네트워크 인프라 구성 (On-premise 기준)
- 네트워크, 보안 솔루션을 이용한 다양한 네트워크 정리
- 다양한 네트워크 예시 중 하나로 더 합리적인 구성이 존재할 수 있음
- 구성도 작성에 필요한 아이콘은 AWS 리소스 아이콘을 사용하였으며 잘 알려진 솔루션 아이콘과 다를 수 있음
*** 게시글 작성 중으로 지속적으로 추가될 예정
AWS 리소스 아이콘 출처 : https://aws.amazon.com/ko/architecture/icons/
* 서버를 운영하지 않는 소규모 사업장
- 적은 비용, 서버를 운영하지 않는 사업장 대상
- 소규모 사업장은 FW, IPS, VPN, NW 장비를 구축하는데 많은 비용을 투자하기 힘듬
- UTM의 경우 FW, IPS, VPN 기능을 지원하므로 적은 비용으로 보안 기능 적용 가능
( * 하지만 특화된 보안솔루션에 비해 기능이 떨어짐 )
- 최근 재택근무 활성화로 VPN 및 보안기능을 제공하는 UTM 선호
- UTM의 Web Filtering, Application Control 기능을 활용하여 업무 외 사이트 및 메신저 제한 가능
* 서버를 운영하는 소규모 사업장
- 적은 비용, 소규모 사이트, 대외 서비스를 하지 않는 사업장 대상
- DMZ 포트 혹은 솔루션에서 제공하는 가상 네트워크(도메인) 기능을 통해 망분리 구현 가능
- 환경에 따라 L3 구축 후 L2 자리에 UTM을 설치할 수 있음
* 서버를 운영하는 사업장
- 추가 비용 지출, 웹 서비스를 운영하는 사업장
- 규모가 큰 사업장의 경우 UTM의 많은 보안 기능이 장비에 부하를 일으킬 수 있음
- 추가 비용 지출이 가능한 경우 특화된 보안 솔루션을 도입하는 것이 좋음
- 웹 서비스를 운영하는 DMZ 구간의 경우 OSI Layer7 계층 패킷을 분석할 수 있는 웹 어플리케션 방화벽(WAF) 설치
- 웹 서비스 트래픽만 WAF를 지나도록 DMZ 구간만 WAF 설치
- 추가 비용 지출, 웹 서비스를 운영하는 사업장
- 웹 서비스 트래픽에 특화된 WAF와 달리 IPS는 폭 넓은 계층에 대한 모니터링이 가능
- 다양한 보안취약점을 탐지 및 차단할 수 있으므로 업무망 설치
* 가용성 확보가 필요한 사업장
- 24시간 365일 운영되는 서비스는 가용성 확보가 매우 중요
- 서비스 장애는 인터넷 회선 장애, 장비 장애 등이 발생할 수 있으며 이때 회선 및 장비 모두 이중화하는 것이 좋음
- 회선의 경우 서로 다른 통신사 2개 회선으로 구성하고 장비 또한 2대로 구성
- 장비는 HA 구성하여 장비 설정 동기화 및 Failover가 정상적으로 이뤄질 수 있도록 구성
- 추가적으로 전력에 문제가 발생할 수 있으므로 UPS 구축도 중요
* 다수 지점을 운영하는 사업장 (HQ - Branch)
- 다수 지점 간 통신이 필요한 사업장
- 본사에 구축된 ERP, WEB, DB를 지점에서 안전하게 접근하기 위해 VPN을 이용
- 전용선 구축은 많은 비용이 발생하므로 VPN 기능을 제공하는 솔루션을 통해 본사-지점 간 통신
- VPN 구축 시 본사, 지점은 중복된 네트워크 대역 사용 불가.
* 재택 근무를 운영하는 사업장
- 최근 팬데믹 이슈와 출장이 잦은 직일 경우 사업장 외부에서 사내망에 접속해야할 경우가 많음
- 가장 안전한 방법은 VDI (Virtual Desktop Infrastucture) 를 이용하는 것이나 고려할 부분이 많음
- 기존 구축된 사내망을 이용하는 방법은 RDP 혹은 SSL VPN 등이 있음
* RDP
- RDP는 추가 솔루션 도입 없이 방화벽 정책 수정으로 사내망에 접근할 수 있는 방법
- 외부 환경에 따라 잦은 방화벽, NAT 정책 수정 필요 (인바운드 전체 허용 시 보안 취약)
* SSL VPN
- SSL VPN 기능을 제공하는 추가 솔루션 도입 필요
- 최초 도입 시 SSLVPN 접근을 위한 방화벽 정책 및 설정을 하였다면 추가적인 정책 수정 필요 없음
- SSL VPN Client 가 클라이언트 PC에 설치되어 PC 보안 정책을 모니터링할 수 있으며 인터넷 제어가 가능
( * 인터넷 제어는 UTM을 통해 인터넷을 할 수 있도록 설정한 경우 가능)
- 다수 근무자가 내부망 접속이 필요한 경우 적합하며 솔루션 및 라이선스 비용이 발생할 수 있음
'Network' 카테고리의 다른 글
Network) Anti-DDos 구성 (0) | 2022.10.10 |
---|---|
Wireshark) TCP, UDP Stream Column 추가 방법 (0) | 2021.12.06 |
네트워크) DNS 계층 구조와 DNS 질의 순서 (7) | 2021.11.28 |
HTTP 프로토콜 (0) | 2018.06.06 |
전송계층 TCP (0) | 2017.12.13 |