 기준)

네트워크 인프라 구성 (On-premise 기준)

- 네트워크, 보안 솔루션을 이용한 다양한 네트워크 정리

- 다양한 네트워크 예시 중 하나로 더 합리적인 구성이 존재할 수 있음

- 구성도 작성에 필요한 아이콘은 AWS 리소스 아이콘을 사용하였으며 잘 알려진 솔루션 아이콘과 다를 수 있음

 

*** 게시글 작성 중으로 지속적으로 추가될 예정

 

AWS 리소스 아이콘 출처 : https://aws.amazon.com/ko/architecture/icons/

AWS 아키텍처 아이콘

---

* 서버를 운영하지 않는 소규모 사업장

 

  - 적은 비용, 서버를 운영하지 않는 사업장 대상

  - 소규모 사업장은 FW, IPS, VPN, NW 장비를 구축하는데 많은 비용을 투자하기 힘듬

  - UTM의 경우 FW, IPS, VPN 기능을 지원하므로 적은 비용으로 보안 기능 적용 가능

    ( * 하지만 특화된 보안솔루션에 비해 기능이 떨어짐 )

  - 최근 재택근무 활성화로 VPN 및 보안기능을 제공하는 UTM 선호

  - UTM의 Web Filtering, Application Control 기능을 활용하여 업무 외 사이트 및 메신저 제한 가능

 

---

* 서버를 운영하는 소규모 사업장

 

 - 적은 비용, 소규모 사이트, 대외 서비스를 하지 않는 사업장 대상

 - DMZ 포트 혹은 솔루션에서 제공하는 가상 네트워크(도메인) 기능을 통해 망분리 구현 가능

 - 환경에 따라 L3 구축 후 L2 자리에 UTM을 설치할 수 있음

 

---

* 서버를 운영하는 사업장

 

 - 추가 비용 지출, 웹 서비스를 운영하는 사업장

 - 규모가 큰 사업장의 경우 UTM의 많은 보안 기능이 장비에 부하를 일으킬 수 있음

 - 추가 비용 지출이 가능한 경우 특화된 보안 솔루션을 도입하는 것이 좋음

 - 웹 서비스를 운영하는 DMZ 구간의 경우 OSI Layer7 계층 패킷을 분석할 수 있는 웹 어플리케션 방화벽(WAF) 설치

 - 웹 서비스 트래픽만 WAF를 지나도록 DMZ 구간만 WAF 설치

 

 

 

 - 추가 비용 지출, 웹 서비스를 운영하는 사업장

 - 웹 서비스 트래픽에 특화된 WAF와 달리 IPS는 폭 넓은 계층에 대한 모니터링이 가능

 - 다양한 보안취약점을 탐지 및 차단할 수 있으므로 업무망 설치

 

---

* 가용성 확보가 필요한 사업장

 

 - 24시간 365일 운영되는 서비스는 가용성 확보가 매우 중요

 - 서비스 장애는 인터넷 회선 장애, 장비 장애 등이 발생할 수 있으며 이때 회선 및 장비 모두 이중화하는 것이 좋음

 - 회선의 경우 서로 다른 통신사 2개 회선으로 구성하고 장비 또한 2대로 구성

 - 장비는 HA 구성하여 장비 설정 동기화 및 Failover가 정상적으로 이뤄질 수 있도록 구성

 - 추가적으로 전력에 문제가 발생할 수 있으므로 UPS 구축도 중요

 

---

* 다수 지점을 운영하는 사업장 (HQ - Branch)

 

 - 다수 지점 간 통신이 필요한 사업장

 - 본사에 구축된 ERP, WEB, DB를 지점에서 안전하게 접근하기 위해 VPN을 이용

 - 전용선 구축은 많은 비용이 발생하므로 VPN 기능을 제공하는 솔루션을 통해 본사-지점 간 통신

 - VPN 구축 시 본사, 지점은 중복된 네트워크 대역 사용 불가.

 

---

* 재택 근무를 운영하는 사업장

 - 최근 팬데믹 이슈와 출장이 잦은 직일 경우 사업장 외부에서 사내망에 접속해야할 경우가 많음

 - 가장 안전한 방법은 VDI (Virtual Desktop Infrastucture) 를 이용하는 것이나 고려할 부분이 많음

 - 기존 구축된 사내망을 이용하는 방법은 RDP 혹은 SSL VPN 등이 있음

 

 * RDP

 

 - RDP는 추가 솔루션 도입 없이 방화벽 정책 수정으로 사내망에 접근할 수 있는 방법

 - 외부 환경에 따라 잦은 방화벽, NAT 정책 수정 필요 (인바운드 전체 허용 시 보안 취약)

 

 

 * SSL VPN

 

 - SSL VPN 기능을 제공하는 추가 솔루션 도입 필요

 - 최초 도입 시 SSLVPN 접근을 위한 방화벽 정책 및 설정을 하였다면 추가적인 정책 수정 필요 없음

 - SSL VPN Client 가 클라이언트 PC에 설치되어 PC 보안 정책을 모니터링할 수 있으며 인터넷 제어가 가능

   ( * 인터넷 제어는 UTM을 통해 인터넷을 할 수 있도록 설정한 경우 가능)

 - 다수 근무자가 내부망 접속이 필요한 경우 적합하며 솔루션 및 라이선스 비용이 발생할 수 있음